El 20 de agosto de 2021, el Comité Permanente de la Asamblea Popular Nacional de la República Popular de China, aprobó la Ley de Protección de Información Personal («PIPL»), que entrará en vigor el próximo 1 de noviembre de 2021.
En este artículo, resumiremos las cuestiones más importantes incluidas en la PIPL, la cual ha sido dividida en ocho capítulos diferentes.
- Aplicación de la PIPL. Tal y como sucede con el Reglamento General de Protección de Datos («RGPD»), la PIPL tiene alcance extraterritorial sobre ciertas actividades de tratamiento que tienen lugar fuera de China y que conciernen a interesados que están ubicados en dicho país. En particular, la PIPL será de aplicación cuando el propósito de la actividad sea (a) proporcionar un producto o servicio a una persona ubicada en China, (b) analizar o evaluar el comportamiento de una persona ubicada en China, o (c) cualquier otra circunstancia según se indique en la ley o reglamentos administrativos. Además, a aquellos encargados de tratamiento no ubicados en China, pero a los que les sea de aplicación la PIPL, deberán establecer un organismo especial o nombrar a un representante local en China para gestionar el cumplimiento de dicha normativa.
- Principios del tratamiento. Entre otros, el PIPL ha establecido que el tratamiento de información personal debe seguir los principios de licitud, lealtad, necesidad y buena fe, limitación del tratamiento y minimización de datos, publicidad y transparencia (en concreto, se indicará claramente la finalidad, el método y el alcance del tratamiento). Adicionalmente, los encargados del tratamiento deberán rendir cuentas acerca de las actividades de tratamiento realizadas (responsabilidad proactiva) y adoptarán las medidas necesarias para garantizar la seguridad de la información personal objeto de tratamiento.
- Licitud del tratamiento. Cuando la base legal utilizada sea el consentimiento, la PIPL establece que, para ciertas actividades del tratamiento (por ejemplo, el tratamiento información personal categorizada como sensible, facilitar información a terceros, la publicación de información personal o la transferencia de información personal fuera de China) se requerirá un consentimiento específico. Adicionalmente, la PIPL regula otras bases legales para el tratamiento de información personal: la ejecución de un contrato del que el individuo es parte o cuando sea necesario para la implementación de la gestión de recursos humanos de acuerdo con las normas y reglamentos formulados de conformidad con la legislación laboral y el contrato colectivo. Asimismo, la PIPL regula que la información personal puede ser tratada cuando sea necesario para dar respuesta a emergencias de sanidad pública, realizar labores periodísticas y supervisión de medios de comunicación para intereses públicos (dentro de un alcance razonable) o bajo otras circunstancias cuando así lo dispongan las leyes o reglamentos administrativos.
- Información a los individuos. De forma previa al tratamiento, el encargado del tratamiento debe facilitar cierta información, como es el nombre o título del encargado del tratamiento y su información de contacto, la finalidad y los métodos del tratamiento, tipología de información objeto del tratamiento y plazo de conservación, así como los métodos y procedimientos a través de los cuales los individuos pueden ejercer los derechos que les otorga la PIPL. Es importante destacar que cuando el tratamiento comprenda información personal categorizada como sensible, también deberá indicarse el motivo por el cuál dichos datos son objeto de tratamiento y el impacto que éste tiene en los derechos e intereses del individuo.
- Obligaciones del encargado del tratamiento. La PIPL establece una serie de obligaciones que deberán cumplir los encargados del tratamiento, en concreto, la elaboración de políticas y procedimientos de gestión interna, la implementación de medidas de seguridad, como el cifrado o la disociación o la implementación de planes de respuesta ante incidentes de seguridad.
- Transferencias transfronterizas de información personal. Para la transferencia de información personal al exterior debido a necesidades comerciales, la PIPL establece ciertos requisitos que deben cumplirse (al menos uno de ellos), incluido la superación de la evaluación de seguridad organizada por la Administración del Ciberespacio China (Cyberspace Administration of China «CAC»), la obtención de una certificación por parte de una agencia profesional, la suscripción de un contrato con el destinatario de la información personal en el extranjero siguiendo el contrato estándar formulado por la CAC (que aún no ha sido emitido), así como el cumplimiento de otras obligaciones previstas por leyes o reglamentos administrativos que la CAC pudiera solicitar.
- Finalmente, dado que la PIPL solo regula como exención el tratamiento de información personal relacionada con asuntos personales y domésticos, por hora, las obligaciones reguladas en la PIPL resultan de aplicación a todos los encargados del tratamiento independientemente de su tamaño. Por ello, las pequeñas empresas también deben estar al trato y cumplir con las obligaciones introducidas por la PIPL. Sin embargo, los aspectos regulados en esta normativa son de alto nivel, por lo que estaremos atentos a su implementación y desarrollo.
Autoras: Jane Jin e Ivette Pardo