Il 2018 sarà un anno di grandi sviluppi in materia di tutela dei dati non solo per l’Europa.

A partire dal 1 Maggio 2018 entrerà a regime in Cina lo standard volontario Information Technology – Personal Information Security Specification [GB/T 35273-2017] (di seguito lo Standard) che rappresenta un importante passo avanti nel percorso iniziato lo scorso anno con l’entrata in vigore della Cybersecurity Law 2016. Lo Standard fornisce linee guida dettagliate per gli adempimenti relativi al trattamento dei dati nelle varie fasi di raccolta, conservazione, utilizzo, condivisione di dati personali.

Lo Standard si applica a qualsiasi organizzazione pubblica o privata che eserciti il potere di stabilire le finalità e la metodologia di trattamento del dato; sul punto sono evidenti le analogie con il concetto di titolare del dato o meglio di “controller” di cui al GDPR europeo.

Lo Standard regola il trattamento dei “dati personali” e dei “dati personali sensibili”; nella definizione di dati personali sensibili si discosta però in maniera rilevante dalla normativa emanata dall’Europa.

Lo Standard infatti definisce “sensibile” qualsiasi dato che, se trattato in maniera inadeguata o perso, possa causare un danno alle persone o alla proprietà; di fatto non esiste una definizione di “dato sensibile” ma piuttosto un approccio basato sul rischio e sulla valutazione di esso in base al quale può essere considerato “sensibile” qualsiasi tipologia di dato il cui trattamento non conforme in uno specifico contesto sia in grado di provocare danni.

Nel trattamento dei dati è richiesto il rispetto dei principi di trasparenza, necessità, correttezza, proporzionalità, minimizzazione, sicurezza, legalità oltre alla valutazione del rischio.

Nonostante si tratti di uno standard volontario, e quindi non giuridicamente vincolante, rappresenterà un punto di riferimento per la Cybersecurity Administration of China (CAC) nel valutare le pratiche adottate dalle imprese per garantire la protezione dei dati personali.