¿Qué es la Ley de Seguridad de Datos de China? Explicación de las medidas que deben tomar las empresas japonesas
La Ley de Seguridad de Datos de China es una legislación en el ámbito de los datos en China, que entró en vigor en septiembre de 2021 (Reiwa 3). Esta ley se aplica a todos los procesamientos de datos que se realizan dentro del territorio chino, por lo que las empresas que operan en China o aquellas que planean entrar en el mercado chino necesitarán revisar y posiblemente modificar sus políticas y estrategias de gestión existentes. Sin embargo, puede haber quienes no entiendan bien esta ley o estén confundidos sobre las medidas que deben implementar.
Por ello, en este artículo explicaremos los aspectos fundamentales de la Ley de Seguridad de Datos de China, los puntos clave para su comprensión, las sanciones involucradas y las medidas que se deben tomar en Japón.
¿Qué es la Ley de Seguridad de Datos de China?
La Ley de Seguridad de Datos de China (Ley de Seguridad de Datos de la República Popular China) es una ley relacionada con la seguridad de datos en China que entró en vigor en septiembre de 2021. Fue promulgada con el mismo propósito que la Ley de Ciberseguridad de China, que se implementó en junio de 2017, para proteger la seguridad nacional.
Ley de Ciberseguridad de China: Ley para proteger la seguridad de las “redes” en China.
Los objetivos de la Ley de Seguridad de Datos de China se describen de la siguiente manera (Artículo 1):
- Regulación de las actividades de manejo de datos
- Aseguramiento de la seguridad de los datos
- Fomento del desarrollo y uso de los datos
- Protección de los derechos e intereses legítimos de individuos y organizaciones
- Protección de la soberanía, seguridad y beneficios de desarrollo del país
Mientras que la Ley de Ciberseguridad de China regulaba los datos electrónicos, la Ley de Seguridad de Datos de China se caracteriza por incluir en su ámbito de regulación no solo los datos electrónicos sino también los datos no electrónicos, como los impresos (Artículo 3). La Ley de Seguridad de Datos de China establece disposiciones sobre la clasificación de datos, el establecimiento de un sistema de certificación de seguridad y las obligaciones de protección de la seguridad de los datos.
Claves para entender la Ley de Seguridad de Datos de China
La Ley de Seguridad de Datos de China contiene diversas disposiciones que pueden resultar difíciles de comprender. A continuación, explicaremos detalladamente cinco puntos clave sobre el contenido de la Ley de Seguridad de Datos.
- Ámbito de aplicación de la regulación
- Establecimiento de normas para la clasificación y jerarquización de datos
- Gestión de la seguridad de los datos
- Regulación de la transferencia de datos
- Revisión de la seguridad nacional
Objetos de Regulación
Los datos que son regulados por la ley incluyen todas las actividades de “procesamiento de datos” que se llevan a cabo dentro de China. Incluso cuando las actividades de procesamiento de datos se realizan fuera de China, se aplican las regulaciones si dichas actividades perjudican la seguridad nacional de China, el interés público o los intereses de los ciudadanos y organizaciones.
El término “datos” se refiere al registro de información por medios electrónicos u otros métodos, y es importante tener en cuenta que esto también incluye la información en papel. “Procesamiento de datos” se define como la recolección, almacenamiento, uso, procesamiento, transmisión, provisión y divulgación de datos, y aquellos que realizan estas acciones se consideran “procesadores de datos”.
Sobre la creación de normas para la clasificación y jerarquización de datos
Los procesadores de datos deben asegurar la seguridad de los mismos basándose en un sistema de protección por niveles. Este sistema es una evaluación oficial del régimen de gestión de la seguridad de la red, y las medidas a tomar varían según el nivel. Además, es necesario clasificar los datos según el grado de daño que su destrucción o fuga pueda causar a la seguridad nacional, al interés público o a individuos y organizaciones.
La clasificación se divide en tres categorías: “datos generales”, “datos importantes” y “datos centrales”. Según el “Reglamento de Seguridad de Datos de Red (borrador para comentarios)”, los datos importantes se definen como aquellos cuya “alteración, destrucción, fuga, adquisición ilegal o uso ilegal podría dañar la seguridad nacional o el interés público”. Los datos centrales se refieren a aquellos relacionados con la seguridad nacional, la infraestructura vital de la economía nacional, la vida importante de los ciudadanos y los principales intereses públicos (Artículo 21).
En el momento de la redacción, no se han publicado listas específicas de datos importantes o centrales, por lo que sería prudente clasificar los datos que se manejan tomando como referencia los ejemplos de datos importantes mencionados en el “Reglamento de Seguridad de Datos de Red (borrador para comentarios)”. Además, es crucial monitorear las listas que publiquen los departamentos correspondientes.
Sobre la Gestión de la Seguridad de los Datos
Entre las responsabilidades que se exigen a los procesadores de datos se incluyen las siguientes:
- Implementación de educación y entrenamiento en seguridad de datos
- Obligaciones de protección de la seguridad de datos basadas en el sistema de protección de niveles
- Realización continua de monitoreo de riesgos
- Establecimiento de un sistema de gestión de seguridad a lo largo de todo el ciclo de vida de los datos
- Designación de un responsable
- Medidas técnicas
En esencia, esto es similar a los requisitos del “Sistema de Gestión de Seguridad de la Información (ISMS)”, pero es crucial prestar atención a la necesidad de implementar medidas de gestión adecuadas según la clasificación de los datos.
En caso de que ocurra un incidente, se deben tomar medidas inmediatas y reportar tanto a los usuarios como a las autoridades pertinentes. Además, cuando se procesan datos importantes, es necesario realizar evaluaciones de riesgo de manera periódica y presentar informes de evaluación de riesgo a los departamentos jurisdiccionales relacionados.
Regulación sobre la transferencia de datos
En cuanto a la transferencia de datos, se aplican regulaciones en el caso de datos importantes. Se establece que, cuando los operadores de infraestructuras críticas de información en China adquieran o generen datos importantes en el curso de sus operaciones dentro del país y deseen transferirlos al extranjero, se aplicarán las disposiciones de la Ley de Ciberseguridad japonesa.
Infraestructuras críticas de información: operadores de instalaciones que, en caso de daño, podrían amenazar la seguridad nacional en sectores como energía, transporte, finanzas, servicios públicos, etc., y cuya destrucción o fuga de datos podría perjudicar significativamente la seguridad nacional, la vida de los ciudadanos y el interés público.
Si el procesador de datos no es un operador de infraestructuras críticas de información, debe someterse a una evaluación de seguridad por parte de las autoridades conforme al ‘Método de Evaluación de Seguridad para la Transferencia de Datos al Extranjero’ y solo después de pasar dicha evaluación podrá proceder con la transferencia.
Según el ‘Borrador de Regulaciones de Gestión de Seguridad de Datos en Red (para consulta pública)’, incluso para la transferencia de datos que no sean considerados importantes al extranjero, se requiere pasar una evaluación de seguridad de las autoridades en los siguientes casos:
- Cuando los datos transfronterizos incluyan datos importantes.
- Cuando los operadores de infraestructuras críticas de información o procesadores de datos que manejen la información personal de más de un millón de personas proporcionen información personal al extranjero.
Además, se establecen las siguientes obligaciones para quienes transfieran datos al extranjero:
- No proporcionar información personal al extranjero más allá de los objetivos, alcance, método, tipo y tamaño de los datos especificados en el informe de evaluación de impacto en la protección de información personal presentado al departamento de información de red.
- No proporcionar información personal y datos importantes al extranjero más allá de los objetivos, alcance, tipo y tamaño de los datos especificados en la evaluación de seguridad del departamento de información de red.
- Aceptar y procesar quejas de los usuarios relacionadas con la exportación de datos.
- Mantener registros de logs relacionados y registros de autorización de exportación de datos por más de tres años.
- Si la exportación de datos daña los derechos e intereses legítimos de individuos, organizaciones o el interés público, el procesador de datos será responsable según la ley.
Además, existe la obligación de elaborar un informe de seguridad de exportación de datos y reportarlo al departamento de información de red del distrito cuando se transfieran datos al extranjero.
Sobre la Revisión de Seguridad Nacional
Es importante prestar atención al hecho de que si el gobierno chino determina que las actividades de procesamiento de datos perjudican la seguridad nacional de China, se llevará a cabo una revisión de seguridad nacional. Dado que el resultado de la revisión de seguridad nacional es una decisión final, no es posible presentar una queja administrativa o iniciar un litigio para cuestionarla.
Sanciones de la Ley de Seguridad de Datos
En caso de incumplimiento de la Ley de Seguridad de Datos, se pueden imponer sanciones como órdenes de corrección y advertencias, multas, suspensión de actividades para la corrección, suspensión de operaciones relacionadas y revocación de licencias comerciales.
Por ejemplo, si no se cumplen las obligaciones estipuladas en los artículos 27, 29 y 30 de la Ley de Seguridad de Datos de China, además de emitirse órdenes de corrección y advertencias, se pueden imponer multas de más de 50,000 yuanes (aproximadamente 7,500 dólares) pero no más de 500,000 yuanes (aproximadamente 75,000 dólares) a los responsables directos y a otros responsables directos.
Es importante tener en cuenta que en caso de incumplimiento de la Ley de Seguridad de Datos, no solo la entidad jurídica, sino también los responsables directos y otros empleados con responsabilidad directa, pueden ser sujetos de sanciones. Dado que las sanciones por incumplimiento pueden tener un gran impacto en toda la organización, es esencial tomar medidas preventivas en relación con la ley.
Medidas que las empresas japonesas deben tomar respecto a la ley de seguridad de datos
La ley de seguridad de datos se aplica a todo el procesamiento de datos que se maneja dentro de China, por lo que muchas empresas japonesas deben tomar medidas al respecto. Aquí explicaremos detalladamente las estrategias que las empresas japonesas deben implementar en relación con la ley de seguridad de datos.
Gestión de datos
Primero, revisaremos la gestión de datos. Es esencial aclarar qué tipo de datos se generan, acumulan y eliminan dentro de la empresa y comprender la situación actual del manejo de datos. También es importante verificar de antemano, mediante el mapeo de datos, la clasificación de los datos, la situación de transferencia de datos fuera de China y las medidas actuales de gestión de datos para poder tomar las medidas necesarias para cada tipo de dato.
Según la ley de seguridad de datos de China, se requieren medidas de protección específicas para los datos importantes y los datos centrales. Por lo tanto, también será necesario redefinir la clasificación de la confidencialidad de la información de acuerdo con estas categorías.
Sin embargo, en este momento, los niveles de seguridad por clasificación no están claros. Dado que es posible que se concreten en el futuro, es imprescindible monitorear los catálogos publicados por las autoridades chinas. Al mismo tiempo, es prudente establecer niveles de seguridad teniendo en cuenta la clasificación, incluyendo control de acceso, autenticación, seguridad de comunicaciones y medidas físicas.
Además, se revisará la política de seguridad y se aplicará una política acorde con las clasificaciones de datos identificadas mediante el mapeo de datos.
Evaluación y reporte de riesgos
Si se determina que los datos manejados por la empresa incluyen datos importantes a través del mapeo de datos, se debe realizar una evaluación de riesgos del procesamiento de datos. Además, los resultados deben ser reportados a las autoridades.
La evaluación de riesgos debe realizarse periódicamente, por lo que es crucial establecer reglas para que se pueda ejecutar de manera constante.
Educación de los empleados
En China, se están implementando continuamente nuevas regulaciones relacionadas con la seguridad. Además, la gestión de datos y la evaluación de riesgos no son procesos que se realizan una sola vez y se terminan. Por lo tanto, es necesario educar a los empleados para que revisen y mejoren periódicamente y para que estas prácticas se arraiguen en la empresa.
No solo los departamentos legales y administrativos, sino también los departamentos de gestión de riesgos y otros deben involucrarse, por lo que la colaboración es crucial. Aunque la ley todavía tiene aspectos poco claros, ya ha habido casos en los que se han aplicado sanciones por incumplimientos, por lo que se puede decir que es esencial responder a la ley de seguridad de datos.
Características de las Tres Leyes Cibernéticas de China
Las Tres Leyes Cibernéticas de China se refieren a la denominación colectiva de la “Ley de Ciberseguridad”, la “Ley de Seguridad de Datos” y la “Ley de Protección de la Información Personal” implementadas por China. La Ley de Ciberseguridad se centra en las medidas contra los ciberataques, la Ley de Seguridad de Datos en la preservación de los datos y la Ley de Protección de la Información Personal en el fortalecimiento de la seguridad de la información personal.
Artículo relacionado: ¿Qué es la Ley de Ciberseguridad de China? Explicación de los puntos clave para su cumplimiento[ja]
Así, aunque cada una tiene sus diferencias, todas ellas se caracterizan por establecer sanciones administrativas, indemnizaciones por daños civiles y responsabilidad penal en caso de incumplimiento. Además, los sujetos de infracción no son solo las corporaciones, sino también los responsables directos, quienes podrían enfrentarse a la prohibición de ejercer en el mismo campo de trabajo o ser incluidos en la información de infractores del país.
Resumen: Atención y respuesta rápida a la regulación de datos en China
La Ley de Seguridad de Datos de China es una legislación aplicable al procesamiento de datos en China, y establece normas sobre la clasificación y protección por niveles de los datos, así como sobre la evaluación de riesgos. Junto con la Ley de Ciberseguridad, se han publicado diversas leyes como la ‘Ley de Protección de la Información Personal’ y las ‘Regulaciones de Gestión de Vulnerabilidades de Seguridad de Productos de Internet’, y es indispensable adaptarse a ellas.
Aunque actualmente existen aspectos poco claros, como la falta de concreción de los niveles de seguridad por clasificación, ya ha habido casos de sanciones con multas por incumplimientos, lo que indica que la respuesta a la legislación es esencial. Es crucial estar atentos a la regulación china y tomar las medidas posibles en el momento actual.
Si está desarrollando negocios en China o planea hacerlo en el futuro, recomendamos consultar con un abogado especializado en la legislación china.
Presentación de Estrategias por Parte de Nuestro Despacho
El Despacho de Abogados Monolith cuenta con una amplia experiencia en IT, especialmente en lo que respecta a Internet y al derecho. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos se ha incrementado significativamente. Nuestro despacho ofrece soluciones en asuntos legales internacionales, incluyendo aquellos relacionados con China, Estados Unidos y los países de la Unión Europea.
Áreas de práctica del Despacho de Abogados Monolith: Asuntos Legales Internacionales y Negocios en el Extranjero[ja]