Antecedentes y descripción general

Las organizaciones con vínculos de datos con China deben considerar detenidamente sus riesgos comerciales y adaptar sus políticas de privacidad de datos a la luz de una nueva ley. El 20 de agosto de 2021, China aprobó su ley de protección de datos más completa hasta la fecha, titulada Ley de Protección de Información Personal (PIPL), que entrará en vigor el 1 de noviembre de 2021. China ha redactado la ley para sustituir los acuerdos internacionales que abordan las mismas cuestiones.

La PIPL regula el almacenamiento, la transferencia y el procesamiento de información personal por parte de entidades o individuos dentro y fuera de China. En el caso de las organizaciones extranjeras, la PIPL se aplica cuando (1) se ofrecen bienes o servicios a personas en China, (2) se analiza y evalúa el comportamiento de personas en China, y (3) en otras circunstancias previstas en las leyes o reglamentos chinos (artículo 3 de la PIPL).

Las empresas con sede en EE. UU. deben analizar cuatro cuestiones principales al considerar cómo la PIPL puede afectar a sus prácticas comerciales: (1) la base legal para el tratamiento de datos personales, (2) los datos personales sensibles, (3) las actividades de segmentación automatizada y (4) las transferencias transfronterizas de datos.

1. Base legal para el tratamiento de datos personales

La PIPL describe un total de ocho circunstancias para el tratamiento de datos personales. La definición de datos personales es bastante amplia e incluye cualquier información registrada por medios electrónicos o de otro tipo relacionada con personas físicas identificadas o identificables. Las organizaciones o empresas pueden tratar datos personales mediante:

  1. Obtener el consentimiento de la persona;
  2. Cumplir un contrato en el que el interesado es parte;
  3. Realizar actividades de gestión de recursos humanos según lo exijan la ley o los contratos.;
  4. Cumplimiento de las obligaciones legales.;
  5. Responder a incidentes de salud pública o seguridad;
  6. Informar sobre noticias, supervisar la opinión pública o llevar a cabo otras actividades de interés público.;
  7. Utilizando información personal divulgada legalmente por las propias personas; o
  8. Cumplir con los requisitos de otras leyes o reglamentos (artículo 13, PIPL).

La PIPL no establece ninguna exención por “interés legítimo” como la que se encuentra en el RGPD. En comparación con las leyes de privacidad de datos de otras jurisdicciones, los requisitos de notificación y consentimiento de la PIPL son más exigentes. Exigen que el interesado tenga ’pleno conocimiento“ y proporcione una ”declaración voluntaria y explícita“ en la que indique su consentimiento (artículo 14 de la PIPL). Las regulaciones pendientes deberían aclarar aún más el significado de estos requisitos.

2. Información personal sensible

A diferencia de otras leyes de protección de datos en China (el Código Civil, la Ley de Seguridad de Datos y la Ley de Comercio Electrónico), la PIPL define claramente la información personal sensible para incluir: características biométricas, creencias religiosas, salud médica, cuentas financieras y la información personal de menores de 14 años (artículo 29, PIPL). Además de estas categorías, la PIPL amplía la definición para incluir información que pueda causar fácilmente daños a la dignidad de las personas físicas o daños graves a sus bienes personales o a su seguridad si se filtra o se utiliza ilegalmente (artículo 29 de la PIPL).

3. Actividades de segmentación automatizadas

La PIPL define la “toma de decisiones automatizada” como “la actividad de utilizar programas informáticos para analizar o evaluar automáticamente comportamientos, hábitos, intereses o aficiones personales, o la situación financiera, sanitaria, crediticia o de otro tipo, y tomar decisiones [basadas en ello]” (artículo 73, PIPL). En virtud de la PIPL, las organizaciones deberán tomar mayores precauciones a la hora de dirigirse y comercializar sus productos a las personas basándose en dichas características individuales. Las organizaciones deben proporcionar a las personas un “método conveniente para rechazar” cualquier actividad de segmentación automatizada (artículo 24 de la PIPL).

4. Transferencias transfronterizas de datos

La PIPL permite explícitamente las transferencias transfronterizas de información personal para acuerdos o tratados internacionales que hayan sido aprobados o ratificados por China. La ley exige que las transferencias transfronterizas de datos cumplan al menos una de las siguientes condiciones:

  1. Superar una evaluación de seguridad realizada por la Administración del Ciberespacio de China (CAC).;
  2. Obtener una certificación de protección de datos personales por parte de la CAC;
  3. Celebrar un contrato válido con el destinatario extranjero de los datos siguiendo el contrato estándar de la CAC; o
  4. Otras condiciones previstas por las leyes o reglamentos.

Sigue existiendo un alto grado de ambigüedad en lo que respecta a las transferencias transfronterizas de datos, hasta que las autoridades reguladoras de China ofrezcan una mayor aclaración (artículo 38, PIPL).

Resumen

Las obligaciones que la PIPL impone a las empresas son importantes y de gran alcance. La PIPL proporciona un marco que establece los principios generales y las responsabilidades generales. A raíz de la PIPL, la CAC emitirá reglamentos y otras agencias reguladoras emitirán normas técnicas y actualizaciones sobre su aplicación. Kirton McConkie cuenta con la experiencia necesaria para ayudarle a navegar por este panorama en constante evolución. Si tiene alguna pregunta o inquietud, no dude en ponerse en contacto con nosotros:

Lee Wright | lwright@kmclaw.com

Chad Grange | cgrange@kmclaw.com

Yangzi Jin | yjin@kmclaw.com

Robert Snyder | rsnyder@kmclaw.com