Esta ley (PIPL) se promulgó el 21 de agosto de 2021 y el 1 de noviembre del mismo año entrará en vigor.
Esta legislación marca el primer intento legal integral de China para definir la información personal (PI) y regular el almacenamiento, la transferencia y el procesamiento de la información personal. Tiene importantes implicaciones para las empresas que dependen de los datos para sus operaciones en China. La implementación de la ley proporcionará una base legal para la protección de la información personal para las operaciones de empresas extranjeras en China. Sin embargo, también limitará potencialmente la transferencia transfronteriza de dicha información, especialmente para los datos relacionados con la infraestructura de información crítica (CII) debido a las implicaciones de seguridad nacional. La comunidad empresarial necesita comprender el impacto de la ley en sus operaciones de datos.
La ley tiene 74 artículos en total. A continuación destacamos 10 puntos clave…
- Esta ley se puede aplicar a las empresas extranjeras.
Siempre que una empresa maneje información personal de personas físicas dentro de China, debe cumplir esta ley. (Artículo 3). La ley también se aplica a las actividades fuera de China que manejan la información personal de personas físicas que se encuentran en China bajo cualquiera de las siguientes circunstancias:
- Las actividades son para proporcionar productos o servicios a personas físicas en China.
- Las actividades son para analizar y evaluar el comportamiento de las personas físicas en China.
- Otras circunstancias especificadas por otras leyes y reglamentos administrativos chinos.
- Se puede compartir información personal de China a solicitantes extranjeros.
Requisitos previos:
- La transacción debe ser aprobada por las autoridades reguladoras chinas. (Artículo 38)
- El realizador de la transacción ha debido obtener el consentimiento previo de la persona implicada. (Artículo 39)
- La información personal recopilada y generada en China no se puede almacenar fuera del país. (Artículo 40)
- Las entidades extranjeras que violen esta ley serán sancionadas. (Artículo 42)
- La obtención de información personal se puede realizar en dos casos: cuando se ha obtenido el consentimiento de la persona en cuestión o cuando no se requiera el consentimiento de la persona para el procesamiento de la información.
Los casos en los que no se requiere el consentimiento personal son:
- Cuando la recopilación de información personal es necesaria para la ejecución de un contrato;
- Cuando una empresa recopila la información necesaria de los empleados para la gestión de recursos humanos.
- Cuando se recopila para responder a una emergencia de salud.
- Cuando se recopila para la cobertura de prensa de interés público.
- Cuando la información personal es pública (limitada a un propósito específico).
- Antes de manejar información personal, el procesador de información personal deberá informar a la persona de manera fiel, precisa y comprensible.
- Las personas tienen derecho a conocer y decidir sobre el manejo de su información personal. (Artículo 44)
- Las personas tienen derecho a inspeccionar y copiar su información personal. (Artículo 45)
- Si la información personal es inexacta o está incompleta, la persona investigada tiene el derecho a solicitar al procesador que la corrija o complemente. (Artículo 46)
- El investigado tiene el derecho a retirar su consentimiento en cualquier momento (artículo 15)
- El investigado tiene el derecho a solicitar al procesador de información personal que explique y aclare las reglas para el manejo de su información personal. (Artículo 48)
- Los órganos estatales pueden manejar información personal con el fin de cumplir con sus deberes legales, pero deben hacerlo de acuerdo con la autoridad y los procedimientos legales. (Artículo 34)
- Los órganos estatales informarán a las personas sobre el manejo de su información personal. Sin embargo, los órganos estatales no pueden informar a las personas si la ley establece que tal manejo será confidencial. (Artículo 35, 18)
- Se puede recopilar información personal en lugares públicos siempre que se cumplan los siguientes requisitos. (artículo 26)
- La recolección es necesaria para la seguridad pública.
- La recolección cumple con las disposiciones legales pertinentes.
- La Administración del Ciberespacio de China y sus contrapartes en los gobiernos locales son las autoridades reguladoras en esta área.