PIPL China: Is Your Business Ready

PIPL China: O Seu Negócio está Pronto?


A 20 de Agosto de 2021, a China aprovou a sua nova Lei de Protecção de Informações Pessoais (PIPL) - a primeira do seu género a ser vista no país do Leste Asiático. A lei cria uma nova paisagem em torno da segurança e da protecção da informação pessoal.

Esta lei de protecção de informações pessoais terá efeitos de grande alcance nas operações comerciais na China, semelhantes aos que os Regulamentos Gerais de Protecção de Dados (GDPR) da União Europeia (UE) têm tido no mundo.

O PIPL da China fornece um novo conjunto de regras sobre como as empresas podem utilizar os dados dos cidadãos chineses, e as empresas tecnológicas, em particular, serão afectadas; não apenas na China, mas em todo o mundo.

A partir de 1 de Novembro de 2021, as organizações que tratam os dados dos cidadãos chineses devem satisfazer certas condições estabelecidas no PIPL. Se o seu negócio SaaS já estiver em conformidade com o GDPR, deverá ter uma maior facilidade em atingir os níveis de conformidade PIPL.

No entanto, se não tiver implementado as práticas GDPR, o seu negócio poderá ter de passar mais tempo a preparar-se para o PIPL da China. A lei acrescenta outro nível de complexidade ao cumprimento da segurança de dados para as empresas que fazem negócios na China.

China PIPL protection law

O que é o PIPL da China?

O que é PIPL?

O PIPL da China é uma lei de privacidade de dados que impõe novos requisitos de tratamento de dados. É talvez o conjunto de leis de tratamento de dados mais rigoroso do mundo neste momento.

A lei de protecção de informações pessoais estabelece protecções e restrições à recolha e transferência de dados. Em particular, a lei centra-se em aplicações que utilizam informações pessoais para visar os consumidores e fornecer-lhes publicidade personalizada.

O PIPL visa igualmente melhorar a protecção da informação pessoal, impedindo a transferência de dados para outros países com políticas menos rigorosas de protecção de dados ou de segurança.

Antecedentes do PIPL

O PIPL é a terceira lei da China que visa a regulamentação da tecnologia. Em 2017, foi promulgada a Lei de Segurança Cibernética, que foi então seguida no início de 2021 pela Lei de Segurança de Dados. Agora, o PIPL completa o quadro, com um enfoque específico na protecção da informação pessoal.

Âmbito territorial

O PIPL também tem aplicações extraterritoriais. Este termo significa que os regulamentos não se aplicam apenas a actividades dentro da China; sob certas condições, aplicam-se também ao tratamento de informações pessoais de cidadãos fora das fronteiras chinesas.

Estas condições são as seguintes:

Onde o objectivo é fornecer produtos ou serviços a pessoas dentro da China.

Onde as actividades das pessoas dentro da China são analisadas ou avaliadas.

Quaisquer outras circunstâncias previstas na lei ou regulamentos administrativos.

 

Assim, parece que mesmo sem qualquer presença na China, as empresas SaaS que processam a informação pessoal dos cidadãos chineses ficarão vinculadas por esta lei.

Efectivamente, isto significa que quase todas as grandes empresas do mundo precisarão de uma estratégia de conformidade PIPL. E se vender software online e os seus negócios com a informação pessoal de indivíduos localizados na China, terá de assegurar que está a cumprir consistentemente os requisitos do PIPL.PIPL e GDPR Comparing

PIPL and  GDPR Comparing

O que é definido como 'Informação Pessoal' e 'Informação Pessoal Sensível' no PIPL?

No PIPL da China, a informação pessoal é definida como qualquer informação como dados de vídeo, voz ou imagem relativos a uma pessoa singular identificada ou identificável, não obstante a informação ser capturada através de um formulário electrónico ou outro tipo de formulário. Esta definição exclui qualquer informação anónima.

Para além disto, o PIPL define a informação pessoal sensível. Este termo refere-se à informação pessoal cuja fuga ou utilização ilegal poderia facilmente violar a dignidade pessoal de uma pessoa singular ou prejudicar a segurança pessoal ou patrimonial.

Exemplos deste tipo de informação incluem biometria, informação religiosa, informação médica, moradas, informação financeira, e informação pessoal dos menores de 14 anos de idade.

Porque é que a distinção entre estes tipos de informação pessoal é relevante?

Bem, a responsabilidade poderia recair sobre as empresas SaaS para manter as informações pessoais sensíveis separadas de outras informações pessoais para ajudar a mitigar o risco de partilha de registos completos de informações pessoais quando não tiver sido dado o consentimento.

Além disso, a informação sensível só deve ser utilizada quando é relevante para atingir um objectivo específico, e deve ser protegida a todo o custo pelo processador.

CONHECER PAYPRO GLOBAL.

O seu parceiro profissional de comércio electrónico

Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.

 Apenas uma solução tão única como as necessidades do seu negócio.

 

6 pontos Base Jurídica para o Processamento de Informação

A obtenção do consentimento dos titulares dos dados tem sido sempre uma das bases da protecção de dados. Mas tal como o GDPR, o PIPL alargou agora oficialmente a noção de uma base legal do que é processar informação pessoal para o seguinte:

  • Quando é necessário celebrar ou executar um contrato ou realizar uma gestão de recursos humanos.

  • Quando é necessário desempenhar responsabilidades estatutárias ou obrigações estatutárias.

  • Quando é necessário responder a uma emergência de saúde pública ou proteger os interesses ou a segurança de um indivíduo numa emergência.

  • Onde é necessário realizar actividades de interesse público.

  • Quando a informação pessoal relevante, que tenha sido divulgada pela pessoa em questão ou que tenha sido legalmente divulgada, é processada dentro de um âmbito razoável de acordo com a lei.

  • Outras circunstâncias previstas por leis ou regulamentos administrativos.

Pelo menos um destes deve ser estabelecido para que o tratamento das informações pessoais da pessoa em causa seja lícito.

Direitos dos indivíduos (6 pontos principais)

O PIPL proporciona aos indivíduos vários direitos quando se trata da protecção da sua informação pessoal. Estes incluem:

  • O direito de conhecer e decidir sobre assuntos relacionados com as suas informações pessoais.

  • O direito de restringir ou impedir o processamento das suas informações pessoais.

  • O direito de consultar e copiar as suas informações pessoais dos processadores.

  • O direito de transferir os seus dados pessoais de uma organização para outra (portabilidade).

  • O direito de corrigir e apagar as suas informações pessoais.

  • O direito de pedir uma explicação sobre as regras de processamento aos processadores.

PIPL da China: 7 Obrigações do Processador

O PIPL coloca responsabilidades e obrigações ao processador de informação pessoal. O processador é obrigado a fazê-lo:

  • Formular sistemas de gestão interna e procedimentos operacionais.

  • Implement classified management of personal information protection.

    • Adoptar medidas técnicas de segurança, tais como encriptação e desidentificação.

  • Determinar razoavelmente as autorizações operacionais para informação pessoal e proporcionar formação regular e educação de segurança ao pessoal operacional.

  • Formular e executar planos de resposta quando ocorrerem incidentes de segurança relacionados com informações pessoais.

  • Efectuar auditorias regulares de conformidade.

  • Adoptar outras medidas de segurança estabelecidas em leis e regulamentos.

Uma abordagem baseada no risco

O PIPL estabelece uma abordagem baseada no risco com obrigações de conformidade mais estritas para situações consideradas de alto risco. Por exemplo, as entidades de processamento de informação pessoal que processam volumes de informação acima de um determinado limiar (ainda por anunciar) devem nomear um responsável pela protecção da informação pessoal. Esta pessoa controlará todo o processamento de dados pessoais para a organização específica.

Outro exemplo é que aqueles que operam "plataformas Internet" com muitos utilizadores devem empregar uma entidade externa e independente para controlar a conformidade. Estas empresas devem também publicar regularmente relatórios de responsabilidade social, que cubram o sucesso dos seus esforços de protecção da informação pessoal.

Como mencionado anteriormente, a informação pessoal sensível é tratada como "de maior risco" do que a informação pessoal regular e deve ser tratada em conformidade.

É o PIPL da China aplicável

A resposta curta é sim. A China pode promulgar este tipo de legislação sobre protecção de dados e privacidade, e as empresas que lidam com o processamento de informação pessoal de cidadãos chineses serão obrigadas a cumprir a lei assim que esta se torne activa em 1 de Novembro de 2021.

Como o PIPL da China se compara com o PIBR da UE

Muitos estão a chamar ao PIPL "PIBR da China" - com boas razões. O PIPL assemelha-se muito ao GDPR quando comparado com outras leis de privacidade em todo o mundo.

China's PIPL and EU's GDPR vector image

No entanto, tem algumas diferenças fundamentais. Vamos desfazer brevemente estas semelhanças e diferenças:

Ambos são extra-territoriais.

Tanto o GDPR como o PIPL concentram-se fortemente no consentimento como uma justificação legal primária para a recolha de informação pessoal. No entanto, outros fundamentos legais para o processamento são agora também aplicáveis, como mencionado anteriormente. Também, tal como a GDPR, o PIPL dá aos indivíduos o direito de aceder, solicitar, editar, apagar, transferir e restringir a recolha e utilização dos seus dados pessoais.

O consentimento é semelhante em todo o GDPR e PIPL. O GDPR exige que as empresas e os processadores de dados nomeiem um representante da UE, enquanto que sob certas condições, o PIPL exige que os processadores de dados designem um representante no país para controlar o cumprimento.

No entanto, o PIPL requer um consentimento separado para algumas actividades de processamento. Estas actividades incluem a partilha de informação pessoal com outras entidades de processamento, divulgação pública de informação pessoal, processamento de informação pessoal sensível, e transferência de informação pessoal para o estrangeiro.

O PIPL é também semelhante ao GDPR em termos de direitos de informação pessoal mas não contém a mesma especificidade em torno dos direitos que o GDPR. As duas leis são semelhantes em termos de transferência transfronteiriça de informação pessoal, mas o PIPL inclui alguns requisitos adicionais. Partilharemos mais sobre isto mais tarde.

O GDPR e o PIPL requerem avaliações do impacto do processamento de dados, mas os requisitos para desencadear estas avaliações são diferentes. Por último, o GDPR não se concentra na segurança nacional, sendo esta uma das principais características do PIPL.

Como poderia o PIPL afectar o meu negócio SaaS?

Estratégia de conformidade PIPL

Todas as organizações SaaS que processam a informação pessoal dos cidadãos chineses terão de criar uma estratégia para o cumprimento do PIPL. A criação desta estratégia exigirá o envolvimento com todos os requisitos PIPL para desenvolver um quadro de conformidade abrangente.

Requisitos para transferências transfronteiriças de informação pessoal

Existem requisitos rigorosos para as transferências transfronteiriças de informações pessoais. Quando uma entidade de processamento planeia transferir dados pessoais para entidades fora da China, deve fornecer aos indivíduos informações específicas sobre as transferências. Além disso, a entidade de processamento deve tomar as medidas necessárias para garantir que as informações pessoais continuarão a ser tratadas de acordo com os requisitos do PIPL.

Por último, a entidade de tratamento deve realizar uma avaliação do impacto da protecção da informação pessoal.

PIPL Cross-Border Transfers of Personal Information

Avaliação de Segurança

As entidades que processam grandes quantidades de informação pessoal devem armazenar os dados localmente. Alternativamente, se a empresa não puder armazenar a informação localmente e tiver de a transferir para outro local, a Administração do Ciberespaço da China (CAC) tem o direito de realizar uma avaliação de segurança de supervisão.

Operadores de Infra-estruturas de Informação Crítica (CII)

Infra-estrutura de Informação Crítica (ICI) é a informação que pode resultar em graves danos à segurança do Estado, à economia nacional, ou à subsistência das pessoas se for destruída, alterada, ou vazada.

Alguns exemplos de indústrias classificadas como operadores de infra-estruturas de informação crítica são os serviços públicos de comunicação e informação, bem como os sectores da energia, dos transportes e das finanças.

Os operadores deste tipo de informação terão de passar avaliações de segurança específicas antes de enviarem quaisquer dados pessoais para fora da China. Se a sua empresa lida com este tipo de informação pessoal, terá de se certificar de que passa a avaliação para continuar a fazer negócios no país.

Informação Pessoal Identificável (PII) Representantes e Formação no País

As empresas SaaS que lidam com grandes quantidades de informação pessoal identificável (PII) devem ter designado representantes no país para gerir o tratamento e conformidade dos dados. Além disso, todos os que lidam com a protecção de dados devem frequentar formação obrigatória.

Considerações sobre a conformidade do sistema informático

O PIPL exige que os dados pessoais recolhidos dos operadores das ICI (e operadores que processam informações pessoais) que atinjam um montante específico, conforme determinado pelo CAC, devem armazenar estas informações na China. Esta regra significa que muitas empresas terão de criar novas infra-estruturas para as suas empresas no país.

É também importante notar que, mesmo que os dados sejam armazenados na China, continuarão a contar como uma transferência transfronteiriça se um utilizador fora do país tiver acesso aos mesmos.

Sanções, Multas e Lista Negra de Empresas Não-Conformes

Se o seu negócio SaaS não cumprir com os regulamentos PIPL especificados, os reguladores chineses podem tomar medidas. Por exemplo, podem emitir avisos, suspender a licença do seu negócio, dar-lhe uma multa, ou mesmo impedi-lo de fazer negócios no seu país por completo. A multa pode ir até 50 milhões de RMB ou 5% das receitas anuais da sua organização para o exercício financeiro anterior.

Uma empresa pode também ser responsabilizada por danos de natureza ilícita se infringir os direitos dos indivíduos no que diz respeito às suas informações pessoais. Além disso, se a infracção envolver um grande grupo, a empresa poderá enfrentar uma acção judicial de interesse público.

CONHECER PAYPRO GLOBAL.

O seu parceiro profissional de comércio electrónico

Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.

 Apenas uma solução tão única como as necessidades do seu negócio.

 

Primeiros Passos para a Conformidade PIPL

Depois de ler este artigo, poderá ter percebido que o seu negócio terá de fazer algumas alterações significativas para cumprir o PIPL. Não tem a certeza por onde começar?

O primeiro passo é olhar para as fases do ciclo de vida dos dados. Em seguida, para cada fase do ciclo de vida, avaliar as suas práticas em relação aos requisitos do PIPL e fazer os ajustamentos necessários para assegurar a sua conformidade.

Aqui fica um lembrete de como são as fases do ciclo de vida dos dados:

Notificação do sujeito dos dados

Direitos de utilização e divulgação

Recolha de dados

Utilização de dados

Partilha/transferência de dados

Eliminação/retenção de dados

 

Pensamentos finais sobre o PIPL da China e o seu negócio

O âmbito de alcance e os curtos prazos de implementação do PIPL apanharam de surpresa muitos negócios SaaS. Mas com uma cuidadosa consideração dos regulamentos e das suas aplicações, é possível pôr em prática um plano abrangente para o cumprimento do PIPL.

Não se esqueça que, como seu parceiro de comércio electrónico de serviço completo, estamos aqui para o ajudar a navegar na paisagem PIPL enquanto o ajudamos a construir uma forte infra-estrutura de receitas SaaS. Agende hoje a sua consulta com um perito PayPro Global e venda SaaS online em todo o mundo.

Perguntas Mais Frequentes

A quem se aplica o PIPL?

A Protecção de Informação Pessoal (PIPL) aplica-se a "entidades de processamento de informação pessoal", definidas como uma organização ou indivíduo que independentemente determina as finalidades e meios de processamento de dados pessoais.

O PIPL da China aplica-se em Hong Kong?

O governo chinês aprovou legislação para proteger os dados pessoais no continente. Hong Kong, sendo uma Região Administrativa Especial (RAE) da China com as suas próprias regras e regulamentos..

Embora o PIPL não se aplique actualmente aos cidadãos em Hong Kong, isso não significa que a sua informação possa ser utilizada livremente!

Quando é que a China adoptou a Nova Lei de Privacidade Online?

O PIPL entrou em vigor em 1 de Novembro de 2021. Procura melhorar a segurança e a protecção da informação pessoal.

Visa também impedir as empresas de recolher dados pessoais sensíveis que possam ser utilizados para roubo de identidade ou contra a sua vontade por terceiros como gigantes tecnológicos que abusam das informações privadas dos clientes sem autorização.

 
Blogueiros

Meir Amzallag

Co-founder and CEO of PayPro Global

Ioana Grigorescu

Content Marketing Manager at PayPro Global

mais autores

Saiba primeiro. Aja depressa.

Não é preciso sorte para o fazer, mas é preciso conhecimento. Seja o primeiro a aprender os últimos conhecimentos da indústria e deve conhecer dicas e truques de marketing. Inscreva-se e divirta-se! Sempre informado. Nunca Spammed.

Junte-se ao nosso boletim informativo

Subscreva a nossa newsletter e mantenha-se actualizado com as últimas notícias!