El 10 de junio de 2021, la Asamblea Popular Nacional de China aprobó la Ley de Seguridad de Datos (la traducción no oficial al inglés se puede encontrar aquí), que entrará en vigencia el 1 de septiembre de 2021. La Ley tiene como objetivo regular la recolección, almacenamiento, procesamiento, uso, y transferencia de datos y viene a complementar las disposiciones de la Ley de Ciberseguridad anterior (la traducción no oficial al inglés se puede encontrar aquí).

La Ley de Seguridad de Datos se aplica a las actividades de manejo de datos que se llevan a cabo dentro del territorio continental de la República Popular China. Sin embargo, aquellas actividades de manejo de datos llevadas a cabo fuera del territorio continental de China que puedan dañar la seguridad nacional del país, el interés público o los derechos e intereses legales de ciudadanos y organizaciones, también se encuentran sujetas a ella. La Ley también establece que, si alguna nación o región emplea medidas discriminatorias, restrictivas o similares contra la República Popular China en áreas relativas al comercio, inversión o tecnología de datos, la República Popular China puede emplear medidas análogas contra esa nación o región.

Si bien la Ley brinda principios básicos que deben ser luego regulados por diferentes industrias o gobiernos locales, existen algunos aspectos importantes que deben tenerse en cuenta:

• Definiciones clave

El artículo 3 de la Ley define “manejo de datos” como la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación, etc., de datos. Por otra parte, "datos" se define como cualquier registro de información en formato electrónico o de otro tipo. Por último, "seguridad de los datos" refiere al empleo de las medidas necesarias para garantizar que los datos estén protegidos de manera eficaz y sean utilizados conforme a la ley, además de tener la capacidad de garantizar un estable estado de seguridad.

• Tratamiento lícito de datos

Cualquier organización o individuo que recopile datos debe emplear métodos legales y apropiados para su manejo y no debe robar u obtener datos recurriendo a medios ilegales. Cuando las leyes y los reglamentos administrativos tengan disposiciones sobre el propósito o el alcance de la recopilación y el uso de datos, los datos deben manejarse conforme a lo previsto en dicha normativa (artículo 32).

• Transferencia internacional de datos

El artículo 31 de la Ley establece que las disposiciones de la Ley de Ciberseguridad se aplican a la transferencia de datos desde China continental que fueron recopilados o producidos por operadores de infraestructura de información crítica dentro del territorio continental chino. En cuanto a los datos importantes, las medidas de seguridad para su transferencia deben ser redactadas por el departamento de información de Internet del Estado en conjunto con los departamentos pertinentes del Consejo de Estado.

"Datos importantes" refiere a una categoría de datos que el Estado aún debe clasificar jerárquicamente en función de su importancia para el desarrollo económico y social como el grado de daño a la seguridad nacional, el interés público o los derechos e intereses legítimos de los ciudadanos u organizaciones que se verían afectadas si estos datos se vieran alterados, destruidos, filtraran o se obtuvieran o usaran ilegalmente (Artículo 21 de la Ley).

"Infraestructuras críticas de información" refiere a los servicios públicos de comunicación e información, energía, tráfico, recursos hídricos, finanzas, servicio público, gobierno electrónico y otras infraestructuras de información crítica que su destrucción, pérdida o fuga podría poner en grave peligro la seguridad nacional, el bienestar nacional, el bienestar de las personas o el interés público (artículo 31, ley de ciberseguridad).

• Evaluaciones de impacto sobre la privacidad

El artículo 30 de la Ley establece que quienes manejen datos importantes deberán realizar periódicamente evaluaciones de riesgo de sus actividades de manejo de datos y enviar informes de evaluación de riesgos a los departamentos reguladores pertinentes. Los informes de evaluación de riesgos deben incluir los tipos y cantidades de datos importantes que se manejan, las circunstancias de las actividades de manejo de datos, los riesgos que se enfrentan y los métodos para abordarlos, entre otros.

• Subcontratación de servicios de tratamiento de datos

El artículo 33 establece que los proveedores de servicios deberán requerir a las organizaciones que requieran sus servicios a que expliquen las fuentes de los datos, verifiquen las identidades de ambas partes de la transacción (el intermediario debe verificar si la parte tiene las licencias requeridas, de acuerdo al artículo 34), y deberán conservar los registros de inspección y transacciones.

El incumplimiento de la Ley puede implicar multas que van desde 10.000 RMB hasta 1.000.000 RMB (USD 1500 a USD 154 380) y/o la suspensión de la actividad, revocación de licencias de actividad u operación comercial. Los administradores u otras personas responsables del manejo de datos pueden ser personalmente responsables por el incumplimiento de la Ley.

Por Gustavo P. Giay, Diego Fernández y Manuela Adrogué