China aprueba la nueva Ley de Seguridad de Datos
Alerta Protección de Datos China
El Comité Permanente del Congreso Nacional de China ('China´s National People´s Congress Standing Committee') aprobó, el 10 de junio de 2021, la Ley de Seguridad de Datos ('Data Security Law', DSL, por sus siglas en inglés). El DSL entrará en vigor a partir del 1 de septiembre de 2021, dejando menos de tres meses para que las empresas se adapten al nuevo régimen de seguridad de datos. Confiamos en que este artículo le ayude a comprender los contenidos clave del DSL y las principales implicaciones que en su caso podría tener en su actividad.
1. Ámbito de aplicación
El DSL define los "datos" como cualquier registro de información en forma digital u otras formas. El "procesamiento de datos" incluye, entre otros, la recopilación, el almacenamiento, el uso, el procesamiento, la transmisión, el suministro y la divulgación pública de datos. En caso de que los datos estén relacionados con una persona física, también se podrían considerar como "información personal" en cuyo caso estarían sujetos a la normativa y regulaciones de protección de datos de carácter personal en China.
En cuanto al alcance territorial, el DSL será de aplicación principalmente a las actividades de procesamiento de datos en China. No obstante, también destaca su aplicación extraterritorial ya que establece su aplicación para cualquier procesamiento de datos realizado fuera del territorio chino que dañe la seguridad nacional, el interés público o los derechos legales e intereses de los ciudadanos y organizaciones chinas.
2. Categorías especiales de datos
El DSL establece un régimen que incluye medidas regulatorias más estrictas para determinadas categorías de datos sobre aquellos que se consideran datos ordinarios. En concreto, se establecen medidas reforzadas para los considerados como datos importantes (Important data) y datos estatales básicos (Core State data).
1. Datos importantes
Según el DSL, el legislador chino determinará el nivel de seguridad de los datos para entender cuáles serán considerados como datos importantes publicando a tales efectos un catálogo donde se indicarán qué datos tendrán la dicha consideración. Para ello se tendrá en cuenta, la importancia de los mismos y los posibles daños causados al interés público y sociedad en caso de incumplimiento en materia de protección de datos y revelación de los mismos. Se crearán catálogos específicos para los diferentes sectores, así como para las diferentes regiones dentro de China.
La Ley de Ciberseguridad de China (Cybersecurity Law), en vigor desde 2017, ya incluye una mención a que los operadores de red deben categorizar los datos y adoptar medidas de protección y encriptación para los datos importantes. La Ley de Ciberseguridad también requiere que, en principio, los Operadores de Infraestructura de Información Crítica (Critical Information Infraestructure Operation) (por sus siglas en inglés CIIO) almacenen datos importantes dentro del territorio de China. Sin embargo, dicha ley no proporciona una definición clara de qué datos deben ser considerados como "datos importantes".
En este sentido, en atención al contenido del DSL, no serán los procesadores de datos quienes determinen qué datos deberán ser considerados como importantes, sino que será el legislador chino quién establecerá los estándares y categorizaciones para definir qué datos deben ser considerados como datos importantes. Así, los procesadores de datos deberán definir sus obligaciones específicas de cumplimiento en atención a que los datos hayan sido considerados como importantes en los respectivos catálogos tanto por regiones como por sectores de actividad.
2. Datos estatales básicos
El DSL define los datos estatales de carácter principal como aquellos datos relacionados con la seguridad nacional, el sustento de la economía nacional, forma de subsistencia de las familias y los principales intereses públicos. Para estos datos se establecen medidas regulatorias y de protección reforzadas.
3. MLPS - Sistema básico de seguridad de datos
El DSL regula que el esquema de protección multinivel (Multi-level protection scheme) (MLPS por sus siglas en inglés) será el sistema básico para el procesamiento de datos a través de redes de información como Internet. En el proyecto de ley se incluía la aplicación del MLPS no solo para el procesamiento a través de redes de información sino como un requisito de aplicación general.
El MLPS es un sistema establecido por la Ley de Ciberseguridad de China, según el cual todos los operadores de red deben cumplir con las obligaciones de seguridad relevantes de acuerdo con los requisitos del sistema MLPS para proteger la red de interferencias, destrucción o acceso no autorizado, y evitar que los datos se filtren, roben o manipulen. Específicamente, los operadores de red deben evaluar sus propias redes de acuerdo con su importancia, determinar su nivel de seguridad a partir de los cinco niveles de seguridad de acuerdo con los estándares allí indicados, y formular e implementar las medidas técnicas y organizativas correspondientes para la seguridad de la red y la protección de datos de acuerdo con el nivel de seguridad. En determinados casos, será necesario reportar el resultado del MLPS ante las administraciones competente.
4. Transferencia internacional de datos
El DSL regula también de forma expresa transferencia internacional de datos. En tal sentido, se regula que la transferencia internacional de datos importantes por parte de los CIIO se llevará a cabo de acuerdo con las disposiciones de la Cybersecurity Law. En cuanto a los otros procesadores de datos, se establece que la autoridad de ciberseguridad junto con el departamento correspondiente del Consejo de Estado, trabajarán de manera conjunta para regular las obligaciones para la transferencia internacional de datos importantes.
La Ley de Ciberseguridad de China estipula que la información personal y los datos importantes recopilados y generados por los CIIO durante sus actividades en China deben almacenarse dentro del territorio chino. Siguiendo con este principio, se regula que será necesario realizar una evaluación de seguridad para el caso de transferencia de datos importantes al extranjero por motivos comerciales. Igualmente, el DSL también establece un sistema de revisión de seguridad nacional y control de exportación de datos para restringir la transmisión internacional de datos desde la perspectiva de la seguridad nacional.
En tal sentido, bajo el DSL, no solo los CIIOs sino cualquier tipo de sociedad que transfiera datos al extranjero en la gestión diaria o actividades comerciales necesitarán tener unos procedimientos internos y de revisión para asegurar el cumplimiento legal en la transferencia internacional de datos. Sin embargo, la ausencia de reglas de implementación detalladas para la revisión de seguridad, revisión de seguridad nacional y control de exportación sobre la transferencia internacional de datos puede causar obstáculos prácticos y, por lo tanto, puede generar incertidumbres para las empresas que dependen en gran medida de la transferencia de datos internacional, en particular las de las empresas multinacionales.
5. Sanción administrativa
El DSL proporciona un listado detallado de las responsabilidades por incumplimiento de las obligaciones de seguridad de datos en diferentes escenarios. Las principales a tener en cuenta serían las siguiente:
1. Incumplimiento de las obligaciones de seguridad de datos: la autoridad competente puede imponer una multa de hasta 2 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad. Junto con lo anterior se pueden imponer multas de hasta 200.000 RMB a las personas responsables;
2. Incumplimiento de las obligaciones relativas a los datos estatales básicos: la autoridad competente puede imponer una multa de hasta 10 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad;
3. Transferencia ilegal de datos importantes al extranjero: la autoridad competente puede imponer una multa de hasta 10 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad. Junto con lo anterior se pueden imponer multas de hasta 1 millón de RMB 200.000 RMB a las personas responsables; y
4. Suministro no autorizado de datos a autoridades judiciales / policiales en el extranjero: la autoridad competente puede imponer una multa de hasta 5 millones de RMB a las entidades, y una multa a las personas responsables de hasta 500.000 yuanes.
Es previsible que en los próximos meses el legislador chino emita una serie de regulaciones y políticas complementarias para interpretar, complementar y hacer cumplir las obligaciones incluidas en el DSL. Entre otros, se espera que se regule la definición de los datos estatales básicos, los catálogos de datos importantes y la regulación pertinente para que los no CIIO puedan realizar transferencias de datos internacionales. Asimismo, aún estaría pendiente de determinar la relación entre el DSL con otras regulaciones actualmente existentes en China en materia de seguridad de datos e información personal como la Cybersecurity Law (actualmente en vigor) y la Personal Information Protection Law (que se espera que sea promulgada este año).
Desde Garrigues continuaremos prestando atención al desarrollo de la normativa en materia de seguridad datos. Mientras tanto, recomendamos a nuestros clientes revisar su sistema de protección de datos existente, así como realizar las adaptaciones pertinentes para cumplir con las obligaciones del DSL.