Il Regolamento (UE) 2016/679 sulla protezione dei dati personali, meglio noto come GDPR, è un

pilastro portante per l’Europa e per il resto del mondo in materia di regolamentazione giuridico-

informatica. Non vi sono dubbi. Ciò lo si nota dall’influenza che ha avuto sull’iniziativa legislativa

di numerosi paesi per la stipulazione delle proprie direttive. Tra questi vi è anche la Repubblica

Popolare Cinese (di seguito anche “RPC”), la quale, il 1 novembre 2021, ha approvato la PIPL

(Personal Information Protection Law), un provvedimento unitario che disciplina la protezione

dei dati personali (da loro definite “informazioni”) in modo organico, prendendo senza dubbio

spunto dai principi europei, ma declinandoli in modo diverso ed aggiungendo nuove norme.

La PIPL costituisce il terzo pilastro della disciplina cinese in materia insieme alla legge per la

sicurezza dei dati (Data Security Law), approvata anch’essa nel 2021, e la legge per la

cybersicurezza (Cybersecurity Law), approvata invece nel 2016, la quale costituisce il primo

provvedimento sull’argomento ad essere approvato nella RPC.

 

Da un punto di vista tecnico, possiamo subito notare delle differenze nella struttura: la PIPL è

composta da 74 articoli suddivisi in 8 capi, mentre nel GDPR come sappiamo ci sono 173 premesse

e 99 articoli. La scelta di ridurre i contenuti normativi è propria della sinteticità che caratterizza

tutta la legge cinese. Tale scelta tuttavia non porta a trascurare nessuno dei temi essenziali

affrontati nel testo europeo ma al contrario la diversa tecnica legislativa offre una più diretta

interpretazione delle disposizioni normative.

 

L’insegnamento europeo rimane comunque molto presente nel testo legislativo cinese e ciò emerge

soprattutto nella condivisione del principio secondo cui il consenso dell’interessato sia la base per

un trattamento lecito delle informazioni personali.

 

Interessante pero è notare, oltre al minimo comun denominatore, quali siano invece le differenze

tra i due provvedimenti. Differenze legate indubbiamente alla cultura in cui nascono, ma anche

all’esponenziale sviluppo tecnologico che si è consumato in quei 5 anni che separano l’entrata in

vigore dei due testi.

 

Partendo dall’influenza culturale, la PIPL ha come impostazione di fondo non la tutela

dell’individuo, come invece è nel GDPR, ma bensì la difesa della sicurezza pubblica, considerata

come primario interesse del paese. Questa impostazione, per esempio, comporta la presenza di una

disciplina puntuale e dettagliata sulla responsabilità del funzionario pubblico, totalmente assente

nel regolamento europeo, ma anche un’attenzione e cura particolare riposta nella definizione del

trasferimento dei dati al di fuori dei confini statali o comunque nel trattamento all’estero di dati di

cittadini cinesi; norme sicuramente suggerite dall’esperienza europea ma poi declinate con

connotazioni autonome e peculiari.

 

Ancora più interessante pero è l’analisi dell’influenza che avuto lo sviluppo tecnologico nel testo

cinese. Nella PIPL notiamo infatti delle profonde novità giuridiche che consentiranno una gestione

organica di elementi innovativi come il riconoscimento facciale e l’IA, che, come noto, non sono

inclusi nel GDPR ma che invece sono oggetto della proposta di regolamento pubblicato il 21 aprile

2021.

 

Tra le novità appena accennate emergono sicuramente la disciplina sulla “sicurezza dei dati

automobilistici” e quella sui “dati sanitari”. La prima ha una funzione chiave per le montanti

prospettive di introduzione di forme di mobilità autonoma e “smart” stabilendo un’equilibrata e

sana gestione dello sviluppo delle macchine. Viene regolato nello specifico, anche grazie alle

direttive della CAC (Cyberspace Administration of China), quali siano i dati automobilistici che le

aziende devono condividere, su quali di questi dati bisogna fare particolare attenzione e quali sono

le misure che devono essere adottate da chi elabora quei dati (come per esempio l’obbligo di

archiviare i dati fondamentali del settore automobilistico esclusivamente all’interno della RPC o

l’obbligo di presentazione di una relazione annuale sullo sviluppo del settore alle autorità

governative competenti).

 

La seconda disciplina emergente invece è quella relativa ai dati sanitari. Essa viene affrontata nella

PIPL sia in funzione di uno sviluppo dell’IA in campo medico (nella diagnostica ma non solo) sia in

funzione di una cooperazione tra governo e cittadini per il mantenimento della sicurezza nazionale

e la prevenzione di emergenze sanitarie come quella che di recente ci ha coinvolto tutti, la Cina in

particolare. Questa seconda visione emerge dall’identità che il testo legislativo cinese ha voluto

dare al dato sanitario, inteso non come individuale ma come pubblico, ossia come strumento pertutelare l’interesse collettivo alla salute; ovviamente mantenendo l’anonimato del paziente.

 

Impostazione molto forte ma che allo stesso tempo stimola un ragionamento su cosa effettivamente

sia più importante tra il diritto alla privacy, e quindi possibilità di decidere sulla divulgazione delle

proprie informazioni sanitarie o, dall’altra parte, la tutela della salute di un intero paese.

Ciò non vuol dire tuttavia che sia necessario condividere tutto di tutti sempre e comunque, anzi, in

certi casi, come espresso da una circolare dell’Amministrazione Nazionale per la Sicurezza

Sanitaria sempre del 2021 (successivamente ad alcuni comportamenti fraudolenti), è necessario un

rinforzo della privacy sanitaria, obbligando l’amministrazione locale a rispettare rigorosamente la

normativa sulla sicurezza informatica e sulla sicurezza dei dati per proteggere i dati assicurativi in

relazione ad eventi sanitari.

 

Il confronto tra PIPL e GDPR ci portano a riflettere sulle diverse impostazioni giuridiche e sociali

che ci sono tra Europa e Repubblica Popolare Cinese, ma soprattutto sulla differenza con cui

entrambi stanno evolvendo il proprio apparato giuridico-informatico in funzione dell’esponenziale

cambiamento contemporaneo.

 

Giulio Takacs