Published and draft legislation - China

Ley de Protección de Información Personal

Asamblea Popular Nacional de China

El pasado 20 de agosto se aprobó la Ley de Protección de Información Personal (PIPL, por sus siglas en inglés), que tiene por objeto garantizar la protección de los datos en Internet de los ciudadanos chinos.

La norma, que entrará en vigor el 1 de noviembre de 2021, consta de 74 artículos estructurados en ocho capítulos y, junto con la reciente Ley de Seguridad de los Datos (aprobada el 10 de junio y aplicable desde el pasado 1 de septiembre), y la Ley de Ciberseguridad del año 2016, supone un gran avance en este ámbito en el país.

El instrumento legal pretende evitar discriminaciones derivadas del uso de los datos, tales como ofrecer precios diferentes por el mismo servicio según el historial de compras de cada usuario, abordando así la preocupación de los consumidores por las filtraciones de datos y el uso de algoritmos por los gigantes digitales.

Relación con el Reglamento General de Protección de Datos 

La Ley contiene exigencias y disposiciones muy similares a las del Reglamento Europeo de Protección de datos. Entre ellas:

  • Tiene carácter extraterritorial, por lo que cualquier empresa extranjera que opere en China y que procese datos personales de ciudadanos chinos deberá cumplir con sus requerimientos (por ejemplo, nombrar responsables de protección de datos, una figura similar al reglamento europeo).
  • Requiere realizar una evaluación de impacto antes de iniciar el tratamiento de datos sensibles, de poner en marcha sistemas automatizados de decisión o de transferir datos fuera del país.
  • Contempla sanciones por incumplimiento de los requerimientos legales que pueden ser multas de hasta los 5 millones de yuanes (unos 6,5 millones de Euros) o el 5% de la facturación del año anterior.
  • Otorga a los interesados derechos sobre su información personal: derechos de acceso, copia, corrección, modificación y se refuerza el derecho de los interesados ​​a retirar su consentimiento.

Obligaciones exigidas

La norma contiene además diversas obligaciones para que las empresas recopilen y garanticen un almacenamiento mejor y más seguro para los datos de los usuarios.

Entre ellas, deberán ofrecer la posibilidad de negarse al uso de datos recopilados para elaborar perfiles y recabar el consentimiento de las personas para llevar a cabo el tratamiento de datos biométricos, sanitarios, financieros o de localización.

Exige a las empresas de tecnología contar con un propósito claro para almacenar datos y, en todo caso, limitarse al alcance mínimo necesario para lograr los objetivos de manejo de dichos datos. Asimismo contempla la suspensión o cancelación de las aplicaciones que procesen ilegalmente datos personales sensibles.

Puede acceder a la norma haciendo click aquí.