El 1 de septiembre de 2021 entró en vigor la Ley de Seguridad de Datos de China (Data Security Law, DSL por sus siglas en inglés).
En este artículo os presentamos diez preguntas y respuestas para entender el DSL y las principales implicaciones que podría tener en la actividad de las empresas que operan en China.
1. ¿Qué es la Ley de Seguridad de Datos de China?
El DSL es la ley que regula el procesamiento de datos en China, entendiéndose por “datos” cualquier registro de información en forma digital u otras formas.
2. ¿En qué casos es de aplicación?
El DSL será de aplicación a cualquier procesamiento de datos, entendiéndose como “procesamiento” la recopilación, el almacenamiento, el uso, el procesamiento, la transmisión, el suministro y la divulgación pública de datos.
3. ¿Incluye datos de carácter personal?
En caso de que los datos estén relacionados con una persona física, también se podrían considerar como «información personal«, en cuyo caso estarían sujetos también a la normativa y regulaciones de protección de datos de carácter personal en China, la Personal Information Protection Law, que entró en vigor el 1 de noviembre de 2021.
4. ¿Es aplicable sólo a procesamientos de datos en China?
No. El DSL será de aplicación en cualquier caso a las actividades de procesamiento de datos en China. No obstante, también destaca su aplicación extraterritorial, ya que establece su aplicación para cualquier procesamiento de datos realizado fuera del territorio chino que dañe la seguridad nacional, el interés público o los derechos legales e intereses de los ciudadanos y organizaciones chinos.
5. ¿Qué medidas hay que tomar para adaptarse?
El DSL regula que el esquema de protección multinivel (Multi-level protection scheme, MLPS por sus siglas en inglés) es el sistema básico para el procesamiento de datos a través de redes de información como Internet.
En tal sentido será necesario realizar un análisis para determinar el nivel de MLPS que se deberá adoptar en atención al tratamiento de datos que se va a llevar a cabo.
6. ¿Qué es el MLPS?
El MLPS es un sistema según el cual todos los operadores de red deben cumplir con las obligaciones de seguridad relevantes para proteger la red de interferencias, destrucción o acceso no autorizado, y evitar que los datos se filtren, roben o manipulen. Específicamente, los operadores de red deben evaluar sus propias redes de acuerdo con la importancia de los datos allí contenidos y determinar su nivel de seguridad entre cinco niveles de seguridad contenidos en la norma.
Se deberán formular e implementar las medidas técnicas y organizativas correspondientes al referido nivel para determinar la seguridad de la red y la protección de datos. En determinados casos, será necesario reportar el resultado del MLPS ante las administraciones competente.
7. ¿Se deben procesar todos los datos de igual manera?
No. El DSL establece medidas reforzadas para los considerados como datos importantes (Important data) y datos estatales básicos (Core State data).
El legislador chino determinará el nivel de seguridad de los datos para entender cuáles serán considerados como datos importantes, publicando a tales efectos un catálogo donde se indicarán qué datos tendrán dicha consideración. Para ello se tendrá en cuenta la importancia de los mismos y los posibles daños causados al interés público y sociedad en caso de incumplimiento en materia de protección de datos y revelación de los mismos. Se crearán catálogos específicos para los diferentes sectores, así como para las diferentes regiones dentro de China.
El DSL define los datos estatales de carácter principal como aquellos datos relacionados con la seguridad nacional, el sustento de la economía nacional, la forma de subsistencia de las familias y los principales intereses públicos. Para estos datos se establecen medidas regulatorias y de protección reforzadas.
8. ¿Puedo transferir los datos de mi sociedad en China al extranjero?
De conformidad con el DSL, tanto los Operadores de Infraestructura de Información Crítica (Critical Information Infraestructure Operation, CIIO por sus siglas en inglés) como cualquier tipo de sociedad que transfiera datos al extranjero en la gestión diaria o en sus actividades comerciales necesitará tener unos procedimientos internos y de revisión para asegurar el cumplimiento legal en la transferencia internacional de datos.
No obstante, en la actualidad se está a la espera del desarrollo normativo para concretar los detalles necesarios para cumplir con los requisitos de revisión de seguridad y control en la exportación para la transferencia internacional de datos.
9. ¿Habrá desarrollo normativo adicional al DSL para el tratamiento de datos?
Es previsible que en los próximos meses el legislador chino emita una serie de regulaciones y políticas complementarias para interpretar, complementar y hacer cumplir las obligaciones incluidas en el DSL. Entre otros, se espera que se regule la definición de los datos estatales básicos, los catálogos de datos importantes y la regulación pertinente para las transferencias de datos internacionales.
10. ¿La norma prevé sanciones en caso de incumplimiento?
Si. En atención al tipo de incumplimiento, se establecen sanciones que pueden llegar hasta los 10 millones de CNY, así como multas a las personas responsables. Las principales a tener en cuenta serían las siguientes:
– Incumplimiento de las obligaciones de seguridad de datos: la autoridad competente puede imponer una multa de hasta 2 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad. Junto con lo anterior se pueden imponer multas de hasta 200.000 RMB a las personas responsables.
– Incumplimiento de las obligaciones relativas a los datos estatales básicos: la autoridad competente puede imponer una multa de hasta 10 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad.
– Transferencia ilegal de datos importantes al extranjero: la autoridad competente puede imponer una multa de hasta 10 millones de RMB y ordenar la suspensión de la actividad, suspensión de la actividad para llevar a cabo las medidas rectificativas oportunas, revocación de la licencias comerciales o revocación de licencia de actividad. Junto con lo anterior se pueden imponer multas de hasta 1 millón de RMB 200.000 RMB a las personas responsables.
– Suministro no autorizado de datos a autoridades judiciales / policiales en el extranjero: la autoridad competente puede imponer una multa de hasta 5 millones de RMB a las entidades, y una multa a las personas responsables de hasta 500.000 yuanes.
Artículo elaborado por Eduardo Bernal, asociado sénior y MT socio de Garrigues China.
Este documento tiene carácter informativo y divulgativo no siendo una opinión legal ni pudiendo emplearse su contenido en sustitución del asesoramiento legal correspondiente.
Garrigues, desde sus oficinas de Beijing y Shanghai, presta servicios de asesoría legal a empresas que buscan lanzar sus negocios en China a través de su complejo marco legal. Para interesarse por sus servicios, o para dudas más concretas sobre la cuestión tratada en el artículo, pueden solicitar sus servicios en china@garrigues.com.
