La mayoría de las empresas europeas y estadounidenses establecidas que hacen negocios en o con China ya han hecho mucho para cumplir con el Reglamento General de Protección de Datos de la UE ("GDPR"), y tal vez incluso con la Ley de Privacidad del Consumidor de California ("CCPA"). Es probable que hayan redactado nuevas políticas de privacidad, rediseñado sus sitios web y adoptado más controles internos para mejorar el tratamiento de los datos.
Si van a China, mucho de eso tendrá que cambiar.
Una de las tendencias comunes de las nuevas leyes de privacidad en todo el mundo es el concepto de que la persona que recopila o controla los datos de una persona generalmente debe tener una razón legal y justificable para hacerlo. Cada entidad gubernamental que ha adoptado un régimen de privacidad ha modificado cuáles son esas razones, y en muchos casos si los datos se recogen o utilizan por una razón que no está en la lista, no es legal.
Los países con leyes de privacidad más sólidas (como los de la UE) están avanzando cada vez más hacia el tratamiento basado en el consentimiento, lo que significa que las empresas deben informar realmente a los usuarios de por qué están tratando sus datos y obtener su consentimiento. Estos países no suelen exigir el consentimiento para todos los tratamientos. Suele haber excepciones enumeradas al consentimiento o simplemente se enumeran otros motivos para el tratamiento. En lo que respecta al GDPR, dos de los motivos importantes para el tratamiento sin consentimiento son: (1) el tratamiento es necesario para ejecutar un contrato entre las partes, y (2) el tratamiento responde al interés legítimo del responsable del tratamiento de los datos (normalmente la empresa) y no vulnera los derechos fundamentales del interesado.
El motivo de ejecución del contrato da a la empresa que controla los datos del usuario flexibilidad sobre cómo utiliza los datos del cliente cuando celebra un contrato con una parte. Es posible que las empresas no siempre sepan exactamente cómo van a utilizar los datos para cumplir sus obligaciones con un cliente y explicar todo lo que pretenden hacer a un cliente puede resultar excesivamente complicado.
El interés legítimo es más bien una disposición general que también permite a las empresas tratar datos sin el consentimiento expreso. En particular, requerirá un cuidadoso equilibrio entre los intereses del responsable del tratamiento y los derechos del interesado, pero en muchos casos seguirá permitiendo el tratamiento de los datos incluso sin el consentimiento del interesado.
De todas las muchas obligaciones que el GDPR impone a las empresas, estas excepciones al consentimiento dan al menos un respiro a las empresas de la UE. China es una historia completamente diferente.
La Especificación de Seguridad de la Información Personal de China es la norma nacional china sobre recopilación y tratamiento de información personal. Una versión en inglés de la versión de mayo de 2018 de la Especificación se puede encontrar aquí. Recientemente, China propuso cambios a su Especificación de mayo de 2018.
La Especificación de mayo de 2018 deja claro que el consentimiento es la base preferida para la recopilación de datos. Hay algunas excepciones al consentimiento enumeradas en la sección 5.4, incluida la ejecución de un contrato, pero excluyendo los intereses legítimos. Sin embargo, en los cambios propuestos se elimina la ejecución de un contrato. En otras palabras, dos de los motivos más importantes para el tratamiento según el RGPD (aparte del consentimiento) no están permitidos en China.
No me cansaré de insistir en la importancia de estas diferencias con respecto al GDPR. Si su empresa hace algo en China que implique la recopilación de datos, pronto tendrá que cumplir no solo las normas del RGPD (que se aplicarán muy estrictamente a las empresas extranjeras, especialmente estadounidenses), sino que también deberá renovar por completo sus políticas de privacidad centradas en EE. UU. o la UE y (probablemente) sus sitios web para obtener explícitamente el consentimiento. Esto supondrá mucho trabajo.
Las empresas estadounidenses o de la UE que hagan negocios en China no podrán basarse en haber firmado contratos con ciudadanos chinos para procesar sus datos. Ahora tendrán que explicar minuciosamente todas las formas en que utilizarán los datos y obtener el consentimiento para utilizarlos, a menos que se aplique una de las otras pocas excepciones muy limitadas. Si quiere cambiar la forma en que procesa los datos después de recogerlos y obtener el consentimiento, la mayoría de las veces será una lástima, salvo que haya otra excepción. Tendrá que volver atrás y obtener un nuevo consentimiento. En otras palabras, y como muchos de nuestros clientes quieren que les confirmemos, lo que ha hecho para cumplir con el GDPR y las leyes de privacidad de datos de EE.UU. y California no le ayuda mucho en China. Tendrá que llevar a cabo un trabajo de cumplimiento totalmente separado y diferente para China.
Ni que decir tiene que nuestros clientes no están contentos con esto y muchos señalan con razón el aumento de problemas, costes y tiempo que esto va a suponer. Algunos de ellos mencionan no tan sutilmente lo ridículo de todo esto y cómo "esto no parece beneficiar a nadie más que a los abogados de privacidad de datos de China". Nuestra respuesta a eso es estar de acuerdo y luego señalar cómo China siempre ha seguido su propio camino en casi todo lo relacionado con Internet porque sus objetivos en torno a Internet no se alinean de ninguna manera con los de Occidente. Uno de nuestros abogados especializados en privacidad de datos en China suele decir que cuando se piensa en los objetivos de privacidad de datos de la UE/GDPR, hay que pensar en privacidad, y cuando se piensa en las leyes de privacidad de datos de EE.UU., hay que pensar en beneficios con privacidad. Cuando piense en las leyes de privacidad de datos de China, piense en el objetivo del gobierno chino de proteger su Internet de las empresas extranjeras y de no dar a las empresas privadas demasiada información sobre el funcionamiento interno de China.
Y para que no esté pensando que nada de esto se aplica a usted porque no tiene una empresa en China o en Europa, probablemente estaría equivocado. Tanto la legislación china sobre privacidad de datos como el RGPD tienen un alcance mundial. Las empresas con absolutamente ninguna huella en la UE o en China pueden estar sujetas al cumplimiento de sus vastas y complejas leyes de privacidad de datos. Incluso las empresas que solo tienen presencia en Estados Unidos y que solo venden productos en ese país pueden estar sujetas al GDPR, y lo mismo ocurre con China.
Si algo está claro, es que las nuevas leyes de privacidad de datos de China van a ser un dolor de cabeza para las empresas extranjeras y cumplir con ellas será difícil incluso para las empresas que se han adelantado a la curva GDPR y / o CCPA.
Lo sentimos.
