China y su cambio de paradigma en materia de privacidad

Recientemente el congreso chino aprobó su propia ley de privacidad que entrará en vigor el próximo 1 de noviembre de 2021. De esta manera, se convierte en la primera ley de protección de datos integral del país asiático. 

Así, esta ley conocida como PIPL, persigue proteger los derechos de las personas físicas, para lo cual regula el tratamiento de datos personales que llevan a cabo las empresas en este país. Esta ley, junto a la actual Ley de Ciberseguridad y la recién entrada en vigor Ley de Seguridad de los datos (DSL por sus siglas en inglés), colocan a China en una posición en la que podría llevarles a tener un nivel de protección de datos similar al que se cuenta en la UE, lo que podría dar lugar a una decisión de adecuación que permitiese la libre circulación de datos con China. Entre las particularidades que introduce esta DSL, vemos cómo esta normativa establece un marco de seguridad de datos a cumplir por las organizaciones que tratan datos en China, o que tratan datos de China fuera del país (extraterritorial). Con ello, y a pesar de los mayores requisitos que se exigirá a partir de ahora para garantizar la seguridad de la información, no quiere decir que será prácticamente imposible la transferencia de datos con China, sino que tal y como se indica en el artículo 11 de la DSL: “China debe desarrollar activamente los intercambios y la cooperación internacional en ámbitos como la gobernanza de la seguridad de los datos y su explotación y uso, participando en la elaboración de reglas y normas internacionales para la seguridad de los datos, y promoviendo la seguridad transfronteriza y la libre circulación de datos”. No obstante, este es un proceso que podremos ver en el futuro a medida que se implementan y aplican estas normativas.

Volviendo a la ley de privacidad, la PIPL parece que se presenta como una regulación sólida orientada a proteger los datos personales de los ciudadanos chinos al mismo tiempo que se intenta hacer un balance con los beneficios económicos y empresariales que hay alrededor de los tratamientos de datos. Por el momento, veamos algunas de sus particularidades y similitudes con el RGPD:

  • -Se excluye de la definición de información personal aquellos datos que hayan sido anonimizados. Respecto a la “información sensible” también encontramos similitudes en cuanto la PIBL califica esta información aquella referida a aquella información que pueda violar la dignidad humana, afectar la seguridad personal o propiedad. Entre ellas, podemos destacar: (i) datos biométricos; ii) religión; iii) condición social; (iv) información de salud; v) cuentas financieras; (vi) información de seguimiento/ubicación; y vii) datos de menores (menores de 14 años).
  • -En cuanto a esta posible similitud entre el RGPD y el PIPL, podemos ver que la segunda también requiere de una base legítima para que un tratamiento de datos sea lícito. Sin embargo, esta ley no contiene la base legitimadora del "Interés legítimo" para el tratamiento de datos personales. Respecto al consentimiento, una novedad es que, por lo general, se debe obtener el consentimiento expreso e informado de los interesados para todo el procesamiento de la información personal.  
  • -Respecto a los derechos de los usuarios, cabe mencionar que las diferencias entre RGPD y PIPL son mínimas (al menos teóricamente) y veremos cómo se interpretan en China estos derechos como el de acceso, supresión, oposición o el derecho a no ser objeto de una toma de decisiones automatizada. Por otro lado, en relación a este ejercicio de derechos, otra particularidad es que los derechos de acceso, copia, rectificación o supresión de la información personal de un fallecido pueden ser solicitados por un pariente cercano para sus intereses legítimos.
  • -Otro punto de gran importancia es el de transferencias internacionales de datos. En este sentido, la ley china ha incluido requisitos adicionales para estas transferencias cuando el exportador de datos sea considerado como un operador de infraestructura crítica, o maneje tal volumen de datos que sea necesaria la autorización por la Agencia del Ciberespacio de China. Además, de ello, las similitudes se encuentra la necesidad de realizar una evaluación de impacto para llevar a cabo estas transferencias, que se informe a los usuarios sobre las mismas, u obtener un consentimiento por separado para poder proceder a estas transferencias internacionales y así evitar que el consentimiento se preste de una manera general o “forzada”. 
  • -Otro asunto que preocupa es el del posible acceso de las autoridades a los datos. La ley indica que los responsables de tratamiento no deben proporcionar información personal almacenada dentro de China a las autoridades legales a menos que se obtenga la aprobación de una autoridad facultada para ello. 
  • -En relación al nombramiento de una figura análoga del DPO, podemos ver como en la PIPL, se indica que: I) Un responsable de tratamiento de datos debe designar un DPO si trata información personal sobre un cierto volumen; II) Los datos del DPO deben publicarse registrarse ante la autoridad de protección de datos; III) Los responsables de datos con sede fuera de China continental pero que traten información personal de China deben establecer una organización o representante específico dentro de China e informar los detalles de dicho representante a la autoridad de protección de datos.
  • -Sobre los encargados de tratamiento, merece la pena destacar: El PIPL especifica que cualquier organización designada como encargado de tratamiento debe actuar de acuerdo con el PIPL. Además, tienen el deber de ayudar a los responsables a cumplir con sus obligaciones y seguir el tratamiento de datos según lo indicado por el propio responsable.
  • -En relación con las sanciones, observamos una considerable diferencia. Si en el RGPD las sanciones pueden llegar hasta el 4% del volumen total de negocio de una organización, con la PIPL estas sanciones pueden alcanzar incluso el 5%. 

En cualquier caso, es pronto para intentar prever cómo se llevará a cabo la aplicación de esta nueva norma de protección de datos china y tendremos que esperar a que esta normativa se vaya interpretando y aplicando, para ver su verdadero alcance. Además, los reguladores chinos también irán publicando directrices que permitan ver de una manera práctica, cuáles son los pasos a seguir para que las empresas puedan cumplir adecuadamente con esta norma. 

Williams Colacci, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias