La Administración del Ciberespacio de China (CAC) ha publicado el borrador de las Medidas para la Transferencia Transfronteriza de Datos, que aclaran el proceso de Certificación para la Protección de Información Personal.
El pasado 3 de enero de 2025, la Administración del Ciberespacio de China (CAC) lanzó un borrador titulado «Medidas para la Certificación de la Protección de Información Personal Exportada al Extranjero» (en adelante, las medidas provisionales). Estas medidas, compuestas por 20 artículos, estarán abiertas a consulta pública hasta el 3 de febrero de 2025, marcando un paso crucial en el marco de gobernanza de datos de China. Las medidas buscan aclarar el proceso de certificación para salvaguardar la información personal durante las transferencias transfronterizas de datos (CBDT). Al definir criterios de elegibilidad, requisitos procesales y mecanismos de cumplimiento, la CAC pretende fortalecer la protección de la privacidad y promover flujos internacionales de datos seguros.
Certificación de protección de información personal: un proceso de evaluación autorizado
Bajo el Artículo 3 de las medidas provisionales, la certificación para la protección de la información personal se refiere a un proceso formal de evaluación realizado por organismos de certificación autorizados por la Administración Estatal de Regulación del Mercado (SAMR). Estos organismos evalúan si los responsables y encargados cumplen con estándares estrictos para transferencias transfronterizas de datos seguras. La certificación no solo garantiza el cumplimiento normativo, sino que también genera confianza pública en la capacidad de las entidades certificadas para gestionar datos sensibles de manera segura.
Escenarios cubiertos bajo transferencias transfronterizas de datos
Las medidas provisionales definen el alcance de las transferencias transfronterizas de datos, que incluyen:
- Transferencias desde China a entidades extranjeras: cualquier movimiento de datos recopilados en China hacia organizaciones fuera del país.
- Acceso remoto por entidades extranjeras a datos almacenados en China: interacciones remotas, como consultas o descargas, que involucren datos almacenados dentro de las fronteras de China.
- Manejo de datos bajo la Ley de Protección de Información Personal (PIPL): tratamiento de datos relacionados con ciudadanos chinos por entidades extranjeras, independientemente de dónde se almacenen los datos.
Criterios de elegibilidad para la certificación
No todas las entidades son elegibles para certificación bajo las medidas provisionales. El Artículo 4 establece los siguientes requisitos para responsables o encargados domésticos que buscan certificación:
- Operadores de Infraestructura de Información Crítica (CIIO): las empresas clasificadas como CIIO no son elegibles para certificación.
- Umbrales de volumen de datos: los responsables o encargados deben haber manejado información personal de entre 100.000 y un millón de personas o información sensible de más de 10.000 individuos en el año actual.
- Exclusión de datos importantes: la información personal transferida no debe clasificarse como «datos importantes».
Para las entidades extranjeras, la certificación es obligatoria para cualquier actividad que implique el manejo de información personal de ciudadanos chinos. Estas entidades deben designar un representante local en China para actuar como enlace de cumplimiento.
Proceso y requisitos de certificación
Las entidades que solicitan certificación deben presentar diversos materiales, que incluyen:
- Planes de mitigación de riesgos: estrategias detalladas para abordar posibles amenazas a la seguridad.
- Acuerdos legales: contratos que aseguren que el receptor extranjero cumpla con las obligaciones de protección de datos de China.
- Estrategias de cumplimiento: documentación que demuestre adherencia a los estándares de certificación.
Los organismos de certificación evalúan las solicitudes según varios criterios:
- Legitimidad y necesidad: se verifica si las transferencias de datos son esenciales para fines comerciales.
- Leyes del país receptor: es necesario asegurarse de que la jurisdicción extranjera ofrece una protección adecuada de datos.
- Medidas de seguridad: con elementos como la validación de la encriptación, controles de acceso y otras salvaguardas técnicas.
Según los Artículos 10 y 13, las entidades certificadas están sujetas a auditorías periódicas para garantizar el cumplimiento continuo.
Denuncia de infracciones y acción gubernamental
Las medidas provisionales establecen mecanismos para denunciar incumplimientos y abordar preocupaciones sobre la seguridad de los datos. Entre las disposiciones clave se incluyen:
- Denuncia pública: organizaciones e individuos pueden informar sobre infracciones a las autoridades locales o superiores.
- Intervención gubernamental: en casos de riesgos significativos o infracciones, los reguladores pueden ordenar acciones correctivas, suspender transferencias de datos o realizar entrevistas de cumplimiento.
Enfoque integral para la protección de datos
Las medidas enfatizan un enfoque integral para la protección de datos mediante obligaciones de confidencialidad, cooperación internacional y sanciones estrictas por incumplimiento. Los organismos de certificación deben garantizar la confidencialidad para proteger datos sensibles y secretos comerciales, fomentando la confianza en el proceso de certificación. Para disuadir el incumplimiento, las medidas contemplan multas, suspensión de certificación y responsabilidad penal en casos graves.
Inversiones en cumplimiento y beneficios
Aunque las medidas requieren inversiones en cumplimiento, también ofrecen beneficios como mayor confianza del mercado, alineación normativa y transferencias internacionales de datos más ágiles. Las empresas que logren la certificación estarán mejor posicionadas para operar en jurisdicciones con estrictas leyes de protección de datos.
