Ley de protección de información personal de China

ANTECEDENTES

En los últimos años, con el desarrollo continuo del big data, computación en la nube e el internet y las regulaciones en datos, han atraído cada vez más atención en todas las industrias y autoridades gubernamentales de todo el mundo. Las regulaciones de los datos incluyen, la seguridad de los datos, la supervisión de los datos, el almacenamiento de datos, otros problemas de seguridad física y todos los aspectos del procesamiento de la información personal.

OBJETIVO

La Ley de Protección de Información Personal («PIPL») entrará en vigor el 1 de noviembre de 2021, marcando una nueva era en el sistema de legislación de protección de información personal de China. La introducción de PIPL proporciona una base legal integral y sistemática para proteger los derechos e intereses de la información personal, las obligaciones de los procesadores de información, las funciones y poderes de las autoridades competentes. Además, crea una red protectora de seguridad de la información personal.

SOLICITUD

PIPL se aplica al procesamiento de información personal dentro del territorio de la República Popular China y al procesamiento de información personal fuera del territorio de China con el fin de proporcionar productos o servicios a personas físicas ubicadas en China, o análisis y evaluación de personas ubicadas en China.

DEFINICIONES IMPORTANTES

La información personal: se refiere a todo tipo de información sobre las personas físicas identificadas o identificables registrada por medios electrónicos o de otro tipo. No se incluye el proceso de información de forma anónima.

La información personal: sensible se refiere al tipo de información personal que puede dañar la dignidad, la seguridad personal o la seguridad de la propiedad del individuo si se divulga o usa ilegalmente. Ejemplos de información personal sensible son identificación biométrica, creencias religiosas, identidad específica, salud médica, cuenta financiera, rastros de paradero y la información personal de menores de 14 años.

El procesamiento de información personal: significa la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación y eliminación, etc., de información personal.

Un procesador de información personal («procesador»): se refiere a una organización o individuo que determina de forma independiente el propósito y el método del procesamiento de la información personal. Un Procesador de información personal debe ser responsable del procesamiento de la información personal y tomar las medidas necesarias para garantizar la seguridad de la información personal procesada. 

Destacados

Establecimiento de principios de protección de la información personal

  1. El Procesador no puede procesar información personal mediante engaños, fraude, coacción, etc.
  2. El procesamiento de información personal debe tener un propósito definido y razonable. Además, la forma de procesar la información personal debe minimizar el impacto en los derechos e intereses personales.
  3. La recopilación de información personal debe limitarse al alcance mínimo que logre su propósito.
  4. El Procesador debe dar a conocer al público sus reglas, propósito, método y alcance del procesamiento de la información personal.
  5. Debe garantizarse la calidad de la información personal. La información personal procesada no debe infringir los derechos e intereses personales debido a su inexactitud o estar incompleta.

Establecimiento de reglas para el procesamiento de información personal

PIPL estipula que, bajo las siguientes circunstancias, el procesamiento de información personal está permitido y no necesita obtener el consentimiento de la persona en cuestión:

  1. Cuando sea necesario para la celebración o ejecución de un contrato o para la implementación de la gestión de recursos humanos de acuerdo con la normativa laboral.
  2. Al realizar deberes u obligaciones legales.
  3. Cuando sea necesario para la respuesta a una emergencia de salud pública o para la protección de la vida, salud y seguridad patrimonial de una persona física.
  4. Cuando sea con el propósito de informar y supervisar las noticias por parte de las opiniones públicas y el procesamiento de información personal esté dentro del alcance razonable.
  5. Cuando la información personal ya se ha dado a conocer al público debido a la autor-revelación u otros medios legales y el procesamiento se encuentra dentro del alcance razonable.
  6. Otras circunstancias están prescritas por leyes y reglamentos administrativos.

Si el procesamiento de información personal está fuera de los escenarios anteriores, el Procesador debe obtener el consentimiento de la persona en cuestión. Además, el Procesador debe proporcionar un método conveniente para que la persona retire su consentimiento. Si una persona no acepta procesar su información personal o retira su consentimiento, el Procesador no puede negarse a proporcionar productos o servicios a la persona a menos que la información personal sea necesaria para la provisión de productos/servicios.

Prohibir el sistema automatizado de toma de decisiones habilitado para macro-datos basado en las características personales del individuo

“Toma de decisiones automatizada” se refiere al uso de programas informáticos para analizar o evaluar automáticamente comportamientos y hábitos individuales, intereses y pasatiempos, o situaciones relacionadas con las finanzas, la salud o el estado crediticio, etc., y participar en actividades de toma de decisiones.

Los reguladores reconocieron que ciertas empresas a menudo utilizan análisis de macro-datos para identificar las características personales de las personas y utilizan sistemas de toma de decisiones automáticos para imponer un trato diferenciado a las personas con respecto al precio y las condiciones de la transacción. El PIPL requiere que dicho procesamiento de información debe garantizar la transparencia del proceso de toma de decisiones y la equidad de los resultados. El Procesador debe proporcionar una forma conveniente para que las personas interesadas rechacen que su información personal sea procesada mediante un sistema automático de toma de decisiones.

Establecimiento de reglas para el procesamiento de información personal sensible

PIPL estipula que el procesamiento de información personal sensible debe tener un propósito y una necesidad específicos, y debe obtenerse el consentimiento por separado de la persona en cuestión. Además, el Procesador debe informar al individuo de la necesidad y el impacto en sus derechos e intereses, excepto en ciertas circunstancias en las que PIPL exceptúa la divulgación.

Establecimiento de deberes, alcance y límite de procesamiento de información personal por parte de las autoridades

PIPL también proporciona disposiciones especiales relacionadas con las circunstancias en las que las autoridades gubernamentales necesitan procesar información personal cuando cumplen con sus obligaciones legales. En este escenario, se debe aplicar el principio de transparencia, a menos que la ley mantenga la confidencialidad del procesamiento o la información obstaculice el desempeño de las funciones legales por parte de las autoridades.

Si es necesario proporcionar información personal a una parte en el extranjero, se realizará una evaluación de seguridad antes de transmitir la información personal al extranjero. 

Establecimiento de reglas para el suministro transfronterizo de información personal
Si un Procesador necesita proporcionar información personal fuera del territorio de China debido a necesidades comerciales u otras, el Procesador debe asegurarse de que cumpla con cualquiera de las siguientes condiciones:

  1. Aprobar la evaluación de seguridad de la Administración del Ciberespacio de China.
  2. Estar certificado por una agencia especializada para la protección de información personal de acuerdo con las disposiciones de la Administración del Ciberespacio de China.
  3. Celebrar un contrato con el receptor en el extranjero bajo el contrato estándar formulado por la Administración del Ciberespacio de China, especificando los derechos y obligaciones de ambas partes.
  4. Cumplir con otras condiciones prescritas por leyes, regulaciones administrativas o la Administración del Ciberespacio de China.

Además de cumplir una de las condiciones anteriores, el procesador también debe:

  1. informar a la persona del nombre del destinatario en el extranjero, información de contacto, propósito y método de procesamiento, tipo de información personal.
  2. Proporcionar el método y el procedimiento para que la persona ejerza sus derechos contra el destinatario en el extranjero.
  3. Obtenga el consentimiento por separado de la persona.

Cuando existan tratados o acuerdos internacionales vigentes, pueden prevalecer las disposiciones pertinentes sobre las condiciones para el suministro de información personal fuera de China. Vale la pena señalar que PIPL también extiende su aplicación a organizaciones o individuos en el extranjero si se descubre que infringen los derechos e intereses de información personal de los ciudadanos chinos o ponen en peligro la seguridad nacional y los intereses públicos de China. En tales circunstancias, la Administración del Ciberespacio de China puede agregar a la organización extranjera o al individuo en cuestión a la lista de sujetos a los que se les prohíbe o restringe la recepción de información personal.
Cualquier Procesador de información personal fuera de China debe designar a un representante en China para que sea responsable de manejar los asuntos relacionados con la protección de la información personal. El nombre del representante y la información de contacto deben enviarse a las autoridades competentes de China.

Fortalecimiento de las obligaciones de los procesadores de información personal
Para proteger la información personal, PIPL requiere que los Procesadores de información personal realicen las siguientes acciones:

  1. Formular sistemas de gestión interna y procedimientos operativos.
  2. Categorizar la información personal.
  3. Implementar el método de cifrado y desidentificación.
  4. Llevar a cabo educación y capacitación en seguridad de la información personal.
  5. Diseñar planes de emergencia para incidentes de seguridad de la información personal.
  6. Llevar a cabo auditorías de cumplimiento con regularidad sobre su procesamiento de información personal.
  7. Realice una evaluación de impacto sobre la protección de la información personal de antemano bajo ciertas circunstancias enumeradas por PIPL.

Recomendaciones
Tras la promulgación del Código Civil de China, la Ley de seguridad cibernética y la Ley de comercio electrónico, China implementó posteriormente la Ley de seguridad de datos y la Ley de protección de información personal, lo que significa su compromiso de construir un marco legal integral para el cumplimiento de los datos de manera firme.
Prevemos que habrá más leyes y regulaciones sobre el cumplimiento de los datos en un futuro próximo. La implementación de PIPL elevará un mayor nivel de requisitos de cumplimiento que deben cumplir las empresas extranjeras que operan en China. Todas las empresas con inversión extranjera deben establecer un grupo de trabajo especializado para llevar a cabo un cabo el trabajo de cumplimiento de datos y establecer reglas y regulaciones relevantes para el manejo de la información personal de empleados, clientes, proveedores y otras partes interesadas relevantes. En particular, enumeramos algunas acciones recomendadas:

  1. Educar a la gerencia y a los empleados sobre la PIPL.
  2. Mejorar la política interna de la empresa con respecto al procesamiento y la protección de la información personal de los empleados.
  3. Revise la infraestructura de TI actual y aplique las actualizaciones necesarias al sistema de TI según los requisitos exigidos por PIPL.
  4. Revisar si los procesos comerciales de la empresa e identificar áreas donde se procesa la información personal de sus socios comerciales (como proveedores o clientes) y realizar modificaciones a los documentos externos relevantes para garantizar el cumplimiento de sus obligaciones de divulgación.
  5. Llevar a cabo una evaluación de impacto sobre el uso de información personal sensible para la toma de decisiones automatizada, la divulgación pública y la transmisión transfronteriza.
  6. Formular medidas de respuesta de emergencia sobre incidentes de información personal.