El 20 de agosto de 2021, la República Popular de China aprobó la Ley de Protección de Datos Personales (LPDP) (la traducción no oficial al inglés se puede encontrar aquí), que entrará en vigencia el 1 de noviembre de 2021. Esta nueva ley es parte de la tríada formada por la Ley de Ciberseguridad (ver traducción no oficial al inglés, aquí) y la reciente Ley de Seguridad de Datos (ver traducción no oficial al inglés, aquí), que entró en vigencia el 1 de septiembre de 2021.

La LPDP regula el tratamiento de la información personal (IP) de las personas físicas siguiendo un camino muy similar al tomado por Europa a través de su antigua Directiva 95/46/CE y su actual Reglamento General de Protección de Datos 2016/679. También sigue de cerca lo ya establecido en la Ley de Seguridad de Datos. Sin embargo, a diferencia de la Ley de Seguridad de Datos, LPDP regula el tratamiento de la información personal (es decir, todo tipo de información, registrada por medios electrónicos o de otro tipo, relacionada con personas físicas identificadas o identificables).

La LPDP regula detalladamente el procesamiento de IP. Un aspecto importante de LPDP es que no solo se aplica a las actividades de procesamiento de IP de personas físicas dentro de las fronteras de la República Popular China. Esto significa que, si la IP de personas físicas dentro de la República Popular China se procesara fuera de la República Popular China, la LPDP aún se aplicaría si el propósito fuera (i) proporcionar productos o servicios a personas físicas dentro de la República Popular China, (ii) analizar o evaluar las actividades de las personas físicas dentro de las fronteras u (iii) otras circunstancias previstas en leyes o reglamentos administrativos.

Algunas otras consideraciones clave de PIPL incluyen:

• Limitación, minimización y transparencia: el tratamiento de IP deberá tener una finalidad clara y razonable y utilizar medios que afecten en lo más mínimo posible los derechos e intereses individuales (artículo 6). El artículo 17 establece que quienes procesen IP deberán, antes de hacerlo, notificar, utilizando un lenguaje claro y de fácil comprensión, expresamente lo siguiente: (i) el nombre y método de contacto del responsable, (ii) la finalidad, los métodos de procesamiento, las categorías de IP procesada y el período de retención, (iii) los métodos y procedimientos para que las personas ejerzan sus derechos y (iv) demás elementos que dispongan las leyes o reglamentos administrativos. La IP podrá ser conservada por el período más breve necesario para cumplir con el propósito informado (artículo 19).
• Base legal: de acuerdo con el artículo 13, los responsables por la IP solo pueden tratar IP cuando lo hagan bajo alguna de las siguientes bases legales:
  - Consentimiento
  - Celebración o cumplimiento de un contrato
  - Deberes y responsabilidades u obligaciones legales
  - Incidentes repentinos de salud pública o para proteger la vida y la salud de las personas físicas, o la seguridad de su propiedad, en condiciones de emergencia
  - Reportajes de noticias, supervisión de la opinión pública y otras actividades similares para el interés público (esa información debe además manejarse personal con razonabilidad)
  - Información ya divulgada por las propias personas o ya divulgadas legalmente dentro de un alcance razonable de acuerdo con las disposiciones de la LPDP
  - Otras circunstancias previstas en leyes y reglamentos administrativos
• Subcontratación: el artículo 21 establece que es obligatorio contar con un acuerdo entre los responsables del tratamiento de la IP y el proveedor de servicios.
• Reorganización de la empresa: LPDP establece que los responsables de IP deberán, cuando sea necesario transferir información personal debido a fusiones, separaciones, disolución, declaración de quiebra y otras razones similares, notificar a las personas sobre el nombre y forma de contacto del cesionario. El cesionario continuará cumpliendo con los deberes del administrador de PI. Cuando el receptor cambie el propósito del procesamiento original o el método, deberá notificar a las personas nuevamente (artículo 22).
• Transferencia internacional de IP: el artículo 38 establece que cuando los responsables la IP necesiten proporcionar IP fuera de las fronteras de la República Popular China, deberán cumplir una de las siguientes condiciones:
  - Pasar una evaluación de seguridad dirigida por el departamento de informatización y ciberseguridad del Estado.
  - Someterse a la certificación de protección PI realizada por un organismo especializado de acuerdo con las disposiciones del departamento de informatización y ciberseguridad del Estado.
  - Celebrar un contrato con la parte receptora extranjera de acuerdo con un contrato estándar formulado por el departamento de informatización y ciberespacio del Estado que acuerde los derechos y responsabilidades de ambas partes.
  - Otras condiciones previstas en leyes o reglamentos administrativos o por el departamento de informatización y ciberseguridad del Estado.

Las disposiciones deben aplicarse cuando los tratados o acuerdos internacionales que la República Popular China ha celebrado o accedido contengan disposiciones relevantes, tales como condiciones para el suministro de datos personales fuera de las fronteras de la República Popular China. Los responsables por el IP deben adoptar las medidas necesarias para garantizar que las actividades de manejo de información personal de las partes receptoras extranjeras alcancen el estándar de protección de información personal provisto en la LPDP.

• Localización de datos: el artículo 40 establece que los operadores de infraestructura de información crítica y los responsables por el manejo de IP que manejan cantidades de IP proporcionadas por el departamento estatal de ciberseguridad e informatización almacenarán la información personal recopilada y producida dentro de las fronteras de la República Popular China. En caso de que necesiten hacerlo en el exterior, de ser aplicable, deberán superar una evaluación de seguridad organizada por el departamento de informatización y ciberseguridad del Estado.

Si IP es procesada en violación de la LPDP, las agencias de IP pueden ordenar la corrección, confiscar ingresos y ordenar la suspensión provisional o la terminación de la prestación de servicios. En lo que a sanciones pecuniarias refiere, cuando se rechace la corrección, se puede imponer adicionalmente una multa de no más de 1 millón de yuanes (USD 155 118) y la persona directamente responsable a cargo y otro personal directamente responsable serán multados entre 10 000 y 100 000 yuan (1551 USD y 15 511 USD).

Sin embargo, si las violaciones a LPDP son graves, los departamentos provinciales o de nivel superior que cumplen con los deberes y responsabilidades de protección de la información personal podrán ordenar la corrección, confiscar ingresos ilegales e imponer una multa de no más de 50 millones de yuanes (7 755 906 USD) o del 5 % de los ingresos anuales. También podrán ordenar la suspensión de las actividades comerciales relacionadas o el cese del negocio para su rectificación, e informar al departamento competente correspondiente para la cancelación de las licencias administrativas correspondientes o la cancelación de las licencias comerciales. La persona directamente responsable a cargo y otro personal directamente responsable serán multados entre 100 000 y 1 millón de yuanes (15 511 USD y 155 118 USD), y también se puede decidir prohibirles ocupar cargos de director, supervisor, gerente de alto nivel, u oficial de protección de información personal durante un período determinado.

Por Gustavo P. Giay, Diego Fernández y Manuela Adrogué