Um olhar sobre o padrão nacional cybersecurity da china

CSI sobre Tecnologia da Informação - Especificação de Segurança de Informações Pessoais [...]

Um olhar sobre o padrão nacional cybersecurity da china

Abstrato

As empresas com operações dentro e fora da China enfrentam desafios significativos, pois pretendem implementar processos, políticas e tecnologias que se alinham a regulamentos como o GDPR, mas também atendem aos requisitos da estrutura de proteção de dados da China. Neste documento, veremos mais detalhadamente a Especificação da China, suas alterações propostas recentemente, ano 2019, e como a Especificação da China se alinha com o novo padrão de proteção de dados o, GDPR Europeu [...]

 

 

 

 

Acrónimos

 

ROC = Republic of China 'Taiwan'

PRC = People's Republic of China - ‘China, Hong Kong and Macau’

CSL =  Lei de Segurança Cibernética da China

GDPR =  General Data Protection Regulations (Europe)

CSI =  Índice de Valores Mobiliários da China

CAC =  Administração do ciberespaço da China

SAC =  Administração de Standarização da China

RMB = Ren Min Bi refere-se à moeda oficial da República Popular da China, o (Yuan) Chinês.

AQSIQ =  Administração de Supervisão de Qualidade, Inspeção e Quarentena da República Popular da China.

MMS =  Ministério de Segurança do Estado (agência de inteligência e segurança da República Popular da China, área de interesses não militares).

MPS = Ministério da Segurança Pública da China.

PLASSF = Força de Apoio Estratégico do Exército Popular de Libertação da China.

MIIT =  Ministério da Indústria e Tecnologia da Informação Chinês.

BAIDU = Empresa de tecnologia multinacional chinesa especializada em serviços e produtos relacionados com Internet e inteligência artificial.

Alibaba = Empresa chinesa de conglomerados multinacionais especializada em comércio eletrônico, retalho, Internet e tecnologia.

Tencent = Conglomerado holding de investimentos multinacional chinês, é especializado em vários serviços e produtos relacionados com Internet, entretenimento, inteligência artificial e tecnologia, tanto na China quanto no mundo.

JD.com = Também conhecida como, Jingdong detinha anteriormente o nome, 360buy. Empresa chinesa de comércio eletrônico sediada em Pequim.

B2C = Business-to-Consumer

CCPA  = California Consumer Privacy Act.

 

 

 

 

PADRÃO NACIONAL 'CYBERSECURITY' DA CHINA

 

 

Enquanto o mundo iniciava os preparativos para cumprir o prazo de 2018 sobre a Regulamentação Geral de Proteção de Dados da União Europeia referido neste documento como, GDPR, a China lançou a Lei de Segurança Cibernética CSL (CSL GB/T 35273-2017) em junho de 2017. Esta lei estabeleceu princípios abrangentes sobre a governança cibernética da China, mas deixou questões importantes sobre implementação e escopo bastante vago. Nos últimos dois anos, 2018/2019, a China emitiu medidas de acompanhamento e padrões para lidar com essas inadequações.

Mais notavelmente, em fevereiro de 2019, o Comitê Técnico Nacional de Padronização de Segurança da Informação da China (TC260) divulgou um conjunto de emendas à parte da CSI sobre Tecnologia da Informação - Especificação de Segurança de Informações Pessoais (“Especificação”). Embora a Especificação não seja juridicamente vinculativa, é um padrão nacional respeitado e usado em todo o país para avaliar os esforços de proteção de dados.

 

No final de maio de 2019, a Administração do Ciberespaço da China também divulgou o projeto de Medidas para Gestão de Segurança de Dados, que esteve aberto para comentários até o final de junho de 2019. Se aprovado, essas medidas compartilharão requisitos semelhantes com a Especificação.

 

Lei de cibersegurança da China (CSL)

 

Antes da Lei de Segurança Cibernética (CSL), a China não detinha uma estrutura única de proteção de dados; em vez disso, as regras relacionadas à proteção de informações pessoais e segurança de dados estavam espalhadas em várias leis e regulamentações. Quando a CSL entrou em vigor, tornou-se uma das leis nacionais mais fortes que protegem informações pessoais.

A CSL foi anunciada apenas 6 meses após o GDPR em 2016 e compartilha uma série de semelhanças:

 

1) visa consolidar e governar as regulamentações relacionadas a dados do país sob um único ato inclusivo;

2) tem controles rígidos em torno de atividades online; e

3) institui requisitos obrigatórios sobre notificações de violação, a nomeação de um chefe de segurança cibernética e procedimentos de execução.

 

No entanto, enquanto o GDPR se aplica a todas as empresas que lidam com os dados dos residentes da UE, independentemente de onde eles estejam localizados, o CSL só se aplica a empresas que prestam serviços ou operam um negócio através de uma rede de computadores na China.

 

Leia-se os seguintes exemplos;

 

Entre a extraterritorialidade e a soberania cibernética

 

O artigo 3.2.a do GDPR explicita o facto de uma empresa situada fora da UE que oferece “bens ou serviços, independentemente de ser exigido o pagamento da pessoa em causa, a essas pessoas na União”, pode ser abrangida à obrigação do GDPR, concedendo assim ao regulador um efeito extraterritorial. Em contraste, o princípio da ciber soberania no qual a CSL se baseia reflete se no âmbito territorial da CSL que está sob o Artigo 2 estritamente limitado ao “território da República Popular da China”.

 

O foco da segurança cibernética do direito chinês

 

O aspecto de segurança cibernética da CSL é outra das suas principais diferenças com o GDPR. Enquanto o último deixa esta questão para a diretiva sobre segurança e sistemas de informação de rede, o principal foco jurídico da CSL é estabelecer um layout geral para a cibersegurança na China através do seu extenso âmbito descrito nos Artigos 2 e 9. Como tal, a CSL pode ser entendida como uma lei que preenche a lacuna entre a segurança cibernética e a proteção de dados para fundi-las numa lei, impulsionando ainda mais a ideia de que a segurança cibernética e a proteção de dados não podem subsistir entre si.

 

Principais diferenças entre os dois regulamentos (CSL v GDPR):

CSL  (Cybersecurity Law)    -   GDPR  (General Data Protection Regulation)

 

Principais diferenças entre CSL China - GDPR-UE

 

Com um contraste tão elevado, pode-se concluir que as empresas localizadas apenas na China, que fazem negócios na China e na UE, devem cumprir tanto a CSL quanto com o GDPR, enquanto as empresas localizadas apenas na UE só seriam obrigadas ao abrigo do GDPR.

 

Como é composto a CSL ‘Cybersecurity Law’:

 

O CSL é composto por um (1) núcleo, cinco (5) intermédios não governamentais e seis (6) sistemas, que trabalham juntos para criar uma estrutura que governe as tecnologias de informação e comunicação.

 

O núcleo principal do governo é composto por:

 

  • Cyberspace Administration of China (CAC)
  • Ministry of Public Security (MPS)
  • Ministry of Industry and Information Technology (MIIT)
  • National Information Security Standardization Technical Committee (Comitê Técnico 260, ou TC260)
  • Military and intelligence establishment (MIE)

 

Outras agências intermédias não governamentais:

 

  • Chinese industry associations and alliances
  • Baidu, Alibaba, Tencent e JD.com (conhecido como, “the BATs,” ou “BATJ” onde inclúi a JD.com)

 

Os seis sistemas

 

  1. The Internet Information Content Management System
  2. The Cybersecurity Multi-Level Protection System (MLPS)
  3. The Critical Information Infrastructure Security Protection System
  4. The Personal Information and Important Data Protection System
  5. Network Products and Services Management System
  6. The Cybersecurity Incident Management System

 

Essa estrutura regula como as organizações lidam com informações digitais e descrevem métodos para proteger sistemas, produtos e serviços da Internet contra ataques cibernéticos.

 

Padrão nacional da China: a especificação

 

A Especificação pode ser encontrada no quarto sistema da Lei de Segurança Cibernética, as melhores práticas da China para coleta, armazenamento, processamento e partilha de informações confidenciais. Este padrão de 35 páginas foi emitido pelo Comitê Técnico de Padronização de Segurança da Informação Nacional sob a liderança da Administração de Ciberespaço da China em maio de 2018. A Especificação fornece clareza sobre o que é esperado para programas de proteção e conformidade de informações pessoais na China.

Embora não seja obrigatório, as autoridades chinesas confiaram nele para avaliar se uma empresa cumpriu os requisitos encontrados na CSL. O governo chinês também se refere à Especificação ao realizar revisões e aprovações, criando um forte incentivo para as empresas adotarem seus padrões.

 

Novas alterações à especificação da China

 

Apenas alguns meses após a implementação da Especificação, foram emitidas emendas para complementar e aperfeiçoar as diretrizes existentes para a proteção de informações pessoais. Esses novos projetos de emendas refletem as ideias dos reguladores chineses sobre tópicos importantes, como consentimento, acesso de terceiros e exibição personalizada de conteúdo (por exemplo, anúncios direcionados e resultados de pesquisa). As várias alterações recentemente propostas incluem:

 

  • As empresas são obrigadas a registar o ciclo de vida de todos os dados, incluindo atividades de processamento, categorias e fontes, organização e indivíduo envolvido.

 

  • As empresas devem divulgar as suas práticas de coleta, controles de segurança e quaisquer informações sobre transferências de dados transfronteiriças.

 

  • As empresas estão proibidas de pedir repetidamente consentimento, suspender funções ou reduzir o seu nível de serviço para encorajar o consentimento de usuários que anteriormente recusaram.

 

  • As empresas devem informar os indivíduos sobre os diferentes níveis de consentimento necessários para as funções de negócios “básicas” e “ampliadas / adicionais” por meio de uma interface (por exemplo, janela pop-up, barra de notificação, descrição por escrito, etc.).

 

  • As empresas podem coletar informações pessoais por meio do serviço ou produto da empresa, mas a empresa deve supervisionar e gerir o acesso de terceiros.

 

  • Os indivíduos devem ter a opção de 'optar por sair' de uma determinada função tão facilmente como se estivessem optando por 'optar por entrar'.

 

 

Complicações com a ‘especificação’ da China

 

Embora a Especificação seja parte da Lei de Segurança Cibernética, muitas contradições e ambiguidades podem ser encontradas entre as duas. Primeiro, o conceito de “consentimento” difere em alguns pontos do ‘CSL’ e na ‘Especificação’. Embora a Especificação exija consentimento explícito para coletar informações pessoais confidenciais, a CSL não define claramente o consentimento. Portanto, se uma empresa coletar informações pessoais confidenciais sem o consentimento explícito, não está claro se isso seria motivo para a execução.

Além disso, a Especificação instrui as organizações a obter consentimento e excluir dados do usuário mediante solicitação, mas a CSL exige que eles retenham esses dados para que as agências governamentais evitem investigações complicadas, se necessário. Essa inconsistência deixa espaço para a aplicação seletiva e arbitrária com base em interpretações e circunstâncias políticas potencialmente variáveis. Com penalidades que vão desde multas monetárias até prisão, as empresas precisam de ter um claro entendimento de como se alinhar com essas diretrizes conflituosas.

 

Especificação da China e o GDPR da UE

 

Baseada no Regulamento Geral de Proteção de Dados da UE (GDPR), a Lei de Segurança Cibernética da China e sua Especificação tentam estabelecer o padrão para uma abordagem formal mais regulamentada pelo governo para proteção de dados.

 

Autoridade de Proteção de Dados

 

Ao contrário do GDPR, o governo chinês não indicou quem atuará como autoridade formal para proteção de dados.

 

Propriedade e controle de informações pessoais

 

Sob o GDPR, os indivíduos são capazes de responsabilizar as empresas pela forma como coletam, armazenam e gerenciam suas informações pessoais. No entanto, a CSL fornece propriedade e controle dos dados de um indivíduo ao governo. Portanto, embora os consumidores devam ser informados sobre o que as organizações estão coletando, processando e compartilhando, seu controle sobre suas informações pessoais é mais limitado do que o GDPR. As empresas que operam na China também devem entender que os dados que coletam podem ser pesquisados ​​e apreendidos por um órgão do governo, pois os dados estão sob a alçada do governo.

 

Consentimento

 

Quando se trata de consentimento, a Especificação pode ser interpretada como menos restritiva que o GDPR. O GDPR afirma que o consentimento deve ser explícito com uma declaração clara ou outra ação afirmativa; consentimento implícito não é aceitável. A especificação é a mesma nesta questão. No entanto, embora a Especificação use apenas o termo “consentimento explícito”, ela é usada apenas em determinadas circunstâncias, o que pode ser amplamente interpretado como consentimento “implícito ou silencioso” em outras instâncias.

 

Avisos de privacidade

 

A Especificação possui requisitos mais específicos para informações que devem ser incluídas em avisos de privacidade (por exemplo, os riscos de segurança que podem existir após o fornecimento de informações pessoais e as obrigações de cada parte) que o GDPR. As informações não podem ser deixadas de fora, mesmo se o indivíduo tiver acesso a elas de outras fontes, diferentemente do GDPR, que permite essa exceção caso um indivíduo já tenha essas informações. Os avisos de privacidade devem ser entregues a indivíduos de forma independente ou por anúncio público, se os custos se tornarem muito altos.

 

Definição de Informação Sensível

 

Informações pessoais confidenciais sob a Especificação são mais amplas do que as do GDPR. Em vez de se aplicar apenas a tipos específicos de dados, como o GDPR, a Especificação considera qualquer informação pessoal que possa causar danos a pessoas, propriedades, reputação e saúde mental e física, se perdida ou abusada, seja considerada sensível.

 

Notificações de violação de dados

 

De acordo com a Especificação, uma empresa não é obrigada a notificar um indivíduo sobre todos os incidentes de violação de dados, enquanto o GDPR incentiva a transparência e detalha os requisitos de notificação de violação. Somente se uma violação impactar substancialmente um indivíduo (por exemplo, se informações pessoais confidenciais forem divulgadas), uma empresa precisará de emitir uma notificação de acordo com a Especificação.

 

Transferências de dados transfronteiriços

 

Tanto o GDPR quanto a Especificação exigem que seja obtido consentimento para transferências de dados transfronteiriças, mas a China acrescenta um passo adicional antes que os dados possam ser transmitidos para fora do país. Uma avaliação de risco de segurança de dois níveis realizada pela empresa transmitindo as informações pessoais fora da China deve ser concluída. Essa avaliação de segurança é um processo interno de autocertificação que é documentado num relatório por escrito. Assegura que a transferência de dados é legal, legítima, necessária e protegida.

 

Fornecedores e Terceiros

 

Semelhante ao GDPR, a Especificação exige que as empresas realizem avaliações de risco para garantir que um terceiro tenha segurança adequada antes de fornecer informações pessoais a terceiros. As empresas também devem supervisionar esses terceiros, realizando auditorias abrangentes. Embora bastante semelhante às regulamentações da GDPR, a Especificação acrescenta obrigações mais amplas a terceiros, exigindo que notifiquem as empresas quando não conseguem oferecer um nível adequado de segurança. Terceiros devem notificar as empresas após um incidente de segurança ou violação de acordo com o GDPR e a Especificação.

 

Armazenamento de dados

 

Para o GDPR, recomenda-se que os dados coletados sejam armazenados em locais compatíveis com GDPR, mas isso não é um requisito estrito. O oposto é verdadeiro na China. Sob o CSL, informações pessoais ou dados importantes coletados na China devem ser armazenados exclusivamente na China.

 

Penalidades

 

As empresas que violarem a CSL poderão enfrentar multas entre 50.000 e 500.000 RMB 'Chinese Yuan' equivalentes a (6.439,75 - 64.397,50 EUR), (5.710,50 - 57.105,00 GBP) e / ou (7.500 - 75.000 USD) e a rescisão exigida do site da empresa e, revogação de licenças ou permissões de negócios. O pessoal (subentenda-se, funcionários) que estava diretamente no comando pode receber multas individuais entre 10.000 e 100.000 RMB (1.287,95 - 12.879,50 EUR), (1.142,25 - 11.422,50 GBP), (1.500 - 15.000 USD). Operadores de rede estão sujeitos a prisão efectiva de 5 a 15 dias por violar certas disposições. Essas multas monetárias são significativamente menores do que as do GDPR, embora o GDPR não invoque prisão ou penalidades aos indivíduos.

 

 

Conclusão

 

A Especificação tem sido um guia importante na compreensão da privacidade e proteção de dados na China. Embora a Especificação não seja obrigatória, ela é valorizada pelas empresas e pelas autoridades de fiscalização. Com o aumento da preocupação com a proteção de dados, esse regulamento provavelmente estabelecerá um precedente para a elaboração da legislação interna, motivando outros países a considerar um padrão nacional a fim de incentivar uma melhor proteção de dados para os seus residentes. Embora não esteja claro quais das novas alterações venham a ser aprovadas, ou quantas novas serão emitidas para abordar as ambiguidades, a Especificação da China tem o potencial de se classificar ao lado do CCPA e do GDPR no futuro próximo.

 

 

 

©RJCS

 

 

 

 

 

Referências

 

CSI :  http://www.csindex.com.cn/en

AQSIQ 'Administration of Quality Supervision, Inspection and Quarantine' :  http://english.aqsiq.gov.cn/

CAC Cyberspace Administration of China :  http://www.cac.gov.cn/zfdc.htm

CNCA Certification and Accreditation Administration of the People’s Republic of China : http://english.cnca.gov.cn/

ODCPC : Office of Dongzhimen Community of the People’s Republic of China :  http://dzmfuwu.bjdch.gov.cn/CommunitySaft/SaftCommunity.aspx

Cybersecurity Law of the People’s Republic of China (Second Draft) :  https://www.amchamchina.org/uploads/media/default/0001/05/b78e2db2b147c09b8430b6bd55f81bc8299ea50f.pdf

CSRTCC China Cyber ​​Security Review Technology and Certification Center :  http://www.isccc.gov.cn/zxjs/zxjs/index.shtml

Development of China's Internet Network (The 43rd Statistical Report on the Development of China's Internet Network (Full Text  February 28, 2019) : http://www.cac.gov.cn/2019-02/28/c_1124175677.htm

Personal information security specification national standard (May 14, 2018 ) : http://www.cac.gov.cn/2018-05/14/c_1122776896.htm

The State Council Of The People's Republic Of China ( Laws & Regulations ) : http://english.www.gov.cn/archive/lawsregulations/

Information Security Technology Personal Information Security Specification ( Standard number: GB/T 35273-2017 ) :  http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE

BAIDU  Chinese multinational technology :  https://www.baidu.com/

Alibaba   Chinese multinational conglomerate holding company : https://www.alibabagroup.com/en/global/home

Tencent  Chinese multinational investment holding conglomerate company :  https://www.tencent.com/en-us/index.html

JD.com  also known as “Jingdong” and or “360buy”, Chinese e-commerce company headquartered in Beijing : https://www.jd.com/?ds_rl=1272299&cu=true&utm_source=google-search&utm_medium=cpc&utm_campaign=t_262767352_googlesearch&utm_term=kwd-171578042_0_6f0b6c5f177c4eb0b32bd877c76e544d

Republic People's of China Gov website :  http://www.npc.gov.cn/npc/

People's Republic of China Law :  http://www.npc.gov.cn/wxzl/gongbao/2013-02/25/content_1790862.htm

KPMG member firms and affiliates operating in mainland China, Hong Kong, and Macau are collectively referred to as KPMG China : https://home.kpmg/cn/zh/home.html

CCPA  California Consumer Privacy Act.:  https://oag.ca.gov/privacy/ccpa  (Attorney General Office)

GDPR  European Comission :  https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en

____________________________

 

 

 

 

Cybersecurity Law China

voltar para o anterior

 

CSL Article 2 


Material scope

 

  1. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

 

  1. This Regulation does not apply to the processing of personal data:

 

    1. in the course of an activity which falls outside the scope of Union law;
    2. by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
    3. by a natural person in the course of a purely personal or household activity;
    4. by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences, the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.

 

  1. For the processing of personal data by the Union institutions, bodies, offices and agencies, Regulation (EC) No 45/2001 applies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data shall be adapted to the principles and rules of this Regulation in accordance with Article 98.

 

  1. This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive.

 

 

_________________________________

 

 

voltar para o anterior

 

 

 

Cybersecurity Law China

←  voltar para o anterior

 

CSL Article 9


Processing of special categories of personal data

 

  1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.

 

  1. Paragraph 1 shall not apply if one of the following applies:

 

    1. the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

 

    1. processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

 

    1. processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

 

    1. processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

 

    1. processing relates to personal data which are manifestly made public by the data subject;

 

    1. processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

 

    1. processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

 

    1. processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

 

    1. processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; or

 

    1. processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

 

  1. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

 

  1. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. 

 

 

__________________________________

 

voltar para o anterior

 

 

 

 

GDPR European Regulations

voltar para o anterior 

 

Art. 3 GDPR Territorial scope

 

  1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

 

  1. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

 

  1. the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

 

  1. the monitoring of their behaviour as far as their behaviour takes place within the Union.

 

  1. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

 

 

'Art. 3 GDPR Territorial scope' fonte UE : https://gdpr.eu/article-3-requirements-of-handling-personal-data-of-subjects-in-the-union/

 

___________________________________