PIPL China: ¿Está preparada su empresa?

El 20 de agosto de 2021, China aprobó su nueva Ley de Protección de la Información Personal (PIPL), la primera de este tipo que se ve en el país de Asia Oriental. La ley crea un nuevo panorama en torno a la seguridad y la protección de la información personal.

Esta ley de protección de la información personal tendrá efectos de gran alcance en las operaciones empresariales en China, similares a los que ha tenido en el mundo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE).

La PIPL china establece un nuevo conjunto de normas sobre cómo las empresas pueden utilizar los datos de los ciudadanos chinos, y las compañías tecnológicas, en particular, se verán afectadas; no sólo en China, sino en todo el mundo.

A partir del 1 de noviembre de 2021, las organizaciones que manejen datos de ciudadanos chinos deberán cumplir ciertas condiciones establecidas en la PIPL. Si su empresa de SaaS ya cumple el GDPR, debería resultarle más fácil alcanzar los niveles de cumplimiento de la PIPL

Sin embargo, si no ha implementado las prácticas del GDPR, es posible que su empresa tenga que dedicar tiempo adicional a prepararse para la PIPL de China. La ley añade otra capa de complejidad al cumplimiento de la seguridad de los datos para las empresas que hacen

¿Qué es la PIPL china?

¿Qué es la PIPL?

La PIPL de China es una ley de privacidad de datos que impone nuevos requisitos de tratamiento de datos. Es quizá el conjunto de leyes sobre datos más estricto del mundo en estos momentos.

La ley de protección de la información personal establece protecciones y restricciones a la recogida y transferencia de datos. En particular, la ley se centra en las aplicaciones que utilizan información personal para dirigirse a los consumidores y ofrecerles publicidad personalizada. 

La PIPL también pretende mejorar la protección de la información personal impidiendo que los datos se transfieran a otros países con políticas de seguridad o protección de datos menos estrictas.

Antecedentes de la PIPL

La PIPL es la tercera ley china destinada a la regulación de la tecnología. En 2017 se promulgó la Ley de Ciberseguridad, a la que siguió a principios de 2021 la Ley de Seguridad de Datos. Ahora, la PIPL completa el marco, con un enfoque específico en la protección de la información personal.

Ámbito territorial

La PIPL también tiene aplicación extraterritorial. Este término significa que la normativa no sólo se aplica a las actividades dentro de China; bajo ciertas condiciones, también se aplica al tratamiento de la información personal de los ciudadanos fuera de las fronteras chinas.

Así pues, parece que incluso sin presencia en China, las empresas de SaaS que procesen información personal de ciudadanos chinos estarán obligadas por esta ley. 

Efectivamente, esto significa que casi todas las grandes empresas del mundo necesitarán una estrategia de cumplimiento de la PIPL. Y si usted vender software en línea y su empresa maneja información personal de personas ubicadas en China, tendrá que asegurarse de que cumple sistemáticamente los requisitos de la PIPL.

¿Qué se entiende por "datos personales" e "información personal sensible" en la Ley de protección de datos?Según la Ley de Protección de Datos Personales de China, por información personal se entiende cualquier información, como datos de vídeo, voz o imagen, relativa a una persona física identificada o identificable, independientemente de que la información se capture de forma electrónica o de otro tipo. Esta definición excluye cualquier información anonimizada.

Además, la LIPP define la información personal sensible. Este término se refiere a la información personal cuya filtración o uso ilegal podría violar fácilmente la dignidad personal de una persona física o dañar la seguridad personal o patrimonial. 

Ejemplos de este tipo de información son los datos biométricos, la información religiosa, la información médica, las direcciones de los domicilios, la información financiera y la información personal de los menores de 14 años.

¿Por qué es pertinente la distinción entre estos tipos de información personal?

Pues bien, podría recaer en las empresas de SaaS la responsabilidad de mantener la información personal sensible separada del resto de la información personal para ayudar a mitigar el riesgo de que se compartan registros completos de información personal cuando no se ha dado el consentimiento. 

Además, la información sensible sólo debe utilizarse cuando sea pertinente para lograr un fin específico, y el encargado del tratamiento debe protegerla a toda costa.

6 punto Base jurídica para el tratamiento de la información

Obtener el consentimiento de los interesados siempre ha sido uno de los fundamentos de la protección de datos. Pero al igual que el RGPD, ahora la LIPP ha ampliado oficialmente la noción de base jurídica de lo que es el tratamiento de datos personales a lo siguiente:

• Cuando sea necesario celebrar o ejecutar un contrato o llevar a cabo la gestión de recursos humanos.

• Cuando sea necesario para cumplir responsabilidades u obligaciones legales.

• Cuando sea necesario para responder a una emergencia de salud pública o proteger los intereses o la seguridad de una persona en caso de emergencia.

• Cuando sea necesario para llevar a cabo actividades de interés público.

• Cuando la información personal pertinente, que ha sido revelada por la persona en cuestión o divulgada legalmente de otro modo, se procesa dentro de un ámbito razonable de acuerdo con la ley.

• Otras circunstancias previstas por las leyes o los reglamentos administrativos.

Para que el tratamiento de la información personal de un interesado sea lícito, debe cumplirse al menos uno de estos requisitos.

Derechos individuales (6 puntos principales)

La Ley de Protección de Datos Personales otorga a las personas diversos derechos en materia de protección de sus datos personales. Entre ellos figuran:

• Derecho a conocer y decidir sobre cuestiones relativas a su información personal.

• Derecho a restringir o impedir el tratamiento de sus datos personales.

• Derecho a consultar y copiar sus datos personales de los encargados del tratamiento.

• Derecho a transferir sus datos personales de una organización a otra (portabilidad).

• Derecho a rectificar y suprimir sus datos personales.

• Derecho a solicitar a los encargados del tratamiento una explicación de las normas de tratamiento.

PIPL de China: 7 obligaciones del procesador

La LOPD impone responsabilidades y obligaciones al encargado del tratamiento de la información personal. El encargado del tratamiento está obligado a:

• Formulate internal management systems and operating procedures.

• Implement classified management of personal information protection.

• Adoptar medidas técnicas de seguridad como el cifrado y la desidentificación.

• Determinar razonablemente las autorizaciones operativas para la información personal y proporcionar formación periódica y educación en materia de seguridad al personal operativo.

• Formular y ejecutar planes de respuesta cuando se produzcan incidentes de seguridad relacionados con información personal.

• Realizar auditorías periódicas de cumplimiento.

• Adoptar otras medidas de seguridad previstas en las leyes y reglamentos.

Un enfoque basado en el riesgo

La LIPP establece un enfoque basado en el riesgo, con obligaciones de cumplimiento más estrictas para las situaciones consideradas de alto riesgo. Por ejemplo, las entidades de tratamiento de datos personales que procesen volúmenes de información superiores a un determinado umbral (aún por anunciar) deberán nombrar a un responsable de protección de datos personales. Esta persona supervisará todo el tratamiento de datos personales de la organización en cuestión.

Otro ejemplo es que quienes operan "plataformas de internet" con muchos usuarios deben emplear a una entidad externa e independiente para supervisar el cumplimiento. Estas empresas también deben publicar informes periódicos de responsabilidad social, que cubran el éxito de sus esfuerzos de protección de la información personal.

Como ya se ha mencionado, la información personal sensible se considera de "mayor riesgo" que la información personal normal y debe tratarse en consecuencia.

¿Es aplicable la PIPL China?

La respuesta corta es sí. China puede promulgar este tipo de legislación sobre protección de datos y privacidad, y las empresas que procesen información personal de ciudadanos chinos estarán obligadas a cumplir la ley cuando entre en vigor el 1 de noviembre de 2021.

Comparación entre el PIPL chino y el GDPR de la UE

Muchos llaman a la LPRP "el GDPR de China", y con razón. La PIPL se parece mucho al GDPR cuando se compara con otras leyes de privacidad de todo el mundo.

Sin embargo, tiene algunas diferencias clave. Veamos brevemente estas similitudes y diferencias:

Ambos son extraterritoriales.

Tanto el GDPR como la PIPL se centran en gran medida en el consentimiento como justificación jurídica principal para la recogida de información personal. Sin embargo, ahora también son aplicables otros fundamentos jurídicos para el tratamiento, como ya se ha mencionado. Además, al igual que el GDPR, la PIPL otorga a los individuos el derecho a acceder, solicitar, editar, borrar, transferir y restringir la recogida y uso de sus datos personales.

El consentimiento es similar en el RGPD y en el PIPL. El RGPD exige a las empresas y a los encargados del tratamiento de datos que designen a un representante en la UE, mientras que, en determinadas condiciones, el PIPL exige a los encargados del tratamiento de datos que designen a un representante en el país para supervisar el cumplimiento.

Sin embargo, la LPRP exige un consentimiento por separado para algunas actividades de tratamiento. Estas actividades incluyen compartir información personal con otras entidades procesadoras, divulgar públicamente información personal, procesar información personal sensible y transferir información personal al extranjero.

La LIPP también es similar al RGPD en cuanto a los derechos de información personal, pero no contiene la misma especificidad en torno a los derechos que el RGPD. Las dos leyes son similares en cuanto a la transferencia transfronteriza de información personal, pero la LIPP incluye algunos requisitos adicionales. Más adelante hablaremos de ello.

El GDPR y la PIPL exigen evaluaciones de impacto del tratamiento de datos, pero los requisitos para poner en marcha estas evaluaciones son diferentes. Por último, el GDPR no se centra en la seguridad nacional, mientras que esta es una de las características clave de la PIPL.

¿Cómo puede afectar la PIPL a mi negocio de SaaS?

Estrategia de cumplimiento de PIPL

Toda organización SaaS que procese información personal de ciudadanos chinos necesitará crear una estrategia para el cumplimiento de la PIPL. La creación de esta estrategia requerirá el compromiso con todos los requisitos de la PIPL para desarrollar un marco de cumplimiento integral.

Requisitos para las transferencias transfronterizas de datos personales

Existen requisitos estrictos para las transferencias transfronterizas de información personal. Cuando una entidad procesadora planea transferir datos personales a entidades fuera de China, debe dar a los individuos información específica sobre las transferencias. Además, la entidad procesadora debe tomar las medidas necesarias para garantizar que la información personal seguirá siendo tratada de acuerdo con los requisitos de la PIPL.

Por último, la entidad encargada del tratamiento debe llevar a cabo una evaluación del impacto de la protección de los datos personales.

Evaluación de la seguridad

Las entidades que procesan grandes cantidades de información personal deben almacenar los datos localmente. Alternativamente, si la empresa no puede almacenar la información localmente y tiene que transferirla a otro lugar, la Administración del Ciberespacio de China (CAC) tiene derecho a realizar una evaluación de seguridad supervisora.

Operadores de infraestructuras críticas de información (ICI)

La Infraestructura de Información Crítica (ICI) es información que podría causar graves daños a la seguridad del Estado, la economía nacional o los medios de subsistencia de las personas si se destruye, modifica o filtra.

Algunos ejemplos de industrias clasificadas como operadores de infraestructuras de información críticas son los servicios públicos de comunicación e información, así como los sectores de la energía, el transporte y las finanzas.

Los operadores de este tipo de información tendrán que superar evaluaciones de seguridad específicas antes de enviar datos personales fuera de China. Si su empresa maneja este tipo de información personal, tendrá que asegurarse de superar la evaluación para seguir haciendo negocios en el país.

Información personal identificable (IPI) Representantes en el país y formación

Las empresas de SaaS que manejan grandes cantidades de información personal identificable (PII) deben tener representantes designados en el país para gestionar el manejo de datos y el cumplimiento. Además, todas las personas que se ocupan de la protección de datos deben asistir a una formación obligatoria....

Consideraciones sobre el cumplimiento de los sistemas informáticos

La PIPL exige que los datos personales recogidos de operadores de ICI (y operadores que procesan información personal) que alcancen una cantidad específica determinada por la CAC deben almacenar esta información en China. Esta norma implica que muchas empresas tendrán que crear nuevas infraestructuras para sus compañías en el país.

También es importante tener en cuenta que, aunque almacene los datos en China, seguirán contando como transferencia transfronteriza si un usuario de fuera del país tiene acceso a ellos.

Sanciones, multas y listas negras de empresas incumplidoras

Si su empresa de SaaS no cumple la normativa PIPL especificada, los reguladores chinos pueden tomar medidas. Por ejemplo, podrían emitir advertencias, suspender la licencia de su empresa, imponerle una multa o incluso impedirle por completo hacer negocios en su país. La multa puede ser de hasta 50 millones de RMB o el 5% de los ingresos anuales de su organización correspondientes al ejercicio financiero anterior.

Una empresa también puede ser responsable de daños y perjuicios si infringe los derechos de las personas en relación con su información personal. Además, si la infracción afecta a un grupo numeroso, la empresa podría enfrentarse a una demanda de interés público.

Primeros pasos hacia el cumplimiento de la PIPL

Después de leer este artículo, es posible que se haya dado cuenta de que su empresa tendrá que hacer algunos cambios importantes para cumplir la PIPL. ¿No sabe por dónde empezar?

El primer paso consiste en examinar las fases del ciclo de vida de los datos. A continuación, para cada etapa del ciclo de vida, evalúe sus prácticas con respecto a los requisitos del PIPL y realice los ajustes necesarios para garantizar que cumple la normativa.