China promulgó una amplia nueva ley de privacidad de datos el 20 de agosto que tendrá un impacto dramático en la forma en que las empresas de tecnología pueden operar en el país. Oficialmente llamada Ley de Protección de Información Personal de la República Popular de China (PIPL), la ley es el primer estatuto nacional de privacidad de datos aprobado en China.
Siguiendo el modelo del Reglamento general de protección de datos de la Unión Europea, el PIPL impone protecciones y restricciones en la recopilación y transferencia de datos que las empresas tanto dentro como fuera de China deberán abordar. Se centra especialmente en aplicaciones que utilizan información personal para dirigirse a los consumidores u ofrecerles precios diferentes en productos y servicios, y evitar la transferencia de información personal a otros países con menos protecciones de seguridad.
El PIPL, que entrará en vigor el 1 de noviembre de 2021, no les da a las empresas mucho tiempo para prepararse. Aquellos que ya siguen las prácticas de GDPR, particularmente si lo han implementado a nivel mundial, tendrán más facilidad para cumplir con los nuevos requisitos de China. Pero las empresas que no han implementado las prácticas de GDPR deberán considerar la posibilidad de adoptar un enfoque similar. Además, las empresas estadounidenses deberán considerar las nuevas restricciones sobre la transferencia de información personal de China a EE. UU.
La implementación y el cumplimiento de la PIPL es una tarea mucho más importante para las empresas que no han implementado los principios de GDPR.
Aquí hay una inmersión profunda en el PIPL y lo que significa para las empresas de tecnología:
Nuevos requisitos de manejo de datos
La PIPL introduce quizás el conjunto de requisitos y protecciones para la privacidad de los datos más estrictos del mundo (esto incluye requisitos especiales relacionados con el procesamiento de información personal por parte de agencias gubernamentales que no se abordarán aquí). La ley se refiere en términos generales a todo tipo de información, registrada por medios electrónicos o de otro tipo, relacionada con personas físicas identificadas o identificables, pero excluye la información anónima.
Los siguientes son algunos de los nuevos requisitos clave para el manejo de la información personal de las personas en China que afectarán a las empresas de tecnología:
Aplicación extraterritorial de la ley china
Históricamente, las regulaciones de China solo se han aplicado a actividades dentro del país. La PIPL es similar en la aplicación de la ley a las actividades de manejo de información personal dentro de las fronteras chinas. Sin embargo, al igual que GDPR, también amplía su aplicación al manejo de información personal fuera de China si se cumplen las siguientes condiciones:
- Donde el propósito es proporcionar productos o servicios a personas dentro de China.
- Donde analizar o evaluar actividades de personas dentro de China.
- Otras circunstancias previstas en leyes o reglamentos administrativos.
Por ejemplo, si es una empresa con sede en EE. UU. Que vende productos a consumidores en China, puede estar sujeto a la ley de privacidad de datos de China incluso si no tiene una instalación u operaciones allí.
Principios de manejo de datos
El PIPL introduce principios de transparencia, propósito y minimización de datos: las empresas solo pueden recopilar información personal para un propósito claro, razonable y divulgado, y con el alcance más pequeño para realizar el propósito, y retener los datos solo durante el período necesario para cumplir con ese propósito. . También se requiere que cualquier gestor de información garantice la exactitud e integridad de los datos que maneja para evitar cualquier impacto negativo en los derechos e intereses personales.
