Home / Area / DOCTRINA EN DOS PÁGINAS Diario DPI Suplemento Derecho y Tecnologías Nro. 85 – 31.08.2021


DOCTRINA EN DOS PÁGINAS

Algunas consideraciones sobre la nueva Ley china de Datos Personales

Por Uriel Bekerman

[1]

I. La GDPR china

El reciente 20 de agosto se ha promulgado la nueva Ley de Protección de Información Personal de la República Popular China (Personal Information Protection Law o PIPL) por el Comité Permanente de la Asamblea Popular Nacional, destinada a la protección de los derechos e intereses de las personas físicas relacionados a su información personal y promoviendo del uso racional de dicha información en todo el territorio chino.

El gran parentesco y lineamiento de PIPL con la Regulación General de Protección de Datos Personales de la Unión Europea (GDPR), especialmente en relación con su alcance, los requisitos y principios de todo procesamiento de datos, los derechos de los titulares de los datos y las obligaciones de realizar evaluaciones de impacto y designar un Delegado de Protección de Datos, ha inspirado a que algunos doctrinarios y especialistas la llamen “la GDPR china”.

En el presente artículo se brinda un breve comentario, bajo el criterio del autor, sobre algunos aspectos esenciales para la comparación y contraposición entre GDPR y PIPL, cuya entrada en vigor está prevista para el 1° de noviembre de 2021.

II. Alcance y competencia material y territorial

Respecto de la competencia material, la Ley china dispone que información personal refiere a todo tipo de información, registrada por medios automatizados o de otro tipo -los clásicos ficheros de la UE-, relacionada con personas físicas identificadas o identificables. De esta forma, el artículo 4 persigue el mismo alcance material que GDPR, excluyendo a las personas jurídicas o legales y a las personas fallecidas.

El artículo 3 de PIPL también respeta el lineamiento territorial de la Regulación europea, estableciendo en primera medida que la Ley alcanzará a tratamientos de datos personales de personas físicas dentro de las fronteras de la República Popular China, así como aquellos procesamientos que, incluso originándose fuera del territorio chino:

a. ofrezcan bienes o servicios a personas físicas dentro de las fronteras chinas;

b. analicen el comportamiento de personas físicas dentro de las fronteras chinas (monitoreo o profiling);

c. estén alcanzados por leyes o actos administrativos que así lo prevean.

III. Información sensible

El primer diferencial entre PIPL y GDPR está relacionado con la información interpretada sensible. Mientras que el artículo 9 de la Regulación europea considera como categorías especiales de datos a aquellas que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos y biométricos, los datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, la Ley china considera dentro de esta categoría también a los datos personales financieros; a aquellos que permiten el rastreo de la ubicación de una persona -por ejemplo mediante coordenadas de GPS-; y aquellos datos referidos a personas menores de 14 años.

Con respecto a la consideración de datos financieros como información sensible, es menester resaltar su relevancia en la materia, debido a que en múltiples oportunidades se ha reiterado que, si bien estos datos son materialmente sensibles y su divulgación no autorizada puede constituir serios riesgos a los derechos e intereses de una persona, no constituyen datos sensibles a los efectos de GDPR y la mayoría de las leyes del mundo que se han guiado por su texto. La Information Commissioner’s Office (ICO) de Reino Unido, conocida por sus opiniones que sirven como guía para todos los profesionales de la materia, ha explicado que la información financiera no representa los mismos problemas fundamentales que tienen las categorías especiales de datos, por ejemplo, aquellos relacionados con la discriminación.[2] De cualquier forma, no dejan de ser datos que merecen una protección especial, y es por ello que es una práctica estatal cotidiana la regulación de medidas específicas de seguridad de datos personales para el sector financiero.

Tanto GDPR como PIPL coinciden en que únicamente podrán procesarse los datos sensibles en los casos específicos que determinan cada una de ellas.

IV. Las figuras del responsable y el encargado

La Ley china no categoriza tan marcadamente las responsabilidades entre las figuras del responsable y el encargado de una base de datos, tal como hace GDPR, sino que se enfoca principalmente en aquella persona responsable de las actividades de un procesamiento. Sin embargo, el artículo 59 de PIPL introduce la figura del encargado al disponer que los terceros que acepten encomiendas relacionadas al procesamiento de datos personales deberán tomar las medidas necesarias para garantizar la seguridad de la información personal procesada y ayudar al responsable a cumplir con sus obligaciones en virtud de la Ley.

La obligación del encargado respecto de las medidas adecuadas de seguridad y de asistir al responsable en el cumplimiento de sus obligaciones, pueden ubicarse fácilmente dentro de GDPR en el artículo 28, párrafo 3°, incisos c) y e).

Sin perjuicio de estas obligaciones que establece expresamente la Ley china con respecto al encargado tercerizado, queda un marco amplio de interpretación sobre si este resultará alcanzado de las obligaciones de establecer un Delegado de Datos Personales (DPO), realizar las Evaluaciones de Impacto sobre la Privacidad (PIA), realizar las notificaciones a la autoridad (data breach notification), etc., aunque una interpretación conservadora y armónica indicaría que no.

V. Datos personales procesados por el Estado

A diferencia de GDPR, que no alcanza a los procesamientos de autoridades de la Unión por contar con regulaciones específicas para ello,[3] la Ley china aplica sus cláusulas a aquellos tratamientos de datos personales realizados por órganos estatales chinos. El artículo 34 de PIPL dispone que, a fin de cumplir con sus obligaciones legales, los órganos estatales no excederán el alcance y los límites necesarios para el desempeño de sus funciones legales.

El artículo 36 agrega que la información personal tratada por los órganos estatales se almacenará en el territorio chino, y si es necesario transferirla al extranjero, se llevará a cabo previamente una evaluación específica de seguridad, luego definida en el artículo 40.

VI. La figura del Delegado de Datos Personales (DPO)

Así como el artículo 37 de GDPR incorpora la obligación tanto para responsables como encargados de designar un Delegado de Protección de Datos Personales (DPO) en ciertos casos específicos relacionados al tipo de datos procesados en gran escala, el artículo 52 de la Ley china establece una obligación similar. Esta designación será obligatoria sin importar los tipos de datos personales procesados, sino en virtud de la cantidad de ellos. El número de datos procesados que implicará la designación de un DPO deberá ser establecido por el departamento estatal especializado, aunque, en virtud de lo analizado por los expertos Jet Deng y Ken Dai, aún no está claro cuál sería este umbral y habrá que esperar a las normas de aplicación.[4]

A pesar de ello, actualmente China cuenta con un estándar de seguridad de datos personales sin efectos vinculantes, la GB/T 35273-2020 (Personal Information Security Specification o PISS), que establece en su artículo 11 que una organización debe designar un Delegado de Seguridad de los Datos Personales (PI Security Manager) si reúne alguna de las condiciones que se mencionan a continuación:

a. El principal negocio de la organización implica el procesamiento de datos personales y cuenta con más de 200 empleados;

b. procesa datos personales de más de 1 millón de personas; o

c. procesa datos sensibles de más de 100 mil personas.

VII. Transferencia internacional de datos

En línea con GDPR, aunque con menor cantidad de detalles y artículos dedicados al tema, el artículo 38 de PIPL establece los requisitos para aquellos responsables que deban transferir datos personales fuera del territorio chino por motivos comerciales u otros. Además del deber de garantizar que el destinatario extranjero provea garantías adecuadas de seguridad, estas transferencias únicamente podrán ser realizadas cumpliendo con al menos una de las siguientes condiciones:

a. Superar una evaluación de seguridad organizada por el departamento estatal especializado, en caso de que el responsable sea una infraestructura crítica o un organismo estatal chino;

b. el receptor se someta a un mecanismo de certificación aprobado por el departamento estatal especializado;

c. se realice mediante la celebración de un contrato estándar formulado por el departamento estatal especializado, acordando los derechos y responsabilidades de ambas partes -de la misma forma que se lleva a cabo en la Unión Europea a través de las cláusulas modelo de la Comisión Europea-;

d. otras condiciones previstas en tratados internacionales, leyes o actos administrativos.

Curiosamente, el artículo 42 de la Ley china establece que en caso de que el Estado o persona extranjera receptora no cumpla con los derechos e intereses de los ciudadanos de la República Popular China en materia de protección de datos personales, o que perjudiquen la seguridad nacional o el interés público del Estado, el departamento estatal especializado podrá incluirlas en una lista que prohíba a los responsables transferirles datos personales. En otras palabras, se introduce la posibilidad de crear “listas negras” de países y personas, lo cual resulta una contraposición a la Regulación europea, quien cuenta únicamente con una lista de aquellos Estados que sí cuentan con un nivel adecuado de seguridad y respeto por el derecho a la protección de los datos personales.

Además, el artículo 43 establece que cuando un tercer país adopte prohibiciones, limitaciones u otras medidas similares discriminatorias contra la República Popular China en el ámbito de la protección de datos personales, China podrá adoptar las mismas medidas recíprocamente hacia aquel país.

VIII. Sanciones

Respecto al monto de las multas para aquellos responsables que violen la Ley china, el artículo 66 de PIPL establece que si las circunstancias son graves, las autoridades podrán imponer multas de no más de 50 millones de yuanes -equivalentes, a la fecha en que se realiza esta publicación, a más de 7 millones de dólares- o 5% de la facturación del año anterior al acto ilegal, así como otras sanciones no pecuniarias.

IX. Conclusiones

La nueva Ley de Protección de Información Personal de China representa un nuevo capítulo mundial en la salvaguarda de una de las principales preocupaciones del mundo hiperconectado de hoy, donde las organizaciones utilizan la información de las personas de manera abusiva en virtud de sus intereses comerciales, y resulta menester la creación de regulaciones que limiten este uso, a través de principios, derechos y obligaciones para las partes pertinentes en un procesamiento.

El Estado chino es uno más que decide seguir el lineamiento de la Regulación europea, GDPR, que ha logrado convencer a la mayoría de los parlamentos del mundo de que, mientras mayor sea la protección de los usuarios, mayor es la confianza de ellos hacia el sector tecnológico y gubernamental, promoviendo a su vez a la transparencia y lealtad comercial y política.

[1] Profesional de la Privacidad y Ciberseguridad. CIPP/E-Certified Information Privacy Professional/Europe. Maestrando en Ciberdefensa y Ciberseguridad (UBA). Abogado (UBA). Profesor y autor de publicaciones en la materia.

[2] Información disponible en el sitio oficial de ICO. https://ico.org.uk/for-organisations/guide-to-data-protection/

[3] Reglamento (CE) 45/2001 y Directiva (UE) 2016/680

[4] https://www.dentons.com/en/insights/articles/2021/july/2/chinas-gdpr-is-coming-are-you-ready

DESCARGAR ARTICULO