Il 1 Giugno 2017 è entrata in vigore la Network Security Law of the People’s Republic of China altrimenti detta Cybersecurity Law. A causa delle terminologie ampiamente interpretabili, la legge ha sollevato molti dubbi su quanto e come potrà influenzare le attività commerciali in Cina.

L’obiettivo è innalzare il livello di sicurezza e protezione dei dati informatici che vengono gestiti nel paese. Viene espresso il concetto di Cyberspace sovereignty che esplica chiaramente la posizione della Cina nel continuare a governare con forza quanto avviene nello spazio informatico di sua competenza.

I primi articoli della legge, enunciano una serie di principi che saranno alla base delle future azioni dello Stato. Quest’ultimo inoltre dovrà adoperarsi affinché vengano rispettati dai vari soggetti identificati da questa legge.

Gli organi identificati competenti saranno: la Cybersecurity administration of China (CAC), affiancata dal dipartimento amministrativo delle telecomunicazioni e il dipartimento per la sicurezza pubblica.

Le disposizioni si applicheranno a due macro classi identificate rispettivamente dalla legge come network operators, ossia chi è titolare, gestore o fornitore di un servizio network; e operatore nelle infrastrutture critiche informatizzate. Per chiarire cosa si intende per infrastrutture critiche informatizzate vengono considerate, come esempio, le attività commerciali che operano nei campi dell’informazione e comunicazione, dell’energia, della conservazione dell’acqua, della finanza, dei servizi pubblici e del cosidetto e-government. Entrambe queste definizioni risultano comunque grigie, lasciando spazio a speculazioni e interpretazioni, infatti una piattaforma online che ad esempio accolga un milione di visitatori o clienti al giorno, può essere considerata un operatore soggetto a tale legge? Al momento la legge non chiarisce altro.

Tuttavia ai suddetti operatori si richiede di adottare una serie di condotte, volte alla protezione dei propri dati informatici, comprese l’istituzione di un dipartimento per la sicurezza informatica, l’identificazione del management responsabile e la regolamentazione di procedure operative. Questo permetterà inoltre una più fluente comunicazione con le autorità governative competenti.

Il 4 Febbraio 2017, il CAC ha emanato una bozza, non ancora entrata in vigore denominata “Measures for Security Review of Cyber Products and Service (Draft for Comments)”. L’analisi di tali linee guida, contestualmente alla Cybersecurity Law, ci ha permesso di comprendere gli aspetti più critici per gli operatori interessati e di verificare concretamente alcune condotte che potranno essere richieste in futuro agli stessi.

In sintesi, secondo queste disposizioni, i prodotti e i servizi informatici che potrebbero influire sulla sicurezza nazionale e sul pubblico interesse, saranno soggetti a una verifica dei rischi da parte delle autorità statali, che ne determineranno l’effettiva affidabilità e sicurezza. Tale verifica verterà sul rischio di controllo illegale del prodotto o servizio; sul rischio di sospensione del prodotto o servizio; sul rischio che il provider del prodotto o servizio possa raccogliere, archiviare, processare o usare le informazioni personali degli utenti per trarne un vantaggio ingiusto; sul rischio che l’utilizzo del prodotto o del servizio possa determinare situazioni di concorrenza sleale o compromettere l’interesse dell’utente.

Queste verifiche possono avvenire a seguito di richiesta governativa, di un incidente rilevante oppure tsulla scorta di una richiesta volontaria.

Un profilo controverso della nuova normativa riguarda i requisiti per la localizzazione dei dati informatici. La Cybersecurity Law infatti richiede che i soggetti operanti nelle infrastrutture critiche informatizzate, qualora producano o raccolgano informazioni personali o altri dati chiave riguardanti l’attività commerciale svolta, dovranno archiviare gli stessi in Cina. Qualora, per motivi commerciali, sarà necessario fornire tali informazioni e dati al di fuori del territorio cinese, l’autorità competente dovrà rilasciare un permesso a seguito di una verifica di sicurezza.

A causa delle diverse proteste che si sono sollevate contro questa regolamentazione, è stato concesso un periodo di diciannove mesi alle compagnie per adeguarsi ai requisiti richiesti.

Le imprese operanti in Cina o che trattengono rapporti con clienti cinesi dovrebbero quindi prestare particolare attenzione all’evolversi della regolamentazione sul punto.

(A cura dell’ Avv. Luigi Zunarelli –  luigi.zunarelli@studiozunarelli.com)

Seguici sui social: