Tal como señalamos en notas previas, esta legislación de privacidad pertenecía a un amplio paquete de normas que el parlamento chino estuvo deliberando el año pasado. Afortunadamente superó la valla, y ahora, la Ley de Seguridad de Datos (DSL por sus siglas en inglés) entrará en vigor el 1 de setiembre de este año en la República Popular China.
Esta norma, se aplicará en conjunto con la Ley de Protección de Información Personal (PIPL- aún no promulgada), la ley de ciberseguridad (promulgada en 2017) y la ley de e-commerce. En este aspecto, hay una diferencia importante con el común de las regulaciones de protección de datos personales en el mundo, mientras que las leyes de datos usualmente incluyen la esfera de la protección de la información personal y la seguridad del tratamiento de datos personales en una sola norma, en este caso, estos dos ámbitos tienen dos regulaciones específicas. En el caso de la protección de la información personal, se aplica la norma que lleva el mismo nombre (PIPL), y en el caso de la seguridad de los procesos de tratamiento de datos, se aplica la Ley de Seguridad de Datos (DSL).
¿Fines? Protección de datos personales y seguridad nacional.
La norma contempla la protección de la recopilación, tratamiento y el uso de los datos personales en toda la república, sin embargo, también abarca a empresas fuera de sus fronteras en dos situaciones: (i) si recopila datos de ciudadanos chinos, (ii) si trata con empresas chinas, y a razón de ello recibe información de esta índole, informó TheDailySwig.
Similar a otras legislaciones, la norma contempla la posición de un encargado de implementación y cumplimiento de esta norma en todas las empresas, el cual, estará sujeto a penalidades a título personal si es que no cumple con alguna de las obligaciones señaladas en la norma.
¿Nueva consideración? Tal como está comenzando a pasar en todo el mundo, los datos están siendo considerados como un recurso básico y estratégico en la República Popular China, y bajo este entendido, se implementará las medidas de seguridad de los mismos.
Consideraciones relevantes:
- Flujos transfronterizos: dependerán del (i) nivel de “importancia de los datos” y (ii) de las “infraestructuras críticas de información”. Respecto a lo primero, de acuerdo al artículo 31 de la norma, aquellos considerados “datos importantes” deberán estar almacenados en territorio chino y su transferencia fuera de las fronteras requerirá una evaluación de seguridad previa de parte de la administración estatal competente, señaló China Briefing. ¿Cuáles son los problemas con este tipo de medidas? Claramente los obstáculos al sector empresarial.
¿A qué se refieren con “infraestructuras críticas de información? A aquellos sectores en los que las filtraciones de información podrían comprometer seriamente la seguridad nacional, tal como puede pasar con el sector de telecomunicaciones, energía, finanzas, etc.
- ¿Entrega de datos a autoridades judiciales o policiales fuera de China? Requerirá la autorización de la administración estatal competente (se usa este nombre genérico en vista que no existe una designación como tal aún).
- ¿Qué aplica a los intermediarios de datos? Con la creciente industria de análisis de datos, existen cada vez más plataformas que se encargan de conectar a consumidores y proveedores de datos (ej: Tianyuan Data, Jingdong Cloud, etc.), ellos ejemplifican muy bien los ecosistemas de “comercios de datos”. Pero con esta norma, ahora tendrán que cumplir con algunos requisitos: (i) deberán exigir al proveedor de los datos que explique la fuente de su información (de tal forma que pueda controlarse que los medios de recopilación no sean ilegales), (ii) deberán validar la identidad de las partes de la transacción, es decir, de los proveedores y de los compradores de los datos; (ii) por último, deberán guardar los registros de todas las transacciones.
- El elemento ético. La nueva ley de privacidad china incluye la obligación de evaluar la ética en sus procesos, de tal forma que este elemento debe ser tomado en consideración en el diseño del flujo del tratamiento de los datos personales.
