PIPL: Il trasferimento dati fuori dalla Cina – Chi deve fare la valutazione CAC?

目录
La valutazione CAC: un ostacolo o un'opportunità?
Immagina di dover spedire un pacco prezioso all'estero, ma prima devi ottenere un timbro da un ufficio governativo che ne verifichi la sicurezza. Ecco, il trasferimento di dati personali fuori dalla Cina funziona più o meno così. La Cyberspace Administration of China (CAC) ha stabilito che, in certi casi, le aziende devono sottoporsi a una valutazione obbligatoria prima di esportare dati. Ma chi deve farlo? E quando?
Quando scatta l'obbligo di valutazione CAC?
Secondo il Regolamento sulla Valutazione di Sicurezza del Trasferimento di Dati all'Estero, la valutazione è necessaria se:
- Trasferisci dati personali di almeno 1 milione di persone (cumulativo) dall'inizio dell'anno.
- Hai trasferito dati di almeno 100.000 persone nell'anno precedente.
- Trasferisci dati sensibili (es. dati biometrici, sanitari, finanziari) di qualsiasi quantità.
- Sei un operatore di infrastrutture critiche (CIIO) e trasferisci dati personali all'estero.
Se rientri in una di queste categorie, devi richiedere la valutazione alla CAC entro 60 giorni dalla fine dell'anno in cui hai superato la soglia. Altrimenti, rischi multe fino a 50 milioni di RMB o il 5% del fatturato annuo.
Chi è esentato?
Non tutti devono passare per la CAC. Se trasferisci dati di meno di 100.000 persone all'anno e non sei un CIIO, puoi usare altri meccanismi come il Contratto Tipo Standard o la Certificazione di Protezione dei Dati Personali. Ma attenzione: anche questi hanno requisiti stringenti.
Come prepararsi alla valutazione?
Prima di tutto, fai un inventario dei dati che trasferisci: quanti soggetti interessati, che tipo di dati, verso quali paesi. Poi, valuta i rischi per i diritti degli interessati e documenta le misure di sicurezza adottate. La CAC vuole vedere che hai un legittimo interesse al trasferimento e che i destinatari offrono un livello di protezione adeguato.
Featured Snippet Bait
La valutazione CAC è obbligatoria per le aziende che trasferiscono dati personali di oltre 1 milione di persone all'anno, o dati sensibili, o per gli operatori di infrastrutture critiche. Se non rientri in queste soglie, puoi usare contratti tipo o certificazioni.
FAQ
La valutazione CAC si applica anche ai trasferimenti intra-gruppo?
Sì, se la società madre o una consociata all'estero riceve dati dalla Cina, il trasferimento è soggetto alle stesse regole, indipendentemente dal fatto che sia all'interno dello stesso gruppo.
Cosa succede se non faccio la valutazione?
Le sanzioni possono includere multe fino a 50 milioni di RMB o il 5% del fatturato annuo, sospensione delle attività di trattamento dati, e persino responsabilità penale per i dirigenti.
Quanto tempo richiede la valutazione?
La CAC ha 45 giorni lavorativi per esaminare la richiesta, prorogabili di altri 45. In pratica, preparati a un iter di 3-6 mesi.

NakedPact 编辑委员会
本文由 NakedPact 编辑团队撰写。我们的使命是分析、简化并揭露日常合同中的不公平条款和隐藏风险,以保护公民和消费者的权益。

推荐阅读

Volo cancellato? La compagnia aerea non può chiederti il saldo anticipato per riprogrammare

CCPA Privacy Policy: La Checklist che ti Salva dalla Multa (e dal Mal di Testa)

AI Act UE: Scadenza slittata, ma i questionari dei fornitori no. Preparati ora.
🛡️ 一键保护您的权利
不要冒签署霸王条款的风险。安装适用于 Chrome 或 Firefox 的免费 NakedPact 扩展程序,立即分析网络上的任何合同。