El 20 de agosto de 2021 el Congreso de la República Popular de China aprobó su nueva Ley de Protección de Datos Personales. En este artículo comentamos los aspectos más relevantes de esta nueva norma que se suma a la lista de leyes ómnibus en materia de protección de datos personales dictadas en el mundo.

La denominada Ley de Protección de la Información Personal (en adelante, “la LPIP”) aprobada recientemente en China establece un conjunto exhaustivo de disposiciones relativas a la recopilación y tratamiento de información personal. Su propósito principal es proteger los derechos e intereses relacionados a la información personal, estandarizar las actividades de su tratamiento, salvaguardar el flujo legal y libre de la información y estimular el uso razonable de tales datos.

Para ello, se basa en los principios fundamentales sobre procesamiento de datos, como ser los principios de legalidad, legitimidad, necesidad y buena fe; finalidad, limitación y minimización de los datos; transparencia; calidad de la información personal y seguridad de los datos.

El espíritu de la redacción de la LPIP se encuentra en línea, en gran medida, con el Reglamento General de Protección de Datos de la Unión Europea. A continuación se sintetizan los aspectos más relevantes de la norma:

• Alcance: La LPIP aplica a las actividades de tratamiento de información personal de personas humanas realizados por organizaciones o individuos dentro de las fronteras de China. También se aplica en determinadas actividades de procesamiento de información realizadas fuera de sus fronteras.
• Definición de información personal: el término abarca a todo tipo de información recolectada por medios electrónicos u otros referida a personas físicas identificadas o identificables. No se encuentra comprendida la información posterior a un proceso de anonimización.
• Base legal para el tratamiento de la información: La LPIP reconoce seis bases legales que permiten el procesamiento de la información personal:

- En los casos en los que se haya obtenido el consentimiento otorgado por el individuo.

- Cuando el tratamiento sea necesario para la celebración o ejecución de un contrato en el que el titular del dato sea parte o para la gestión de recursos humanos de acuerdo con la normativa laboral establecida de acuerdo con la ley y el contrato colectivo.

- Cuando el tratamiento sea necesario para el cumplimiento de los deberes y responsabilidades legales o de las obligaciones legales.

- Cuando el tratamiento sea necesario para dar respuesta a emergencias de salud pública o para la protección de la vida, la salud y la seguridad de los bienes de las personas físicas en circunstancias de emergencia.

- Cuando el tratamiento de los datos personales se realice dentro de un ámbito razonable para llevar a cabo tareas periodísticas, supervisar la opinión pública y otras actividades de interés público.

- Cuando la información personal se encuentra revelada por los individuos y es procesada dentro de un alcance razonable de acuerdo con esta Ley,

- Otras circunstancias previstas en las leyes o reglamentos administrativos.

• Información sensible: La información personal sensible solo puede ser procesada para fines específicos y cuando sea estrictamente necesario. Conforme el artículo 29, la información personal sensible incluye información que una vez divulgada o utilizada ilegalmente, puede causar violaciones a la dignidad de las personas o un daño grave a la seguridad personal o de la propiedad, incluida información biométrica, creencias religiosas, información sobre la salud, cuentas financieras e información referida a menores de 14 años.
• Transferencia internacional de información personal: La LPIP contempla restricciones a la transferencia transfronteriza de información personal. El artículo 38 establece que cuando los procesadores de información personal realmente necesiten proporcionar información personal hacia afuera del territorio de la República Popular China por necesidades comerciales, entre otras, deberán cumplir alguno de los siguientes requisitos:

- Haber aprobado una evaluación de seguridad efectuada por el Departamento de Ciberespacio de China (en adelante, “Departamento”).

- Haber completado la certificación de protección de la información personal realizada por una institución especializada de acuerdo con las disposiciones emitidas por el Departamento.

- Haber celebrado un contrato con el destinatario de la información en el extranjero conforme los estándares de los contratos que sean formulados por el Departamento.

- Otras condiciones previstas en las leyes o reglamentos administrativos o por el Departamento.

La LPIP también establece que cuando cualquier país o región adopte prohibiciones discriminatorias, limitaciones u otras medidas similares contra China, se podrán adoptar medidas similares contra dicho país o región.

• Derechos de los titulares de la información personal: Las personas tienen derecho a:

   

- Conocer y tomar decisiones en relación con su información personal;

- Restringir o prohibir el procesamiento de su información personal;

- Acceder y copiar su información personal, incluyendo el derecho a la portabilidad;

- Actualizar o completar su información personal;

- Eliminar su información personal;

- No ser objeto de decisiones automatizadas;

- Obtener información sobre las reglas de tratamiento de su información personal.

• Obligaciones de los responsables de tratamiento: Los responsables del tratamiento deberán cumplir, entre otras, con las siguientes obligaciones:

   

- Implementar medidas de seguridad.

- Notificar incidentes de seguridad.

- Designar responsables a cargo de la protección de la información personal en determinados casos.

- Realizar auditorías sobre el adecuado cumplimiento de la LPIP.

- Realizar una evaluación de impacto de riesgos antes de realizar ciertas actividades de procesamiento de información personal.

• Sanciones: Las infracciones a la LPIP pueden ser sancionadas con multas de hasta 50.000.000 Yuanes (aproximadamente US$ 7.000.000) o el 5% de los ingresos anuales como también la confiscación de las ganancias ilegales ante determinadas circunstancias.

   

Como se menciona precedentemente, la LPIP tiene alcance extraterritorial y aplicará a las siguientes actividades de procesamiento:

- Dentro de China, de información personal de personas físicas; y

- Fuera de China, de información personal de personas físicas que se encuentran en China, si dicho procesamiento se realiza:

1. a los fines de proporcionar productos o servicios a personas físicas en China;

2. analizar / evaluar el comportamiento de las personas físicas en China; u

3. otras circunstancias prescritas por leyes y regulaciones administrativas.

Las empresas que procesan información desde fuera de China y queden comprendidos en alguno de los supuestos indicados deben designar un representante que será el responsable del cumplimiento de dicha normativa y de la protección de la información personal. Esta es una obligación que las compañías que realicen negocios en China deben considerar y abordar adecuadamente para cumplir plenamente con las disposiciones de la LPIP.

La LPIP se encuentra, en cierta medida, en línea con lo que establece la Ley de Protección de Datos Personales Nro. 25.326, vigente en Argentina desde el año 2000.

La LPIP entrará en vigor el 1°de noviembre del 2021. Las nuevas regulaciones y decisiones que se esperan próximamente darán forma a la comprensión del alcance, aplicación y demás reglas de la LPIP.