Le organizzazioni che operano a livello globale devono considerare le molteplici norme sulla protezione dei dati che stanno emergendo in tutto il mondo: facendo seguito alla nuova legislazione cinese, si prevede che, nel 2023, altri Stati porteranno avanti riforme privacy in grado di impattare sugli interessati di tutto il mondo. Cosa devono aspettarsi i DPO? Come approcciarsi, nel migliore dei modi, al complesso mosaico di norme che sta prendendo forma?
Novità dalla Cina con impatto globale
Se è vero che, nel 2018, il GDPR ha dato una prima scossa globale verso la realizzazione di norme più garantiste nei confronti degli interessati, anche la definizione del quadro normativo cinese in materia di privacy sta avendo un forte eco in tutto il mondo.
Da novembre 2021, infatti, è divenuta applicabile la “Personal Information Protection Law” (PIPL) cinese, legge sulla protezione delle informazioni personali che definisce regole rigorose sulla raccolta, l'elaborazione e la conservazione dei dati personali, e prevede sanzioni significative in caso di violazione delle relative norme. La PIPL si affianca alla “Cybersecurity Law” (CSL) e alla “Data Security Law” (DSL), nel delineare il framework normativo in materia di data protection in Cina. Al contempo, sono state pubblicate leggi e regolamenti che disciplinano settori industriali specifici e sono attese nuove norme di supporto (come linee guida e standard).
Obblighi in capo alle multinazionali
Le severe normative cinesi sulla privacy dei dati hanno spinto molte organizzazioni multinazionali a cercare di adeguarsi o riorganizzarsi. Infatti, entro marzo 2023, tutte le aziende dovranno ottenere l'approvazione del governo cinese per determinati trasferimenti di dati, che potranno ottenere solo dopo essersi sottoposte a una valutazione di sicurezza obbligatoria, anche se la loro organizzazione non ha una presenza in Cina. Quasi tutte le multinazionali che vendono beni o servizi a clienti cinesi saranno interessate.
Ad esempio, pensiamo ad un rivenditore che non ha una presenza fisica in Cina, ma che gestisce un e-commerce accessibile online agli acquirenti di tutto il mondo (anche cinesi). Come per qualsiasi altro utente, quando un cliente cinese effettua un acquisto, il rivenditore raccoglie le informazioni personali e finanziarie necessarie per completare la transazione ed evadere l'ordine. Se il numero di utenti cinesi coinvolti ogni anno è superiore a 100.000, il rivenditore dovrà: localizzare la gestione delle transazioni in Cina; utilizzare un host cinese per il sito web; dotarsi di un elaboratore di dati cinese; ricorrere a personale cinese per l'assistenza ai clienti.
La “Cyberspace Administration of China” (CAC), una delle principali Autorità di regolamentazione incaricate di verificare la corretta applicazione della PIPL, ha dichiarato che condurrà valutazioni di sicurezza su tutte le imprese che attualmente elaborano, gestiscono o trasferiscono informazioni personali di cittadini cinesi. In caso di non conformità la CAC potrebbe imporre il blocco dei trasferimenti e comminare pesanti sanzioni.
Per le organizzazioni cinesi (i “personal information handlers” ubicati nella Repubblica Popolare Cinese), inoltre, multe e sanzioni non sono l'unica conseguenza negativa derivante dal mancato rispetto della PIPL: il rischio aggiuntivo, in questo caso, è quello di perdere punti nel sistema di punteggio sociale cinese. Il governo potrebbe sequestrare le apparecchiature informatiche, bloccare l'accesso digitale ai servizi e, nei casi peggiori, arrestare i dirigenti.
Novità normative dai principali continenti
Come anticipato, la PIPL ha avuto e sta avendo una forte influenza, in quanto, per numero di interessati coinvolti, rappresenta la legge sulla privacy a più ampia applicazione a livello globale. L’impatto della PIPL è stato rilevante non solo per interessati ed organizzazioni: diversi Stati, fra cui l'India, la Russia, il Canada, l’Argentina, l’Australia, etc. stanno portando avanti proposte di legge e nuove iniziative in materia di dati. In tutti i principali continenti si stanno discutendo norme sulla privacy o aggiornamenti alla disciplina esistente.
- Oceania
Il governo australiano sta per presentare una modifica del Privacy Act, la legge sulla privacy del 1988 (n. 119, 1988), che prevede maggiori diritti per le persone riguardo al controllo dei loro dati personali. Tra le misure proposte ci sono la possibilità di scegliere di non ricevere pubblicità mirate, cancellare i propri dati personali e intentare cause legali per gravi violazioni della privacy. L'Attorney General ("AG") dell'Australia, ha dichiarato che la revisione verrà portata avanti nel corso del 2023 (attualmente 116 proposte sono in fase di discussione).
- Nord America
La legislatura statale della California, negli Stati Uniti, ha ricevuto due aggiornamenti, uno dei quali rivolto esclusivamente ai bambini. Altre quattro leggi statali statunitensi simili a quella della California entreranno in vigore nel 2023 (Virginia, Colorado, Utah, Connecticut), ma negli Stati Uniti manca ancora una legge federale sulla privacy.
In Canada, il Personal Information Protection and Electronic Documents Act (PIPEDA) rappresenta la principale fonte normativa sulla protezione dei dati. Il governo canadese tuttavia desidera rafforzare ulteriormente i diritti alla privacy. Si sta quindi discutendo una proposta di legge (C-27) che abrogherebbe il PIPEDA.
- Sud America
La legge argentina sulla protezione dei dati dovrebbe essere approvata nel 2023. È stata sottoposta a consultazioni pubbliche nel 2022 prima di essere presentata all'Assemblea nazionale. Anche se l'approvazione è prevista per il 2023, il periodo di grazia di un anno significa che non saranno intraprese azioni di applicazione fino al 2024.
- Asia
In Russia, la legge federale del 14 luglio 2022 n. 266-FZ, che modifica della legge federale sui dati personali, è stata adottata per imporre obblighi più severi agli operatori di dati nazionali e stranieri in termini di modalità di interazione con gli interessati e di dimostrazione della conformità, in particolare nel caso di trasferimenti di dati. La Legge di modifica è entrata in vigore il 1° settembre 2022, anche se alcune disposizioni sono state posticipate al 1° marzo 2023.
La prima legge sulla protezione dei dati in Arabia Saudita, completa e indipendente dal settore, doveva entrare in vigore nel 2022, ma ora è stata rinviata al 17 marzo 2023.
L'India dovrebbe approvare il Digital Personal Data Protection Bill nel 2023. La bozza del testo è ancora in fase di discussione e sono in corso consultazioni pubbliche. Tuttavia, le cose stanno finalmente migliorando e l'India avrà presto una legge moderna sulla privacy dei dati. Non è chiaro quando entrerà in vigore.
La legge indonesiana sulla protezione dei dati personali (PDPL) è stata approvata dall'organo legislativo nazionale il 17 ottobre 2022. Entrerà in vigore il 17 ottobre 2024, dopo un periodo di transizione di due anni.
In Vietnam, si prevede che il governo approverà una nuova legge sulla protezione dei dati nel 2023. Sebbene la bozza della legge non sia ancora stata resa pubblica, i suoi contenuti sono stati deliberati nelle assemblee legislative.
- Africa
Nel continente Africano sono in corso di definizione diverse proposte di legge (in particolare in Mauritania, Nigeria e Zambia), tuttavia la maggior parte dei Paesi, allo stato attuale, non risultano dotati di una normativa in materia di protezione dei dati personali.
Un mosaico di norme
Si sta componendo un complesso mosaico di norme eterogenee.
Come agire in questo contesto? Cosa può fare il DPO di una multinazionale?
Approcciandosi ad un Paese terzo, dotato di norme particolari o in corso di definizione, il DPO dovrebbe sottoporre ai vertici due, fondamentali, interrogativi:
- Vogliamo continuare a fare affari in quel mercato?
- È un rischio che vale la pena correre?
Sappiamo che le conseguenze, in caso di violazione della privacy, vanno oltre la non conformità rispetto alla legislazione del singolo Stato: la protezione dei dati è diventata una questione di fiducia, in grado di orientare le scelte dei consumatori. Il rischio privacy non è solo quello di una sanzione pecuniaria ma va inteso in senso più ampio, in quanto in grado di impattare complessivamente sull’andamento di impresa.
Altri interrogativi importanti riguardano la gestione della proprietà intellettuale, che sta diventando una preoccupazione crescente: le aziende temono che gli audit governativi possano esporre informazioni sensibili a occhi concorrenti. Risulta quindi opportuno chiedersi:
- Temiamo che la nostra proprietà intellettuale possa essere violata?
- Se sì, come possiamo proteggerla?
Consigli pratici per i DPO
- Il primo step è quello di supportare l’organizzazione nel determinare quali sono i mercati più importanti per il proprio business;
- In base a quanto emerso, è essenziale informarsi sulle leggi sulla privacy pendenti o proposte in quei mercati;
- Considerando le specifiche norme applicabili, il DPO dovrebbe valutare gli obblighi / adempimenti richiesti e sviluppare un piano per la conformità, da sottoporre alla dirigenza dell’organizzazione;
- Se per la conformità è necessario localizzare la gestione dei dati in uno specifico Paese, il DPO dovrebbe seguire il processo, valutando con i tecnici/sistemisti l’opportunità di rivedere l'architettura dei sistemi aziendali per aggiungere controlli e segmentare i sistemi;
- Il DPO dovrebbe seguire tutto il piano di business che coinvolge il Paese terzo, confrontandosi con le principali figure di riferimento all’interno dell’organizzazione, quali il CISO (chief information security officer), il CIO (chief information officer) e il CCO (chief commercial officer), con l’obiettivo di trovare soluzioni conformi ed efficienti.
Per informarsi rispetto alle norme in vigore presso Paesi terzi, i DPO possono utilizzare appositi tool di comparazione quali:
Anche l’adesione ad Associazioni come ASSO DPO può costituire una risorsa importante per consentire ai DPO di confrontarsi e condividere le proprie esperienze.
Fonti: