La Oficina de Administración del Ciberespacio de China ha publicado recientemente el Reglamento sobre Protección en Red de la Información Personal de los Niños (《儿童个人信息网络保护规定》), que entrará en vigor el 1 de octubre de 2019. Este reglamento establece normas generales sobre la recopilación y el tratamiento en línea de información personal de niños menores de 14 años.
Obligaciones generales de los operadores de redes
Según la normativa, los operadores de redes deberán:
- Establecer normas de protección de la información personal.
- Utilizar acuerdos de usuario.
- Designe a una persona responsable de proteger la información personal de los niños.
- Obtener el consentimiento paterno para recoger, utilizar, transferir o revelar información personal de menores.
- Proteger la información personal de los niños mediante encriptación u otros medios.
- Cumplir todas las leyes y normativas , así como su acuerdo de usuario, en relación con la finalidad y el alcance de la recopilación y el uso de la información personal de los niños.
- No recopilar información personal que no sea relevante para los servicios prestados por los operadores de red.
- No revelar información personal de niños, a menos que lo exija la ley o esté explícitamente permitido en virtud del acuerdo de consentimiento paterno con los padres del niño.
Los operadores de redes también deben limitar el acceso de sus empleados a la información personal de los niños sólo en la medida en que sea necesario. Todo acceso a la información personal de los niños por parte de los empleados debe ser autorizado por el responsable designado de la protección de la información personal de los niños y todo acceso debe quedar registrado.
Consentimiento paterno
Para obtener el consentimiento paterno necesario, los operadores de redes deben informar a los padres de la información que van a recopilar, el uso que le van a dar y la razón por la que la necesitan, y esto debe transmitirse de forma clara y visible, para incluir lo siguiente:
- La finalidad, el método y el alcance de la recogida, el almacenamiento, el uso, la transmisión y la divulgación de la información personal de los niños.
- Dónde y durante cuánto tiempo se almacenarán los datos.
- Cómo se tratarán los datos cuando expire el periodo de conservación.
- Las medidas que se adoptarán para salvaguardar la información personal de los niños.
- La consecuencia de no dar el consentimiento paterno.
- Cómo presentar una denuncia.
- Cómo modificar o eliminar la información personal de los niños.
- Otros asuntos que los padres deben conocer;
Si algo de lo anterior cambia sustancialmente, o el uso o tratamiento de la información personal excede la finalidad o el alcance previamente acordados, el operador de la red deberá informar de ello a los padres y obtener un nuevo consentimiento paterno.
Procesamiento por terceros
Si un operador de red contrata a un tercero para tratar datos personales de niños, debe realizar una evaluación de seguridad del tercero y firmar un acuerdo con él, además de obtener el consentimiento de los padres para utilizarlo. El acuerdo entre el operador de la red y su tercero encargado del tratamiento debe especificar los detalles pertinentes del tratamiento, como las responsabilidades de cada parte, la duración de la relación y lo que se va a tratar y la finalidad del tratamiento.
Responsabilidades legales
La normativa establece que, en caso de infracción, se aplicarán la Ley de Ciberseguridad y las Medidas para la Administración de los Servicios de Información de Internet. Véase lanueva Ley de Ciberseguridad de China: La 101. Sin embargo, no está claro cómo se aplicarán las Medidas sobre Servicios de Información a las infracciones del Reglamento sobre Información Personal de Menores, sobre todo porque las Medidas sobre Servicios de Información en Internet se centran en regular las actividades de los servicios de información (como exigir la aprobación de determinados sitios web), pero no hacen referencia a la protección de la información personal.
Como ocurre con tantas otras leyes y reglamentos relacionados con la ciberseguridad y la privacidad de los datos en China, muchas cuestiones de esta nueva normativa tendrán que aclararse. No obstante, esta normativa sobre información personal de menores supone el primer paso de China hacia la protección de la privacidad en línea de los niños, y los operadores de redes que recopilan y procesan información personal de menores deben prepararse para ella.
