Ir al contenido
Ver todas las entradas

Ley de privacidad de China: Impactos y cómo prepararse

Por Heather Federman

7 minuto de lectura

El 21 de octubre de 2020, la República Popular China (RPC) dio a conocer un nuevo borrador de la Ley de Protección de Información Personal (PIPL), la primera posible ley integral de protección de datos para el país. La PIPL contiene muchas disposiciones inspiradas en la Reglamento general de protección de datos de la UE (RGPD) dentro de sus 8 capítulos y 74 artículos- además de sus cuantiosas multas.

Después de pasar por su tercera y última revisión durante la reunión del Congreso Nacional Popular de China en agosto de este año, la ley ahora entrará en vigencia el 1 de noviembre de 2021, convirtiéndose en una de las leyes de privacidad más estrictas que existen actualmente.

Si bien la versión final de la ley aún no se ha publicado al momento de esta publicación, las organizaciones que esperan que la Ley PIPL les sea aplicable deberían empezar a considerar desde ahora algunos de los posibles cambios operativos de esta ley. Algunas de estas consideraciones se destacan a continuación:

Alcance

Al igual que el RGPD, la Ley de Protección de Datos Personales (PIPL) tiene claras aplicaciones extraterritoriales para entidades y personas extranjeras que procesan información personal de personas en China continental. Incluso si una organización no tiene presencia física ni entidad legal en China, la ley podría aplicarse si el propósito del procesamiento de información personal fuera de China es:

    1. proporcionar productos o servicios a personas en China,
    2. “analizar” o “evaluar” el comportamiento de las personas en China, o
    3. para otros fines que se especifiquen mediante leyes y reglamentos.

Procesadores de información personal

A diferencia de la mayoría de las regulaciones de privacidad actuales, la Ley de Protección de Datos Personales (PIPL) no distingue entre responsable y encargado del tratamiento de datos. Las organizaciones responsables del cumplimiento de la PIPL son los «Encargados del Tratamiento de Datos Personales», lo que, según la PIPL, se refiere a “organizaciones o individuos que determinan de forma independiente el propósito, el alcance y los medios del procesamiento de la información personal”.

En otras palabras, un Encargado del Tratamiento de Datos Personales según la Ley PIPL es similar a un Responsable del Tratamiento de Datos según el RGPD. Las entidades a las que se les confía...  el procesamiento de información personal por cuenta de la información de un procesador de información personal deben acordar contractualmente la finalidad, la conservación, el modo de tratamiento y las medidas de protección de dicha información. Además, dichos fideicomisarios deben aceptar no compartir ni utilizar posteriormente la información personal sin el consentimiento del procesador de información personal.

También cabe destacar que la versión final de la Ley de Protección de Datos Personales (PIPL) distingue entre plataformas de internet a gran escala y procesadores de información personal a pequeña escala. Estas organizaciones a gran escala... Debería seguir “los principios de apertura, equidad y justicia para formular reglas de plataforma para la protección de la información personal”, que incluyen la publicación “informes de responsabilidad sobre información personal” – al tiempo que permite a los reguladores chinos formular reglas pertinentes para los procesadores de pequeña escala que “reducirían adecuadamente sus costos de cumplimiento”.

Definiciones de datos

La “Información Personal” tiene un definición similar En comparación con la definición de "Datos Personales" del RGPD, se trata, en esencia, de "información registrada por medios electrónicos o de otro tipo sobre personas físicas identificadas o identificables, excluyendo, no obstante, dicha información tras el tratamiento de anonimización".

La Ley de Protección de Datos Personales (PIPL) también incluye una disposición sobre «Información Personal Sensible», similar a las «Categorías Especiales de Datos Personales» del RGPD. Por «Información Personal Sensible» se entiende aquella información personal que, una vez filtrada o utilizada ilegalmente, puede causar discriminación contra personas o perjudicar gravemente la seguridad personal o patrimonial. Esto incluye, entre otros, información sobre:

  • Carrera,
  • Grupo étnico,
  • Creencias religiosas,
  • Datos biométricos personales,
  • Información personal de menores de 14 años
  • información de salud
  • información de la cuenta financiera, y
  • información de ubicación

Se requiere el consentimiento expreso para el procesamiento de información personal confidencial.

Programa de Protección de Datos

La Ley de Protección de Datos Personales (PIPL) exige a los encargados del tratamiento de datos personales que creen un programa de protección de datos. La ley también incluye una lista no exhaustiva de medidas específicas del programa, como:

  • Implementar un sistema de gestión clasificada de Información Personal
  • Auditorías periódicas de cumplimiento
  • Evaluaciones de impacto
  • Concientización y capacitación de los empleados
  • Designación de un delegado de protección de datos
  • Registros de actividades de procesamiento
  • Protocolos de solicitud de derechos individuales
  • Requisitos de respuesta e informes sobre violaciones de seguridad

Al igual que el RGPD, las organizaciones fuera de China que están sujetas a la ley deberán designar un representante de protección de datos en China y también informar información relevante de su organización o representante nacional a los reguladores chinos.

Derechos individuales

La LPPI incluye diversos derechos de los interesados, similares al RGPD. Estos derechos individuales incluyen:

  • Derecho a una explicación sobre las actividades de tratamiento de datos
  • Derecho de acceso a la información personal
  • Derecho de corrección
  • Derecho a la portabilidad
  • Derecho a optar por no recibir marketing personalizado
  • Derecho de supresión

Si el período de retención estipulado por las leyes y regulaciones no ha expirado, o la eliminación de la Información Personal es técnicamente difícil de lograr, entonces el Procesador de Información Personal debe dejar de procesar la información, salvo almacenarla y tomar las medidas de protección de seguridad necesarias.

Las organizaciones deben proporcionar un mecanismo conveniente que permita a las personas ejercer sus derechos. Si la organización les niega el ejercicio de sus derechos —y deben justificarlo—, estas pueden presentar una demanda ante un tribunal popular conforme a la ley.

PIPL proporciona múltiples bases jurídicas para procesar información personal, estos incluyen:

  1. El consentimiento del individuo, incluso si su información está disponible públicamente
  2. Ejecutar o cumplir un contrato con el individuo
  3. Cumplimiento de requisitos y obligaciones regulatorias
  4. Incidentes de salud pública o situaciones de emergencia
  5. Necesario para informar noticias precisas o monitorear la opinión pública en interés público.
  6. Cumplimiento de otras leyes y regulaciones chinas

La Ley de Protección de Datos Personales exige que el consentimiento sea claro, voluntario y bien informado. Además, existen requisitos específicos de consentimiento para ciertas situaciones:

  1. Se requiere consentimiento específico para procesar información personal confidencial
  2. Consentimiento de los padres para el procesamiento de información personal de menores de 14 años: si el procesador de información personal sabe o debería haber sabido que procesa la información personal de un niño.
  3. Consentimiento para la toma de decisiones automatizada procesosConsentimiento, junto con la divulgación específica en el aviso de privacidad de la organización, para la transferencia o el intercambio de información personal y mecanismos de toma de decisiones automatizada. De manera similar a la ley de privacidad de California, el uso de información personal para la toma de decisiones automatizada "no impondrá un trato diferenciado irrazonable a las personas en cuanto a precios y otras condiciones de transacción".

La Ley de Protección de Datos Personales (PIPL) no especifica un plazo específico para obtener el consentimiento. La ley implica que debe proporcionarse oportunamente, aunque no especifica qué significa "oportunamente".

Localización de datos

A diferencia de los requisitos actuales de localización de datos bajo la Ley de Seguridad de China (LSC), la Ley de Protección de Datos Personales (PIPL) establece requisitos más específicos para las organizaciones que deben almacenar información procesada específicamente dentro de las fronteras de la República Popular China. El encargado del tratamiento de datos personales que procese un determinado umbral de información personal deberá superar una evaluación de seguridad organizada por el organismo regulador de la PIPL: la Administración del Ciberespacio de China (CAC).

Transferencias transfronterizas

La Ley de Protección de Datos Personales (PIPL) exige una evaluación de seguridad administrada por la CAC, así como la notificación y el consentimiento, para cualquier transferencia transfronteriza de datos. Las organizaciones deben realizar una evaluación interna de riesgos antes de transferir información personal fuera de la República Popular China y mantener registros de dichas transferencias. Los encargados del tratamiento de datos personales también pueden utilizar mecanismos de transferencia aprobados por la PIPL, como un asesor de seguridad externo certificado o la firma de un acuerdo estandarizado de transferencia transfronteriza de datos.

Notificación de infracciones

En caso de una violación de seguridadLa Ley PIPL exige a las entidades que tomen medidas correctivas inmediatas y notifiquen a la agencia pertinente y a las personas afectadas. A diferencia del RGPD y de la mayoría de las leyes estatales de notificación de infracciones de EE. UU., no existe un plazo específico para la notificación.

Cumplimiento y multas

La PIPL otorga un derecho de acción privado relativamente amplio (la capacidad de los individuos para demandar), así como una ejecución general por parte de la CAC.

Según la Ley PIPL, una organización que procese ilegalmente información personal o no adopte las medidas de seguridad necesarias para protegerla puede estar sujeta a multas básicas de hasta 1 millón de RMB. Si la infracción se considera grave, la multa puede incrementarse hasta 50 millones de RMB o 5% de los ingresos anuales de la organización del ejercicio anterior.

La ley también contiene una disposición sobre responsabilidad personal en el contexto de una infracción: el personal directamente responsable del procesamiento de información personal puede ser multado con hasta 1 millón de RMB.

Cómo lograr el cumplimiento de la ley PIPL

La Ley de Protección de Datos Personales (PIPL), junto con la nueva Ley de Seguridad de Datos de China, aplicable a la información crítica que genera preocupaciones de seguridad nacional, forma parte del esfuerzo de la República Popular China (RPC) por fortalecer su marco regulatorio en materia de privacidad y protección de datos. La reforma legislativa en la RPC también avanza con rapidez: la PIPL entrará en vigor el 1 de noviembre de este año, aunque se aprobó recientemente. Ley de Seguridad de Datos entrará en vigor el 1 de septiembre. De hecho, la CAC anunció este verano que iniciar una investigación contra Didi Global, la aplicación de viajes compartidos de China, por supuestamente violar la privacidad de los usuarios.

Estas regulaciones tendrán un gran impacto en las empresas que operan o hacen negocios con China. Pero como dice el proverbio chino Nàixīn, jiānchí hé hànshuǐ shì chénggōng de bìshèng fǎbǎo: «La paciencia, la persistencia y el esfuerzo son una combinación insuperable para el éxito». Aunque muchos detalles de implementación siguen sin estar claros, las organizaciones deberían empezar a revisar y evaluar su información. actividades de procesamiento Ahora, contra los requisitos de las regulaciones integrales, BigID puede ayudar a las organizaciones a implementar sus programas de privacidad, desde inventarios de información personal hasta... automatización de los derechos de datos Cumplimiento para monitorear transferencias transfronterizas: obtenga una 1:1 con nuestros expertos en privacidad de datos para descubrir cómo lograr el cumplimiento de la PIPL y por dónde empezar.

Autor

Heather Federman

Contenido