Ley de Protección de Información Personal de la República Popular China

Ley china sobre derechos de información personal

La Ley de Protección de Información Personal de la República Popular China (chino: 中华人民共和国个人信息保护法; pinyin: Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fǎ ) conocida como Ley de Protección de Información Personal o (" PIPL "). ") proteger los derechos e intereses de la información personal , estandarizar las actividades de manejo de la información personal y promover el uso racional de la información personal. También aborda la transferencia de datos personales fuera de China.

La PIPL se adoptó el 20 de agosto de 2021 y entró en vigencia el 1 de noviembre de 2021. ^[1] Está relacionada con la Ley de Ciberseguridad de China ("CSL") y la Ley de Seguridad de Datos de China ("DSL") y se basa en ellas. ^{[2] : 131}

El 29 de diciembre de 2021 se publicó una versión de referencia en inglés.

Historia

El 20 de agosto de 2021, el Comité Permanente del 13.º Congreso Nacional del Pueblo aprobó la Ley de Protección de la Información Privada o ("PIPL"). La ley, que entró en vigor el 1 de noviembre de 2021, se aplica a las actividades de manejo de la información personal de personas físicas dentro de las fronteras de China.

En comparación con los países occidentales, China ha desarrollado sus leyes de privacidad a un ritmo más lento. Sin embargo, en los últimos años, China ha desarrollado regulaciones de manera más activa, ya que se considera al país una “fuerza cibernética global”. Las políticas de China difieren de las de los países occidentales en que su percepción de la privacidad es diferente debido a razones históricas y culturales. ^[3]

Durante el proceso de redacción, se utilizó como modelo el Reglamento General de Protección de Datos de la Unión Europea ("RGPD") y, en algunas áreas, la PIPL sigue de cerca el RGPD. ^{[2] : 252}

Provisiones

Alcance

La PIPL generalmente cubre a todas las organizaciones que operan en China y procesan información personal.

Jurisdicción de brazo largo

Algunas disposiciones también incluyen la jurisdicción de largo alcance sobre la recopilación y el procesamiento de datos de organizaciones fuera de China. Estas disposiciones se aplican cuando:

1. El propósito es proporcionar productos o servicios a personas físicas dentro de las fronteras;
2. Analizar o evaluar las actividades de las personas físicas dentro de las fronteras;
3. Las demás circunstancias previstas en las leyes o reglamentos administrativos.

Se supone que esto se aplica a empresas offshore o multinacionales con clientes chinos en China, ^[4] por ejemplo Amazon , que podría enviar productos a un comprador chino, o Apple , que puede tener usuarios chinos en la App Store estadounidense .

Todas estas entidades deben establecer una entidad dedicada o designar un representante en China.

Exenciones

Hay pocas exenciones, pero una que se agregó durante la última etapa del borrador proporciona una base legal sin consentimiento para el manejo de datos de empleados, aunque el consentimiento de los empleados todavía es necesario para la transferencia al exterior, como a una empresa matriz global. ^{[5] [6]}

Temas clave

La privacidad individual , el control y el consentimiento son temas consistentes en toda la ley, que establece principios clave, entre ellos:

• Información personal : definición de información personal, incluida información confidencial;
• Base legal: toda recopilación de datos debe tener una base legal para su recopilación. Existen varias bases, pero a diferencia del RGPD , no existe una base de intereses legítimos;
• Consentimiento : una base jurídica clave es el consentimiento, que, a diferencia del RGPD, debe obtenerse para cada tipo de actividad de tratamiento de datos, especialmente para transferir los datos de una persona al extranjero. El consentimiento también debe ser "informado" con varios tipos de notificación y contenido obligatorio especificados en la ley;
• Datos confidenciales: algunos tipos de información personal son confidenciales y la ley proporciona una lista abierta de ejemplos (a diferencia de la lista específica de "categorías especiales" del RGPD), que incluyen datos biométricos, religión, estado especialmente designado, salud médica, cuentas financieras y seguimiento de ubicación;
• Protección de los niños: toda la información personal de menores de 14 años es confidencial y se requiere el consentimiento específico de los padres para procesar esta información. Esto es mucho más estricto que en el RGPD;
• Derechos individuales: la PIPL otorga a las personas varios derechos clave sobre su información, como el derecho a corregir, eliminar y ver o transferir los datos recopilados sobre ellas.
• Responsabilidades: Varios artículos establecen las distintas responsabilidades de las distintas partes que recopilan, transfieren y manejan información personal;
• Uso de información personal por parte del gobierno: la PIPL incluye cuándo y cómo las agencias gubernamentales pueden recopilar y procesar datos sobre personas, incluso para fines de seguridad nacional , emergencias y otros;
• Transferencias al extranjero: Restricciones específicas a la transferencia de datos personales fuera de China;
• Aplicación de la ley: Sanciones severas por infracciones.

Definiciones

La ley define lo siguiente:

• Información Personal - Cualquier tipo de información que identifique o pueda identificar a personas físicas registrada electrónicamente o por otros medios, pero no incluye información anonimizada.
• Información Personal Sensible - Información personal que una vez filtrada o utilizada ilegalmente puede fácilmente causar que las personas naturales sufran atentados a su dignidad o daños a sus personas o bienes; incluyendo información como datos biométricos (incluido el reconocimiento facial), fe religiosa, identidades particulares, atención médica y salud, situación financiera y seguimiento de ubicación, así como la información personal de menores de 14 años.
• Personas físicas: personas cuyos datos se recopilan para su procesamiento (similar al Titular de los Datos del RGPD ).
• Encargados del Tratamiento de Información Personal: - Organizaciones o individuos que independientemente toman decisiones sobre los propósitos y métodos del tratamiento de información personal en actividades de tratamiento de información personal.
• Personas Encargadas - Entidades externas a quienes los Encargados del Tratamiento confían el manejo de información personal, fundamentalmente terceros.
• Grandes procesadores: empresas que procesan grandes cantidades de datos, según se define en el Artículo 40, incluidos los operadores de infraestructura de información crítica ("CIIO") de las Regulaciones de infraestructura crítica de China.
• Manejo de Información Personal: El manejo de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación, eliminación, etc. de información personal.
• Toma de decisiones automatizada: El uso de programas informáticos para analizar, evaluar y tomar decisiones automáticamente sobre información personal sobre hábitos de comportamiento personal, aficiones o situación económica, de salud, crediticia, etc.
• Desidentificación: Proceso de tratamiento de información personal para hacer imposible la identificación de una persona física específica sin la ayuda de información adicional.
• Anonimización: Proceso mediante el cual se maneja información personal de manera que no pueda ser utilizada para identificar a una persona física específica y no pueda ser restaurada después de haber sido manejada de esa manera.

Base legal

Toda recopilación y procesamiento de información personal debe tener una de las siguientes bases legales: ^[7]

1. Consentimiento de las personas obtenido;
2. Cuando sea necesario para la celebración o ejecución de un contrato en el que el individuo sea parte interesada, o cuando sea necesario para llevar a cabo la gestión de recursos humanos de conformidad con normas y estructuras laborales legalmente formuladas y contratos colectivos legalmente celebrados;
3. Cuando sea necesario para cumplir deberes y responsabilidades legales u obligaciones legales;
4. Cuando sea necesario para responder a incidentes repentinos de salud pública o para proteger la vida y la salud de personas físicas o la seguridad de sus bienes en condiciones de emergencia;
5. Tratar información personal dentro de un alcance razonable para implementar reportajes periodísticos, supervisión de la opinión pública y otras actividades similares en interés público;
6. Cuando se trate de datos personales revelados por las propias personas o de otra forma ya revelados lícitamente, dentro de un alcance razonable de conformidad con las disposiciones de esta Ley.
7. Las demás circunstancias previstas en las leyes y reglamentos administrativos.

A diferencia del RGPD , no existe una base de intereses legítimos. ^[8] Por lo tanto, la mayoría de los consumidores probablemente estarán cubiertos si dan su consentimiento directo (como para cookies, boletines informativos, etc.) o si cumplen un contrato (como enviarles bienes o brindarles servicios).

Consentir

El consentimiento es una preocupación importante de la PIPL y una base legal clave sobre la cual los responsables pueden procesar información personal.

Si no existe otra base legal para el tratamiento de datos, los responsables del tratamiento deben obtener el consentimiento para la recopilación y el tratamiento de datos, y este consentimiento puede ser revocado por cualquier persona en cualquier momento. Los responsables del tratamiento no pueden negarse a proporcionar productos o servicios si una persona niega o retira su consentimiento para el tratamiento no esencial.

También se requiere específicamente el consentimiento por separado en una serie de situaciones:

• Transferencia de datos personales por parte de los responsables del tratamiento a terceros (artículo 23);
• Publicación de datos personales (artículo 25);
• Publicación o suministro de datos personales recogidos mediante equipos instalados en lugares públicos con fines de seguridad, tales como imágenes personales (artículo 26);
• Tratamiento de datos personales sensibles (artículo 29); y
• Transferencias transfronterizas de datos personales (artículo 39).

El consentimiento para estas situaciones no se puede "agrupar" y, por lo tanto, debe obtenerse por separado del individuo. ^[9]

Cuando se produzca un cambio en la finalidad del tratamiento de datos personales, en el método de tratamiento o en las categorías de datos personales tratados, se deberá obtener nuevamente el consentimiento del individuo. ^[7]

Derechos individuales

Las personas tienen varios derechos específicos bajo la PIPL: pueden: ^[7]

• Conozca y decida: Rechace y limite el modo en que se manejan sus datos.
• Acceso y copia : ver y copiar sus datos.
• Correcto o Completo - Solicitud de corrección de datos inexactos.
• Borrado - Solicitar que se elimine su información y/o revocar el consentimiento.
• Explicación : Los manejadores de solicitudes explican su manejo de la información personal de un individuo.
• Portabilidad : Solicitud de traslado de sus datos a otro controlador.

Toma de decisiones automatizada

Existen reglas específicas para la toma de decisiones automatizada en la PIPL, incluido el derecho de las personas a optar por no participar, como deshabilitar las recomendaciones de productos.

La ley exige específicamente que "se garantice la transparencia en la toma de decisiones y la imparcialidad y justicia del resultado del tratamiento, y no se podrá incurrir en un trato diferenciado irrazonable entre individuos en condiciones comerciales tales como precio comercial, etc." ^[7]

Las empresas que promueven entregas o ventas comerciales a personas mediante métodos de toma de decisiones automatizados deben brindar simultáneamente la opción de no centrarse en las características de un individuo o brindarle al individuo un método conveniente para negarse.

Cuando el uso de la toma de decisiones automatizada produzca decisiones con una influencia importante en los derechos e intereses del individuo, éste tendrá derecho a exigir a los responsables del tratamiento de datos personales que expliquen el asunto, y tendrá derecho a negarse a que los responsables del tratamiento de datos personales tomen decisiones únicamente mediante métodos de toma de decisiones automatizada.

La toma de decisiones automatizada se define como "la actividad de utilizar programas informáticos para analizar o evaluar automáticamente comportamientos, hábitos, intereses o pasatiempos personales, o estados financieros, de salud, crediticios u otros, y tomar decisiones". ^[7]

Reconocimiento facial

La PIPL cubre específicamente el uso del reconocimiento facial en espacios públicos, incluyendo que solo puede usarse por razones de seguridad pública a menos que cada individuo consienta por separado:

"La instalación de equipos de recolección de imágenes o de reconocimiento de identidad personal en lugares públicos se realizará según lo exija la salvaguardia de la seguridad pública y se observarán las normas estatales pertinentes, y se instalarán señales claras de indicación. Las imágenes personales recolectadas y la información de características de identidad personal distintivas sólo se pueden utilizar con el fin de salvaguardar la seguridad pública; no se pueden utilizar para otros fines, excepto cuando se obtenga el consentimiento por separado de las personas". ^[7]

Obligaciones del manipulador

Los responsables del tratamiento de datos personales tienen varias obligaciones específicas: ^[7]

1. Formular estructuras de gestión interna y reglas de funcionamiento;
2. Implementar la gestión categorizada de la información personal;
3. Adoptar las medidas técnicas de seguridad correspondientes tales como encriptación, desidentificación, etc.;
4. Determinar razonablemente los límites operativos para el manejo de información personal y realizar periódicamente capacitación y educación en seguridad para los empleados;
5. Formular y organizar la implementación de planes de respuesta a incidentes de seguridad de la información personal;
6. Otras medidas previstas en las leyes o reglamentos administrativos.

Todos los responsables del tratamiento deben “realizar periódicamente auditorías del tratamiento de sus datos personales y del cumplimiento de las leyes y reglamentos administrativos”.

Responsables de protección de datos personales

Además, a partir de una determinada escala de tratamiento de datos (aún no definida), los responsables del tratamiento deben designar "delegados de protección de datos personales, que serán responsables de supervisar las actividades de tratamiento de datos personales, así como las medidas de protección adoptadas, etc."

Evaluación de impacto

En las siguientes circunstancias, los responsables del tratamiento deberán realizar una evaluación de impacto de la protección de la información personal e informar de los resultados: ^[7]

1. Manejo de información personal sensible;
2. Utilizar información personal para llevar a cabo una toma de decisiones automatizada;
3. Encomendar el tratamiento de información personal, proporcionar información personal a otros encargados del tratamiento de información personal o revelar información personal;
4. Proporcionar información personal en el extranjero;
5. Otras actividades de manejo de información personal con gran influencia sobre las personas.

Estas evaluaciones deben incluir:

1. Si la finalidad del tratamiento de los datos personales, el método de tratamiento, etc., son lícitos, legítimos y necesarios;
2. La influencia sobre los derechos e intereses de los individuos y los riesgos para la seguridad;
3. Si las medidas de protección adoptadas son legales, efectivas y adecuadas al grado de riesgo.

Localización de datos

La PIPL tiene requisitos específicos sobre la localización de datos , el almacenamiento y el procesamiento de información personal en China. ^[8]

Seguridad de datos

Los responsables del tratamiento de información tienen varias responsabilidades, entre ellas la de adoptar las siguientes medidas para garantizar que el tratamiento de la información personal se ajuste a lo dispuesto en las leyes y reglamentos administrativos, y evitar el acceso no autorizado, así como la fuga, distorsión o pérdida de información personal :

1. Formular estructuras de gestión interna y reglas de funcionamiento;
2. Implementar la gestión categorizada de la información personal;
3. Adoptar las medidas técnicas de seguridad correspondientes tales como encriptación, desidentificación, etc.;
4. Determinar razonablemente los límites operativos para el manejo de información personal y realizar periódicamente capacitación y educación en seguridad para los empleados;
5. Formular y organizar la implementación de planes de respuesta a incidentes de seguridad de la información personal;
6. Otras medidas previstas en las leyes o reglamentos administrativos.

Evaluaciones de impacto

Las evaluaciones de impacto son necesarias en diversas situaciones, entre ellas:

1. Manejo de información personal sensible;
2. Utilizar información personal para llevar a cabo una toma de decisiones automatizada;
3. Encomendar el tratamiento de información personal, proporcionar información personal a otros encargados del tratamiento de información personal o revelar información personal;
4. Proporcionar información personal en el extranjero;
5. Otras actividades de manejo de información personal con gran influencia sobre las personas.

Elementos contractuales

Se requieren acuerdos cuando un responsable del tratamiento confía el tratamiento de datos personales a otro responsable del tratamiento. Algunos bufetes de abogados han sugerido que esto dará lugar a cláusulas contractuales estándar específicas ("SCC"), similares a las del RGPD . ^[9]

Notificación de infracciones

Todas las filtraciones de datos deben notificarse internamente y, si "se ha podido causar algún daño", es posible que se les pida que lo notifiquen a las personas afectadas. Los detalles de la notificación deben incluir:

1. Las categorías de información, las causas y los posibles daños ocasionados por la fuga, distorsión o pérdida ocurrida o que pudiera haber ocurrido;
2. Las medidas correctivas adoptadas por el responsable del tratamiento de datos personales y las medidas que las personas pueden adoptar para mitigar el daño;
3. Método de contacto del responsable del tratamiento de datos personales.

Manipuladores de gran tamaño

Los gestores a gran escala, como aquellos "que prestan servicios importantes de plataformas de Internet, que tienen un gran número de usuarios y cuyos modelos de negocio son complejos", también tienen las obligaciones:

1. Establecer y completar sistemas y estructuras de cumplimiento de protección de información personal de acuerdo con las regulaciones estatales, y establecer un organismo independiente compuesto principalmente por miembros externos para supervisar las circunstancias de protección de información personal;
2. Cumplir con los principios de apertura, equidad y justicia; formular reglas de plataforma; y aclarar los estándares para el manejo de información personal por parte de los proveedores de productos o servicios dentro de la plataforma y sus obligaciones de protección de información personal;
3. Dejar de prestar servicios a proveedores de productos o servicios en la plataforma que infrinjan gravemente las leyes o regulaciones administrativas en el manejo de información personal;
4. Publicar periódicamente informes de responsabilidad social sobre protección de información personal y aceptar la supervisión de la sociedad.

Transferencias al exterior

El traslado de información personal fuera de China solo está permitido si se cumple una de estas condiciones: ^[7]

1. Aprobar una evaluación de seguridad organizada por el departamento estatal de ciberseguridad e información de conformidad con el artículo 40 de esta Ley;
2. Someterse a la certificación de protección de datos personales realizada por un organismo especializado de acuerdo con lo dispuesto por el departamento de ciberseguridad e información del Estado;
3. Celebrar un contrato con la parte receptora extranjera de conformidad con un contrato estándar elaborado por el departamento estatal de ciberespacio e información, acordando los derechos y responsabilidades de ambas partes;
4. Las demás condiciones previstas en las leyes o reglamentos administrativos o por la Dirección General de Ciberseguridad y de la Información del Estado.

Todas estas transferencias requieren el consentimiento por separado de cada individuo y la notificación sobre "el nombre o el nombre personal de la parte extranjera receptora, el método de contacto, el propósito del tratamiento, los métodos de tratamiento y las categorías de información personal, así como las formas o procedimientos para que los individuos ejerzan los derechos previstos en esta Ley con la parte extranjera receptora, y otros asuntos similares". ^[7]

Intercambio de datos con gobiernos extranjeros

Los manipuladores de información tienen prohibido compartir cualquier información personal con agencias judiciales o policiales extranjeras sin aprobación. ^[7]

Esto ha suscitado inquietudes entre los bufetes de abogados sobre cómo las corporaciones multinacionales responderían o podrían responder a investigaciones judiciales en otros países, como por ejemplo una orden de registro de datos conservados sobre un ciudadano chino en esos países.

Departamentos gubernamentales

La Ley de protección de datos personales incluye una base jurídica que regula cómo los órganos del Estado pueden recopilar y procesar datos. En general, el gobierno debe seguir las mismas normas que las entidades no gubernamentales, incluidas las notificaciones. Existen algunas excepciones, como cuando “impide que los órganos del Estado cumplan con sus deberes y responsabilidades legales”. ^[7]

Véase también

• Ley de Ciberseguridad de la República Popular China (LSC)
• Ciberseguridad
• Ley de Seguridad de Datos de la República Popular China (DSL)
• Gobernanza de datos
• Privacidad de la información
• Reglamento General de Protección de Datos (RGPD)
• Ley de Privacidad del Consumidor de California (CCPA)
• Ley de Protección de la Privacidad Infantil en Internet (COPPA)
• Escudo de privacidad UE-EE. UU.
• Derechos humanos
• Portabilidad de datos
• Legislación de No Rastrear
• Evaluación del impacto sobre la privacidad

Citas

1. "中华人民共和国个人信息保护法_中国人大网". www.npc.gov.cn. ​Consultado el 16 de octubre de 2023 .
2. Zhang, Angela Huyue (2024). High Wire: How China regula las grandes empresas tecnológicas y gobierna su economía . Oxford University Press . doi :10.1093/oso/9780197682258.001.0001. ISBN 9780197682258.
3. "Evolución reciente de la protección jurídica de la privacidad personal en la República Popular China". iris.uniroma1.it . Consultado el 2023-10-06 .
4. "China aprueba la ley de protección de la información personal, que entrará en vigor el 1 de noviembre". Gibson Dunn . 2021-09-10 . Consultado el 2021-09-29 .
5. "Protección de la información personal de los empleados en China: ¿está al día?". Crowell & Moring LLP . 2021-08-25 . Consultado el 2021-09-29 .
6. Briefing, China (2 de febrero de 2021). "Los empleadores en China deben prepararse para las expectativas de cumplimiento según el borrador de la PIPL". China Briefing News . Consultado el 30 de septiembre de 2021 .
7. «Traducción: Ley de Protección de Información Personal de la República Popular China | DigiChina». digichina.stanford.edu . Consultado el 29 de septiembre de 2021 .
8. "Ley de Protección de Información Personal de China (PIPL): Preguntas clave respondidas | Morrison & Foerster". www.mofo.com . Consultado el 29 de septiembre de 2021 .
9. "El viaje acaba de comenzar: China aprueba su Ley de Protección de Información Personal". www.hoganlovells.com . Consultado el 29 de septiembre de 2021 .