El6 de marzo, la Administración de Normalización de China (SAC) se unió a la Administración Estatal de Regulación del Mercado (SAMR) para publicar GB/T 35273-2020 《信息安全技术 个人信息安全规范》 , o "Tecnología de seguridad de la información - Especificación de seguridad de la información personal", que entrará en vigor el 1 de octubre de 2020. Esta Especificación 2020 sustituirá a GB/T 35273-2017, que ha estado en vigor desde 2017. Escribimos sobre esta anterior Especificación de Seguridad de la Información Personal aquí.
La Especificación 2020 actualizará y perfeccionará las directrices esbozadas en la Especificación de Seguridad de la Información Personal de 2017. La Especificación 2020 es una norma nacional, denominada "GB". Algunas normas nacionales, como la Especificación 2020, no son obligatorias, sino directrices recomendadas que refuerzan la ley, y se denominan GB/T. En este caso, la Especificación 2020 explica y refuerza la Ley de Ciberseguridad de China de 2017. Aunque la Especificación 2020 no es ejecutable por ley, el gobierno chino utiliza estas normas para evaluar el cumplimiento de una entidad con las directrices y regulaciones legales de China. El Centro de Estudios Estratégicos e Internacionales escribió sobre la especificación anterior y la ambigüedad en torno a cómo se aplican las normas nacionales en China, afirmando que "la norma escrita deja espacio para la interpretación por parte de las autoridades de aplicación cuyos intereses y objetivos pueden no alinearse con la intención de los redactores." Aunque la Especificación 2020 aclara cuestiones como los datos biométricos, las funciones empresariales múltiples y el consentimiento explícito, aún no está claro hasta qué punto se aplicará la nueva norma en China.
La Especificación 2020 establece que los "responsables del tratamiento" son quienes recogen información personal para ofrecer un producto o servicio. El "sujeto" es la persona o entidad que proporciona la información personal al responsable del tratamiento. La Especificación 2020 pretende dotar al sujeto de mayor autonomía a la hora de decidir cómo y cuándo facilita información personal a los responsables del tratamiento.
Múltiples funciones empresariales
El artículo 5.3 de la Especificación 2020 establece que el responsable del tratamiento que proporcione un producto o servicio que requiera información personal no podrá agrupar la información personal de un sujeto en múltiples funciones empresariales. Si el sujeto no autoriza específicamente el consentimiento para utilizar información personal para una función empresarial específica, el responsable del tratamiento no podrá incentivar al sujeto garantizándole un servicio de mejor calidad o una mayor seguridad a cambio del consentimiento autorizado. Si el sujeto deja de utilizar una función empresarial específica, el responsable del tratamiento no podrá seguir utilizando la información personal recopilada previamente.
Consentimiento explícito
El artículo 5.4 establece que los responsables del tratamiento de datos personales deben informar a los interesados sobre el alcance y la finalidad de la recogida de datos. Al recopilar datos sensibles (definidos como cualquier información que, si se filtra o se utiliza indebidamente, puede perjudicar la seguridad física o económica de una persona, afectar a su reputación o salud mental, o causar un trato deferente), los responsables del tratamiento deben obtener el "consentimiento explícito". Consentimiento explícito significa que el sujeto debe proporcionar una declaración autorizada, ya sea en papel o en formato electrónico, afirmando el derecho del responsable a procesar su información personal. Una nueva adición a la Especificación 2020 es la normativa sobre la recogida y conservación de datos biométricos. Además de obtener el consentimiento explícito del sujeto, los responsables del tratamiento de datos biométricos deben informar a los sujetos sobre los fines previstos, el método de recogida, el alcance y el tiempo de conservación. Los datos biométricos incluyen información genética, huellas dactilares, huellas vocales, huellas palmares, escáneres auriculares, escáneres del iris, escáneres faciales, etc. Cuando un recopilador recibe datos biométricos de forma indirecta, debe confirmar que el tercero del que obtuvo los datos ya ha recibido el consentimiento explícito de los sujetos.
Almacenamiento de datos personales
El artículo 6 se refiere a los periodos de almacenamiento, anonimización y desidentificación de la información personal. Se pide a los responsables del tratamiento que reduzcan al mínimo el periodo de almacenamiento de la información personal necesario para cumplir sus fines, tras lo cual la información personal debe ser anonimizada. La desidentificación debe realizarse lo antes posible y deben tomarse medidas de precaución para garantizar que los datos de información personal no vuelvan a identificarse con su sujeto. Cuando el responsable del tratamiento deje de utilizar el producto o servicio que recopiló la información personal, deberá anonimizar los datos y enviar una notificación a todos los sujetos informándoles de que su información ya no se utiliza.
Derechos de los titulares de datos personales
La Especificación 2020 garantiza teóricamente más autonomía a los sujetos de la información personal que la especificación anterior. El artículo 8 establece que los responsables del tratamiento proporcionarán al sujeto un método para consultar a) el tipo de información personal que el responsable del tratamiento posee sobre el sujeto, b) la finalidad de la obtención de la información personal, y c) la identidad de cualquier tercero que pueda estar implicado en la recogida de los datos del sujeto. Si el responsable del tratamiento incumple alguna ley o algún acuerdo celebrado con un sujeto, está obligado a eliminar inmediatamente toda la información personal. Los responsables del tratamiento también deben proporcionar un método para que los interesados revoquen su consentimiento autorizado a acceder a su información personal.
Compartir y transferir información personal
Para compartir y transferir información personal, los responsables del tratamiento deben a) realizar previamente evaluaciones de impacto sobre la seguridad, b) informar al sujeto sobre el propósito de compartir y transferir su información personal, y c) recibir el consentimiento explícito del sujeto. La Especificación 2020 establece que, en general, la información personal no debe divulgarse públicamente, a menos que el responsable del tratamiento haya realizado previamente las evaluaciones de impacto sobre la seguridad necesarias, haya informado a los interesados de su intención, haya recibido el consentimiento explícito de los interesados y lleve un registro detallado de la divulgación pública. Sin embargo, no hay excepciones a la divulgación pública de datos biométricos o de los resultados de análisis de datos personales sensibles, como la raza, la etnia, las opiniones políticas y las creencias religiosas.
Transferencia transfronteriza de datos personales
El artículo 9.8 establece que la información personal recopilada y generada en China puede transferirse al extranjero, pero el responsable del tratamiento debe cumplir todos los reglamentos y normas nacionales pertinentes.
Incidentes relacionados con la seguridad de la información personal
Los responsables del tratamiento deben elaborar un protocolo específico y detallado para tratar y notificar cualquier incidente relacionado con la seguridad de la información personal, incluida la formación periódica de todos los trabajadores que traten información personal. Los sujetos deben ser notificados inmediatamente si su información personal ha sido filtrada o violada. Los responsables del tratamiento deben desarrollar evaluaciones de impacto sobre la seguridad, que evalúen qué impacto tienen las normas de seguridad de la información personal del responsable del tratamiento sobre los derechos e intereses legales de los sujetos.
Aunque esta norma nacional es "consultiva" y no tiene fuerza de ley, las empresas extranjeras que operan en China deben esforzarse por cumplir plenamente esta Especificación como medida de "buenas prácticas". Ha habido muchas preguntas en el pasado con respecto a la transferencia de datos al extranjero y hasta qué punto el gobierno chino permitiría compartir los datos acumulados en China con entidades y gobiernos extranjeros. La Ley de Ciberseguridad, en vigor desde 2017, establece que toda la información recopilada en China debe permanecer en China y solo puede transferirse fuera de China si es absolutamente necesario para las necesidades de la empresa, según el artículo 37. China desalienta la transferencia de datos fuera del país mediante la creación de condiciones requeridas, que también se encuentran en el artículo 37 de la Ley de Ciberseguridad, que exige que una entidad realice evaluaciones de seguridad y obtenga la aprobación de las autoridades locales de ciberseguridad antes de que pueda transferir datos fuera del país. El lenguaje del artículo carece de cualquier detalle en cuanto a lo que podría calificarse como una "necesidad" para que una entidad extranjera transfiera datos fuera en China. Una ventaja de la Especificación 2020 es que aporta un poco de claridad en lo que respecta a la localización de datos: El artículo 9.8 establece que la información personal recopilada en China puede transferirse al extranjero, siempre que el recopilador opere de conformidad con todas las normas nacionales pertinentes. Es importante señalar que esta norma sólo se refiere a la información personal, y no a los datos generalizados.
Aunque la Especificación 2020 aclara gran parte de lo que queda sin especificar en la Ley de Ciberseguridad, sigue existiendo ambigüedad en torno a procedimientos específicos como el almacenamiento, la anonimización, el intercambio/transferencia a terceros, etc. Por este motivo, nuestros abogados especializados en ciberseguridad y privacidad de datos en China seguirán trabajando con las autoridades gubernamentales locales chinas para confirmar que las operaciones comerciales de nuestros clientes cumplen esta nueva norma.
