PIPL: ¿Offshore vs Onshore en China?

China introdujo la Ley de Protección de Información Personal (PIPL) en 2021 para regular las actividades de manejo de información en China, como las transferencias de información personal a través de la frontera. En este artículo, podrás aclarar tus dudas sobre esta ley y si se aplicaría a tu negocio.

<<< ¿Por qué las marcas de lujo necesitan optimizar sus sitios en China? >>>

Entonces, ¿qué significa esto para tu empresa? ¿Y esto quiere decir que debes alojar toda la información en tierra? Creemos que la respuesta depende de varios factores.

Cuando se trata de alojar sitios web en China, el rendimiento y la accesibilidad de la información han sido las primeras consideraciones para la mayoría de las empresas o entidades extranjeras.

Es decir, esto fue hasta que China introdujo la Ley de Protección de Información Personal (PIPL) en 2021, la primera legislación en China para regular las actividades de manejo de información personal de ciudadanos y residentes chinos.

A modo de contexto, PIPL describe las prácticas en el procesamiento de información personal a través de la frontera como las notas sobre alojamiento en el país o en el uso de proveedores en el extranjero, lo que plantea las preguntas:

• ¿Se aplica PIPL a tu empresa?
• ¿Se pueden seguir utilizando herramientas extraterritoriales como Google Analytics en China?
• ¿Deberías alojar tus datos en tierra? Y ¿cómo?
• ¿Cuáles son las mejores prácticas para seguir PIPL?

Para iniciar la conversación, hemos recopilado algunos consejos en PIPL y sus documentos de respaldo.

¿Qué es la Ley de Protección de Datos Personales del continente (PIPL)?

La Ley de Protección de Datos Personales (PIPL) estipula el consentimiento de las personas como la base legal principal para el procesamiento de datos personales.

Requiere que el procesamiento de información personal se atenga a los principios de legalidad, equidad, buena fe, necesidad mínima, apertura y transparencia.

A partir de 2022, se han denunciado alrededor de 200 empresas en China por incumplimiento de la PIPL y otras reglamentaciones relacionadas.

1. Algunas definiciones.

La información personal está relacionada con personas físicas identificadas o identificables que se registran electrónicamente o de otro modo, excepto la información que ha sido anonimizada (Artículo 4, PIPL).

¿Qué no es información personal?

Información personal que se procesa de manera irreversible o de manera que no se puede utilizar para identificar a ninguna persona física.

¿Qué es el procesamiento de información?

El procesamiento de Información personal incluye la recopilación, el almacenamiento, el uso, la transformación, la transmisión, el suministro, la publicación, la eliminación, etc. de información personal.

Un procesador de información personal se refiere a cualquier organización o individuo que puede tomar su propia decisión sobre el propósito, los medios de procesamiento y otros asuntos relacionados con el procesamiento de información personal.

2. ¿A quién se aplica el PIPL?

La Ley de Protección de Información Personal (PIPL) se aplica a todas las actividades de procesamiento de información personal dentro de China y en otros lugares con un uso específico (Artículo 3, PIPL).

¿Se aplica PIPL al procesamiento de información transfronterizo?

Sí, PIPL se aplica a las actividades de procesamiento de información fuera de China:

• Con el fin de proporcionar productos o servicios a personas físicas ubicadas dentro de China.
• Para analizar o evaluar la conducta de personas físicas ubicadas dentro de China.
• En cualquier otra circunstancia prevista por cualquier ley o reglamento administrativo.

3. Notas especiales para procesadores transfronterizos.

¿Cómo puedo convertirme en procesador transfronterizo compatible con PIPL?

En resumen, debes observar las regulaciones establecidas por PIPL y cumplir con los requisitos con respecto a las actividades de procesamiento de información transfronterizas. Algunas empresas también están obligadas a asignar un representante local en China.

Por un lado, los procesadores de información que transfieren información personal fuera de China deben informar a las personas interesadas el nombre del destinatario en el extranjero, la información de contacto, los propósitos y las formas de recopilación de datos, junto con el consentimiento individual.

En segundo lugar, los procesadores extranjeros de información personal que analizan o evalúan la conducta de personas físicas ubicadas dentro de China también deben designar representantes en China continental para asuntos relacionados con PIPL.

La parte más importante: ¿Cómo se investiga?

Según PIPL, debes cumplir con alguno de los siguientes requisitos:

• Aprobar la Evaluación de Seguridad organizada por la Administración del Ciberespacio de China (CAC).
• Estar certificado por una institución reconocida con respecto a la protección de información personal según lo exige el CAC.
• Hacer un contrato con el destinatario en el extranjero, en un formulario estándar formulado por el CAC, especificando los derechos y obligaciones de cada parte.
• Otras condiciones requeridas por la ley, reglamentos administrativos o el CAC.

¿Cómo se puede cumplir con PIPL?

Respeta las normas locales establecidas por PIPL. Aprueba la evaluación designada para el procesamiento de información transfronterizo y asigna un representante local si es necesario (Artículo 4 y 53, PIPL).

Para destacar, la Evaluación de la Seguridad será obligatoria si el Procesamiento de la Información incluye:

• Información personal e importante recopilada y generada por la infraestructura de información crítica (CII).
• Información importante.
• Información personal sobre más de un millón de personas.
• Transferencia de información personal sobre más de 100 000 personas o información personal confidencial a más de 10 000 personas.

¿Te suena esto?

- Tienes una aplicación que recopila datos biométricos (por ejemplo, Face ID) de más de 10 000 personas en servidores fuera de China.

- Diriges una empresa de soluciones de servicios analíticos que almacena un gran volumen de datos personales en China (más de un millón) y los clientes en el extranjero accederán a cierta información.

- Diriges una empresa de medios que informa sobre asuntos públicos en China.

• Por definición, eso implica i) información personal confidencial y ii) información personal de más de un millón de personas e iii) información importante.

Debido a la naturaleza de tus actividades de procesamiento de información, es probable que debas solicitar una evaluación de seguridad por parte de CAC y seguir otros requisitos.

Entonces, ¿qué es una evaluación de seguridad?

El alcance de trabajo de la evaluación de seguridad incluye:

• El propósito, el alcance y las formas en que la información se transfiere fuera de China y su correspondiente legalidad, necesidad y adecuación.
• Regulaciones locales relevantes y cualquier impacto de las mismas relacionadas con el destinatario en el extranjero. El nivel de seguridad de la información se evaluará sobre la base de las leyes y reglamentos de la República Popular China.
• El tipo, la cantidad, la cobertura y la confidencialidad de los datos salientes y sus riesgos de uso ilegal, daño, alteración, pérdida y transferencia cuando se procesan en el extranjero.
• Si la seguridad de los datos y los derechos de información personal están suficientemente protegidos.
• Si la responsabilidad y las obligaciones están claramente establecidas y acordadas entre los procesadores de información y el destinatario en el extranjero.
• Cumplimiento de las leyes y reglamentos de China.
• Cualquier otra información relevante que el CAC considere necesaria.

4. Profundizando.

“Información Personal, Información Importante, Información Pública… ¿Qué son?”

En este punto, probablemente se haya hecho evidente que no podrás evaluar tu posición en PIPL sin una comprensión básica de cómo la CAC categoriza o define la información.

Entonces, yendo un paso más allá, nos referimos al Borrador de Reglamento de Gestión de Seguridad de Datos de Red:

¿Cuáles son los diferentes tipos de información?

• Información importante: información que pone en peligro la seguridad nacional y el interés público cuando se manipula o se usa indebidamente.
• Información básica: información que es relevante para la seguridad nacional, la economía y los intereses públicos.
• Información pública: información recopilada por representantes del gobierno para proporcionar servicios públicos.
• Información personal confidencial: información que causa daño al carácter, la conducta o pone en peligro la propiedad y la seguridad de una persona, incluido el reconocimiento biométrico, información religiosa, identidad específica, salud médica, información financiera, información de seguimiento e información personal de personas menores de 14 años.
• Información general: información que no cae en ninguna de las categorías anteriores.(Article 73 clause 1-5)

5. Accionables y conclusiones.

PIPL sienta las bases para el manejo de información en China. Prevemos que a medida que el ecosistema de Internet en China interactúe con el resto del mundo, estas regulaciones locales seguirán evolucionando.

A continuación se presentan algunos pensamientos con respecto a acciones futuras:

SÍ: 

• Especificar el uso previsto de la información.
• Manténte actualizado con PIPL.

NO:

• Recopiles información personal excesivamente.

1. Uso de herramientas extraterritoriales como Google Analytics.

La mayoría de las veces, todo se reduce al tipo de información que proceses o si existe una necesidad comprobada de utilizar proveedores en el extranjero en lugar de un equivalente en el país. En el caso de Google Analytics, si estás recopilando datos que no pueden ser identificados por ninguna persona, es posible que PIPL no se aplique a tu empresa.

2. Sé muy claro sobre el uso previsto de la información personal que recopilarás.

La base del PIPL es que las personas a las que se les solicita información tienen derecho a ser informadas sobre su uso previsto, doméstico o no. Los precedentes legales informados en 2021 no tienen tal intención.

<<< Cómo optimizar para Baidu SEO en China en 2022 >>>

3. Solo recopila la información que necesitas.

No recopiles información en exceso que no sea necesaria en tu caso de uso. Deberás observar las regulaciones adicionales en lo que respecta a la información importante y la información personal confidencial (y otros).

4. Manténte actualizado con la evaluación de seguridad para transferencias de datos salientes.

Podría decirse que este Borrador proporciona la mayor cantidad de información sobre la transferencia de datos transfronteriza de otros. Una vez finalizada, se espera que la Evaluación de seguridad para la transferencia de datos salientes aclare cualquier requisito y aplicación legal.

5. ¿PIPL vs RGPD?

PIPL comparte algunas similitudes y diferencias con GDPR como su equivalente (más cercano) de la UE.