Cina: in vigore dal 1° gennaio 2026 le nuove regole sulla certificazione per il trasferimento transfrontaliero dei dati personali.

La Cyberspace Administration of China (CAC) e la State Administration for Market Regulation (SAMR) hanno pubblicato le attese Misure per la certificazione del trasferimento transfrontaliero di informazioni personali, che entreranno in vigore il 1° gennaio 2026.

Con questo provvedimento, la Cina completa il quadro regolamentare previsto dall’art. 38 della Personal Information Protection Law (PIPL), che disciplina i tre percorsi legali per il trasferimento all’estero di dati personali:

1. Valutazione di sicurezza organizzata dalla CAC;

2. Certificazione di sicurezza da parte di organismi accreditati;

3. Contratto standard con il destinatario estero.

L’adozione delle Misure segna un passaggio cruciale: il sistema normativo per i trasferimenti internazionali di dati in Cina diventa ora completo e pienamente operativo, offrendo alle imprese un quadro più certo e prevedibile.

Le nuove Misure consentono alle imprese di scegliere la via della certificazione se:

• non rientrano tra gli operatori di infrastrutture informatiche critiche (CIIO);

• nel corso dell’anno hanno trasferito dati personali di tra 100.000 e 1.000.000 di individui, o dati personali “sensibili” di meno di 10.000 persone;

• non trasferiscono “dati importanti” ai sensi della normativa cinese.

È vietato suddividere artificialmente i volumi di dati (“data splitting”) per aggirare l’obbligo di valutazione di sicurezza.

Prima di richiedere la certificazione, i titolari devono:

• informare gli interessati sul trasferimento;

• ottenere il consenso separato;

• effettuare una valutazione d’impatto sulla protezione dei dati personali (PIPIA), analizzando la legittimità, la necessità, la tipologia e i rischi del trasferimento, nonché le garanzie offerte dal destinatario estero e l’adeguatezza del suo ordinamento.

La relazione PIPIA deve essere conservata per almeno tre anni.

Le domande vanno presentate a un organismo di certificazione autorizzato; per i soggetti esteri, tramite rappresentante locale. Una volta rilasciato, il certificato ha validità triennale, con obbligo di rinnovo sei mesi prima della scadenza.

Il sistema prevede un’articolata rete di vigilanza: le autorità nazionali e provinciali potranno condurre ispezioni e revocare o sospendere certificazioni in caso di incidenti o non conformità.

Le Misure precisano il rapporto tra i due strumenti di compliance previsti dalla PIPL:

• il contratto standard rappresenta una modalità semplificata e auto-gestita, adatta a trasferimenti occasionali o di limitato volume;

• la certificazione è invece più strutturata e formale, basata su una valutazione da parte di enti terzi e su controlli continuativi.

La certificazione offre quindi maggior riconoscimento pubblico e può risultare preferibile per gruppi multinazionali che effettuano trasferimenti frequenti o su larga scala, o che intendono valorizzare la propria affidabilità in materia di protezione dei dati personali.

Con l’entrata in vigore delle Misure, la Cina dispone ora di un sistema completo a tre vie per la gestione dei trasferimenti internazionali di dati. Le imprese operanti nel Paese dovranno:

• valutare quale percorso (valutazione, contratto standard o certificazione) sia più adatto alle proprie operazioni;

• rafforzare la governance interna dei flussi di dati;

• predisporre tempestivamente le analisi PIPIA e la documentazione necessaria per eventuale certificazione.