,

Protección de la información personal de los empleados en China: puntos clave para la gestión de recursos humanos

La Ley de Protección de la Información Personal de China («PIPL») entró en vigor el 1 de noviembre de 2021. Acompañando a la PIPL, la Administración del Ciberespacio de China («CAC») también publicó un borrador de Medidas para la Evaluación de la Seguridad de los Datos Salientes para consulta pública.

En la mayoría de los casos, las empresas multinacionales con operaciones en China implicarán alguna comunicación entre China y la sede en el extranjero. Estas empresas necesitan recopilar y procesar información de sus empleados actuales y potenciales, desde el proceso de contratación hasta el final del empleo. Por lo tanto, es fundamental estudiar las disposiciones pertinentes de la PIPL que afectan la forma en que los empleadores recopilan y procesan la información personal de los empleados. Podemos prever algunos escenarios en los que los empleadores deberían tener mucho cuidado:

  • La transmisión de información entre las filiales en China y las empresas relacionadas en el extranjero implica información personal de los empleados.
  • Los datos de ERP de la Compañía, incluida la información personal de los empleados de China, están alojados o respaldados en un servidor en el extranjero.
  • Un proveedor de servicios externo administra el seguro de los empleados con sede en China y otros beneficios fuera de China.
  • La subsidiaria se venderá o adquirirá, y el nuevo propietario potencial está organizando la transacción a través de un tercero en el extranjero.
  • Se está llevando a cabo una investigación interna que requiere acceso a los equipos electrónicos de los empleados.

En la práctica, ciertamente hay casos más complejos en los que se debe realizar un análisis detallado. Con base en el desarrollo actual del marco de privacidad de datos, recomendamos a los empleadores que tomen las siguientes acciones:

Notificar explícitamente a los empleados y obtener su consentimiento por escrito sobre el procesamiento de su información personal.

Ya es común que muchos empleadores obtengan un “consentimiento general” de los empleados durante el proceso de contratación e inducción. La vieja práctica podría implicar simplemente una declaración general sobre los contratos del empleado o el manual del personal. Sin embargo, estas cláusulas ya no son válidas para cubrir todos los escenarios. Se deben dar avisos por separado a los empleados cuando el empleador tiene la intención de divulgar información del empleado a un tercero, transferirla a una ubicación fuera de China o procesar información personal confidencial. En el consentimiento por escrito, los empleadores deben notificar explícitamente a los empleados sobre elementos específicos:

  • Nombre e información de contacto del controlador de datos.
  • Los propósitos y métodos de procesamiento de información personal.
  • Categorías y períodos de retención de la información personal a procesar.
  • Métodos y procedimientos para que los empleados ejerzan sus derechos consagrados en la PIPL.

Aunque la PIPL proporciona motivos adicionales para procesar los datos de los empleados en ciertas circunstancias sin la necesidad de obtener el consentimiento, el alcance preciso de estas excepciones aún no se ha aclarado. Por lo tanto, la mejor política es que los empleadores sean prudentes en todos los casos.

Realizar una evaluación del impacto en la seguridad antes de transmitir información personal al extranjero.

De acuerdo con el borrador de Medidas para la evaluación de seguridad de los datos salientes, antes de que los empleadores proporcionen la información personal de los empleados en el extranjero, primero deben realizar una autoevaluaciones de riesgo de exportación de datos, enfocándose en evaluar los siguientes asuntos:

  • Legalidad, idoneidad y necesidad del propósito, alcance y métodos de exportación de los datos y del manejo de los datos por parte de los destinatarios en el extranjero.
  • Volumen, alcance, tipos y sensibilidad de los datos exportados, y riesgos protectores para la seguridad nacional, los intereses públicos o los derechos e intereses legales de individuos y organizaciones que puedan surgir al exportar los datos.
  • Medidas técnicas, de gestión y la capacidad de los manipuladores de datos para prevenir riesgos como fugas y destrucción de datos.
  • Responsabilidades y obligaciones que el destinatario extranjero se ha comprometido a asumir, así como sus medidas técnicas y de gestión, y la capacidad para cumplir con las responsabilidades y obligaciones, y si pueden garantizar la seguridad de la transferencia de datos salientes.
  • Riesgos de fugas, daños, manipulación y abuso de datos después de que los datos se transmiten al extranjero y se transfieren posteriormente.
  • Si las personas cuyos datos se transmiten al extranjero pueden acceder fácilmente a los canales para mantener sus derechos e intereses en la protección de la información personal.
  • Si los acuerdos firmados con el destinatario en el extranjero especifican plenamente las responsabilidades y obligaciones en la protección de la seguridad de los datos.

Además de las autoevaluaciones, si la cantidad de información personal excede un cierto umbral de acuerdo con las Medidas para la Evaluación de Seguridad de Datos Salientes, se activará una evaluación de impacto de seguridad obligatoria a través del nivel provincial de CAC.

Firmar acuerdos de transferencia de datos transfronterizos con destinatarios de datos en el extranjero

La subsidiaria de China debe firmar un acuerdo de transferencia de datos transfronteriza con cada uno de sus destinatarios de datos en el extranjero. El acuerdo debe establecer las responsabilidades y obligaciones para la protección de la seguridad de los datos, que incluyen:

  • Fines y métodos de transmisión de datos al exterior y alcance de los datos salientes.
  • Fines y métodos de procesamiento de datos por parte del destinatario en el extranjero.
  • Ubicación y duración del almacenamiento de datos en el extranjero.
  • Cómo tratar los datos después de que expire el período de almacenamiento, se complete el propósito acordado o se rescinda el contrato.
  • Cláusulas restrictivas que restringen al destinatario en el extranjero de volver a transferir los datos transmitidos al extranjero a otras organizaciones o personas.
  • Medidas de seguridad que se tomarán en caso de cualquier cambio sustancial en el derecho de control real o el alcance comercial del destinatario en el extranjero, o cualquier cambio en el entorno legal del país o región donde se encuentra el destinatario en el extranjero, lo que dificulta la garantía. seguridad de datos.
  • Responsabilidad por incumplimiento de la obligación de protección de la seguridad de los datos y cláusulas vinculantes y ejecutables de resolución de disputas.
  • Cláusulas sobre la correcta ejecución de las medidas de emergencia en caso de fuga de datos y otros riesgos.
  • Cláusulas sobre la garantía de canales fluidos para que las personas salvaguarden sus derechos e intereses de información personal.

Revisar y actualizar la política de respaldo y almacenamiento de datos de la empresa en China

Los gerentes de recursos humanos en China deben trabajar con el departamento de TI para revisar la infraestructura de TI actual sobre la política de almacenamiento, protección y respaldo de datos. Preste especial atención a evaluar si la empresa debe mejorar la política de respaldo de datos de China, el sistema de administración de bases de datos, el enmascaramiento de datos y el mecanismo de acceso remoto.

Para casos más complejos, se recomienda realizar un análisis de riesgo para evitar responsabilidades. Los empleadores tendrían que repensar sus políticas e implementar correcciones para alinearse con el marco de privacidad de datos de China. Las enmiendas deben planificarse de acuerdo con la situación de cada empresa para reducir la exposición al pasivo y generar confianza con los empleados.