1. Historia de la protección de datos en China
La tan esperada (y temida) Ley de Protección de Datos Personales de China ya es una realidad.
Ya en 2018 escribimos sobre la legislación de protección de la información personal en China cuando la Administración de Normalización del país, autorizada por el Consejo de Estado, publicó un documento, GB/T 35273-2017 Tecnología de la información - Especificación de seguridad de la información personal(信息安全技术 个人信息安全规范)(la "Especificación").
Aquella Especificación sobre protección de datos personales no era una ley o reglamento de obligado cumplimiento, pero allanó el camino para la Ley de Protección de Datos Personales (PIPL), que entró en vigor el 1 de noviembre de 2021. La PIPL define los derechos de las personas a acceder y controlar los datos personales en poder de las empresas y restringe lo que las empresas pueden hacer con los datos. El texto en chino de la PIPL está aquí y una traducción no oficial al inglés está aquí.
2. El impacto de la Ley de Protección de Datos Personales de China
El día en que entró en vigor la PIPL, Yahoo ! anunció que dejaría de operar en China. Yahoo dijo que abandonaba China debido a su "entorno empresarial y jurídico cada vez más difícil". En octubre, LinkedIn, propiedad de Microsoft, anunció que dejaría de operar en China debido al "entorno operativo significativamente más desafiante de China y a los mayores requisitos de cumplimiento".
3. La Ley de Protección de Datos Personales de China comparada con la Ley de Privacidad del Consumidor de California y el GDPR de la UE
En 2019, uno de los abogados de privacidad de datos de mi bufete, Griffen Thorne, advirtió que las autoridades chinas estaban en proceso de basarse en la Especificación para promulgar PIPL. En este mismo post, también destacó las similitudes y diferencias entre las leyes chinas de privacidad de datos y el Reglamento General de Protección de Datos ("GDPR"), las leyes de privacidad de datos de la UE. Griffen también señaló que California tiene una importante legislación sobre privacidad de datos, la Ley de Privacidad del Consumidor de California ("CCPA"). [Bonificación: en abril, el abogado principal de mi bufete en Brasil, Rodrigo Guedes Nunes, escribió sobre la versión brasileña].
Griffen destacó una importante diferencia entre las leyes de privacidad de datos de China, la UE y California:
Las empresas estadounidenses o de la UE que hagan negocios en China no podrán basarse en haber firmado contratos con ciudadanos chinos para procesar sus datos. Ahora tendrán que explicar minuciosamente todas las formas en que utilizarán los datos y obtener el consentimiento para utilizarlos, a menos que se aplique una de las otras pocas excepciones muy limitadas. Si quiere cambiar la forma en que procesa los datos después de recogerlos y obtener el consentimiento, la mayoría de las veces será una lástima, a menos que haya otra excepción. Tendrá que volver atrás y obtener un nuevo consentimiento. En otras palabras, y como muchos de nuestros clientes quieren que les confirmemos, lo que ha hecho para cumplir con el GDPR y las leyes de privacidad de datos de EE.UU. y California no le ayuda mucho en China. Tendrá que llevar a cabo un trabajo de cumplimiento totalmente separado y diferente para China.
4. La "trifecta" de leyes cibernéticas de China
La PIPL se une a la Ley de Ciberseguridad de China, implementada en junio de 2017, y a su Ley de Seguridad de Datos, implementada en septiembre de 2021. China cuenta ahora con una trifecta de leyes para poner las cosas difíciles a las empresas extranjeras. Como escribió en 2019 el abogado principal de mi bufete en China, Steve Dickinson:
En virtud de la Ley de Ciberseguridad, el gobierno chino tiene derecho a obtener de cualquier persona o entidad en China cualquier información que el gobierno chino considere que tiene algún impacto en la seguridad china. El gobierno chino es consciente de que las empresas y personas extranjeras se mostrarán reacias a entregar simplemente su información al gobierno chino cuando éste se lo pida. Por ese motivo, la Oficina de Ciberseguridad china no tiene previsto solicitar amablemente la información. La premisa fundamental de los nuevos sistemas de ciberseguridad es que el gobierno utilizará su control de las comunicaciones para simplemente tomar la información sin discutir el asunto con el usuario. Todos los datos estarán a disposición del gobierno chino.
5. Cumplimiento de la Ley de Protección de Datos Personales de China
Las empresas chinas nacionales y extranjeras se apresuran a contratar a las decenas de miles de responsables de protección de datos/cumplimiento de la normativa necesarios para gestionar la interacción con los clientes y garantizar el cumplimiento de la normativa gubernamental.
El cumplimiento es fundamental, porque la PIPL faculta a los reguladores chinos para emitir advertencias, ordenar a las empresas que tomen medidas correctoras, suspender servicios y/o imponer multas. Las multas pueden ser de hasta 50 millones de yuanes (7,8 millones de dólares) o el 5% de los ingresos anuales de una organización en el ejercicio financiero anterior. La PIPL no especifica si las multas se basarán en los ingresos de la empresa en China o en sus ingresos en todo el mundo.
Algunos observadores han sugerido que la aplicación de la PIPL debería verse como una escalada de China en su "guerra contra las grandes tecnológicas", pero la ley lleva años gestándose; la base fue el Pliego de Condiciones mencionado anteriormente, que se publicó en 2018.
No, la PIPL es una extensión de la campaña de Pekín para "mandar y controlar" todos los aspectos de la vida china. Aunque ahora las empresas chinas y extranjeras deben manejar con cuidado la información de los consumidores, el Estado chino tiene acceso total.
Nuestros abogados especializados en China han escrito a menudo (especialmente durante los últimos cinco años) sobre cómo las empresas extranjeras que operan en China deben cumplir todas las leyes y reglamentos chinos. Esto también se aplica a la PIPL. Si su empresa obtiene datos de clientes de China, debe asegurarse de que cumple las leyes chinas sobre privacidad de datos.
