La Asamblea Popular Nacional de China aprobó el 10 de junio de 2021 la Ley de Seguridad de Datos (en adelante, «la Ley», cuya traducción no oficial al idioma inglés puede ser consultada aquí), cuya entrada en vigor será el 1º de septiembre de 2021. La Ley tiene como objetivo regular la recolección, almacenamiento, procesamiento, uso, y transferencia de datos, sean estos personales o no.

Esta nueva Ley forma parte de la triada formada por la Ley de Ciberseguridad (la traducción no-oficial al inglés se puede encontrar aquí) y la aún más nueva Ley de Protección de Datos Personales, que entrará en vigencia el 1° de noviembre de 2021 (la traducción no-oficial al inglés se puede encontrar aquí).

La Ley de Seguridad de Datos se aplica a las actividades de manejo de datos que se llevan a cabo dentro del territorio continental de la República Popular China. Sin embargo, aquellas actividades de manejo de datos llevadas a cabo fuera del territorio continental de China, que puedan dañar la seguridad nacional, el interés público o los derechos e intereses legales de ciudadanos y organizaciones, también se encuentran sujetas a las disposiciones de la Ley. La Ley también establece que, si alguna nación o región emplea medidas discriminatorias, restrictivas o similares contra la República Popular China, ya sea en áreas relativas al comercio, inversión o tecnología de datos, la República Popular China puede emplear medidas análogas contra esa nación o región.

Si bien la Ley brinda principios básicos que deben ser luego regulados por diferentes industrias o gobiernos locales, existen algunos aspectos importantes que deben tenerse en cuenta:

• Definiciones clave: El artículo 3 de la Ley define:
  1. «Datos» como cualquier registro de información en formato electrónico o de otro tipo;
  2. «Manejo de datos» como la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación, etc. de datos;
  3. «Seguridad de los datos» se refiere al empleo de las medidas necesarias para garantizar que los datos estén protegidos de manera eficaz y que sean utilizados conforme a la Ley, además de tener la capacidad de garantizar un estado de seguridad estable.

• Tratamiento lícito de datos. Cualquier organización o individuo que recopile datos debe emplear métodos legales y apropiados para su manejo y no debe robar u obtener datos recurriendo a medios ilegales. Cuando las leyes y los reglamentos administrativos tengan disposiciones sobre el propósito o el alcance de la recopilación y el uso de datos, los datos deben manejarse conforme a lo previsto en dicha normativa (artículo 32).

• Transferencia internacional de datos: El artículo 31 de la Ley establece que las disposiciones de la Ley de Ciberseguridad se aplican a la transferencia de datos desde China continental, que fueron recopilados o producidos por operadores de «infraestructura de información crítica» dentro del territorio continental chino. En cuanto a los «datos importantes», las medidas de seguridad para su transferencia deben ser aún redactadas por el departamento de información de Internet del Estado Chino en conjunto con los departamentos pertinentes del Consejo de Estado. En lo que a definiciones refiere:
  1. «Datos importantes» refiere a una categoría de datos que el Estado Chino aún debe clasificar jerárquicamente en función de (i) su importancia para el desarrollo económico y social como (ii) el grado de daño a la seguridad nacional, el interés público o los derechos e intereses legítimos de los ciudadanos u organizaciones que se verían afectadas si estos datos se vieran alterados, destruidos, filtraran o se obtuvieran o usaran ilegalmente (artículo 21 de la Ley).
  2. «Infraestructuras críticas de información» refiere a los servicios públicos de comunicación e información, energía, tráfico, recursos hídricos, finanzas, servicio público, gobierno electrónico y otras infraestructuras de información crítica que su destrucción, pérdida o fuga podría poner en grave peligro la seguridad nacional, el bienestar nacional, el bienestar de las personas o el interés público (artículo 31, Ley de Ciberseguridad).

• Evaluaciones de impacto sobre la privacidad. El artículo 30 de la Ley establece que quienes manejen «datos importantes» deberán realizar periódicamente evaluaciones de riesgo de sus actividades de manejo de datos y enviar dichos informes a los departamentos reguladores pertinentes. Las evaluaciones deberán incluir, entre otros: los tipos y cantidades de «datos importantes» que se manejan; las circunstancias de las actividades de manejo de datos; los riesgos que se enfrentan y los métodos para abordarlos.

• Subcontratación de servicios de tratamiento de datos. El artículo 33 establece que los proveedores de servicios requerirán a las organizaciones que requieran sus servicios que expliquen las fuentes de los datos, verifiquen las identidades de ambas partes de la transacción (el intermediario debe verificar si la parte tiene las licencias requeridas, de acuerdo al artículo 34), debiendo conservar los registros de inspección y transacciones.

El incumplimiento de la Ley puede implicar multas que van desde RMB 10.000 hasta RMB 1.000.000 (de USD 1.500 a USD 154.380) y/o la suspensión de la actividad, revocación de licencias de actividad u operación comercial. Los administradores u otras personas responsables del manejo de datos pueden ser personalmente responsables por el incumplimiento de la Ley.