A principios de este año, China publicó la versión final de la norma nacional sobre protección de la información personal, GB/T 35273-2017 Tecnología de la información - Especificación de seguridad de la información personal(信息安全技术 个人信息安全规范)(la "Especificación"). El Pliego de Condiciones entrará en vigor el 1 de mayo de 2018.
La Especificación no es una ley ni un reglamento de obligado cumplimiento. Sin embargo, es probable que los organismos gubernamentales chinos se basen en ella como norma para determinar si las empresas cumplen las normas de protección de datos de China. Las empresas que recopilan o procesan información personal en China deben comparar sus prácticas actuales con esta Especificación para identificar y minimizar sus riesgos potenciales. A continuación se ofrece información básica sobre esta nueva Especificación.
Información personal e información personal sensible
Según la Ley de Ciberseguridad de China, por información personal se entiende la información que puede utilizarse para identificar a una persona si se utiliza por separado o en combinación con otra información. Esta nueva Especificación amplía esta definición para incluir la información que refleja las actividades de una persona, como el historial de navegación.
La información personal sensible incluye datos que, si se filtran, se facilitan ilegalmente o se utilizan de forma inadecuada, pueden suponer una amenaza para la seguridad personal y patrimonial y pueden dañar fácilmente la reputación personal, la salud física o mental o dar lugar a un trato discriminatorio. Ejemplos de información personal sensible son el número del DNI de una persona, el número de su cuenta bancaria y la información personal de menores de 14 años o menos.
Controlador de datos
La nueva Especificación introduce el concepto de responsable del tratamiento de datos personales, es decir, una persona física o una organización que determina los fines y los medios del tratamiento de datos personales. Un controlador de datos es responsable de cumplir las leyes y reglamentos aplicables en la recogida, conservación, uso, intercambio y transferencia de información personal, así como en la gestión de las violaciones de datos.
Recogida de datos
La nueva Especificación establece que la recogida de datos personales debe hacerse de forma legal y mínima. Exige que el responsable del tratamiento obtenga el consentimiento de la persona cuyos datos se recogen, y exige además el consentimiento explícito cuando se recogen datos sensibles. Hay algunas excepciones en las que no es necesario el consentimiento. Por ejemplo, cuando la recogida y el uso de datos personales son necesarios para ejecutar y cumplir contratos, para la investigación penal o para informes de noticias cuando el responsable del tratamiento de datos es una agencia de noticias.
Los responsables del tratamiento de datos también deberán establecer y publicar una política de privacidad conforme al pliego de condiciones. También se adjunta a la Especificación un modelo de política de privacidad.
Conservación de datos
La información personal debe conservarse el menor tiempo posible y sólo en la medida necesaria. Una vez recopilada la información personal, el responsable del tratamiento debe desidentificar dicha información y conservar la información desidentificada separada de cualquier información personal identificable. Cuando un responsable del tratamiento cese en sus actividades, debe dejar de recoger información personal, informar de ello a los interesados pertinentes y eliminar o anonimizar toda la información personal que haya conservado.
Uso de los datos
Un responsable del tratamiento de datos debe limitar el acceso a la información personal recopilada al mínimo necesario. Los interesados tienen derecho a acceder a los datos y a rectificar los datos incorrectos o incompletos, derecho a suprimirlos y a la portabilidad de los datos, así como derecho a la cancelación de la cuenta.
Procesadores externos; intercambio y transferencia de datos
Cuando un responsable del tratamiento externaliza el tratamiento de datos a un tercero, debe llevar a cabo una evaluación de la seguridad para garantizar que el tercero encargado del tratamiento es capaz de ofrecer una seguridad suficiente. El responsable del tratamiento también debe supervisar al encargado del tratamiento mediante auditorías y mediante la imposición de obligaciones contractuales en materia de seguridad del tratamiento de datos.
Si un responsable del tratamiento de datos necesita compartir o transferir información personal, debe realizar primero una evaluación de seguridad, utilizar medidas efectivas para salvaguardar a los interesados, informar a los interesados de la finalidad y el destinatario de la transferencia de datos y obtener el consentimiento previo (un consentimiento separado además del consentimiento inicial para recoger y tratar los datos). Si un responsable del tratamiento es adquirido por otras entidades o se fusiona con ellas, deberá notificar este hecho a los interesados y su sucesor seguirá asumiendo las responsabilidades y obligaciones del responsable original.
Incidentes de violación de datos
Los responsables del tratamiento de datos deben disponer de planes de respuesta a incidentes de seguridad, impartir formación periódica y realizar simulacros de emergencia al menos una vez al año. Cuando se produzca una violación de datos, el responsable del tratamiento deberá registrar el incidente, evaluar las posibles repercusiones y adoptar medidas correctivas. También deberá notificar el incidente a los interesados afectados por correo electrónico, correo postal, teléfono, notificación push u otro método razonable y eficaz cuando la notificación individual no sea posible en la práctica.
