La nueva ley de privacidad de China describe el mandato de Beijing para dar forma a las discusiones globales sobre la protección de datos, dando al gobierno un mayor poder para analizar cómo las empresas transfieren información al extranjero.
La Ley de Protección de Información Personal, o PIPL, presentada el viernes impone reglas sobre cómo las empresas pueden usar los datos de los ciudadanos chinos y las condiciones que deben cumplir las empresas para compartir información con servidores informáticos o socios comerciales fuera del país. Eso podría tener un impacto significativo en los flujos de datos internacionales a medida que más países erigen barreras comerciales digitales para proteger la privacidad de los ciudadanos o la seguridad nacional, dicen los expertos legales y de privacidad.
«[Chinese lawmakers] No sea un secreto que pretenden ser un actor en este espacio ”, dijo Omer Tene, director de conocimientos de la Asociación Internacional de Profesionales de la Privacidad.
El marco de la PIPL es generalmente similar al del Reglamento general de protección de datos de la Unión Europea, dicen los expertos en privacidad. Ambos requieren que las empresas justifiquen su recopilación de datos y brinden a los consumidores el derecho a acceder o eliminar su información.
Pero el enfoque de la ley china sobre cómo las empresas transfieren datos a nivel internacional es más restrictivo que el GDPR en ciertos aspectos, dijo David Hale, accionista del bufete de abogados Brownstein Hyatt Farber Schreck LLP.
«Estaría mirando qué tipos de aprobación de exportación necesito obtener si estoy procesando información fuera de China», dijo Hale, ex director de privacidad de la corredora TD Ameritrade.
Empresas de tecnología como Microsoft Corp. y Apple Inc. en los últimos años han almacenado cada vez más datos de clientes dentro de China a medida que el mercado chino se expandió y el gobierno comenzó a revelar una red de reglas de seguridad de datos. El nuevo estatuto de privacidad podría impulsar a más empresas a seguir su ejemplo después de que entre en vigor el 1 de noviembre, dijo Hale.
Las empresas que deseen transferir información a nivel internacional tendrán que utilizar contratos aprobados por el estado, recibir la certificación de las prácticas de datos por parte de un organismo aprobado por el estado o someterse a una revisión de seguridad por parte de los reguladores cibernéticos chinos, dijo Barbara Li, directora corporativa de Rui Bai Law Firm. en Beijing.
Las empresas consideradas como «operadores de infraestructura de información crítica», junto con las empresas que manejan grandes cantidades de datos de usuarios, generalmente deben almacenar datos dentro de China, dijo Li. El RGPD no tiene requisitos explícitos de localización de datos, que según los expertos en privacidad tienen como objetivo evitar la vigilancia extranjera y permitir a las autoridades locales un mayor acceso a los datos.
Beijing publicó este mes reglas separadas que otorgan al estado el poder de definir las empresas como críticas en sectores como la tecnología, las telecomunicaciones y las finanzas en función de la importancia de las redes de la empresa para el sector en general o el daño potencial de un pirateo. Aún así, no está claro cuáles son los criterios precisos para obtener esa designación y, a su vez, enfrentar mayores sanciones potenciales según la ley, dijo Gabriela Zanfir-Fortuna, directora de privacidad global del Future of Privacy Forum, un grupo de expertos.
La revisión de ciberseguridad del gigante de transporte compartido Didi Global Inc.
, durante la cual el estado obligó a las tiendas de aplicaciones a eliminar los productos Didi, sugiere que Beijing puede interpretar la categoría de manera amplia, dijo el Dr. Zanfir-Fortuna. Beijing envió el mes pasado a reguladores, incluidos funcionarios de seguridad y policías, a las oficinas de la compañía para realizar la investigación.
“No tendemos a considerar a las empresas de transporte privado como una empresa de información tan crítica”, dijo. «Esto nos muestra que la forma en que se piensa en esta categoría es arbitraria o que, de hecho, el gobierno chino cree que Didi tiene algunos datos extraordinariamente sensibles».
Didi no respondió a una solicitud de comentarios.
La ley china abre la puerta para que Beijing logre acuerdos internacionales que permitan algunos flujos de datos, según una traducción del Proyecto DigiChina, un centro de políticas tecnológicas de la Universidad de Stanford. Pero a diferencia del GDPR, que le da poder a la Comisión Europea para evaluar las protecciones de privacidad de otros países, el estatuto chino no detalla un proceso similar para establecer que otras salvaguardas extranjeras cumplen con los estándares locales.
Ese enfoque le da al estado chino más libertad a largo plazo para negociar acuerdos con otros gobiernos, dijo Paul McKenzie, socio gerente de las oficinas de Shanghai y Beijing del bufete de abogados Morrison Foerster.
En cuanto a los países que restringen los flujos de datos hacia China en nombre de la privacidad, la ley dice que Beijing podría corresponder con sus propias restricciones comerciales digitales.
Escribir a David Uberti en david.uberti@wsj.com
Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ