Comprendere la Personal Information Protection Law della Cina

La Personal Information Protection Law (PIPL) della Cina, entrata in vigore il 1° novembre 2021, è una delle normative sulla privacy dei dati più significative al di fuori dell’Europa. Per i siti web globali, in particolare quelli con visitatori cinesi o operazioni in Cina, il PIPL crea obblighi di consenso che esistono in modo indipendente — e talvolta in conflitto — rispetto ai requisiti del GDPR.

Il PIPL disciplina il trattamento delle informazioni personali degli individui all’interno della Cina. Il suo ambito territoriale è ampio: si applica a qualsiasi organizzazione che tratti informazioni personali di persone situate in Cina, indipendentemente da dove abbia sede l’organizzazione stessa. Se il tuo sito è accessibile a utenti cinesi e raccogli da loro qualsiasi dato personale, il PIPL è rilevante per te.

PIPL vs. GDPR: differenze chiave che contano

Sebbene il PIPL venga spesso definito il “GDPR cinese”, questo paragone oscura differenze importanti che incidono su come implementi il consenso:

• Consenso come principale base giuridica: Il GDPR offre sei basi giuridiche per il trattamento, incluso il legittimo interesse. Il PIPL è più incentrato sul consenso. Pur riconoscendo altre basi giuridiche (necessità contrattuale, obbligo legale, interesse pubblico), l’ambito del legittimo interesse è molto più ristretto e il consenso è l’opzione attesa come predefinita per la maggior parte dei trattamenti di dati a fini commerciali.
• Consenso separato per i dati sensibili: Il PIPL richiede un consenso separato ed esplicito per il trattamento di informazioni personali sensibili, che includono dati biometrici, informazioni finanziarie, tracciamento della posizione e dati di minori di età inferiore a 14 anni. Il tracciamento comportamentale basato su cookie può rientrare in questa categoria.
• Localizzazione obbligatoria dei dati: Gli operatori di infrastrutture informatiche critiche e le organizzazioni che trattano informazioni personali oltre una soglia di volume fissata dalla Cyberspace Administration of China (CAC) devono archiviare i dati all’interno della Cina. Ciò influisce su dove possono essere trattati i tuoi dati di analytics e dei cookie.
• Restrizioni sui trasferimenti transfrontalieri: Il trasferimento di informazioni personali al di fuori della Cina richiede uno di tre meccanismi: superare una valutazione di sicurezza della CAC, ottenere una certificazione da un organismo riconosciuto oppure stipulare clausole contrattuali standard pubblicate dalla CAC. Questo è più restrittivo dei meccanismi di trasferimento previsti dal GDPR.
• Diritti individuali con caratteristiche cinesi: Il PIPL riconosce agli interessati diritti simili a quelli del GDPR (accesso, rettifica, cancellazione, portabilità), ma aggiunge il diritto di rifiutare le decisioni automatizzate e il diritto di richiedere una spiegazione delle regole di trattamento automatizzato.

Cosa significa il PIPL per cookie e tracciamento

Il PIPL non menziona specificamente i “cookie” nel modo in cui lo fa la direttiva ePrivacy dell’UE. Tuttavia, l’ampia definizione di informazione personale — qualsiasi informazione relativa a una persona fisica identificata o identificabile — comprende la maggior parte delle forme di tracciamento basate su cookie:

• Cookie di analytics che tracciano il comportamento dell’utente tra le pagine raccolgono informazioni personali secondo la definizione del PIPL, anche se l’utente non è autenticato.
• Cookie pubblicitari e pixel di tracciamento cross-site rientrano chiaramente nell’ambito di applicazione, poiché costruiscono profili collegati a identificatori di dispositivo.
• Cookie di sessione per funzionalità di base (carrelli, stato di login) sono generalmente consentiti sulla base della necessità contrattuale, in modo simile al GDPR.
• Cookie di terze parti che condividono dati con soggetti esterni fanno scattare ulteriori requisiti del PIPL in materia di informativa sulle terze parti e, potenzialmente, di regole sui trasferimenti transfrontalieri.

Applicazione del PIPL: conseguenze concrete

A differenza di alcune leggi sulla privacy che esistono principalmente sulla carta, l’applicazione del PIPL è stata attiva e in crescita. La Cyberspace Administration of China, insieme al Ministero della Pubblica Sicurezza e ad altre agenzie, ha intrapreso azioni concrete:

• I principali app store in Cina hanno rimosso app per raccolta eccessiva di dati e mancata acquisizione di un consenso adeguato. Centinaia di app sono state delistate in campagne di enforcement.
• Le aziende sono state multate per aver raccolto informazioni personali oltre quanto necessario per la finalità dichiarata.
• La CAC ha emesso avvertimenti pubblici alle aziende le cui informative sulla privacy non descrivevano in modo adeguato le attività di trattamento dei dati.
• Nei casi più gravi, il PIPL consente sanzioni fino a 50 milioni di RMB (circa 7 milioni di USD) o al 5% del fatturato dell’anno precedente, oltre alla possibile sospensione delle attività.

Per le aziende internazionali, il rischio è sia regolatorio sia commerciale. La non conformità può portare alla rimozione delle app dagli app store cinesi, al blocco dei servizi e a danni reputazionali in un mercato con oltre un miliardo di utenti internet.

Geo-targeting dei visitatori cinesi

Se il tuo sito serve un pubblico globale che include utenti cinesi, hai bisogno di una strategia di consenso geo-targeted. Ciò significa rilevare quando un visitatore si trova in Cina e presentare meccanismi di consenso che soddisfino i requisiti del PIPL:

• Rilevamento basato su IP: Utilizza la geolocalizzazione IP per identificare i visitatori provenienti dalla Cina continentale. È lo stesso approccio usato per il geo-targeting GDPR dei visitatori dello SEE.
• Segnali basati sulla lingua: Se la lingua del browser dell’utente è impostata sul cinese (zh-CN o zh-TW), questo può fungere da segnale secondario, anche se non dovrebbe essere l’unico criterio.
• Contenuto del banner di consenso: L’informativa di consenso mostrata agli utenti cinesi dovrebbe essere in cinese semplificato, indicare chiaramente le finalità della raccolta dati, identificare il titolare del trattamento e fornire un meccanismo effettivo per rifiutare i trattamenti non essenziali.
• Consenso separato per trattamenti sensibili: Se utilizzi cookie per profilazione comportamentale o tracciamento della posizione, gli utenti cinesi dovrebbero visualizzare una richiesta di consenso separata e più granulare per queste categorie.

Gestire GDPR e PIPL con un’unica CMP

La maggior parte dei siti globali deve rispettare contemporaneamente più regimi di privacy. La sfida è presentare l’esperienza di consenso corretta all’utente corretto senza mantenere sistemi separati. Ecco come funziona un approccio unificato:

Rilevamento della regione come fondamento

La CMP deve innanzitutto determinare la posizione del visitatore. In base a ciò, applica le regole di consenso appropriate:

• Visitatori SEE/Regno Unito: Banner di consenso TCF 2.3 con Consent Mode V2, modello opt-in, tutti i requisiti GDPR.
• Visitatori cinesi: Informativa di consenso conforme al PIPL in cinese semplificato, opt-in per i trattamenti non essenziali, chiara informativa sui trasferimenti transfrontalieri se i dati lasciano la Cina.
• Visitatori USA: Regole specifiche per stato (CCPA/CPRA per la California, leggi statali per Colorado, Connecticut, Virginia, ecc.), in genere modelli opt-out.
• Altre regioni: Comportamento predefinito basato sulla propensione al rischio del publisher e sulle leggi locali applicabili.

Considerazioni sull’archiviazione del consenso

I requisiti di localizzazione dei dati del PIPL significano che i registri di consenso degli utenti cinesi potrebbero dover essere archiviati su server situati in Cina se i volumi di trattamento dei dati superano le soglie fissate dalla CAC. Per la maggior parte dei siti internazionali con traffico cinese occasionale, è improbabile che tale soglia venga superata, ma i siti ad alto traffico che si rivolgono al mercato cinese dovrebbero consultare consulenti legali locali.

Documentazione dei trasferimenti transfrontalieri

Quando un utente cinese acconsente a cookie che inviano dati a server al di fuori della Cina (come avviene praticamente per tutte le piattaforme occidentali di analytics e advertising), la CMP dovrebbe documentare tale consenso come parte della giustificazione del trasferimento transfrontaliero. L’informativa di consenso dovrebbe menzionare esplicitamente che i dati saranno trasferiti a livello internazionale.

Passi pratici per la conformità globale

Ecco un piano d’azione prioritario per i siti che devono affrontare il PIPL insieme al GDPR:

• Analizza il tuo traffico dalla Cina: Verifica nei tuoi strumenti di analytics quale percentuale dei visitatori proviene dalla Cina. Se è trascurabile, il tuo rischio è più basso ma non nullo.
• Mappa i tuoi cookie alle categorie del PIPL: Determina quali cookie trattano informazioni personali secondo la definizione del PIPL e se qualcuno di essi riguarda informazioni personali sensibili.
• Implementa il consenso geo-targeted: Utilizza una CMP in grado di presentare esperienze di consenso diverse in base alla posizione del visitatore, con lingua e base giuridica appropriate per ciascuna regione.
• Aggiorna la tua informativa sulla privacy: Aggiungi una sezione che tratti specificamente i diritti previsti dal PIPL e le tue pratiche di trattamento dei dati per gli utenti cinesi.
• Rivedi i trasferimenti transfrontalieri: Documenta come le informazioni personali degli utenti cinesi vengono trasferite e trattate a livello internazionale e assicurati di disporre di un meccanismo di trasferimento valido.

Nota importante: La conformità al PIPL per i siti che si rivolgono alla Cina può essere complessa e le linee guida regolatorie sono ancora in evoluzione. Questo articolo fornisce una panoramica generale, ma le organizzazioni con operazioni o basi utenti significative in Cina dovrebbero cercare consulenza legale specifica per la propria situazione.

FlexyConsent supporta esperienze di consenso geo-targeted con regole specifiche per regione, consentendoti di affrontare GDPR, PIPL, CCPA e altre leggi sulla privacy da un’unica piattaforma. Il piano gratuito include geodetection e configurazione del consenso multi-regione.