«Con la promozione delle imprese e degli investimenti, la tecnologia di riconoscimento facciale è entrata nella vita sociale su larga scala e in profondità svolgendo un ruolo importante nel mantenimento della stabilità sociale. Tuttavia, l’abuso consapevole e l’uso improprio del riconoscimento facciale hanno causato preoccupazioni tra la popolazione». Inizia così un recente articolo sul magazine economico cinese Jinji guangchabao nel quale si analizzano le prime conseguenze della legge sulla privacy (la legge sulla protezione delle informazioni personali, Pipl) entrata in vigore il 1 novembre 2021.
In particolare la rivista on line si concentra su quanto sta avvenendo intorno al riconoscimento facciale, strumento di cui in Cina, specie in epoca pandemica, si è sicuramente abusato. Nel 2021 – per la prima volta – una sentenza ha condannato un parco a tema per il suo utilizzo, benché non ne abbia sancito in alcun modo un ban completo. Il governo qualche mese fa ha emesso alcune linee guida, non vincolanti. Ma la legge sulla privacy, molto simile a quella europea per quanto riguarda la severità con la quale è limitata la raccolta dei dati da parte delle aziende private, definisce «informazione personale sensibile» il volto, provocando tutta una serie di conseguenze.
In alcuni luoghi, dove durante la pandemia erano sorte telecamere a riconoscimento facciale all’ingresso, sono state sistemate anche carta e penna così che si possa entrare senza fornire i propri dati attraverso il viso. Insieme alla legge sulla privacy la Cina ha introdotto o introdurrà altre norme per quanto riguarda i dati e la loro sicurezza, gli algoritmi, i passaggi transfrontalieri: in pratica Pechino sta disegnando il suo impianto normativo che oscilla tra avanguardia e garanzia per il Pcc di poter mantenere un controllo, qualora lo voglia, su tutto.
Quando la Pipl era ancora in fase di bozza The Protocol – molto attento a tutto quanto si muove intorno al digitale cinese – scriveva che «Gli osservatori internazionali pensano spesso alla Cina come a un luogo in cui le protezioni della privacy sono scarse o inesistenti. Ma una legge imminente potrebbe dotare i consumatori cinesi di strumenti offensivi e difensivi che gli utenti del web in luoghi come gli Stati Uniti potrebbero solo sognarsi». La legge – si diceva allora – «simile al Regolamento generale sulla protezione dei dati dell’Unione europea, darà agli individui il potere di sapere come vengono utilizzati i loro dati personali e di acconsentire o meno alla loro raccolta». Jeremy Daum, della Yale Law School Paul Tsai China Center, l’ha definita «una buona legge» sostenendo che «tendiamo a pensare che la Cina non sia eccessivamente preoccupata per la privacy, ed è semplicemente sbagliato. C’è una crescente aspettativa di privacy e il governo sta rispondendo».
Non mancano, in teoria, alcuni limiti per lo Stato, benché piuttosto vaghi; un capitolo della norma disciplina l’uso delle informazioni personali da parte degli organi statali, specificando che lo Stato «non può eccedere la portata o la misura necessaria per adempiere ai propri doveri e responsabilità legali».
Il vulnerabile altrove
Quando uscì il draft della legge, Giorgio Resta, professore ordinario di diritto privato comparato presso il Dipartimento di Giurisprudenza dell’Università di Roma Tre, disse al manifesto che «È interessante – prosegue Resta – il discorso legato all’extra territorialità, che dimostra come gli europei abbiano creato una governance globale dei dati e giustamente i cinesi ora si pongono sulla stessa linea: in questo modo qualsiasi azienda straniera che si rivolga al loro mercato interno è sottoposta alle leggi cinesi. Si tratta di un lento passaggio dalla rule by law a una nascente rule of law».
La legge sulla privacy, infatti, potrebbe costituire un problema sia per le big cinesi (tutti i colossi del riconoscimento facciale cinese, che pure non vivono un momento d’oro a causa della difficoltà attuale a fare profitti e nello stesso tempo a procacciarsi finanziamenti per fare salti in avanti nella tecnologia usata) sia per le aziende straniere.
Come ha registrato l’edizione americana di Wired «Le società estere che non sono in linea con il Pipl o danneggiano la sicurezza nazionale della Cina possono essere inserite in una lista nera, che potrebbe effettivamente vietare loro di trattare i dati personali cinesi, aprendo la porta a ritorsioni internazionali contro le imprese». Il giorno in cui è stata introdotta la legge, viene ricordato, «Yahoo ha chiuso i pochi servizi rimanenti che operava in Cina, citando un ambiente commerciale e legale sempre più impegnativo. LinkedIn ha indicato le stesse preoccupazioni annunciando la sua fuga dalla Cina a ottobre».
«Quando guardi al Pipl, ha raccontato al magazine Alexa Lee, senior manager presso l’Information Technology Industry Council e editor a DigiChina della Stanford University (nonché autore di una traduzione in inglese della legge) possiamo dire che si concentra davvero sulla protezione degli individui, della società e della sicurezza nazionale, a causa dell’esclusivo sistema politico cinese».
Affinità e divergenze con il Gdpr
Rispetto alla legislazione europea, nella legge cinese ci sono alcune peculiarità: nell’area sulla localizzazione dei dati Gdpr e Pipl differiscono in modo significativo, poiché l’Ue non ha richiesto la localizzazione, mentre il Pipl obbliga gli operatori delle infrastrutture a tenere in Cina i dati raccolti sul territorio virtuale cinese (va ricordato che per Pechino la rete è il territorio, per la «virtualità» valgono le stesse regole del mondo fisico). Il dettaglio è stabilito nell’articolo 40: «Gli operatori delle infrastrutture di informazione critica e i responsabili del trattamento delle informazioni personali il cui trattamento raggiunge il numero prescritto dall’amministrazione statale devono conservare le informazioni personali raccolte e generate nel territorio della Repubblica popolare cinese entro il territorio della Cina».
Ma tutto l’assetto normativo cinese pare provocare interesse in Occidente. Vincent Ni, corrispondente dalla Cina per il Guardian, ha elencato tre categorie di regolamenti cinesi: una prima categoria ha al suo interno «regolamenti che tengono il passo con l’Occidente», ad esempio la Pipl; ci sono poi regolamenti tipicamente «cinesi», come i provvedimenti per limitare le ore di gioco on line per i bambini.
«È difficile immaginare che tali regolamenti appaiano in Gran Bretagna e negli Stati Uniti», scrive Ni. Infine la terza categoria, «regolamenti» attraverso i quali la Cina tenta di portarsi avanti rispetto alla legislazione occidentale. Un esempio: «In Cina, il governo vuole regolamentare anche gli algoritmi (anche se continuo a chiedermi come possono mettere efficacemente i burocrati nel ruolo di valutare sistemi tecnici complessi e spesso opachi?) e poi c’è lo yuan digitale. Le prove della valuta virtuale sono in corso».