La Cina è sempre apparsa come un mondo a sé stante. Storicamente infatti ha sempre vissuto un profondo isolamento dal quale non sembra volersi liberare, nonostante le imponenti politiche rivoluzionarie che, nel corso del Novecento, le hanno permesso di aprirsi al mondo, quanto meno economicamente.
Infatti, a dispetto dell’apertura della Cina agli investitori stranieri, il Partito Comunista Cinese ha continuato a voler difendere a spada tratta le proprie idee ed i propri valori dai pericoli derivanti dalle altre culture con cui la società cinese dovesse per necessità avere rapporti, spingendosi fino a controllare ed eventualmente sopprimere quei movimenti e quelle idee che potessero rappresentare una minaccia per la stabilità politica. Questo si esprime tutt’ora in un controllo generalizzato ed istituzionalizzato delle informazioni, in una chirurgica selezione dei contenuti, delle parole e dei riferimenti.
Da decenni, molti eventi controversi (si pensi ai massacri in Piazza Tienanmen del 1989) vengono sistematicamente censurati dai servizi di informazione, telegiornali e riviste, impedendo alla grande maggioranza dei cittadini cinesi di conoscere il reale operato e le intenzioni del proprio governo. Tutto ciò accadeva già ben prima dell’avvento di Internet, la porta verso l’esterno che avrebbe potuto sollevare la cortina di fumo che le autorità cinesi ritengono indispensabile per la sopravvivenza del Partito Comunista e della Cina come è e come deve essere.
Internet è arrivato per la prima volta in Cina nel 1989, ma all’epoca era perlopiù utilizzato nelle Università, finché il Paese non è andato ufficialmente online cinque anni più tardi. Inizialmente un lusso alla portata di pochi e accessibile solo negli internet cafés, nell’ultima parte degli anni ’90, l’Internet cinese ha assunto la forma che conosciamo oggi. Mentre compagnie come Alibaba e Tencent cominciavano ad apparire sul mercato, il governo cinese lavorava ad un importante progetto che avrebbe plasmato il web in Cina. Nel 1998 il partito propose la creazione di un’ampia infrastruttura per la censura digitale, attualmente conosciuta come “Il Grande Firewall Cinese”. Fu così che il Web, nato da poco e concepito come un’immensa piattaforma di comunicazione, essenziale per lo scambio e diffusione delle informazioni, cambiò e divenne invece uno strumento nelle mani delle autorità cinesi per plasmare l’opinione pubblica ed assicurare lo sviluppo socioeconomico minimizzando al contempo il suo impatto politico. Il governo ha poi imparato che anche i social media sono un’arma a doppio taglio: da un lato uno strumento per canalizzare ed imporre la narrativa di governo in maniera decentralizzata, dall’altro invece sono un potenziale elemento destabilizzante capace di dar voce agli individui dissidenti. Ecco perché le maggiori piattaforme social media quali Facebook e Twitter non sono accessibili in Cina, al loro posto, è sorto un vasto e “sicuro” ecosistema di app e servizi digitali controllati.
La rapida crescita nell’utilizzo mobile di internet in Cina, così come nel resto del mondo, ha perciò velocemente alterato il tessuto della società cinese. Dagli affari, alla giurisprudenza, la politica, il mondo accademico e le relazioni estere, tutto è cambiato e la velocità nella comunicazione ha reso necessario un cambiamento nella maniera in cui il governo cinese attua la sua censura.
Tutt’oggi nessun Paese al mondo gestisce la censura come la Cina. Qui non è gestita da singoli dipartimenti del governo, ma strutturata in una complessa e confusa rete di apparati, organizzazioni, Internet Service Providers di proprietà dello Stato e anche singoli individui che insieme implementano un controllo ramificato sui contenuti online. Gran parte della censura avviene però, non tanto a livello di ISP (Internet Service Providers), che pur rappresentano la spina dorsale di questo sistema (si occupano infatti di controllare l’accesso al web e fungono da gateway per le connessioni tra internet cinese e internet globale), bensì sulle singole piattaforme su cui le compagnie cinesi devono vigilare in maniera serrata.
Le autorità hanno implementato una pletora di strategie per censurare le informazioni proibite, tra queste risultano regolamenti più severi, nuove tecnologie di censura, l’assunzione di personale formato per monitorare il web e la creazione di vere e proprie organizzazioni capaci di supervisionare i contenuti online. Si potrebbe in sostanza affermare che la censura avviene in due modalità distinte: una macro-censura e una micro-censura.
La macro-censura consta di interventi su software e hardware in modo da prevenire l’accesso a domini considerati indesiderati o pericolosi. In breve, è ciò che impedisce l’accesso ad innumerevoli siti stranieri, molto spesso di testate giornalistiche, quali il New York Times ad esempio. È il cosiddetto “Grande Firewall Cinese” il quale si basa su metodi comuni quali: il blocco degli indirizzi IP, filtri URL, reindirizzamento, filtri DNS, blocchi VPN, ispezione di pacchetti e filtri di parole chiave. Già nel 2002 si stimava che all’incirca 18.000 fossero i siti bloccati all’interno dei confini cinesi.
La micro-censura invece, colpisce la libertà di espressione dei singoli, censurando e rimuovendo post, commenti, articoli e messaggi. Per le autorità cinesi, essa è essenziale in un momento storico in cui i social hanno assunto un ruolo chiave nello scambio di informazioni, idee o nella creazione di un dibattito ed hanno permesso ai singoli di esprimere le proprie opinioni molto più facilmente che in qualsiasi altro momento storico. La censura di questo tipo è realizzata spesso anche dalle stesse compagnie dei social media e dai produttori e divulgatori di contenuti in virtù di forti pressioni e clausole vincolanti che sono imposte dalle autorità in cambio dell’accesso all’enorme mercato cinese. Riferimenti e dibattiti inerenti argomenti come le proteste di Piazza Tienanmen, la brutalità della polizia, la libertà di parola, l’indipendenza di Taiwan e il movimento indipendentista Tibetano, cosi come eventuali attacchi e critiche alle politiche statali sono puntualmente rimossi.
Si aggiunge inoltre che tutti i siti cinesi devono sottoscrivere il “Public Pledge on Self-Discipline for China’s Internet” un accordo che impone alle compagnie di rimuovere qualsiasi contenuto offensivo e bloccare alcuni termini ben individuati, ma tra le ulteriori responsabilità di queste compagnie vi è la necessità di disporre di adeguate tecnologie capaci di bloccare e filtrare i post e possedere dei team assunti all’unico scopo di revisionare manualmente i contenuti postati online, anche quelli presenti nelle chat di gruppo e nelle conversazioni private. Si tratta dei cosiddetti “content moderators”, specializzati persino nell’esaminare ed individuare gli slang, le parole in codice ed i meme utilizzati dagli utenti per aggirare la censura.
È dunque facile comprendere perché la presenza di una censura così capillare spinga quotidianamente individui ed aziende a mitigare le proprie interazioni e censurare di propria iniziativa le comunicazioni: evitare ripercussioni legali ed economiche. Una sorta di self-censorship, giustificabile dal momento che gli ISP sono responsabili della condotta degli utenti e col tempo hanno assunto un ruolo “editoriale” riguardo ai contenuti trasmessi. In aggiunta a questo, nel 2013 la Suprema Corte ha autorizzato la pena detentiva fino a 3 anni per coloro che postano contenuti contro il partito o diffondono false notizie, nel caso in cui questi posti siano condivisi più di 500 volte. Considerando l’era dei social media e le sue potenzialità, è evidente la facilità con cui questa soglia possa essere raggiunta e quindi appare giustificabile l’arrendevolezza con cui gli utenti cinesi abbiano smesso da tempo di utilizzare i social per esprimere le loro idee politiche e le loro critiche al governo.
La Cina ha creato nella pratica un’illiberalità digitale, un Internet basato su regole severe. Questa sovranità su internet, mostra un uso estensivo di tecnologie come AI, Internet of Things e controllo dei Big-data per controllare il comportamento dei cittadini. Una visione che rifiuta l’idea di un Internet universale e promuove e difende il concetto di internet come qualcosa che ogni Paese possa plasmare e controllare all’interno dei propri confini. Si sbaglierebbe a pensare che i rischi siano solo per coloro che vivono in Cina, si pensi da ultimo al comportamento delle autorità cinesi nei mesi subito precedenti l’esplosione della pandemia da Covid-19. Mesi e settimane in cui sono state ripetutamente tenute nascoste situazioni di allarme inerenti una nuova insidiosa infezione che causa insufficienze respiratorie e polmoniti gravi. Infatti, entro il giorno di Natale del 2019 almeno un dottore aveva sospettato e rilevato che una potenziale pandemia era in atto, ma le sanzioni previste per i whistleblowers saranno state un forte deterrente al denunciarne i dettagli ai media. Durante i primi mesi di pandemia, quando il resto del mondo sembrava ancora in salvo, la Cyberspace Administration of China aveva già implementato una fitta censura per media e internet, impedendo la menzione di parole chiave legate al Covid-19.
Da decenni la censura è stata normalizzata, la privacy non esiste, tutti sono sotto controllo e i cittadini cinesi, la stragrande maggioranza di essi, semplicemente non vi fa più caso.
Proprio a proposito di privacy però, sembra esserci un cambio di rotta nella maniera in cui il governo Cinese ha deciso di disciplinare e tutelare l’immensa quantità di dati personali che gli utenti immettono in ogni momento sul Web. Difatti il Paese con la censura più fitta e stringente è anche la più grande economia digitale del mondo (il numero di utenti online in Cina a marzo 2020 ammontava a circa 900 milioni) ed è quindi essenziale tutelare l’inestimabile valore che i Big Data hanno, evitando che aziende straniere possano trarne ingiustificato profitto. La Repubblica Popolare Cinese ha predisposto una nuova disciplina organica a cui aziende straniere, e non, che intendono capitalizzare sul mercato cinese, devono aderire per poter processare e trasferire informazioni personali oltre i confini della Cina. Infatti ad Ottobre 2020, il National People’s Congress Standing Committee ha svelato la bozza del “Personal Information Protection Act” (PIPL) e l’ha sottoposta a consultazione pubblica. Se dovesse venire votato ed entrasse in vigore, il PIPL costituirebbe la prima disciplina comprensiva sulla protezione dei dati personali ed insieme alle due normative fondamentali sulla cybersecurity e la protezione dei dati porterebbe alla nascita di un primo regime normativo in Cina in tema di data protection.
A differenza del GDPR, che non rappresenta il primo approccio normativo dell’Unione Europea nella regolamentazione dell’utilizzo ed il trattamento di dati personali (ci si riferisce alla direttiva 95/46/CE), il PIPL è la prima normativa di questo tipo in Cina ed ha come obiettivo principale quello di mitigare i rischi relativi all’utilizzo di dati personali legati al rapido sviluppo delle applicazioni online e la proliferazione degli utenti sul web cinese. La PIPL sarà applicabile ad ogni organizzazione e individuo che tratti i dati personali in Cina, ma sarà applicabile anche a quelle che si trovano al di fuori della Cina quando queste forniscano servizi o prodotti a persone in Cina o analizzino e valutino attività di persone che si trovino sul territorio cinese. In quest’ultimo caso, coloro che tratteranno i dati e sono localizzati al di fuori della Cina dovranno anche nominare un rappresentante legale nei confini cinesi.
È da notare inoltre che, mentre molte definizioni possano variare tra GDPR e PIPL, in realtà queste esprimono significati molto simili. I dati personali a cui si riferisce il PIPL all’art. 4 sono tutte quelle informazioni riferite ad una persona identificata o identificabile ed ulteriore punto di contatto con il GDPR è offerto dalla definizione dei dati particolari prevista dall’art. 29 del PIPL ovvero le “personal sensitive information”, cioè quel gruppo di informazioni idonee a rivelare taluni aspetti del singolo quali la razza, le convinzioni religiose, la nazionalità, lo stato di salute. C’è però da rilevare che la natura “sensitive” qui rileva soltanto perché se quelle informazioni venissero trattate in maniera illegittima, potrebbero comportare una discriminazione o un danno alla sicurezza della persona. Elemento non presente nel GDPR.
Dalla normativa europea sono inoltre richiamati i principi del trattamento dei dati ed ovvero la legalità, correttezza, buona fede, limitazione delle finalità del trattamento (soltanto a quelle per le quali è stato prestato il consenso), minimizzazione dei dati a solo quelli necessari per la finalità del trattamento, pubblicità e trasparenza, accuratezza ed infine responsabilità e sicurezza. Secondo quest’ultimo principio, le organizzazioni devono adottare tutte le misure necessarie per garantire la sicurezza ed inviolabilità delle informazioni personali che sono trattate.
È da premettere che, prima di questa bozza, la Cina ha sempre adottato il principio del consenso nel determinare la regolarità del trattamento dei dati personali, questo nelle ipotesi in cui non fosse diversamente previsto dalla legge o dai regolamenti amministrativi. Eppure alla luce dei diversi limiti del principio consensualistico e dei nuovi sempre più complessi scenari legati al processamento di informazioni personali, il PIPL utilizza un approccio simile a quello del GDPR che, come sappiamo, prevede diverse basi legali per il trattamento dei dati oltre al semplice consenso. Quest’ultimo potrà essere ottenuto in modalità differenti a seconda del tipo d’informazione e delle specifiche attività di trattamento. Esso dovrà essere fornito dall’interessato in maniera cosciente, volontaria ed espressa. La bozza prevede in realtà nuovi requisiti per ottenerlo e specifica il diritto del soggetto a poterlo ritirare. Si prevedono inoltre i concetti di “consenso separato” e “consenso scritto”. Specificatamente il consenso separato dovrebbe essere ottenuto: ogni volta che si trasmettono le informazioni personali ad un terzo; si processano informazioni personali sensibili; si utilizzano i dati, originariamente raccolti per la pubblica sicurezza, per un qualsiasi altro scopo; i dati personali vengono trasferiti fuori dalla Cina. Si suppone insomma che per ogni specifico fine debba essere ottenuto un consenso specifico e quindi ciò pone fine alla possibilità di fornire un unico consenso polivalente per tutti i tipi e i fini della raccolta dati. Diversamente, il consenso scritto rimarrebbe necessario, a meno che non sia diversamente previsto dalla legge o da regolamenti amministrativi, per poter raccogliere dati sensibili. In tema di consenso si nota infine un ulteriore elemento di continuità con il GDPR, infatti per i minori di 14 anni, l’art. 15 della bozza prevede espressamente che il gestore debba acquisire il consenso dei tutori.
Le ulteriori basi legali del trattamento a cui prima si accennava sono previste dal PIPL all’art. 13 che elenca: la necessità di concludere o adempiere un contratto; la necessità di sottoscrivere o eseguire un obbligo legale o un dovere; l’urgenza di rispondere ad incidenti di salute pubblica o per proteggere l’interesse fisico e di diritti patrimoniali delle persone in situazioni urgenti; la necessità di comunicare notizie o per la conduzione di vigilanza pubblica nell’interesse pubblico; oppure perché necessariamente richiesto da leggi e regolamenti amministrativi. Si notano subito le somiglianze con le basi legali previste dal GDPR anche se nel PIPL manca quella relativa alla necessarietà del trattamento per la tutela di interessi legittimi perseguiti dal titolare del trattamento e viene aggiunta l’ipotesi del trattamento dei dati per far fronte ad emergenze relative alla salute pubblica.
Come già accennato, la bozza fa anche riferimento, per la prima volta in un testo normativo cinese, al diritto del soggetto di ritirare il consenso per la raccolta dati basata sul consenso stesso. Eppure, il PIPL, agli articoli 25, 44-47, fa anche riferimento ad ulteriori diritti, quali: possibilità di accedere alle informazioni raccolte dal titolare del trattamento dei dati; poter rettificare e completare le informazioni raccolte; rimuoverle (nei soli casi previsti); richiedere al titolare del trattamento delle spiegazioni sulle regole e le modalità seguite per la raccolta e la gestione dei dati. Per rispondere a tali richieste il titolare del trattamento dei dati dovrà stabilire un meccanismo di risposta e supporto per il soggetto interessato e dovrà includere spiegazioni adeguate delle ragioni eventuali che impediscono di soddisfare le sue richieste. Notiamo qui la mancanza del diritto alla portabilità dei dati che invece è previsto nel GDPR.
Proseguendo a parlare dei doveri di chi gestisce i dati, è necessario precisare che qui, a differenza del GDPR, non si fa distinzione tra il titolare del trattamento (che decide termini, modi e scopi del trattamento) e chi materialmente processa i dati in nome del titolare, ovvero il responsabile del trattamento, ma ci si riferisce indifferentemente ad un “personal information processor” o più semplicemente gestore/titolare del trattamento. Aldilà della nomenclatura, gli obblighi di quest’ultimo sono: sviluppare adeguate procedure operative e sistemi di gestione dei dati; implementare un sistema di classificazione e gerarchizzazione dei dati; utilizzare adeguate misure di crittografia per la sicurezza; determinare un codice di condotta e training appositi nella gestione dei dati per i propri dipendenti; sviluppare ed organizzare piani di emergenza per la sicurezza in caso di incidenti. Inoltre, similarmente al GDPR, indipendentemente dalla base legale del trattamento, prima dell’inizio della raccolta dati, il titolare del trattamento dovrà informare il soggetto interessato sui seguenti punti: l’identità e le informazioni di contatto del titolare del trattamento; il fine e i metodi di gestione dei dati insieme al periodo necessario di conservazione degli stessi; i metodi e le procedure con cui il soggetto interessato può esercitare i suoi diritti; ed altri elementi previsti dalla legge e dai regolamenti amministrativi. Infine, è richiesta al titolare una valutazione d’impatto ogni volta che si debbano processare informazioni sensibili o si effettuino decisioni automatizzate (per esempio di profilazione) sulla base dei dati oppure si trasmettano i dati ad un terzo o fuori dalla Cina ed infine ogni volta che il trattamento possa avere un impatto significativo su uno o più individui.
Proprio per quanto attiene al trasferimento dei dati personali al di fuori dei confini cinesi, il PIPL prevede che i gestori debbano soddisfare almeno una di queste condizioni: per gli operatori di infrastrutture essenziali e i titolari di trattamento che gestiscono grandi volumi di dati è previsto il superamento di un “security assessment” condotto dalla CAC (Cyberspace Administration of China); gli altri operatori potranno invece ottenere una certificazione approvata da appositi organi amministrativi di cyber security o stipulare un contratto con il ricevente convenendo diritti, obblighi e responsabilità inerenti il trattamento dati. Nel GDPR invece i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea. L’art 51 della bozza stabilisce inoltre, analogamente a quanto prevede il GDPR, la necessità di nomina di un DPO quando un’organizzazione processi un volume di dati personali superiore ad un’ancora non precisata soglia, effettui un monitoraggio sistematico di individui o il processamento su larga scala di speciali categorie di dati.
Eventuali “breach” nei sistemi di sicurezza posti a tutela dei dati personali dovranno essere notificate immediatamente, anche se la bozza non specifica in realtà un limite di tempo, al contrario di quanto accade nel GDPR dove invece è previsto un termine massimo di 72 ore per la comunicazione del furto o perdita di dati.
Infine il PIPL stabilisce che eventuali violazioni di questa disciplina potranno comportare, oltre a semplici ordini di rettifica delle attività di gestione dei dati, confische degli eventuali profitti in violazione di legge e multe fino ad 1 Milione di Yen per il titolare del trattamento e tra i 10,000 e 100,000 Yen per i soggetti direttamente responsabili della gestione. Nei casi più severi inoltre la multa potrà arrivare fino a 50 Milioni di Yen o al 5% del fatturato annuale. In aggiunta è possibile disporre anche la sospensione dell’attività dell’azienda sul territorio cinese e anche la denuncia del fatto alle autorità competenti per la cancellazione del loro permesso di attività. Infine tali violazioni saranno registrate e comunicate al pubblico.
In conclusione la bozza contiene tutti gli elementi essenziali del GDPR e sebbene il livello di dettaglio della normativa sia minore e molti aspetti tutt’ora vaghi, il PIPL è senz’altro un buon punto di partenza. In Europa è certo molto più facile parlare di privacy. La protezione dei dati personali è parte della nostra identità storica, politica e giuridica, grazie ai processi costituzionali che hanno accomunato molti Paesi Europei nel secolo scorso. Per la Cina invece, il PIPL è un passo da gigante e, aldilà delle ragioni geopolitiche sottese alla sua nascita, è senz’altro un grande sforzo culturale che la Cina compie nella tutela e gestione dei dati personali. Quando questo nuovo impianto normativo sarà interamente operativo giocherà senza dubbio un ruolo vitale nella società digitale Cinese del prossimo futuro.
Antonino Schisano
