Con lo sviluppo del cloud computing e dei big data, la velocità di trasmissione delle informazioni ha assunto una rilevanza sempre più preminente, con conseguente aumento della difficoltà di protezione per i dati personali e per la sicurezza informatica. La legge sulla cybersecurity della Repubblica Popolare Cinese (di seguito definita “Legge sulla Cybersecurity”) è la prima legge di riferimento nella materia del ciberspazio nella Cina continentale, contenente una regolamentazione esauriente in materia di gestione della sicurezza. Sin dalla sua attuazione, ha avuto un impatto profondo sui sistemi di cybersecurity aziendali.

La disciplina introdotta con la Legge sulla Cybersecurity si applica a tutte le imprese che “costituiscono, gestiscono, effettuano manutenzione, utilizzano network”. Le “imprese” di cui alla predetta Legge sono sia le imprese domestiche che quelle a partecipazione straniera, con la conseguenza che saranno tenute a conformarsi alla normativa in materia di cybersecurity tutte le società che costituiscono, gestiscono, effettuano manutenzione, utilizzano network in Cina, a prescindere dalla circostanza che siano investite da soggetti stranieri o cinesi. Ad esempio, l’elaborazione e la trasmissione transfrontaliera di dati personali da parte di una società multinazionale imporrà a quest’ultima di prestare particolare attenzione per ottemperare agli obblighi legati alla protezione delle informazioni personali.

In primo luogo, le società multinazionali dovranno verificare la portata della definizione di “dato personale”. Ad esempio, le informazioni su clienti specifici raccolte da imprese per lo sviluppo commerciale possono essere considerate quali “informazioni personali” in quanto le stesse identificano “soggetti specifici”.

In secondo luogo, le imprese dovrebbero introdurre un sistema rigoroso di raccolta e utilizzo dei dati personali, ponendo attenzione alla modalità di ottenimento, utilizzo e archiviazione dei dati stessi. Al tempo stesso, è importante ottenere l’autorizzazione del diretto interessato. Inoltre, nel caso di trasferimento di informazioni relative ad un soggetto dalla Cina verso l’estero, tale circostanza dovrà essere comunicata all’interessato in modo tempestivo.

È consigliabile che le società adottino linee guide operative per la trasmissione transfrontaliera di dati e informazioni, identificando il responsabile di riferimento per la trasmissione transfrontaliera dei dati personali, proibendo altresì a soggetti che non abbiano un legame diretto con l’attività della società di trasmettere tali dati all’estero per evitare possibili rischi legali.

Pertanto, in considerazione della situazione sopra descritta, è a nostro avviso importante che le società che effettuano operazioni commerciali transfrontaliere tengano in debita considerazione la protezione dei dati personali e acquisiscano una buona conoscenza del contenuto della Legge sulla Cybersecurity per evitare possibili violazioni di legge.