La Cina pubblica le linee guida sull’uso delle informazioni personali in ambito cyber e IST (Information Security Technology). Lo rende noto Hunton & Williams sul suo blog.
La nuova “Specifica” avrà effetto a partire dal 1 maggio 2018. La loro accettazione in teoria è volontaria da parte di aziende e attori del settore. In pratica è quasi obbligatoria, in quanto sono definite come best practices. Anche nella gestione degli incidenti della sicurezza informatica. I dati sono divisi in 2 categorie: sensibili e non. I primi includono quelli finanziari, relativi all’identità e alla salute. Le norme forniscono requisiti specifici per la raccolta e l’utilizzo; nonché un’interfaccia funzionale che possa essere incorporata da un’azienda nei suoi prodotti o servizi. Questa è un modello di pagina Web interattiva o software conformi alle Specifiche. Mostra informazioni quali motivo, ambito e trasferimento delle informazioni personali e contiene una casella di controllo per il consenso.
Le eccezioni sulla trattazione delle informazioni personali sensibili in Cina
La nuova Specifica stabilita dalla Cina, comunque, prevede anche delle eccezioni in cui non è necessario il consenso del soggetto per trattare i suoi dati personali sensibili. Innanzitutto se la raccolta e l’uso delle informazioni sono direttamente correlate alla sicurezza nazionale, a quella pubblica o sono una questione di pubblico interesse materiale, d’indagine o legate al processo di un crimine o l’esecuzione di un giudizio. Inoltre, quando sono necessari l’esecuzione di un contratto, su richiesta di una parte. La specifica include anche un modello di politica sulla privacy. Quando un’entità raccoglie informazioni personali indirettamente (da una terza parte), deve richiedere a chi fornisce le informazioni di spiegare la fonte con cui sono state originariamente ottenute. Inoltre, deve verificare se essa ha ottenuto il consenso dell’interessato per la condivisione, il trasferimento o la divulgazione delle informazioni personali.
Le norme da adottare per proteggere la privacy degli utenti
Nella specifica cinese, le informazioni personali devono essere conservate solo nella misura minima necessaria e devono essere cancellate o anonimizzate dopo la scadenza del periodo. Inoltre, va impiegata la crittografia ogni volta che vengono gestite quelle sensibili. Quando un controllore dei dati cessa di fornire un prodotto o servizio, deve informare le persone interessate e cancellare o rendere anonime tutte le informazioni personali conservate in relazione agli interessati. Quando un’azienda utilizza informazioni personali, deve adottare controlli sull’accesso e restrizioni sulla visualizzazione delle informazioni. L’uso di esse non deve andare oltre lo scopo dichiarato al momento della raccolta e le persone a cui fanno riferimento hanno il diritto di chiedere la correzione, la cancellazione e copie di ciò che li riguarda. Nonché il diritto di ritirare il loro consenso alla raccolta e all’uso delle informazioni personali.
Il ruolo delle terze parti nella raccolta e gestione dei dati personali
Quando un’impresa ingaggia una terza parte per elaborare le informazioni personali, deve condurre una valutazione della sicurezza per garantire che questa disponga di sufficienti capacità nell’ambito. L’impresa per le istituzioni cinesi, deve anche richiedere al soggetto terzo di salvaguardarle e controllare la loro elaborazione. Se un’azienda deve condividere o trasferire informazioni personali, è tenuta a condurre una valutazione della sicurezza e adottare misure ad hoc, informando gli interessati dello scopo della condivisione o del trasferimento e delle categorie di destinatari e ottenere il consenso degli interessati.
La Specifica della Cina in relazione ai cyber incidenti
Sul versante della sicurezza informatica, la Cina ha stabilito che un’impresa deve formulare un piano di emergenza per cyber incidenti che coinvolgono informazioni personali. A proposito deve effettuare esercitazioni di emergenza almeno una volta all’anno. In caso di un effettivo evento di violazione dei dati, questa secondo la Specifica deve informare gli interessati via email, lettera, telefono o altro metodo efficiente. L’avviso deve includere informazioni quali la sostanza dell’incidente informatico e il suo impatto, misure correttive che sono state prese o saranno adottate, suggerimenti per le persone interessate su come ridurre i rischi, azioni correttive messe a disposizione degli interessati e la persona responsabile per la gestione dei cyber incidents, nonché le sue informazioni di contatto. A proposito, si chiede all’entità di chiarire quali dipartimenti e membri del personale saranno responsabili della protezione delle informazioni personali. Inoltre, di stabilire un sistema per valutare gli impatti sulla sicurezza di dati.
Il post integrale di Hunton & Williams sulla nuova Specifica cinese