En 2020 escribí una serie de tres entradas de blog tituladas "Ciberseguridad en China: No Place to Hide". Y dos años antes de eso, empezamos a escribir sobre la Especificación de Seguridad de la Información Personal de China.
El 7 de julio de 2022, la Administración del Ciberespacio de China (CAC) publicó las Medidas para la Evaluación de la Seguridad de las Transferencias Salientes de Datos (Medidas de Evaluación de la Seguridad), que entrarán en vigor el 1 de septiembre de 2022.
Las Medidas de Evaluación de la Seguridad proporcionan más orientaciones sobre la gestión de datos a los operadores de infraestructuras críticas de información (OIC) y a los responsables del tratamiento que manejen información personal por encima de un determinado umbral; lo más importante es que exigen que la CAC lleve a cabo una evaluación de la seguridad antes de exportar cualquier información personal.
El objetivo aparente de las Medidas de Evaluación de la Seguridad es proteger los derechos de individuos y organizaciones, pero como siempre, el elefante en la habitación es la protección de los "intereses de seguridad nacional" de China y del gobernante Partido Comunista de China (PCCh).
La protección de datos es una cuestión importante en la UE, Estados Unidos y muchas otras jurisdicciones, y con las leyes de protección de datos que ha desplegado en los últimos años, China en general ha estado jugando a ponerse al día. Sin embargo, la protección de datos con características chinas se inclina mucho más hacia el refuerzo de los objetivos preeminentes del PCCh de reforzar el control de la información, mantener la estabilidad política e imponer limitaciones a cualquier expresión pública de disidencia.
Aparte de las implicaciones inmediatas para las organizaciones y personas que hacen negocios en y con China, el desarrollo por parte del PCCh de un conjunto de leyes de ciberseguridad proporciona una plantilla que cabe esperar que copien otros gobiernos autoritarios de todo el mundo. Al igual que hace en otros ámbitos, China espera crear un influyente conjunto de "normas" mundiales que proporcionen a los gobiernos autoritarios una cobertura para repudiar las políticas abiertas de tratamiento transfronterizo de datos favorecidas por Estados Unidos y otros países democráticos.
En resumen, las Medidas de Evaluación de la Seguridad exigen que los OICI y los responsables del tratamiento soliciten una evaluación de la seguridad si manejan información personal o "información personal sensible" en cantidades que superan determinados umbrales.
Antes de solicitar una evaluación oficial a la CAC, los OICI y los responsables del tratamiento de datos deben realizar una autoevaluación del "riesgo de transferencia de datos salientes", destinada a evaluar el riesgo o riesgos para la seguridad nacional (y la seguridad de la información personal), así como preparar un contrato con la parte extranjera que recibe los datos, en el que se estipulen las responsabilidades y obligaciones de la parte receptora en materia de protección de la seguridad de los datos.
La ley exige una respuesta oficial a los solicitantes en un plazo de 45 días, e incluye disposiciones sobre prórrogas si se requieren más explicaciones o documentación. Los solicitantes pueden recurrir las denegaciones y tienen derecho a una nueva evaluación en un plazo de 15 días, pero la decisión posterior de las autoridades será definitiva. Las evaluaciones positivas conceden a los solicitantes un plazo de dos años durante el cual pueden exportar datos según los términos de su acuerdo con la parte extranjera, tras lo cual debe renovarse el proceso.
Está claro que China quiere liderar la economía digital mundial, pero, como de costumbre, quiere hacerlo a su manera, controlando todos los aspectos de cada transacción y reservándose el derecho de imponer nuevas restricciones en cualquier momento. Por otro lado, la información quiere ser libre.
Esta paradoja puede verse en muchas otras áreas del compromiso de China con el mundo, y aunque China aspira a ser una fuerza dominante en el establecimiento de la política monetaria mundial, los marcos de seguridad regional y los estándares tecnológicos, entre otras cosas, su ambición supera sus logros, en gran parte porque sus posiciones políticas son tan claramente interesadas. El único objetivo estratégico del PCCh es simplemente permanecer en el poder.
Convertirse en líder de la economía digital mundial es un objetivo secundario, y por eso China no tiene ningún problema en bloquear redes sociales extranjeras como Facebook, Twitter, Instagram, Snapchat y YouTube. Y es por eso que a China le pareció bien el anuncio de Microsoft en octubre de 2021 de que Linkedin cerraría en China debido a un "entorno operativo significativamente más desafiante y mayores requisitos de cumplimiento." Varias semanas después, el 1 de noviembre de 2021, el día en que entró en vigor la Ley de Protección de la Información Personal de China, Yahoo! también anunció que dejaría de operar en China. Yahoo dijo que dejaba China debido al "entorno empresarial y legal cada vez más desafiante."
En 2019, uno de los abogados de privacidad de datos de mi bufete, Griffen Thorne, escribió sobre una diferencia importante entre las leyes de privacidad de datos de China, la UE y California:
Las empresas estadounidenses o de la UE que hagan negocios en China no podrán basarse en haber firmado contratos con ciudadanos chinos para procesar sus datos. Ahora tendrán que explicar minuciosamente todas las formas en que utilizarán los datos y obtener el consentimiento para utilizarlos, a menos que se aplique una de las otras pocas excepciones muy limitadas. Si quiere cambiar la forma en que procesa los datos después de recogerlos y obtener el consentimiento, la mayoría de las veces será una lástima, a menos que haya otra excepción. Tendrá que volver atrás y obtener un nuevo consentimiento. En otras palabras, y como muchos de nuestros clientes quieren que les confirmemos, lo que ha hecho para cumplir con el GDPR y las leyes de privacidad de datos de EE.UU. y California no le ayuda mucho en China. Tendrá que llevar a cabo un trabajo de cumplimiento totalmente separado y diferente para China.
Las nuevas medidas de evaluación de la seguridad de China se unen a la PIPL, la Ley de Ciberseguridad (implementada en junio de 2017) y la Ley de Seguridad de Datos (implementada en septiembre de 2021) para proporcionar al gobierno chino una serie de herramientas que puede utilizar para controlar el uso de la información tanto por parte de las organizaciones chinas como de las empresas extranjeras que hacen negocios en y con China.
Como escribió en 2019 el abogado principal de mi bufete para China, Steve Dickinson:
En virtud de la Ley de Ciberseguridad, el gobierno chino tiene derecho a obtener de cualquier persona o entidad en China cualquier información que el gobierno chino considere que tiene algún impacto en la seguridad china. El gobierno chino es consciente de que las empresas y personas extranjeras se mostrarán reacias a entregar simplemente su información al gobierno chino cuando éste se lo pida. Por ese motivo, la Oficina de Ciberseguridad china no tiene previsto solicitar amablemente la información. La premisa fundamental de los nuevos sistemas de ciberseguridad es que el gobierno utilizará su control de las comunicaciones para simplemente tomar la información sin discutir el asunto con el usuario. Todos los datos estarán a disposición del gobierno chino.
En conjunto, estas ciberleyes facultan a los reguladores chinos para emitir advertencias, ordenar a las empresas que tomen medidas correctoras, suspender servicios y/o imponer multas. El cumplimiento es fundamental, y la implantación de mecanismos de cumplimiento es y será costosa.
Nuestros abogados especializados en China han escrito a menudo (especialmente durante los últimos cinco años) sobre cómo las empresas extranjeras que operan en China deben cumplir todas las leyes y reglamentos chinos. Esto también se aplica a la PIPL. Si su empresa obtiene datos de clientes de China, debe asegurarse de que cumple las leyes chinas sobre privacidad de datos.
Para profundizar en el impacto de las leyes de ciberseguridad que China ha ido implantando gradualmente en los últimos años, véase una serie de entradas de blog que publiqué a finales de 2020:
- Ciberseguridad en China: No hay lugar donde esconderse
- Ciberseguridad en China: Sin lugar donde esconderse, 2ª parte
- Ciberseguridad en China: Sin lugar donde esconderse, Parte 3
Como siempre, los comentarios son muy bienvenidos (y pueden proporcionarse de forma anónima a continuación). ¿El nuevo régimen de leyes de ciberseguridad de China está cambiando su visión de este país?
