NUEVA LEY CHINA DE PROTECCIÓN DE INFORMACIÓN PERSONAL

El pasado 20 de Agosto de 2021, el Comité Permanente de la Asamblea Popular Nacional de China finalmente promulgó la muy esperada Ley China de Protección de la Información Personal (PIPL, por sus siglas en inglés), que entra en vigor el próximo 1 de Noviembre de 2021.[1][2]

Si bien la protección de datos personales ya se encontraba anteriormente regulada en China bajo amparo de preceptos Constitucionales tanto en el Código Civil, como en la Ley Criminal y la Ley de protección al Consumidor, entre otras, con esta Ley se consolida ahora el primer cuerpo legal comprensivo de la regulación de protección de información de carácter personal,

Promulgada conforme a la Constitución China, la Ley PIPL tiene como objetivo establecer, conjuntamente con las recientemente publicada Ley PRC de Seguridad de Datos y Ley PRC de Ciberseguridad[3], un estricto y robusto marco legislativo de Seguridad y Protección de Datos, otorgando mayor seguridad jurídica y altos niveles de protección en el camino de preparación regulatoria del país para la Economía Digital Global.

Similar al RGPD Europeo en muchos aspectos, la PIPL define los conceptos relacionados con datos personales, extiende extraterritorialmente su ámbito de aplicación, garantiza derechos para los sujetos de la información personal y establece responsabilidades solidarias para las entidades que conjuntamente realicen actividades de procesamiento de datos, con sanciones administrativas muy altas para los incumplimientos (Hasta 50 Millones de RMB o el 5% del volumen total de la cifra de negocios, incluyendo prohibiciones para ejercer determinados cargos directivos).

Alcance:

La Ley PIPL regula la protección de los derechos e intereses relacionados con la información de carácter personal y las actividades de tratamiento de la misma, incluyendo la recogida, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación, eliminación, etc. de la información personal, a la vez que promueve el uso legal y razonable de tales datos.

Se define la información personal como cualquier tipo de información que identifique o pueda identificar a personas naturales, ya sea registrada electrónicamente o por otros medios, y excluyendo la información anonimizada.

Adicionalmente, la Ley PIPL otorga un especial nivel de protección a la información personal sensible, definida como aquella que filtrada o ilegalmente usada, pudiera utilizarse fácilmente para producir una intromisión en la dignidad personal de los individuos o daños en su seguridad personal o patrimonial. El alcance de tal protección parece amplio e incluye ejemplos tales como la información biométrica, religiosa, identidades específicas, datos de salud, financieros, ubicación…así como cualquier información personal relacionada con menores de 14 años.

Aplicación Territorial:

La Ley PIPL aplica a aquellas actividades relacionadas con el tratamiento y/o procesamiento de información personal de personas físicas dentro del territorio de la República Popular China, extendiendo además su alcance territorial a aquellas actividades realizadas fuera del territorio en cualquiera de las siguientes circunstancias:

(1) Con la finalidad de suministrar productos y servicios a personas físicas dentro del territorio

(2) Para analizar o evaluar la conducta de las personas físicas dentro del territorio

(3) Otras situaciones previstas por la Ley o regulaciones administrativas

Gestión de Datos Personales:

La Ley PIPL introduce una posición denominada “persona a cargo de la protección de la información personal”, similar al Delegado de Protección de Datos o “Data Protection Officer” (DPD – DPO) del RGPD Europeo. Conforme al Artículo 52 PIPL, los sujetos que procesen información personal con un volumen especificado conforme al departamento de información de internet del Estado, deberán designar una persona a cargo de la protección de la información personal para ser responsable de supervisar las actividades sobre dicha información y cualquiera de las medidas adoptadas para tal fin.

Además, de acuerdo con el Artículo 58, los manejadores de información personal que brinden importantes servicios de plataforma de Internet y que tengan un número elevado de usuarios relevante o un modelo operativo complejo, deberán establecer y completar sistemas de Cumplimiento (Compliance) para la protección de la información personal de acuerdo con la ley y las disposiciones estatales, y establecer un organismo independiente compuesto principalmente por miembros externos para llevar a cabo la supervisión de la protección de la información personal.

Principios rectores:

La información personal deberá ser procesada de conformidad con los principios de legalidad, legitimidad, necesidad y buena fe. De manera similar al RGPD Europeo, conforme a los Artículos 6 y 7 PIPL en particular, el procesamiento de tales datos deberá servir a un propósito definido y razonable, directamente relacionado con el propósito del procesamiento, y realizado de tal manera que tenga el menor impacto en los derechos e intereses de los individuos.

Igualmente, la recogida de datos de carácter personal deberá limitarse al alcance mínimo necesario para el propósito del procesamiento, evitando en todo momento cualquier recogida excesiva que exceda tal propósito.

Adicionalmente, el procesamiento de información personal debe seguir también los principios de apertura (accesibilidad) y transparencia, imponiendo a los procesadores la obligación de divulgar la información relacionada con las condiciones de las actividades de procesamiento, que deberán además indicar el propósito, la manera y el alcance del procesamiento.

Bases Legales:

Conforme al Artículo 13 PIPL, los manejadores de información personal solamente pueden procesar los datos cuando cumplan con alguna de las siguientes condiciones (Base Legal):

1. Hayan obtenido el consentimiento del individuo;

2. Cuando sea necesario para ejecutar o cumplir un contrato en el que el sujeto sea una parte interesada, o cuando sea necesario para la dirección de recursos humanos conforme a las regulaciones, convenios colectivos y estructuras laborales legalmente formuladas.

3. Cuando sea necesario para cumplir con labores, obligaciones o responsabilidades estatutarias

4. Cuando sea necesario para responder a incidentes de salud pública o que requieran protección de las vidas o salud de las personas físicas o la seguridad de sus propiedades, bajo condiciones de emergencia.

5. Cuando el propósito dentro de un alcance razonable sea llevar a cabo actividades tales como la emisión de noticias y opinión bajo supervisión de interés público

6. Manejo de información personal ya legalmente divulgada por los propios sujetos o de otra manera, con un propósito y alcance razonable en conformidad con lo previsto en la presente Ley

7. Otras circunstancias previstas por Ley o regulaciones administrativas.

El consentimiento individual deberá ser obtenido para el procesamiento de la información personal conforme a la propia Ley y como base legal principal o por defecto, si bien para los casos incluidos en los puntos anteriores 2 a 7 el consentimiento individual no es necesario.

Requisitos de Aviso Legal y Consentimiento:

Como principio general, cualquier procesamiento de información personal debe ser debidamente notificado y el consentimiento individual debe ser obtenido (salvo las excepciones mencionadas anteriormente). Tal y como menciona el Artículo 17 PIPL, los manejadores de información personal deberán (salvo excepciones del artículo 18), con carácter previo al procesamiento, notificar explícitamente a los individuos de manera veraz y precisa, e informarles sobre todos los siguientes puntos, usando un lenguaje claro y comprensible:

1. El nombre y método de contacto del manejador de la información personal;

2. El propósito del procesamiento de la información personal y los métodos, las categorías de datos manejados y los periodos de retención de la información;

3. Los métodos y procedimientos para que los individuos puedan ejercitar los derechos recogidos en la presente Ley;

4. Otros elementos que las leyes o las regulaciones administrativas prevean que deban ser notificados.

Cuando se produzcan cambios en las materias previstas en los párrafos anteriores, los individuos deben ser debidamente notificados de tales cambios.

En cuanto al consentimiento individual, se requiere que el mismo sea recabado separadamente en cualquiera de los siguientes escenarios o actividades:

1. Para proveer información personal a una tercera parte (Artículo 23);

2. Divulgación pública de información personal (Artículo 25);

3. Información Personal recabada por equipos instalados en lugares públicos si es usada para otro propósito diferente de la seguridad pública (Artículo 26);

4. Procesamiento de información personal sensible (Artículo 29); y

5. Para proveer información personal a una parte fuera del territorio de China (Artículo 39).

De acuerdo con el Artículo 23, siempre que varios manejadores de información personal se proporcionen información personal entre sí, deberán notificar a las personas afectadas sobre el nombre o el nombre personal del destinatario, su método de contacto, el propósito de manejo, el método de manejo y las categorías de información personal, y obtener el consentimiento individual separadamente. Los destinatarios deberán manejar la información personal dentro del alcance notificado mencionado anteriormente: propósitos de manejo, métodos de manejo, categorías de información personal, etc. Cuando los destinatarios de la información cambien el propósito de manejo original o los métodos de manejo, deberán obtener nuevamente el consentimiento del individuo.

Obligaciones para el manejo de información personal (Medidas)

El Artículo 51 establece que los manejadores de información personal deberán, sobre la base del propósito de procesamiento de la información personal, los métodos de manejo, las categorías de información personal, así como la influencia en los derechos e intereses de las personas y los riesgos de seguridad, adoptar las siguientes medidas para garantizar que el manejo de la información personal cumple con las disposiciones de las leyes y regulaciones administrativas aplicables, y previene el acceso no autorizado, así como las fugas, distorsiones o pérdidas de información personal:

1. Formular estructuras de gestión de cumplimiento interno y reglas operativas;

2. Implementar la gestión categorizada de información personal;

3. Adopción de las correspondientes medidas técnicas de seguridad como cifrado, desidentificación, etc.

4. Determinar razonablemente los límites operativos para el manejo de la información personal y realizar con regularidad educación y capacitación en seguridad para los empleados;

5. Formular y organizar la implementación de planes de respuesta a incidentes de seguridad de la información personal;

6. Otras medidas previstas en leyes o reglamentos administrativos.

Transferencias internacionales de Información personal:

En el caso de que los manejadores de información personal verdaderamente necesiten transferir la información fuera del territorio de la República Popular China para propósitos legales relacionados con sus negocios u otros, deberán cumplir cualquiera de las siguientes condiciones:

1. Pasar una evaluación de seguridad organizada por el Departamento de Ciberseguridad e Informática del Estado de acuerdo con el artículo 40 de la Ley;

2. Someterse a una certificación de protección de la información personal realizada por un organismo especializado de acuerdo con las disposiciones del Departamento de Ciberseguridad e Informática del Estado;

3. Celebrar un contrato con la parte receptora extranjera de acuerdo con un contrato o plantilla estándar formulado por el departamento de informática y ciberespacio del Estado, en el que se acuerden los derechos y responsabilidades de ambas partes;

4. Otras condiciones previstas en leyes o reglamentos administrativos o por el departamento de Ciberseguridad y TI del Estado.

Derechos Individuales:

De un modo similar al RGPD Europeo, la Ley PIPL otorga numerosos derechos para los sujetos de información personal, como el derecho a conocer, el derecho a decidir, el derecho a rechazar o limitar el procesamiento de su información personal, el derecho a acceder, consultar y copiar su información personal, el derecho a solicitar la eliminación (en determinadas circunstancias), la corrección o actualización de su información personal, el derecho a retirar el consentimiento y el derecho a solicitar información sobre las normas de tratamiento aplicables a sus datos personales.

Requisitos y garantías para el uso de la Información Personal por las agencias estatales:

La Ley PIPL garantiza que las autoridades que recaben información personal con el interés legítimo y legal de preservar la seguridad nacional o investigar crímenes, deben cumplir con una serie de requisitos y procedimientos muy estrictos, con las debidas garantías reguladas bajo las leyes y regulaciones aplicables.

De tal modo, adicionalmente a otras leyes y normas procesales de China, cuando las autoridades públicas necesiten manejar información personal con el fin de cumplir con sus deberes legales, no excederán en ningún caso el alcance o la extensión necesaria para dicha actividad. Incluso si las autoridades gubernamentales pudieran tener acceso a cualquier información personal en diferentes circunstancias, están igualmente obligadas a seguir estrictos requisitos de procedimiento, con las debidas garantías bajo las leyes y regulaciones aplicables, tales como presentar una orden de acceso o registro en una investigación. Mientras tanto, los sujetos de información personal mantienen en cualquier caso su derecho a ejercer las reclamaciones y recursos que estén disponibles en las Leyes para protegerse de cualquier intromisión.

Sin duda, esta garantía específica ostenta una notoria alineación con el espíritu de la Carta de Derechos Fundamentales de la Unión Europea (CFR, por sus siglas en inglés), por cuanto cualquier limitación del ejercicio de los derechos y libertades debe ser provisto por Ley con las debidas garantías, respetando la esencia de dichos derechos y libertades. Además, el principio de Proporcionalidad de la CFR también se encuentra reflejado en la Ley PIPL ya que no solo establece que las actividades de procesamiento de información personal tendrán un propósito claro y razonable, sino que también enfatiza en que las actividades y métodos de procesamiento empleados se limitarán a un alcance reducido de interés general reconocido, e influirán en los derechos e intereses de las personas solo en lo mínimo necesario para lograr el propósito. Para hacer cumplir, supervisar y asesorar plenamente sobre las disposiciones legales, la Ley PIPL designa un organismo supervisor, la administración del ciberespacio del Estado, y ofrece una amplia variedad de recursos para aquellas personas cuyos derechos e intereses de información personal sean infringidos.

CONCLUSION:

Con esta Ley, tal y como se proclama en su redacción, China da un paso adelante para ser un actor principal en la promoción de reglas y estándares internacionales para la protección de la información personal, mejorando notablemente el marco legal de intercambio y cooperación internacional en el área de protección de la información personal, y promoviendo el reconocimiento mutuo de las reglas, normas, estándares, etc. de protección de la información personal, con otros países, regiones y organizaciones internacionales.

PIPL mejora claramente los niveles chinos de seguridad jurídica y de adecuación internacional para los mercados y negocios internacionales en la economía digital global. Dado que consolida las regulaciones existentes de China y establece un marco regulatorio completo con multitud de similitudes establecidas en el RGPD europeo, en línea con la CFR y las leyes y regulaciones de los países miembros de la UE, brindando apertura, garantías adecuadas y transparencia, este cuerpo legal es un hito notable para que China sea cada vez más relevante en el negocio digital global, especialmente como aliado de Europa, creando oportunidades para negocios y cooperación internacionales, y reforzando su presencia como socio fiable en los mercados digitales internacionales.

A medida que la era digital desafía las nuevas formas de cooperación, parece claro que China está trabajando en la adecuación legal y participación en el cumplimiento de la innovación, no solo para lograr una economía digital sólida, sino también para colaborar de manera global con el objetivo de dar forma al futuro de la digitalización de manera responsable, respetuosa con los derechos humanos, y bajo un claro principio de cooperación global.

En palabras del propio gobierno chino: “En el contexto de una cooperación global más estrecha y un nuevo desarrollo de la división internacional del trabajo, mantener la seguridad de la cadena de suministro de los productos y servicios de TIC, nunca se ha vuelto más importante para aumentar la confianza de los usuarios, garantizar la seguridad de los datos y promover economía digital. Instamos a todos los Estados a que pongan el mismo énfasis en el desarrollo y la seguridad y adopten un enfoque equilibrado del progreso tecnológico, el desarrollo económico y la protección de la seguridad nacional y los intereses públicos. Reafirmamos que los Estados deben fomentar un entorno empresarial abierto, justo y no discriminatorio para el beneficio mutuo, los resultados de beneficio mutuo y el desarrollo común. Al mismo tiempo, los Estados tienen la responsabilidad y el derecho de garantizar la seguridad de los datos importantes y la información personal relacionada con su seguridad nacional, la seguridad pública, la seguridad económica y la estabilidad social. Damos la bienvenida a gobiernos, organizaciones internacionales, empresas de TIC, comunidades tecnológicas, organizaciones civiles, individuos y todos los demás actores para que realicen esfuerzos concertados para promover la seguridad de los datos bajo el principio de consulta amplia, contribución conjunta y beneficios compartidos. Recalcamos que todas las partes deben intensificar el diálogo y la cooperación sobre la base del respeto mutuo y unir esfuerzos para forjar una comunidad con un futuro compartido en el ciberespacio con paz, seguridad, apertura, cooperación y orden”[4].

Alberto Lezcano*, Septiembre 2021.

*Nota: Las ideas contenidas en las publicaciones de Cátedra China o de terceros son responsabilidad de sus autores, sin que reflejen necesariamente el pensamiento de esta Asociación.

FUENTES

[1] Fuente: Standing Committee of the National People´s Congress, PRC Personal Information Protection Law, published on August 20, 2021: http://www.npc.gov.cn [2] Fuentes: English unofficial translations: https://www.chinalawtranslate.com/en/Personal-Information-Protection-Law/ https://digichina.stanford.edu/news/translation-personal-information-protection-law-peoples-republic-china-effective-nov-1-2021 https://www.china-briefing.com/news/the-prc-personal-information-protection-law-final-a-full-translation/ [3] Fuentes: https://www.chinalawtranslate.com/en/datasecuritylaw/ Data Security Law of the PRC (June 2021). China Cybersecurity Law: https://www.chinalawtranslate.com/en/2016-cybersecurity-law/ [4] Fuente: Global Initiative on Data Security at the International Seminar on Global Digital Governance held September 2020 with the theme of "seizing digital opportunities for cooperation and development."