El 20 de agosto de 2021, en la República Popular China (“China”), se aprobó una nueva ley sobre protección de la privacidad que entrará en vigor este 1 de noviembre. La nueva ley, conocida como la Personal Information Protection Law (“PIPL”), emula en gran medida al reglamento general europeo (“GDPR”) y prevé la aplicación extraterritorial.
La PIPL es la primera ley en China que prevé un régimen comprensivo en materia de regulación del tratamiento (entendido en sentido amplio) de datos personales. En este sentido, la PIPL define el concepto y alcance de datos personales, creando también la categoría de datos sensibles.
Entre las obligaciones impuestas a las empresas que recolectan datos personales de usuarios está la de obtener el consentimiento previo y la de asegurar la protección de los datos al realizar transferencias internacionales. También, las empresas tecnológicas que traten datos personales deberán designar a un encargado de protección de datos (en la normativa europea se lo conoce como “DPO”).
Asimismo, las empresas tecnológicas deberán realizar auditorías en forma periódica para demostrar que cumplen con la normativa. Además, deberán realizar evaluaciones de impacto sobre el nivel de riesgo que hay al procesar datos sensibles.
El espíritu de la nueva ley se orienta a los ya conocidos principios de la OCDE dado que aclara que el propósito para la recolección de datos personales debe ser claro y razonable. Además, debe limitarse al mínimo necesario para la consecución del objetivo (Artículo 6).
A mayor abundamiento, la prensa estatal china sostuvo que las recomendaciones personalizadas deben surgir de una verdadera y libre elección del usuario y no ser impuestas por las empresas.
La presente ley, junto con la Data Security Law – que entra en vigencia el 1 de septiembre del 2021 – marcan dos hitos trascendentes respecto de cómo China busca regular las operaciones en Internet. (1)
La Data Security Law será aplicable a las actividades de “manejo de datos” dentro del territorio de la República Popular de China y, también en aquellos casos en los que el manejo de datos fuera del territorio de China pueda dañar la seguridad nacional del país, los derechos e intereses legales de ciudadanos y organizaciones o el interés público.
El “manejo de datos” es entendido como la recopilación, uso, almacenamiento, provisión, divulgación, transmisión – entre otros – de cualquier registro de información en formato electrónico o de otro tipo, es decir, de “datos”.
En este sentido, la Data Security Law diseña un marco para que las compañías garanticen la seguridad de los datos, tomando las medidas necesarias y eficaces a tal fin. Un aspecto interesante, en el artículo 30, es que quienes manejen datos importantes (entendida esta como una categoría que el Estado clasifica jerárquicamente en función de su importancia para el desarrollo social, económico interés público e intereses y derechos de los ciudadanos y organizaciones) deben realizar evaluaciones de impacto sobre la privacidad de forma periódica. Sus resultados deben ser informados a las autoridades reguladoras pertinentes incluyendo, entre otras cosas, la cantidad, tipo de datos, riesgos y métodos para abordarlos.
En resumidas cuentas, ambas leyes obligarán a las empresas que traten datos personales de ciudadanos chinos y/u operen en China que examinen sus prácticas de tratamiento de datos personales y sus medidas de seguridad.
Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.
Referencias:
(1) La traducción no oficial al inglés de la Data Security Law está disponible en: https://www.secrss.com/articles/31844
Autor:
Ignacio Sáenz Valiente
Socio | Asesoramiento Corporativo y Reorganizaciones Societarias
ivaliente@svya.com.ar
Foto/ilustración:
