Abogado internacional

Normativa china sobre protección de datos (CDPR)

China Law Blog

Abogado internacional

Muchas empresas internacionales tienen sitios web chinos y algún tipo de sistema de red, ya sea para vender sus propios productos o únicamente para uso interno. En muchos casos, estos sitios web y sistemas internos están alojados en servidores fuera de China. A mí y a los demás abogados que formamos el equipo de ciberderecho chino de mi bufete nos preguntan con frecuencia si una empresa que recopila información personal dentro de China debe almacenar esa información dentro de China.

La respuesta corta es sí.

La ley china sobre ciberseguridad entró en vigor el año pasado y obliga a los operadores de infraestructuras críticas de información (CIIO) a almacenar la información personal y los datos importantes recopilados y generados en el territorio de la RPC. Que un operador de red sea un CIIO suele depender de su sector y de hasta qué punto una violación de datos perjudicaría al interés público. Los operadores de redes en sectores como la comunicación pública y los proveedores de servicios de información, la energía, las finanzas y los servicios públicos tienen más probabilidades de ser considerados OISI.

China también está en proceso de establecer normas para la transmisión transfronteriza de información personal y datos importantes mediante el proyecto de Medidas para la Evaluación de la Seguridad de la Transferencia Transfronteriza de Información Personal y Datos Importantes (个人信息和重要数据出境安全评估办法, las Medidas) y el proyecto de Directrices para la Evaluación de la Seguridad de la Transferencia Transfronteriza de Datos (数据出境安全评估指南, las Directrices). Según los proyectos existentes, las Medidas y las Directrices se aplicarán a cualquier empresa que sea un operador de red dedicado a la "explotación nacional."

El término "operador de red" se define para incluir a cualquier persona o entidad que posea y gestione cualquier red y también a los proveedores de servicios de red. Si una empresa utiliza su red interna para sus operaciones internas y utiliza su sitio web para proporcionar información a sus clientes y este sistema y sitio web son propiedad y están gestionados por su matriz extranjera, la matriz extranjera es un operador de red.

Con arreglo a las Directrices, por operación nacional se entiende el suministro de productos o servicios dentro de China. Un operador de red extranjero que no esté registrado en China pero que suministre productos o servicios a clientes en China se dedica a la explotación nacional y estará sujeto a los requisitos de transferencia transfronteriza de datos de China.

Las Directrices también establecen cómo determinar si una empresa extranjera realiza operaciones nacionales. Los factores que llevarán a tal conclusión incluyen el uso de la lengua china, la liquidación de pagos con RMB y la entrega o distribución de productos o servicios a ciudadanos o empresas de China. Si se dan uno o varios de estos casos, se considerará que una empresa extranjera realiza "operaciones nacionales" y, por tanto, deberá realizar una evaluación de seguridad antes de emprender cualquier transferencia transfronteriza de información personal y datos importantes. Pero un operador de red ubicado en China que sólo suministre productos o servicios a entidades extranjeras y cuya operación no implique ninguna información personal de ciudadanos chinos ni datos importantes no se considerará operación nacional y, por tanto, no estará sujeto a las normas chinas sobre transferencia transfronteriza de datos.

Requisitos para la transferencia transfronteriza de datos en China.

Los operadores de red que no son OSI pueden transmitir información personal a un servidor situado fuera de China siempre que el sujeto de los datos pertinentes haya dado su consentimiento a dicha transmisión y siempre que la entidad (normalmente una empresa) que inicia la transferencia se haya sometido a una evaluación de seguridad en relación con sus transferencias de datos. Estos requisitos se establecen en las Medidas y las Directrices. La empresa debe llevar a cabo la evaluación de seguridad, ya sea por sí misma o contratando a un proveedor de servicios profesionales externo. El informe de dicha evaluación deberá conservarse durante al menos dos años. En determinadas circunstancias, el regulador pertinente del sector revisará la evaluación.

En virtud del artículo 7 del segundo borrador del Proyecto de Medidas, la autoridad reguladora competente actuará cuando la transferencia de datos implique alguna de las siguientes circunstancias:

  1. Datos que contengan o acumulen información personal de más de 500.000 personas
  2. Datos relacionados con instalaciones nucleares, biología química, defensa nacional o militar, población y sanidad
  3. Datos relacionados con actividades de ingeniería a gran escala, el medio marino o información geográfica sensible.
  4. Datos relacionados con la información sobre ciberseguridad de infraestructuras de información clave, como vulnerabilidades del sistema y medidas de protección de la seguridad.
  5. Otros factores que pueden afectar a la seguridad nacional y a los intereses públicos de China
  • El consentimiento necesario

Para transferir información personal fuera de China, un operador de red debe obtener primero el consentimiento del sujeto de la información personal. Este consentimiento debe darse por escrito o mediante algún otro tipo de acción afirmativa por parte del titular de los datos. El consentimiento puede obtenerse, por ejemplo, mediante una notificación emergente en línea en la que se pida al interesado que haga clic en sí o en no, o enviándole un mensaje de texto en el que se le pida que responda "sí" o "no" a la transferencia transfronteriza.

El consentimiento puede estar implícito en determinadas circunstancias, como la realización de llamadas internacionales, el envío internacional de correos electrónicos, la mensajería instantánea internacional y la realización de transacciones transfronterizas por Internet.

  • La evaluación de seguridad de datos requerida

Las Medidas exigen que la empresa que transmita información personal y datos importantes fuera de China realice (o recurra a un tercero para que realice) una evaluación de seguridad del sistema de transferencia transfronteriza de datos que utilizará para enviar la información personal y los datos importantes. Los reguladores de la industria o las autoridades reguladoras serán responsables de supervisar estas evaluaciones y deberán hacer sus propias inspecciones de datos transfronterizos "regularmente". Según las Directrices, cuando haya varias entidades implicadas en una transmisión de datos salientes, la entidad que inicie la transmisión deberá realizar la evaluación de seguridad.

Sólo es necesaria una evaluación de seguridad para las transmisiones transfronterizas "continuas". Si se producen dos transferencias de datos distintas en el plazo de un año y la finalidad y el destinatario de ambas transferencias son los mismos, y el alcance, el tipo y la cantidad de información son similares, estas transmisiones se considerarán "continuas." Tomemos, por ejemplo, una filial china de un minorista extranjero que recopila la información personal de sus clientes en cualquier pedido inicial y luego transmite esa información a su empresa matriz extranjera. Este tipo de transmisión puede producirse instantáneamente muchas veces al día y el receptor, el alcance y el tipo de información siguen siendo los mismos. Estas transmisiones probablemente se considerarían continuas y, por lo tanto, no requerirían una evaluación de seguridad separada para cada transferencia individual.

En mi próximo artículo explicaré con más detalle qué deben hacer las empresas extranjeras que operan en China para cumplir la legislación china en materia de ciberseguridad y privacidad en Internet.

Compartir

China Law Blog

China Law Blog se centra en los aspectos prácticos de la legislación china y en cómo afecta a las empresas extranjeras que hacen negocios en o con China. El objetivo es ayudar a los lectores a entender qué funciona y qué no funciona y qué pueden hacer los empresarios para utilizar la ley en su beneficio. China Law Blog El objetivo del libro es ayudar a las empresas que ya están en China o que planean entrar en el país, no abrir nuevos caminos en la teoría o la política jurídica.

Blog de Harris Sliwoski Leer más artículos
Seguir leyendo

China Negocios, Internet

Entradas relacionadas

Etiqueta empresarial en China

Etiqueta china para cenas de negocios: Lo esencial
Contratos de fabricación en China

Cómo evitar los problemas de fabricación en China
Acuerdos NNN en China

El acuerdo NNN chino que no fue
Preguntas sobre el derecho de marcas en China

Ha registrado su marca en China... ¿y ahora qué?
Abogados especializados en contratos de distribución en China

Gestión de la distribución en China: Buenas prácticas para proteger sus intereses
capital riesgo China

Xi Jinping llega a la ciudad
Acuerdos de distribución internacional

Cómo preparar a su distribuidor chino para el éxito: Los títulos y la autoridad son importantes
Riesgos en China

¿Qué debemos pensar sobre el actual entorno empresarial en China?
Apostilla de China

China adopta HOY el Convenio de la Apostilla, facilitando las cosas
Abogados fabricantes chinos

Sobre la importancia de los acuerdos de propiedad y protección del molde en China
Bandera roja para la fabricación en China

Una sociedad extraterritorial es una señal de alarma en China
Abogados especializados en fabricación internacional

Cómo proteger sus marcas ante el declive de la fabricación en China
Traductores de China

Lost in Translation: Por qué las malas traducciones son malas para su empresa
Lista de control de la diligencia debida internacional

Navegar por el cambiante panorama jurídico chino: Lista de comprobación de 10 puntos para empresas extranjeras
china law blog

Podcast: Kossick y Rocafort hablan del trabajo forzoso