Il confronto tra il #GDPR europeo e la #PIPL cinese è un tema sempre più rilevante, soprattutto in un contesto in cui i servizi digitali cinesi sono ampiamente utilizzati anche in #Europa, come nel caso dell’Italia. Un’occasione recente per approfondire questa tematica è stata il blocco di #DeepSeek da parte del Garante della #privacy italiano, che ha suscitato una riflessione non solo sulle specifiche questioni di compliance, ma anche sul rapporto tra i due sistemi normativi, i loro differenziali in termini di protezione dei dati personali e le implicazioni di tale disparità nelle relazioni digitali tra i due continenti.
Il GDPR, che si applica in tutta l’Unione Europea, stabilisce un insieme di regole rigorose per la protezione dei dati personali, con un forte accento sulla trasparenza, il consenso dell’interessato e l’autonomia delle autorità di controllo. Al contrario, la PIPL, introdotta in #Cina nel 2021, pur avendo alcuni aspetti sovrapponibili al GDPR, presenta importanti differenze, soprattutto per quanto riguarda il controllo statale sulle informazioni. Le aziende cinesi, infatti, sono obbligate a collaborare con le autorità statali, e la protezione dei dati personali, pur se contemplata dalla legge, non si situa nello stesso contesto di tutela individuale che caratterizza l’ordinamento europeo.
Questa differenza è emersa chiaramente nel caso di DeepSeek, un’applicazione di intelligenza artificiale, il cui trattamento dei dati personali dei cittadini italiani è stato messo in discussione per il rischio che i dati venissero conservati in Cina, dove potrebbero essere soggetti a un regime normativo meno rigoroso. Il Garante ha sottolineato come il trattamento dei dati in Cina sia fortemente regolato dallo Stato, con il rischio che i dati dei cittadini europei possano essere accessibili dalle autorità cinesi, anche senza un consenso esplicito degli utenti. Questo aspetto è particolarmente preoccupante perché in Cina esistono leggi, come la legge sulla sicurezza della rete (CSL) e la legge nazionale sull’intelligence, che consentono un accesso diretto ai dati conservati dai server cinesi per motivi legati alla sicurezza nazionale, senza che venga richiesto il consenso delle persone coinvolte.
Un’altra questione sollevata riguarda l’indipendenza delle autorità di controllo. In Europa, il GDPR prevede autorità di protezione dei dati indipendenti, come il Garante italiano, che hanno il compito di vigilare sui trattamenti dei dati e garantire il rispetto dei diritti degli utenti. In Cina, la situazione è diversa: la PIPL non prevede un’autorità di controllo indipendente. Le attività di protezione dei dati sono invece fortemente influenzate dal governo centrale, il che aumenta i timori riguardo alla trasparenza e all’imparzialità delle decisioni in materia di privacy.
Dal punto di vista delle normative, la PIPL, pur contenendo disposizioni simili al GDPR, come il diritto di accesso, correzione e cancellazione dei dati, presenta dei limiti significativi per quanto riguarda il trattamento da parte dello Stato. Infatti, mentre il GDPR pone una netta separazione tra l’attività delle autorità pubbliche e quella dei privati in relazione ai dati personali, la PIPL non fa lo stesso, consentendo agli organi statali un ampio margine di manovra. Le autorità cinesi possono accedere ai dati anche senza il consenso dell’interessato, nel caso in cui ciò sia necessario per motivi di sicurezza nazionale o per operazioni di intelligence, il che crea una situazione ben più permissiva rispetto a quanto stabilito dal GDPR.
L’adozione di una legislazione come la PIPL, che giustifica un ampio controllo statale sui dati personali, pone una serie di interrogativi, soprattutto in un contesto globale in cui le aziende e i cittadini sono sempre più connessi e i dati personali sono un bene sempre più strategico. Se da un lato la PIPL ha il merito di avvicinarsi ad alcuni principi del GDPR, dall’altro non si può ignorare il forte potere di intervento che il governo cinese mantiene sulle informazioni raccolte. Questo assetto crea una sorta di “doppio binario” tra la protezione privata dei dati e le esigenze di sicurezza pubblica e nazionale, che viene giustificato dalle autorità come un mezzo per garantire il benessere collettivo e la stabilità sociale.
Inoltre, il regime sui dati personali in Cina è inserito in un contesto più ampio, che include leggi sulla sicurezza dei dati e normative che favoriscono la creazione di un “ecosistema di big data”, dove anche le aziende private sono obbligate a cooperare con le autorità per la raccolta e la gestione dei dati. In altre parole, mentre la PIPL si concentra principalmente sulla tutela dei diritti degli individui in rapporto ai soggetti privati, la legge sulla sicurezza dei dati (DSL) introduce una nuova dimensione, dove i dati diventano una risorsa strategica per lo Stato, rafforzando ulteriormente il controllo governativo.
Le implicazioni di questo diverso approccio alla protezione dei dati sono significative per le relazioni commerciali e politiche tra l’Europa e la Cina. Ad esempio, se i servizi digitali cinesi come WeChat, Tiktok o Alibaba continuano ad essere utilizzati in Europa, sarà necessario monitorare attentamente come questi sistemi gestiscono i dati degli utenti europei e se le normative europee come il GDPR riescono a tutelare adeguatamente gli interessi dei cittadini, considerando le specificità del sistema normativo cinese.
Pur riconoscendo che la PIPL rappresenta un passo avanti rispetto alla protezione dei dati in Cina, non si può ignorare che i forti poteri concessi al governo e alle agenzie di sicurezza cinesi pongano delle sfide significative per la privacy degli utenti non solo cinesi, ma anche stranieri. Il confronto tra il GDPR e la PIPL solleva interrogativi cruciali sulla capacità di garantire la protezione dei dati in un mondo digitalmente interconnesso, in cui i confini tra Stati, leggi e pratiche di trattamento dei dati diventano sempre più sfumati. L’analisi del caso DeepSeek è solo l’inizio di una discussione che, nei prossimi anni, sarà destinata a espandersi e a coinvolgere una serie di altri servizi e tecnologie, sollevando questioni politiche, legali ed etiche di rilevanza globale.
