TikTok, AliExpress, SHEIN & Co cedono i dati degli europei alla Cina autoritaria

Premessa: il trasferimento di dati fuori dall’UE è solo un’eccezione. In linea di principio, le aziende non sono autorizzate a trasferire i dati dei cittadini europei al di fuori dell’UE. Se, per qualsiasi motivo, devono comunque farlo, le aziende possono fare affidamento su una serie di eccezioni (“deroghe”). Tuttavia, se le aziende esternalizzano i dati solo per convenienza, devono soddisfare requisiti rigorosi per garantire la sicurezza dei dati personali. In Paesi come la Cina, le aziende si affidano solitamente alle “clausole contrattuali standard” (SCC). Le SCC sono un contratto in cui il destinatario cinese si impegna a rispettare le protezioni dell’UE, anche in Cina. Per poterlo fare, le aziende devono condurre una valutazione d’impatto per verificare che i dati degli europei siano sicuri nel Paese di destinazione e che le SCC non siano in conflitto con le leggi nazionali che richiedono l’accesso ai dati. Poiché la Cina è uno Stato autoritario di sorveglianza, non esiste una decisione di adeguatezza e nessuna azienda può fornire tale garanzia. Le leggi cinesi sulla protezione dei dati non limitano in alcun modo l’accesso delle autorità.

Kleanthi Sardeli, avvocato specializzato in protezione dei dati presso noyb: “Dato che la Cina è uno Stato autoritario di sorveglianza, è evidente che non offre lo stesso livello di protezione dei dati dell’UE. Il trasferimento dei dati personali degli europei è chiaramente illegale e deve essere interrotto immediatamente”

Alto rischio di accesso ai dati da parte delle autorità. I rapporti di trasparenza di Xiaomi confermano il rischio che le autorità cinesi richiedano e ottengano un accesso (illimitato) ai dati personali nella pratica. Secondo questi documenti, le autorità richiedono l’accesso ai dati personali su una scala molto ampia, mentre nello stesso arco di tempo le autorità dell’UE/SEE hanno ricevuto solo una manciata di richieste. Inoltre, Xiaomi soddisfa (o deve soddisfare) quasi sempre le richieste delle autorità cinesi. Inoltre, per gli utenti stranieri è quasi impossibile esercitare i propri diritti ai sensi della legge cinese sulla protezione dei dati. Il Paese non dispone di un’autorità dedicata e indipendente per la protezione dei dati o di un altro tribunale per sollevare questioni di sorveglianza governativa e la portata e l’applicazione delle leggi non sono chiare.

La richiesta di accesso degli utenti non ha avuto risposta. Ciò rende ancora più importante scoprire cosa fanno le aziende tecnologiche cinesi con i dati personali degli europei. I denuncianti hanno quindi presentato una richiesta di accesso ai sensi dell’articolo 15 del GDPR alle società summenzionate per verificare se i loro dati fossero stati inviati in Cina o in altri Paesi al di fuori dell’UE. Purtroppo, nessuna delle società ha fornito le informazioni richieste dalla legge sui trasferimenti di dati. Sappiamo comunque che, secondo le loro politiche sulla privacy, AliExpress, SHEIN, TikTok e Xiaomi trasferiscono dati in Cina. Temu e WeChat parlano di trasferimenti verso Paesi terzi. In base alla struttura aziendale di Temu e WeChat, questo include molto probabilmente la Cina.

Kleanthi Sardeli, avvocato specializzato in protezione dei dati personali presso noyb: “Le aziende cinesi non hanno altra scelta che conformarsi alle richieste di accesso ai dati da parte dei governi. Ciò significa che i dati degli utenti europei sono a rischio finché vengono inviati all’estero. Le autorità competenti devono agire rapidamente per proteggere i diritti fondamentali delle persone interessate”

Denunce presentate in cinque Paesi. noyb ha ora presentato 6 reclami GDPR in 5 Paesi europei e chiede alle autorità di protezione dei dati di ordinare immediatamente la sospensione dei trasferimenti di dati verso la Cina ai sensi dell’articolo 58, paragrafo 2, lettera j), poiché il Paese non fornisce un livello sostanzialmente equivalente di protezione dei dati ai sensi degli articoli 44 e 46 del GDPR. noyb chiede inoltre alle aziende di rendere i loro trattamenti conformi al GDPR. Ultimo ma non meno importante, noyb chiede alle autorità di protezione dei dati di imporre una multa amministrativa per prevenire violazioni simili in futuro. Tale multa può arrivare fino al 4% del fatturato globale, che può ad esempio ammontare a 147 milioni di euro (fatturato annuo di 3,68 miliardi di euro) per AliExpress o a 1,35 miliardi di euro (fatturato annuo di 33,84 miliardi di euro) per Temu per Temu.