La ley china sobre protección de datos personales

Me gustaría dar a conocer en forma muy general la ley china sobre protección de datos personales, poniendo de relieve sus aspectos internacionales más distintivos y otros que me parecieron más interesantes desde la perspectiva chilena, como la definición de datos personales sensibles, el rol de su Agencia Nacional de Ciberespacio (“la Agencia”), y su técnica de definición extremadamente acotada (sólo cinco conceptos en total), destacando la atingente distinción entre desidentificación y anonimización.

Maritza Castro Fr

Esta ley entró en vigor el 1 de noviembre de 2021 y contiene 74 artículos distribuidos en 8 capítulos. En el primero de ellos se encuentran las Disposiciones generales, parte en la cual define que la extraterritorialidad de tal ley se aplica a casos determinados de procesamiento fuera del territorio de China, pero siempre relacionados con datos de personas naturales dentro del territorio chino (artículo 3°). Por lo tanto, el concepto de “territorio de China” para ese país es crucial para entender el alcance que le da a esta disposición.

En el segundo capítulo, Reglas de procesamiento de datos personales, define dato sensible como “información personal que una vez filtrada o ilegalmente usada, puede fácilmente llevar a transgresión de la dignidad de una persona natural o puede poner en peligro su seguridad o patrimonio, incluyendo información sobre biometría, creencia religiosa, identidad específica, estado de salud, situación financiera, y la ubicación de la persona, así como la información de una persona menor de 14 años”.

Los datos sensibles sólo pueden procesarse cuando hay una finalidad específica y cuando es necesario, bajo la circunstancia en que se tomen estrictas medidas de protección (artículo 28).

Respecto del almacenamiento de datos personales tratados por órganos estatales chinos, el artículo 36 señala que éstos deben almacenarse dentro del territorio de la República Popular de China —concepto al que debe recurrirse a lo que China entiende por tal, para determinar el verdadero sentido de la disposición en comento—. Si por alguna razón es realmente necesario proveer tal información a alguna parte (any party) fuera de dicho territorio, se debe realizar un estudio de seguridad (security assessment).

El capítulo tres, sobre Reglas de suministro transfronterizo de datos personales, en resumen, señala que para entregar datos personales a una parte fuera del territorio chino, se necesita, entre otros, un estudio de seguridad hecho por la Agencia, un certificado de la institución y bajo los cánones que determine dicha entidad, y un contrato con la receptora internacional que se ajuste al contrato estándar de la misma agencia (artículo 38).

Los requerimientos de datos personales almacenados en China, hechos por autoridades extranjeras, sean éstas judiciales o de ejecución de leyes, se manejarán por las autoridades chinas competentes de acuerdo con las leyes respectivas y los tratados y acuerdos internacionales, o bajo el principio de igualdad y reciprocidad (artículo 41).

En casos de infracción a los derechos o intereses de los ciudadanos chinos respecto de sus datos personales o peligro para la seguridad nacional o interés nacional de China, la Agencia puede incluir a personas extranjeras (overseas organizations or individuals) en una lista de receptores restringidos o prohibidos de datos personales, entre otras medidas (artículo 42).

Si otro país o región adopta medidas prohibitivas, restrictivas o discriminatorias de similar naturaleza contra China, en términos de protección de datos personales, China puede tomar contramedidas respecto de tal país o región (artículo 43).

Por su parte, los procesadores de datos personales ubicados fuera del territorio de China, como indica el artículo 3°, deberán establecer agencias especializadas o designar representantes dentro de China para ser responsables de manejar asuntos relacionados con la protección de datos personales, y enviar datos de contacto y otra información de tales agencias y representantes a las agencias con potestades en protección de datos personales (artículo 53).

El capítulo seis se refiere a las Agencias con potestades en materia de protección de datos personales (Departments with Personal Information Protection Duties) y diispone que la Agencia Nacional de Ciberespacio (The national cyberspace department) será la responsable de la planificación general y coordinación de la protección de los datos personales y supervisión y administración respectiva (artículo 60).

En el capítulo siete, se refiere a la Responsabilidad. Si un órgano estatal no cumple con sus obligaciones en materia de protección de datos de acuerdo con esta ley, su superior o las agencias con potestades en materia de protección de datos le ordenarán hacer correcciones y perseguir la responsabilidad disciplinaria (“discipline”) de la persona directamente responsable a cargo y de otras personas directamente responsables en concordancia con la ley (artículo 68).

Cualquier violación de esta ley que constituya una violación de administración de seguridad pública se sujetará a las sanciones administrativas de seguridad pública de acuerdo con la ley. Si la violación constituye un delito, quien lo cometa se sujetará a responsabilidad penal de acuerdo con la ley (artículo 71).

El capítulo 8, y final, contiene disposiciones complementarias. En su artículo 73 destaca la definición de “toma de decisión automatizada”, como aquellas actividades de análisis y evaluación automática de conductas personales, pasatiempos, estados económicos, de salud, o crediticios, entre otros, a través de programas de computadores y toma de decisiones.

La “desidentificación” es definida como el procesamiento de datos personales que hace imposible identificar a personas naturales específicas sin el apoyo de información adicional, mientras que la “anonimización” es el proceso que, aplicándose a datos personales, hace imposible identificar a personas naturales específicas, en forma irreversible.

 
También te puede interesar:
— Protección de datos personales: ¿la norma puede quedarse anclada únicamente en el consentimiento?
— Shanghai Data Leak: la mayor exposición de datos personales de la historia
— Una vez más sobre la relación entre el derecho de los datos personales y el de consumo