MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Qué es la Ley de Protección de Datos Personales de China? Explicación de los antecedentes de su promulgación y las medidas que deben tomar las empresas japonesas

General Corporate

¿Qué es la Ley de Protección de Datos Personales de China? Explicación de los antecedentes de su promulgación y las medidas que deben tomar las empresas japonesas

Es probable que los responsables de asuntos legales de empresas que planean o ya han expandido sus operaciones en China se enfrenten a menudo a dilemas relacionados con la protección de datos personales en dicho país.

En este artículo, presentaremos de manera exhaustiva las regulaciones legales que deben conocerse al expandir negocios en China. Además, explicaremos de forma clara los métodos de respuesta y los aspectos que las empresas japonesas deben abordar. Les invitamos a utilizar esta información como referencia para comprender la ley de protección de datos personales de China y comenzar a desarrollar estrategias al respecto.

Antecedentes y objetivos de la promulgación de la Ley de Protección de Información Personal de China

Bandera de China

Hasta ahora, en China no existía una ley que definiera de manera integral la protección de la información personal, como la Ley de Protección de Información Personal de Japón. Sin embargo, había movimientos para formular una ley de protección de información personal desde hace tiempo, y el 1 de noviembre de 2021 (Reiwa 3), se promulgó la ‘Ley de Protección de Información Personal de China’, la primera ley en China que regula de manera integral la protección de la información personal.

Aunque leyes como la ‘Ley de Ciberseguridad’ y la ‘Ley de Seguridad de Datos’ tienen un fuerte componente de seguridad nacional, la Ley de Protección de Información Personal de China se centra más en la protección de los derechos individuales.

La estructura de la Ley de Protección de Información Personal de China parece estar muy influenciada por la regulación legal de otros países en años recientes, como el Reglamento General de Protección de Datos (GDPR) de la UE. No obstante, los puntos que se reconocen como base de la legalidad y los detalles de los derechos del interesado tienen un contenido único, lo que requiere medidas específicas de respuesta.

Objetivos de la regulación de la Ley de Protección de Información Personal de China

Objetivo

En este capítulo, explicaremos los objetivos de la regulación de la Ley de Protección de Información Personal de China.
Si se cumplen las siguientes condiciones, se estará sujeto a la regulación, así que es importante prestar atención.

  • Cuando el propósito sea ofrecer bienes o servicios a personas dentro de China
  • Cuando el propósito sea analizar o evaluar el comportamiento de personas dentro de China
  • Otros casos establecidos por la ley

La Ley de Protección de Información Personal de China puede tener efecto no solo dentro del país sino también en el extranjero en ciertos casos. Además, incluso si se está fuera de China, si se lleva a cabo un negocio de ventas o análisis de comportamiento dirigido a “personas” que se encuentran en China, se aplicará la misma ley, por lo que es necesario tener cuidado.

Claves para entender la Ley de Protección de Datos Personales de China

En este capítulo, explicaremos ocho puntos clave para comprender la protección de datos personales en China.

Fundamentos de la Legalidad

Las empresas solo pueden manejar información personal si cumplen con alguno de los fundamentos de legalidad establecidos en la Ley de Protección de Información Personal de China.

Los siete fundamentos son los siguientes:

  • Consentimiento del interesado
  • Cumplimiento de un contrato
  • Cumplimiento de una obligación legal
  • Salud pública
  • Interés público
  • Tratamiento de información personal divulgada
  • Otras circunstancias estipuladas por leyes y regulaciones

Como se puede ver, no se incluye el “interés legítimo” que se encuentra en el GDPR. Por lo tanto, se espera que haya más situaciones en las que sea necesario manejar información personal basándose en el consentimiento del interesado en comparación con el GDPR.

Además, el consentimiento debe estar definido como algo que “el interesado pueda retirar fácilmente en cualquier momento”. Se requiere consideración para facilitar la interfaz de usuario para la retirada del consentimiento y para explicar el método de retirada de manera clara y concisa.

Información al Usuario

Antes de manejar cualquier información personal, las empresas deben notificar al interesado de manera clara y comprensible los detalles requeridos por la Ley de Protección de Información Personal de China, explicando el contenido de dicha información.

Además, no solo se requiere informar sobre el propósito del manejo de la información, sino que también es necesario proporcionar detalles sobre el método de procesamiento, los tipos de información personal, el período de almacenamiento, y los procedimientos y métodos para ejercer los derechos correspondientes.

Acuerdo con el Encargado del Tratamiento

Cuando se delega el manejo de información personal a un tercero, es necesario acordar previamente con el encargado del tratamiento sobre el propósito del procesamiento, los plazos, los métodos y las medidas de protección, a través de un contrato de encargo.

Asimismo, se asume la responsabilidad de supervisar el tratamiento delegado. Al manejar información personal conjuntamente con otras empresas, es importante llegar a un acuerdo previo sobre el propósito y el método de tratamiento de la información personal, así como sobre los derechos y obligaciones de ambas partes, de la misma manera que se haría en el caso de un encargo.

Regulaciones en la Transferencia Transfronteriza

Cuando se proporciona información personal recopilada dentro de China a terceros fuera del país, se requieren las siguientes dos medidas.

La primera es notificar el nombre y los datos de contacto del destinatario de la información personal, el propósito del procesamiento, el método de procesamiento, los tipos de información personal, y cómo los individuos pueden ejercer sus derechos ante el destinatario, así como los procedimientos correspondientes. Además, es necesario obtener el consentimiento individual del titular de los datos.

La segunda medida es implementar alguna de las siguientes cuatro acciones:

  • Haber pasado la evaluación de seguridad nacional
  • Haber obtenido la certificación de protección de datos personales por parte de una institución especializada
  • Haber firmado un contrato con el destinatario fuera de la región basado en contratos estándar
  • Cumplir con otras condiciones establecidas por el departamento nacional de información de internet

Dependiendo del contenido de la información personal que se va a transferir, puede ser obligatoria una evaluación de seguridad nacional. Por lo tanto, de acuerdo con la ‘Ley Japonesa de Evaluación de Seguridad para la Transferencia de Datos al Extranjero’, se debe verificar si es necesaria una evaluación de seguridad nacional antes de elegir la medida apropiada a tomar.

Derechos Relacionados

La Ley de Protección de Información Personal de China reconoce al individuo diversos derechos, incluyendo el derecho a ser informado, el derecho de acceso, el derecho a la copia, el derecho de retractación, la portabilidad, el derecho de rectificación y el derecho de supresión.

Además, se reconoce el “derecho de los difuntos”, el cual no está contemplado en el GDPR. El “derecho de los difuntos” permite que los familiares cercanos ejerzan los derechos del fallecido en su nombre. Por lo tanto, es importante prestar atención a la protección de la información de las personas fallecidas.

Obligación de Reportar Incidentes

Para prevenir la fuga de información personal, se requiere que las empresas implementen medidas similares a las exigidas por el ISMS (Sistema de Gestión de Seguridad de la Información).

Estos son ejemplos de las respuestas requeridas:

  • Elaboración de reglamentos internos
  • Gestión clasificada según el grado de confidencialidad
  • Encriptación según sea necesario
  • Implementación de pseudonimización, entre otros
  • Realización de formación para los empleados
  • Desarrollo de un proceso de respuesta a incidentes, etc.

Las medidas de control de seguridad también están estipuladas en la Ley de Ciberseguridad y en la Ley de Seguridad de Datos, por lo que es recomendable organizar cuidadosamente los requisitos de estas tres leyes y verificar las medidas correspondientes.

Artículo relacionado: ¿Qué es la Ley de Ciberseguridad de China? Explicación de los puntos clave para su cumplimiento[ja]

Artículo relacionado: ¿Qué es la Ley de Seguridad de Datos de China? Explicación de las medidas que deben tomar las empresas japonesas[ja]

Obligación de Nombrar un DPO y un Representante

Las empresas están obligadas a nombrar un DPO (Delegado de Protección de Datos) cuando el volumen de información personal que manejan alcanza un cierto número.

Además, las empresas sujetas a la aplicación extraterritorial deben establecer un representante dentro de China, y reportar su nombre y detalles de contacto a la autoridad competente.

Obligación de realizar la Evaluación de Impacto sobre la Protección de Datos Personales

Las empresas deben realizar una evaluación de riesgos previa y controlar adecuadamente los riesgos cuando se encuentren en alguna de las siguientes cinco situaciones:

Los casos en los que es necesaria la obligación de implementación son los siguientes:

  • Cuando se maneje información sensible
  • Cuando se realicen decisiones automatizadas
  • Cuando se subcontrate el manejo de datos personales o se proporcionen a terceros
  • Cuando se transfieran datos personales al extranjero
  • Cuando se pueda afectar significativamente los derechos e intereses de las personas

Sanciones de la Ley de Protección de Datos Personales en China

Atención

En caso de incumplimiento, existe el riesgo de enfrentar sanciones económicas severas (hasta un máximo de 50 millones de yuanes o el 5% de las ventas anuales del año anterior). Dado que la ley se aplica también extraterritorialmente, las empresas japonesas que desarrollan negocios en China necesitan actuar con urgencia.

Medidas que las empresas japonesas deben tomar respecto a la Ley de Protección de Datos Personales

Chequeo

En este capítulo, presentaremos cuatro medidas de protección de datos personales que las empresas japonesas deben implementar.

Revisar la estructura interna de la empresa

Primero, consideremos revisar la estructura interna de la empresa. Debido a la obligación de designar un representante o un DPO (Delegado de Protección de Datos), es necesario revisar la estructura interna.

Como ejemplos, podemos mencionar la creación de departamentos especializados en cumplimiento legal y técnico que se encarguen de los datos que incluyen información personal, la organización de flujos de trabajo y la realización de un mapeo detallado de datos, entre otros.

Actualizar reglamentos y políticas

Actualizar reglamentos y políticas también es crucial. Es necesario actualizar los reglamentos y políticas para cumplir con las tres leyes de datos de China.

Además, no basta con desarrollar reglamentos que reflejen simplemente los requisitos legales; también se requiere establecer operaciones que todos los empleados puedan llevar a cabo.

Comprender la realidad operativa

La Ley de Protección de Datos Personales se promulgó el 1 de noviembre de 2021 (2021), por lo que es necesario tomar medidas constantes mientras se comprende la realidad operativa. Además, a los empleados de la empresa también se les exige el manejo adecuado y el estricto cumplimiento de las leyes como una regla.

Por lo tanto, las empresas deben realizar capacitaciones periódicas a sus empleados para profundizar su comprensión de las leyes y procedimientos más recientes.

Establecer un sistema de cooperación con expertos

Es esencial construir y fortalecer un sistema de cooperación con expertos. Al establecer un sistema de cooperación con expertos familiarizados con la regulación legal china, se puede responder con rapidez. Además, las empresas deben monitorear y evaluar periódicamente su cumplimiento con la protección de datos personales. Por lo tanto, se puede decir que es esencial construir un sistema de cooperación con expertos externos.

Resumen: Comprender múltiples regulaciones y actuar con precisión

Descripción del material

El 1 de noviembre de 2021, se implementó en China la primera ley integral de protección de información personal, conocida como la ‘Ley de Protección de Información Personal de China’. Para las empresas que operan a nivel global, las regulaciones de datos en China (Ley de Ciberseguridad, Ley de Seguridad de Datos y Ley de Protección de Información Personal) son legislaciones que no pueden ser ignoradas, dada la importancia del mercado y la rigurosidad de las regulaciones. Dependiendo de la situación, es esencial establecer un sistema que permita llevar a cabo las prácticas necesarias, incluso con la ayuda de expertos si es necesario.

Presentación de Estrategias por Parte de Nuestro Despacho

El Despacho de Abogados Monolith cuenta con una amplia experiencia en IT, especialmente en lo que respecta a Internet y la ley. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos se ha incrementado significativamente. Nuestro despacho ofrece soluciones en el ámbito del derecho internacional.

Áreas de práctica del Despacho de Abogados Monolith: Asuntos Internacionales y Negocios en el Extranjero[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba