Italiano English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_it/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Feriali 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Che cos'è la legge sulla protezione dei dati personali cinese? Dalle ragioni della sua promulgazione alle misure che le imprese giapponesi dovrebbero adottare

Che cos'è la legge sulla protezione dei dati personali cinese? Dalle ragioni della sua promulgazione alle misure che le imprese giapponesi dovrebbero adottare

General Corporate

Che cos'è la legge sulla protezione dei dati personali cinese? Dalle ragioni della sua promulgazione alle misure che le imprese giapponesi dovrebbero adottare

È probabile che i responsabili legali delle aziende che stanno pianificando o hanno già avviato attività commerciali in Cina si trovino spesso a dover affrontare questioni relative alla protezione dei dati personali in Cina.

In questo articolo, presenteremo in modo esaustivo le normative da conoscere quando si espande un’attività in Cina. Inoltre, spiegheremo chiaramente i metodi di risposta e i punti che le aziende giapponesi dovrebbero affrontare. Utilizzate questo articolo come riferimento per comprendere la legge cinese sulla protezione dei dati personali e iniziare a pianificare le vostre strategie di conformità.

Il contesto e gli obiettivi della legge sulla protezione dei dati personali in Cina

Bandiera cinese

In Cina, fino a poco tempo fa, non esisteva una legge che regolamentasse in modo comprensivo la protezione dei dati personali, come la legge giapponese sulla protezione dei dati personali. Tuttavia, c’era da tempo un movimento volto a formulare una legge sulla protezione dei dati personali e, il 1° novembre 2021, è stata promulgata la “Legge cinese sulla protezione dei dati personali”, che per la prima volta in Cina regolamenta in modo comprensivo la protezione dei dati personali.

In particolare, la “Legge sulla cybersicurezza” e la “Legge sulla sicurezza dei dati”, sebbene siano leggi con un forte elemento di sicurezza nazionale, la legge cinese sulla protezione dei dati personali si concentra maggiormente sulla protezione dei diritti individuali.

La struttura della legge cinese sulla protezione dei dati personali sembra essere stata fortemente influenzata dalle recenti regolamentazioni legali di altri paesi, come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Tuttavia, i punti riconosciuti come base di legittimità e i dettagli sui diritti degli individui sono unici, richiedendo quindi misure specifiche di risposta.

Ambito di applicazione della legge cinese sulla protezione dei dati personali

Target

In questo capitolo, spiegheremo l’ambito di applicazione della regolamentazione cinese sulla protezione dei dati personali.
Si diventa soggetti a tale regolamentazione se si soddisfano le seguenti condizioni, quindi è importante prestare attenzione.

  • Quando si mira a fornire prodotti o servizi a persone fisiche all’interno della Cina
  • Quando si mira ad analizzare o valutare il comportamento di persone fisiche all’interno della Cina
  • In altri casi definiti dalla legge

La legge cinese sulla protezione dei dati personali può estendere la sua efficacia non solo all’interno della Cina, ma anche all’estero in certi casi. Inoltre, anche se si opera dall’estero, se si mira a vendere o analizzare il comportamento di “persone fisiche” che si trovano in Cina, si applica la stessa legge, quindi è necessario prestare attenzione.

Punti chiave per comprendere la legge sulla protezione dei dati personali in Cina

In questo capitolo, spiegheremo otto punti chiave per comprendere la protezione dei dati personali in Cina.

Fondamenti di legalità

Le aziende possono trattare i dati personali solo se si rientra in uno dei casi di legalità stabiliti dalla Legge sulla Protezione dei Dati Personali Cinese.

I sette fondamenti sono i seguenti:

  • Consenso dell’interessato
  • Esecuzione di un contratto
  • Adempimento di un obbligo legale
  • Salute pubblica
  • Interesse pubblico
  • Elaborazione di dati personali pubblicati
  • Altre circostanze previste dalla legge o da altre normative

Come si può vedere, non è incluso il “legittimo interesse” presente nel GDPR. Pertanto, si prevede che ci saranno più situazioni in cui sarà necessario trattare i dati personali basandosi sul consenso dell’interessato rispetto al GDPR.

Inoltre, il consenso deve essere definito come qualcosa che “l’interessato può revocare facilmente in qualsiasi momento”. Sarà necessario prestare attenzione a creare un’interfaccia utente che permetta una facile revoca del consenso e a descrivere chiaramente e in modo conciso il metodo di revoca.

Informativa

Prima di trattare i dati personali, le aziende devono informare l’interessato in termini chiari e comprensibili riguardo alle disposizioni richieste dalla Legge Cinese sulla Protezione dei Dati Personali (Chinese Personal Information Protection Law).

Inoltre, non solo lo scopo del trattamento, ma anche il metodo di elaborazione, i tipi di dati personali, il periodo di conservazione, le modalità e le procedure per l’esercizio dei diritti devono essere comunicati in dettaglio.

Accordo con il Destinatario dell’Incarico

Quando si delega la gestione dei dati personali a un terzo, è necessario concordare preventivamente con il destinatario dell’incarico gli aspetti quali lo scopo del trattamento, i termini, le modalità di elaborazione e le misure di protezione, attraverso un contratto di incarico.

Allo stesso tempo, si assume anche la responsabilità di supervisionare il trattamento delegato. Quando si gestiscono dati personali in collaborazione con altre aziende, è importante, come nel caso della delega, concordare in anticipo lo scopo e il metodo di trattamento dei dati personali, nonché i diritti e gli obblighi reciproci.

Regolamentazione del trasferimento transfrontaliero

Quando si forniscono dati personali raccolti all’interno della Cina a terzi all’estero, sono richieste le seguenti due misure.

La prima è notificare il nome e i contatti del destinatario delle informazioni personali, lo scopo e il metodo di trattamento, i tipi di dati personali, e come l’individuo può esercitare i suoi diritti nei confronti del destinatario, oltre ai procedimenti necessari. Inoltre, è necessario ottenere il consenso individuale dell’interessato.

La seconda misura richiede l’attuazione di una delle seguenti quattro azioni:

  • Essere in regola con la valutazione di sicurezza nazionale
  • Avere ottenuto la certificazione di protezione dei dati personali da un ente specializzato
  • Avere stipulato un contratto con il destinatario estero sulla base di contratti standard
  • Soddisfare altre condizioni stabilite dal dipartimento nazionale di informazione su internet

A seconda del contenuto dei dati personali trasferiti, può essere obbligatoria una valutazione di sicurezza nazionale. Pertanto, è consigliabile verificare la necessità di una valutazione di sicurezza nazionale in conformità con il ‘Metodo di valutazione della sicurezza per il trasferimento di dati all’estero’ (Japanese Data Overseas Transfer Security Assessment Method) prima di scegliere le misure appropriate da adottare.

Diritti

La legge cinese sulla protezione dei dati personali riconosce all’individuo vari diritti, tra cui il diritto di essere informato, il diritto di accesso, il diritto di copia, il diritto di revoca, la portabilità dei dati, il diritto di rettifica e il diritto di cancellazione.

Inoltre, è riconosciuto anche il “diritto dei defunti”, che non è contemplato nel GDPR. Il “diritto dei defunti” permette ai parenti stretti di esercitare i diritti del defunto in caso di sua morte. Pertanto, è importante prestare attenzione anche alla protezione delle informazioni delle persone decedute.

Obbligo di segnalazione degli incidenti

Per prevenire la fuga di informazioni personali, alle aziende si richiede di adottare misure simili a quelle richieste dal sistema di gestione della sicurezza delle informazioni (ISMS).

Di seguito sono riportati alcuni esempi di misure richieste:

  • Elaborazione di regolamenti interni
  • Gestione classificata in base al livello di riservatezza
  • Crittografia, se necessario
  • Implementazione di pseudonimizzazione e simili
  • Formazione dei dipendenti
  • Creazione di un processo di risposta agli incidenti, ecc.

Le misure di gestione della sicurezza sono regolate anche dalla legge sulla cybersecurity e dalla legge sulla sicurezza dei dati, quindi è consigliabile organizzare attentamente i requisiti di queste tre leggi e verificare le misure di sicurezza.

Articolo correlato: Cos’è la legge cinese sulla cybersecurity? Spiegazione dei punti chiave per la conformità[ja]

Articolo correlato: Cos’è la legge cinese sulla sicurezza dei dati? Spiegazione delle misure che le aziende giapponesi dovrebbero adottare[ja]

Obbligo di nominare un DPO e un rappresentante

Le aziende sono obbligate a nominare un DPO (Data Protection Officer) quando il numero di dati personali trattati raggiunge una certa quantità.

Inoltre, le aziende soggette all’applicazione extraterritoriale devono stabilire un rappresentante all’interno della Cina e comunicare le informazioni quali nome e contatti all’autorità competente.

Obbligo di eseguire la Valutazione d’Impatto sulla Protezione dei Dati Personali

Le aziende sono tenute a effettuare una valutazione dei rischi preventiva e a controllare adeguatamente i rischi qualora si trovino in una delle seguenti cinque situazioni:

I casi in cui è necessario l’obbligo di esecuzione sono i seguenti:

  • Quando si gestiscono informazioni sensibili
  • Quando si effettuano decisioni automatizzate
  • Quando si delega la gestione dei dati personali o si forniscono dati personali a terzi
  • Quando si trasferiscono dati personali all’estero
  • Quando si può influenzare significativamente i diritti e gli interessi delle persone

Le sanzioni della legge sulla protezione dei dati personali in Cina

Attenzione

In caso di violazione, le aziende rischiano sanzioni elevate (fino a un massimo di 50 milioni di yuan o il 5% del fatturato dell’anno precedente). Poiché la legge si applica anche al di fuori dei confini cinesi, le imprese giapponesi che operano in Cina devono adottare misure tempestive.

Misure di conformità alla legge sulla protezione dei dati personali che le aziende giapponesi dovrebbero adottare

Checklist

In questo capitolo, presenteremo quattro misure di protezione dei dati personali che le aziende giapponesi dovrebbero implementare.

Rivedere l’organizzazione interna

Innanzitutto, è necessario considerare una revisione dell’organizzazione interna. A causa dell’obbligo di nominare un rappresentante o un DPO (Data Protection Officer), è essenziale rivedere la struttura aziendale.

Ad esempio, si potrebbe istituire un dipartimento specializzato in legale e tecnologia incaricato della conformità dei dati, compresi quelli personali, organizzare i flussi di lavoro e realizzare una mappatura dettagliata dei dati.

Aggiornare regolamenti e politiche

È anche fondamentale aggiornare regolamenti e politiche. È necessario rivedere le politiche e i regolamenti per conformarsi alle tre leggi cinesi sui dati.

Inoltre, non basta semplicemente creare regolamenti che riflettano i requisiti legali; è richiesto di stabilire procedure operative che tutti i dipendenti possano effettivamente attuare.

Comprendere la realtà operativa

La legge sulla protezione dei dati personali è stata promulgata il 1° novembre 2021 (Reiwa 3) e, poiché è ancora recente, è necessario comprendere la realtà operativa e adottare misure costanti. Inoltre, è stabilito che tutti i dipendenti di un’azienda devono gestire i dati in modo appropriato e rispettare rigorosamente le leggi.

Per questo motivo, le aziende dovrebbero fornire formazione periodica ai dipendenti per aumentare la consapevolezza delle leggi e delle procedure più recenti.

Costruire un sistema di collaborazione con gli esperti

È indispensabile anche costruire e rafforzare un sistema di collaborazione con gli esperti. Collaborando con esperti che hanno una profonda conoscenza della normativa cinese, si può rispondere rapidamente. Inoltre, le aziende devono monitorare e valutare periodicamente lo stato di conformità alla protezione dei dati personali. Pertanto, è essenziale costruire un sistema di collaborazione con esperti esterni.

Riassunto: Comprendere le molteplici normative e adottare le misure corrette

Descrizione del materiale

Il 1° novembre 2021 è entrata in vigore in Cina la prima legge che regolamenta in modo comprensivo la protezione delle informazioni personali, nota come “Legge sulla Protezione delle Informazioni Personali della Cina”. Per le aziende che operano a livello globale, le normative cinesi relative ai dati (Legge sulla Cybersecurity, Legge sulla Sicurezza dei Dati, Legge sulla Protezione delle Informazioni Personali) sono legislazioni che non possono essere trascurate, data l’importanza del mercato e la severità delle regolamentazioni. A seconda delle circostanze, potrebbe essere necessario organizzare un sistema che permetta di eseguire le pratiche richieste con l’assistenza di esperti.

Presentazione delle strategie del nostro studio legale

Lo Studio Legale Monolith possiede una vasta esperienza in IT, e in particolare nel diritto legato a Internet. Con l’espansione globale degli affari negli ultimi anni, la necessità di controlli legali da parte di esperti è in costante aumento. Il nostro studio offre soluzioni in materia di diritto internazionale.

Aree di competenza dello Studio Legale Monolith: Diritto internazionale e affari esteri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Come stabilire una società (azienda) all'estero? Spiegazione anche sui tipi e sui punti chiave

Come stabilire una società (azienda) all'estero? Spiegazione anche sui tipi e sui punti chiave

General Corporate

Emissione di azioni di categoria nell'ambito dei contratti di investimento delle startup e il loro contenuto

Emissione di azioni di categoria nell'ambito dei contratti di investimento delle startup e il lo.

General Corporate

Fino a che punto sono accettabili i prodotti online? Spiegazione della regolamentazione secondo la 'Legge Giapponese sulla presentazione dei premi

Fino a che punto sono accettabili i prodotti online? Spiegazione della regolamentazione secondo .

General Corporate

La copia del design di UI e menu costituisce una violazione del diritto d'autore?

La copia del design di UI e menu costituisce una violazione del diritto d'autore?

General Corporate

Spiegazione di 10 Clausole da Considerare nei Contratti di Licenza

Spiegazione di 10 Clausole da Considerare nei Contratti di Licenza

General Corporate

Cosa sono le modifiche alla Legge sull'Impresa di Telecomunicazioni Giapponese del 5° anno dell'era Reiwa (2023)? Spiegazione dettagliata anche sulla regolamentazione dei Cookie

Cosa sono le modifiche alla Legge sull'Impresa di Telecomunicazioni Giapponese del 5° anno dell'.

General Corporate

Cosa significa la citazione nella Legge Giapponese sul Diritto d'Autore? Spiegazione dei 4 requisiti per un utilizzo legale

Cosa significa la citazione nella Legge Giapponese sul Diritto d'Autore? Spiegazione dei 4 requi.

General Corporate

Quali sono i metodi di raccolta fondi per una società per azioni? Spiegazione completa che include opzioni oltre all'aumento di capitale tramite assegnazione a terzi

Quali sono i metodi di raccolta fondi per una società per azioni? Spiegazione completa che inclu.

General Corporate

Come affrontare la mancanza di successori? Spiegazione del progetto di assistenza per la successione e il passaggio di attività

Come affrontare la mancanza di successori? Spiegazione del progetto di assistenza per la success.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Ritorna su