Il Regolamento (UE) 2016/679 sulla protezione dei dati personali, meglio noto come GDPR, è un
pilastro portante per l’Europa e per il resto del mondo in materia di regolamentazione giuridico-
informatica. Non vi sono dubbi. Ciò lo si nota dall’influenza che ha avuto sull’iniziativa legislativa
di numerosi paesi per la stipulazione delle proprie direttive. Tra questi vi è anche la Repubblica
Popolare Cinese (di seguito anche “RPC”), la quale, il 1 novembre 2021, ha approvato la PIPL
(Personal Information Protection Law), un provvedimento unitario che disciplina la protezione
dei dati personali (da loro definite “informazioni”) in modo organico, prendendo senza dubbio
spunto dai principi europei, ma declinandoli in modo diverso ed aggiungendo nuove norme.
La PIPL costituisce il terzo pilastro della disciplina cinese in materia insieme alla legge per la
sicurezza dei dati (Data Security Law), approvata anch’essa nel 2021, e la legge per la
cybersicurezza (Cybersecurity Law), approvata invece nel 2016, la quale costituisce il primo
provvedimento sull’argomento ad essere approvato nella RPC.
Da un punto di vista tecnico, possiamo subito notare delle differenze nella struttura: la PIPL è
composta da 74 articoli suddivisi in 8 capi, mentre nel GDPR come sappiamo ci sono 173 premesse
e 99 articoli. La scelta di ridurre i contenuti normativi è propria della sinteticità che caratterizza
tutta la legge cinese. Tale scelta tuttavia non porta a trascurare nessuno dei temi essenziali
affrontati nel testo europeo ma al contrario la diversa tecnica legislativa offre una più diretta
interpretazione delle disposizioni normative.
L’insegnamento europeo rimane comunque molto presente nel testo legislativo cinese e ciò emerge
soprattutto nella condivisione del principio secondo cui il consenso dell’interessato sia la base per
un trattamento lecito delle informazioni personali.
Interessante pero è notare, oltre al minimo comun denominatore, quali siano invece le differenze
tra i due provvedimenti. Differenze legate indubbiamente alla cultura in cui nascono, ma anche
all’esponenziale sviluppo tecnologico che si è consumato in quei 5 anni che separano l’entrata in
vigore dei due testi.
Partendo dall’influenza culturale, la PIPL ha come impostazione di fondo non la tutela
dell’individuo, come invece è nel GDPR, ma bensì la difesa della sicurezza pubblica, considerata
come primario interesse del paese. Questa impostazione, per esempio, comporta la presenza di una
disciplina puntuale e dettagliata sulla responsabilità del funzionario pubblico, totalmente assente
nel regolamento europeo, ma anche un’attenzione e cura particolare riposta nella definizione del
trasferimento dei dati al di fuori dei confini statali o comunque nel trattamento all’estero di dati di
cittadini cinesi; norme sicuramente suggerite dall’esperienza europea ma poi declinate con
connotazioni autonome e peculiari.
Ancora più interessante pero è l’analisi dell’influenza che avuto lo sviluppo tecnologico nel testo
cinese. Nella PIPL notiamo infatti delle profonde novità giuridiche che consentiranno una gestione
organica di elementi innovativi come il riconoscimento facciale e l’IA, che, come noto, non sono
inclusi nel GDPR ma che invece sono oggetto della proposta di regolamento pubblicato il 21 aprile
2021.
Tra le novità appena accennate emergono sicuramente la disciplina sulla “sicurezza dei dati
automobilistici” e quella sui “dati sanitari”. La prima ha una funzione chiave per le montanti
prospettive di introduzione di forme di mobilità autonoma e “smart” stabilendo un’equilibrata e
sana gestione dello sviluppo delle macchine. Viene regolato nello specifico, anche grazie alle
direttive della CAC (Cyberspace Administration of China), quali siano i dati automobilistici che le
aziende devono condividere, su quali di questi dati bisogna fare particolare attenzione e quali sono
le misure che devono essere adottate da chi elabora quei dati (come per esempio l’obbligo di
archiviare i dati fondamentali del settore automobilistico esclusivamente all’interno della RPC o
l’obbligo di presentazione di una relazione annuale sullo sviluppo del settore alle autorità
governative competenti).
La seconda disciplina emergente invece è quella relativa ai dati sanitari. Essa viene affrontata nella
PIPL sia in funzione di uno sviluppo dell’IA in campo medico (nella diagnostica ma non solo) sia in
funzione di una cooperazione tra governo e cittadini per il mantenimento della sicurezza nazionale
e la prevenzione di emergenze sanitarie come quella che di recente ci ha coinvolto tutti, la Cina in
particolare. Questa seconda visione emerge dall’identità che il testo legislativo cinese ha voluto
dare al dato sanitario, inteso non come individuale ma come pubblico, ossia come strumento pertutelare l’interesse collettivo alla salute; ovviamente mantenendo l’anonimato del paziente.
Impostazione molto forte ma che allo stesso tempo stimola un ragionamento su cosa effettivamente
sia più importante tra il diritto alla privacy, e quindi possibilità di decidere sulla divulgazione delle
proprie informazioni sanitarie o, dall’altra parte, la tutela della salute di un intero paese.
Ciò non vuol dire tuttavia che sia necessario condividere tutto di tutti sempre e comunque, anzi, in
certi casi, come espresso da una circolare dell’Amministrazione Nazionale per la Sicurezza
Sanitaria sempre del 2021 (successivamente ad alcuni comportamenti fraudolenti), è necessario un
rinforzo della privacy sanitaria, obbligando l’amministrazione locale a rispettare rigorosamente la
normativa sulla sicurezza informatica e sulla sicurezza dei dati per proteggere i dati assicurativi in
relazione ad eventi sanitari.
Il confronto tra PIPL e GDPR ci portano a riflettere sulle diverse impostazioni giuridiche e sociali
che ci sono tra Europa e Repubblica Popolare Cinese, ma soprattutto sulla differenza con cui
entrambi stanno evolvendo il proprio apparato giuridico-informatico in funzione dell’esponenziale
cambiamento contemporaneo.
Giulio Takacs