Quattro di queste aziende ammettono di inviare dati personali degli europei in Cina, mentre le altre due parlano di trasferimenti verso “paesi terzi” non specificati, che si presume includano la Cina. Tuttavia, secondo la normativa dell’UE, i trasferimenti di dati al di fuori dell’Unione sono consentiti solo se il paese di destinazione garantisce un livello di protezione equivalente. Dato che la Cina, in quanto stato autoritario di sorveglianza, non offre tali garanzie, è improbabile che le aziende possano impedire l’accesso del governo cinese ai dati degli utenti europei. Dopo le questioni legate all’accesso ai dati da parte degli USA, l’aumento delle app cinesi rappresenta una nuova sfida per il diritto alla protezione dei dati in Europa.

Denunce presentate in cinque paesi

NOYB ha presentato 6 denunce in Grecia, Italia, Belgio, Paesi Bassi e Austria, chiedendo alle autorità per la protezione dei dati di sospendere immediatamente i trasferimenti verso la Cina ai sensi dell’Articolo 58(2)(j) del GDPR, il regolamento europeo che disciplina la protezione dei dati personali e la privacy, garantendo diritti e controlli ai cittadini dell’UE.

Le denunce chiedono inoltre alle aziende di adeguarsi al GDPR e alle autorità di imporre sanzioni amministrative per evitare ulteriori violazioni. Le multe potrebbero raggiungere il 4% del fatturato globale, equivalenti a 147 milioni di euro per AliExpress e 1,35 miliardi di euro per Temu.

L’Articolo 58(2)(j) del GDPR conferisce alle autorità di controllo il potere di:

“sospendere i flussi di dati verso un destinatario in un paese terzo o verso un’organizzazione internazionale.”

Questo strumento viene utilizzato quando un trasferimento di dati personali verso paesi al di fuori dell’UE, o organizzazioni internazionali, viola le disposizioni del GDPR, in particolare quelle relative alla protezione dei dati e alla sicurezza garantita nel paese di destinazione. Nell’ambito delle denunce presentate da NOYB, questa disposizione è stata invocata per chiedere la sospensione dei trasferimenti di dati personali verso la Cina, considerata un paese che non offre un livello di protezione equivalente a quello europeo.

Trasferimenti di dati fuori dall’UE solo in casi eccezionali

AI sensi del GDPR, le aziende non possono trasferire i dati personali dei cittadini europei al di fuori dell’UE. Tuttavia, se ciò risulta necessario, devono rispettare stringenti requisiti per garantire che i dati rimangano adeguatamente protetti.

Per paesi come la Cina, che non dispongono di una decisione di adeguatezza da parte della Commissione Europea, le aziende si affidano spesso alle Clausole Contrattuali Standard (SCC). Queste clausole obbligano il destinatario a rispettare le protezioni previste dal GDPR, anche fuori dall’UE. Per essere autorizzati, è obbligatorio condurre una valutazione d’impatto che confermi la sicurezza dei dati nel paese di destinazione e assicuri che le SCC non siano in conflitto con normative locali, come quelle che impongono l’accesso ai dati da parte delle autorità governative.

Tuttavia, in paesi con regimi autoritari, come la Cina, dove le leggi obbligano le aziende a condividere i dati con il governo, garantire il rispetto delle protezioni europee diventa praticamente impossibile. Di conseguenza, tali trasferimenti spesso non risultano conformi al GDPR.

Kleanthi Sardeli, avvocata esperta di protezione dati presso NOYB:

“Dato che la Cina è uno stato autoritario di sorveglianza, è evidente che non offre lo stesso livello di protezione dei dati dell’UE. I trasferimenti dei dati personali degli europei sono chiaramente illegali e devono essere immediatamente interrotti.”

Cos’è NOYB

NOYB (acronimo di “None Of Your Business”) è un’organizzazione no-profit europea specializzata nella protezione dei dati e nella privacy. Fondata nel 2017 dall’attivista austriaco Max Schrems, NOYB si concentra sull’applicazione e sul rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR) e di altre leggi sulla privacy, promuovendo i diritti degli utenti contro l’uso improprio dei loro dati personali da parte di aziende e organizzazioni.

Il nome “None Of Your Business” riflette la filosofia del gruppo: i dati personali appartengono agli individui, e nessuna azienda o ente dovrebbe abusarne.

Risultati significativi

NOYB è nota per aver avviato diverse cause di alto profilo, come quelle contro Facebook, Google, e altre grandi aziende tecnologiche. Tra i casi più noti, ci sono le azioni legali che hanno portato all’invalidazione di due accordi tra UE e USA per il trasferimento dei dati: il Privacy Shield (2020) e il Safe Harbor (2015).

Rischio elevato di accesso ai dati da parte delle autorità

I rapporti di trasparenza di Xiaomi confermano il rischio di richieste su larga scala da parte delle autorità cinesi per accedere ai dati personali, rispetto a un numero ridotto di richieste da parte delle autorità dell’UE/SEE nello stesso periodo. Xiaomi, inoltre, quasi sempre soddisfa (o deve soddisfare) tali richieste. Inoltre, è quasi impossibile per gli utenti stranieri esercitare i propri diritti secondo la legge cinese sulla protezione dei dati. Non esiste un’autorità indipendente per la protezione dei dati o un tribunale dedicato, e l’ambito di applicazione delle leggi è poco chiaro.

Richieste di accesso degli utenti ignorate

Le aziende denunciate non hanno fornito le informazioni richieste dall’Articolo 15 del GDPR, che riguarda i trasferimenti di dati. Tuttavia, le politiche sulla privacy di AliExpress, SHEIN, TikTok e Xiaomi indicano esplicitamente trasferimenti verso la Cina. Temu e WeChat, invece, menzionano trasferimenti verso “paesi terzi” che, in base alla loro struttura aziendale, includono probabilmente la Cina.

Kleanthi Sardeli:

“Le aziende cinesi non hanno scelta: devono rispettare le richieste di accesso del governo. Questo significa che i dati degli utenti europei sono a rischio finché vengono inviati all’estero. Le autorità competenti devono agire rapidamente per proteggere i diritti fondamentali delle persone coinvolte.”