Em 21 de outubro de 2020, a República Popular da China (RPC) divulgou um novo rascunho da Lei de Proteção de Informações Pessoais (PIPL), a primeira lei potencialmente abrangente de proteção de dados para o país. O PIPL contém muitas disposições inspiradas no Regulamento Geral de Proteção de Dados da UE (GDPR) em seus 8 capítulos e 74 artigos, além de suas pesadas multas.
Depois de passar por sua terceira e última revisão durante a reunião do Congresso Nacional Popular da China em agosto, a lei está programada para entrar em vigor em 1º de novembro de 2021, tornando-se uma das leis de privacidade mais rigorosas já existentes.
Embora a versão final da lei ainda não tenha sido divulgada publicamente até o momento desta publicação, as organizações que esperam que o PIPL se aplique a elas podem começar a pensar agora em algumas das possíveis mudanças operacionais desta lei. Algumas dessas considerações são destacadas abaixo:
Escopo
Assim como o GDPR, o PIPL tem aplicações extraterritoriais claras para entidades e indivíduos estrangeiros que processam informações pessoais de indivíduos na China continental. Mesmo que uma organização não tenha presença física ou entidade legal na China, a lei ainda pode ser aplicada se a finalidade do processamento de informações pessoais fora da China for:
-
- fornecer produtos ou serviços a indivíduos na China,
- “analisar” ou “avaliar” o comportamento de indivíduos na China, ou
- para outros fins a serem especificados por leis e regulamentos.
Processadores de Informações Pessoais
Ao contrário da maioria das regulamentações de privacidade atuais, o PIPL não diferencia entre um controlador de dados e um processador de dados. As organizações responsáveis pela conformidade com o PIPL são “Processadores de Informações Pessoais”, que, segundo o PIPL, se referem a “organizações ou indivíduos que determinam de forma independente a finalidade, o escopo e os meios de processamento de informações pessoais”.
Em outras palavras, um Processador de Informações Pessoais sob o PIPL é semelhante a um Controlador de Dados sob o GDPR. Entidades que são “encarregadas” de o processamento de informações pessoais em nome de informações de um Processador de Informações Pessoais deve concordar contratualmente sobre a finalidade, retenção, método de processamento e medidas de proteção para essas informações. Além disso, esses administradores devem concordar em não compartilhar ou usar as informações pessoais sem o consentimento do Processador de Informações Pessoais.
Também é importante notar que a versão final do PIPL distingue entre plataformas de Internet de larga escala e processadores de informações pessoais de “pequena escala”. Essas organizações de larga escala deve seguir “os princípios de abertura, equidade e justiça para formular regras de plataforma para proteção de informações pessoais” – que incluem a publicação “relatórios de responsabilidade de informações pessoais” – ao mesmo tempo em que permite que os reguladores da China formulem regras relevantes para processadores de pequena escala que “reduziriam adequadamente seus custos de conformidade.
Definições de dados
“Informações Pessoais” tem uma definição semelhante em comparação com a definição de “Dados Pessoais” do GDPR. Essencialmente, são “informações registradas por meios eletrônicos ou outros, relacionadas a pessoas físicas identificadas ou identificáveis, excluindo-se, no entanto, tais informações após processamento de anonimização”.
A PIPL também possui uma cláusula para “Informações Pessoais Sensíveis”, semelhante às “Categorias Especiais de Dados Pessoais” do GDPR. Informações Pessoais Sensíveis são aquelas que, uma vez vazadas ou utilizadas ilegalmente, podem causar discriminação contra indivíduos ou danos graves à segurança pessoal ou patrimonial – o que inclui (mas não se limita a) informações sobre:
- Corrida,
- Grupo étnico,
- Crenças religiosas,
- Dados biométricos pessoais,
- Informações pessoais de menores de 14 anos
- informações de saúde
- informações da conta financeira e
- informações de localização
O consentimento opt-in é necessário para o processamento de Informações Pessoais Sensíveis.
Programa de Proteção de Dados
A PIPL exige que os Processadores de Informações Pessoais criem um programa de proteção de dados. A lei também inclui uma lista não exaustiva de medidas específicas do programa, como:
- Implementar sistema de gestão classificada de Informações Pessoais
- Auditorias regulares de conformidade
- Avaliações de Impacto
- Conscientização e treinamento de funcionários
- Designação de um responsável pela proteção de dados
- Registros de atividades de processamento
- Protocolos de solicitação de direitos individuais
- Requisitos de resposta e relatórios de violações de segurança
Assim como o GDPR, organizações fora da China que estão sujeitas à lei precisarão nomear um representante de proteção de dados na China e também relatar informações relevantes de sua organização ou representante nacional aos reguladores chineses.
Direitos Individuais
O PIPL inclui vários direitos do titular dos dados, semelhantes ao GDPR. Esses direitos individuais incluem:
- Direito a uma explicação sobre as atividades de tratamento de dados
- Direito de acesso a informações pessoais
- Direito à correção
- Direito à portabilidade
- Direito de optar por não receber marketing personalizado
- Direito de eliminação
Se o período de retenção estipulado por leis e regulamentos não tiver expirado, ou se a exclusão das Informações Pessoais for tecnicamente difícil de ser alcançada, o Processador de Informações Pessoais deverá parar de processar as informações – exceto armazená-las e tomar as medidas de proteção de segurança necessárias.
As organizações devem fornecer um mecanismo conveniente que permita aos indivíduos exercerem seus direitos. E se a organização negar aos indivíduos a capacidade de exercer seus direitos – devendo estes apresentar a justificativa para a negação –, os indivíduos poderão entrar com uma ação judicial em um tribunal popular, de acordo com a lei.
Bases legais para o processamento de informações
O PIPL oferece múltiplos bases legais para processamento de Informações Pessoais – estas incluem:
- O consentimento do indivíduo – mesmo que suas informações estejam disponíveis publicamente
- Executar ou cumprir um contrato com o indivíduo
- Cumprimento de requisitos e obrigações regulatórias
- Incidentes de saúde pública ou situações de emergência
- Necessário para reportagens de notícias precisas ou monitoramento da opinião pública no interesse público
- Conformidade com outras leis e regulamentos chineses
Consentimento
O PIPL exige que o consentimento seja claro, voluntário e bem informado. Além disso, existem requisitos de consentimento específicos para determinadas situações:
- Consentimento opt-in específico necessário para o processamento de Informações Pessoais Sensíveis
- Consentimento dos pais para o processamento de Informações Pessoais de menores de 14 anos – se o Processador de Informações Pessoais sabe ou deveria saber que processa Informações Pessoais de uma criança.
- Consentimento para tomada de decisão automatizada processosConsentimento – juntamente com a divulgação específica no aviso de privacidade da organização – para a transferência ou compartilhamento de Informações Pessoais e mecanismos de tomada de decisão automatizada. E, semelhante à lei de privacidade da Califórnia, o uso de Informações Pessoais para tomada de decisão automatizada “não deve impor tratamento diferenciado irracional aos indivíduos em termos de preços de transação e outras condições de transação”.
O PIPL não estabelece um prazo específico para a obtenção do consentimento. A lei implica que ele deve ser fornecido "em tempo hábil", embora não especifique o que significa "em tempo hábil".
Localização de Dados
Ao contrário dos atuais requisitos de localização de dados previstos na Lei de Segurança da China (CSL), a PIPL estabelece requisitos mais específicos para organizações que precisam armazenar informações processadas especificamente dentro das fronteiras da RPC. O Processador de Informações Pessoais que processa um determinado limite de Informações Pessoais terá que passar por uma avaliação de segurança organizada pelo regulador da PIPL: a Administração do Ciberespaço da China (CAC).
Transferências Transfronteiriças
O PIPL exige uma avaliação de segurança administrada pelo CAC – bem como notificação e consentimento – para qualquer transferência transfronteiriça de dados. As organizações devem realizar uma avaliação interna de risco antes de transferir informações pessoais para fora da RPC e manter registros dessas transferências. Os Processadores de Informações Pessoais também podem utilizar mecanismos de transferência aprovados pelo PIPL, como um avaliador de segurança terceirizado certificado ou a celebração de um contrato padronizado de transferência transfronteiriça de dados.
Notificação de violação
No caso de uma violação de segurançaA PIPL exige que as entidades tomem medidas de remediação "imediatas" e notifiquem a agência relevante e os indivíduos afetados. Ao contrário do GDPR e da maioria das leis de notificação de violação dos Estados Unidos, não há um prazo específico para a notificação.
Execução e multas
O PIPL oferece um direito privado de ação relativamente amplo — a capacidade de indivíduos processarem — bem como a execução geral pelo CAC.
De acordo com o PIPL, uma organização que processe informações pessoais ilegalmente ou deixe de tomar as medidas de segurança necessárias para protegê-las pode estar sujeita a multas básicas de até 1 milhão de RMB. Se a violação for considerada grave, a multa pode ser aumentada para até 50 milhões de RMB ou 5% da receita anual da organização referente ao exercício financeiro anterior.
A lei também prevê responsabilidade pessoal no contexto de uma violação: o pessoal diretamente responsável pelo processamento de informações pessoais pode ser multado em até RMB 1 milhão.
Como alcançar a conformidade com o PIPL
A PIPL – juntamente com a novíssima Lei de Segurança de Dados da China, aplicável a informações críticas que envolvam preocupações de segurança nacional – faz parte do esforço da RPC para fortalecer sua estrutura regulatória de privacidade e proteção de dados. A reforma legislativa na RPC também é bastante rápida – a PIPL entrará em vigor em 1º de novembro deste ano, embora tenha sido aprovada recentemente. Lei de Segurança de Dados entrará em vigor em 1º de setembro. De fato, o CAC anunciou neste verão que iniciar uma investigação na Didi Global, aplicativo de transporte da China, por supostamente violar a privacidade do usuário.
Essas regulamentações terão um grande impacto nas empresas que operam ou fazem negócios com a China. Mas, como diz o provérbio chinês Nàixīn, jiānchí hé hànshuǐ shì chénggōng de bìshèng fǎbǎo – “paciência, persistência e transpiração formam uma combinação imbatível para o sucesso”. Embora muitos detalhes de implementação ainda não estejam claros, as organizações devem começar a revisar e avaliar suas informações. atividades de processamento agora contra os requisitos das regulamentações abrangentes. O BigID pode ajudar as organizações a operacionalizar seus programas de privacidade – desde inventários de PI até automatizando direitos de dados cumprimento para monitorar transferências transfronteiriças – obtenha um 1:1 com nossos especialistas em privacidade de dados para descobrir como atingir a conformidade com o PIPL – e por onde começar.
Autor
