Em 21 de outubro de 2020, a República Popular da China (RPC) apresentou uma nova versão preliminar da Lei de Proteção de Informações Pessoais (PIPL), a primeira lei abrangente de proteção de dados em potencial para o país. A PIPL contém muitas disposições inspiradas na Regulamento Geral de Proteção de Dados da UE (RGPD) em seus 8 capítulos e 74 artigos - além de suas pesadas multas.
Após passar por sua terceira e última revisão durante a reunião do Congresso Nacional do Povo da China em agosto deste ano, a lei entrará em vigor em 1º de novembro de 2021, tornando-se uma das leis de privacidade mais rigorosas em vigor atualmente.
Embora a versão final da lei ainda não tenha sido divulgada publicamente até o momento desta publicação, as organizações que esperam que a PIPL se aplique a elas podem querer começar a pensar agora em algumas das possíveis mudanças operacionais decorrentes dessa lei. Algumas dessas considerações são destacadas abaixo:
Escopo
Assim como o GDPR, a PIPL tem aplicações extraterritoriais claras para entidades e indivíduos no exterior que processam informações pessoais de indivíduos na China continental. Mesmo que uma organização não tenha presença física ou personalidade jurídica na China, a lei ainda pode ser aplicada se a finalidade do processamento de informações pessoais fora da China for:
- fornecer produtos ou serviços a indivíduos na China,
- “analisar” ou “avaliar” o comportamento de indivíduos na China, ou
- para outros fins a serem especificados por leis e regulamentos.
Processadores de Informações Pessoais
Ao contrário da maioria das regulamentações de privacidade atuais, a PIPL não diferencia entre controlador de dados e processador de dados. As organizações responsáveis pela conformidade com a PIPL são os "Processadores de Informações Pessoais", que, segundo a PIPL, se referem a “Organizações ou indivíduos que determinam de forma independente a finalidade, o âmbito e os meios de tratamento de informações pessoais.”
Em outras palavras, um Processador de Informações Pessoais sob a PIPL é semelhante a um Controlador de Dados sob o GDPR. Entidades que são “encarregadas” de o processamento de informações pessoais em nome de Informações do Processador de Informações Pessoais É necessário acordar contratualmente a finalidade, a retenção, o método de processamento e as medidas de proteção dessas informações. Além disso, Esses administradores fiduciários devem concordar em não compartilhar ou usar as informações pessoais posteriormente sem o consentimento do Processador de Informações Pessoais.
Vale ressaltar também que a versão final da PIPL distingue entre plataformas de internet de grande escala e processadores de informações pessoais de “pequena escala”. Essas organizações de grande escala deve seguir “Os princípios de abertura, equidade e justiça para formular regras da plataforma para a proteção de informações pessoais” – que incluem a publicação “relatórios de responsabilidade de informações pessoais” – permitindo, ao mesmo tempo, que os reguladores da China formulem regras relevantes para processadores de pequena escala que "reduzam adequadamente seus custos de conformidade".
Definições de dados
“Informações Pessoais” tem um definição semelhante Em comparação com a definição de "Dados Pessoais" do RGPD, trata-se essencialmente de "informações registradas por meios eletrônicos ou outros, relacionadas a pessoas singulares identificadas ou identificáveis, excluindo-se, contudo, as informações que passaram por processo de anonimização".
A PIPL também possui uma disposição para “Informações Pessoais Sensíveis”, semelhante às “Categorias Especiais de Dados Pessoais” do RGPD. Informações Pessoais Sensíveis são informações pessoais que, uma vez vazadas ou usadas ilegalmente, podem causar discriminação contra indivíduos ou graves danos à segurança pessoal ou patrimonial – incluindo (mas não se limitando a) informações sobre:
- Corrida,
- Grupo étnico,
- Crenças religiosas,
- Dados biométricos pessoais,
- Informações pessoais de menores de 14 anos
- informações de saúde
- informações de contas financeiras e
- informações de localização
O consentimento expresso é necessário para o processamento de Informações Pessoais Sensíveis.
Programa de Proteção de Dados
A PIPL exige que os Processadores de Informações Pessoais criem um programa de proteção de dados. A lei também inclui uma lista não exaustiva de medidas específicas do programa, tais como:
- Implementar sistema de gestão confidencial de informações pessoais.
- Auditorias regulares de conformidade
- Avaliações de impacto
- Conscientização e treinamento de funcionários
- Designar um responsável pela proteção de dados
- Registros de atividades de processamento
- protocolos de solicitação de direitos individuais
- Requisitos de resposta e notificação de violações de segurança
Assim como no caso do GDPR, as organizações fora da China sujeitas à lei precisarão nomear um representante de proteção de dados na China e também reportar informações relevantes sobre sua organização ou representante local às autoridades reguladoras chinesas.
Direitos Individuais
A PIPL abrange vários direitos do titular dos dados, semelhantes ao RGPD. Esses direitos individuais incluem:
- Direito a uma explicação sobre as atividades de processamento de dados
- Direito de acesso a informações pessoais
- Direito à retificação
- Direito à portabilidade
- Direito de optar por não receber marketing personalizado
- Direito ao apagamento
Caso o período de retenção estipulado por leis e regulamentos não tenha expirado, ou a exclusão de Informações Pessoais seja tecnicamente difícil de realizar, o Processador de Informações Pessoais deverá interromper o processamento das informações – exceto para armazenamento e adoção das medidas de proteção de segurança necessárias.
As organizações devem fornecer um mecanismo conveniente que permita aos indivíduos exercerem seus direitos. E se a organização negar aos indivíduos a possibilidade de exercerem seus direitos – devendo, portanto, apresentar a justificativa para tal negação – então os indivíduos podem entrar com uma ação judicial em um tribunal popular, de acordo com a lei.
Fundamentos jurídicos para o processamento de informações
A PIPL oferece múltiplos serviços. bases legais para o processamento de Informações Pessoais – incluindo:
- O consentimento do indivíduo – mesmo que suas informações sejam de domínio público.
- Executar ou cumprir um contrato com o indivíduo.
- Cumprir os requisitos e obrigações regulamentares
- incidentes de saúde pública ou situações de emergência
- Necessário para a divulgação de notícias precisas ou para o monitoramento da opinião pública em prol do interesse público.
- Cumprimento de outras leis e regulamentos chineses
Consentimento
A PIPL exige que o consentimento seja claro, voluntário e bem informado. Além disso, existem requisitos específicos de consentimento para determinadas situações:
- É necessário o consentimento explícito e específico para o processamento de Informações Pessoais Sensíveis.
- Consentimento dos pais para o processamento de informações pessoais de menores de 14 anos – se o responsável pelo tratamento de informações pessoais souber ou deveria saber que está processando informações pessoais de uma criança.
- Consentimento para tomada de decisão automatizada processosConsentimento – juntamente com a divulgação específica no aviso de privacidade da organização – para a transferência ou compartilhamento de Informações Pessoais e mecanismos automatizados de tomada de decisão. E, similarmente à lei de privacidade da Califórnia, o uso de Informações Pessoais para tomada de decisão automatizada “não deve impor tratamento diferenciado injustificado aos indivíduos em termos de preços de transação e outras condições de transação”.
A PIPL não estipula um prazo específico para a obtenção do consentimento. A lei sugere que ele deve ser fornecido "em tempo hábil", embora não especifique o que significa "em tempo hábil".
Localização de dados
Ao contrário dos requisitos atuais de localização de dados previstos na Lei de Segurança da China (CSL), a PIPL estabelece requisitos mais específicos para organizações que precisam armazenar informações processadas especificamente dentro das fronteiras da República Popular da China. O Processador de Informações Pessoais que processa um determinado volume de Informações Pessoais deverá passar por uma avaliação de segurança organizada pelo órgão regulador da PIPL: a Administração do Ciberespaço da China (CAC).
Transferências transfronteiriças
A PIPL exige uma avaliação de segurança administrada pela CAC – bem como notificação e consentimento – para quaisquer transferências internacionais de dados. As organizações devem realizar uma avaliação de risco interna antes de transferir informações pessoais para fora da República Popular da China e manter registros dessas transferências. Os Processadores de Informações Pessoais também podem utilizar mecanismos de transferência aprovados pela PIPL, como um avaliador de segurança terceirizado certificado ou a celebração de um acordo padronizado de transferência internacional de dados.
Notificação de violação
No caso de um violação de segurançaA Lei de Proteção de Privacidade do Consumidor (PIPL) exige que as entidades tomem medidas corretivas "imediatas" e notifiquem a agência competente e os indivíduos afetados. Ao contrário do GDPR e da maioria das leis estaduais americanas de notificação de violação de dados, não há um prazo específico para a notificação.
Fiscalização e multas
A PIPL proporciona um direito de ação privado relativamente amplo – a possibilidade de indivíduos processarem – bem como a aplicação geral da lei pelo CAC.
De acordo com a PIPL, uma organização que processa informações pessoais ilegalmente ou não toma as medidas de segurança necessárias para proteger essas informações pode estar sujeita a multas básicas de até 1 milhão de RMB. Se a violação for considerada grave, a multa pode ser aumentada para até 50 milhões de RMB ou 51 TP3T da receita anual da organização no exercício financeiro anterior.
A lei também prevê responsabilidade pessoal em caso de violação: o pessoal diretamente responsável pelo processamento de informações pessoais pode ser multado em até 1 milhão de RMB.
Como obter conformidade com o PIPL
A Lei de Proteção da Privacidade Online das Pessoas Singulares (PIPL, na sigla em inglês) – juntamente com a nova Lei de Segurança de Dados da China, aplicável a informações críticas que apresentem riscos à segurança nacional – faz parte do esforço da República Popular da China para fortalecer seu arcabouço regulatório para privacidade e proteção de dados. A reforma legislativa na China também está sendo bastante rápida: a PIPL entrará em vigor em 1º de novembro deste ano, embora tenha sido aprovada recentemente. Lei de Segurança de Dados entrará em vigor em 1º de setembro. De fato, o CAC anunciou neste verão que iria iniciar uma investigação A Didi Global, aplicativo chinês de transporte por aplicativo, está sendo investigada por suposta violação da privacidade do usuário.
Essas regulamentações terão um grande impacto nas empresas que operam ou fazem negócios com a China. Mas, como diz o provérbio chinês Nàixīn, jiānchí hé hànshuǐ shì chénggōng de bìshèng fǎbǎo. – “paciência, persistência e transpiração formam uma combinação imbatível para o sucesso”. Embora muitos detalhes da implementação ainda não estejam claros, as organizações devem começar a revisar e avaliar suas informações. atividades de processamento agora em desacordo com os requisitos das regulamentações abrangentes. A BigID pode ajudar as organizações a operacionalizar seus programas de privacidade – desde inventários de informações pessoais até Automatizando os direitos de dados do cumprimento do monitoramento de transferências internacionais – obtenha um Atendimento individual com nossos especialistas em privacidade de dados. Para descobrir como obter a conformidade com o PIPL – e por onde começar.
Autor
