Cumplimiento de PIPL de China: Guía de transferencia de datos transfronteriza

La Ley de Protección de Información Personal de China (PIPL – 个人信息保护法), vigente desde el 1 de noviembre de 2021, es la ley nacional integral de privacidad de datos de China y uno de los marcos de protección de datos más exigentes a nivel mundial. Junto con la Ley de Seguridad de Datos (DSL, vigente desde septiembre de 2021) y la Ley de Ciberseguridad (CSL, vigente desde junio de 2017), PIPL forma una trilogía de regulaciones que remodelan fundamentalmente la forma en que las empresas recopilan, procesan, almacenan y transfieren datos dentro y fuera de China.

Para las empresas multinacionales que operan en China o atienden a consumidores chinos, el cumplimiento de PIPL no es opcional: las violaciones pueden resultar en multas de hasta el 5% de la facturación anual, suspensión de operaciones comerciales y responsabilidad penal personal para los ejecutivos responsables. La Administración del Ciberespacio de China (CAC) ha demostrado una aplicación agresiva de la ley, incluidas acciones de alto perfil contra Didi Global (multa de 1.190 millones de dólares), Full Truck Alliance y Boss Zhipin.

Conclusiones clave

• PIPL se aplica al procesamiento de información personal de personas en China; el alcance extraterritorial cubre entidades extranjeras que se dirigen a personas chinas o las analizan.
• Se requiere un consentimiento por separado para cada propósito de procesamiento; el consentimiento combinado no es válido
• La "información personal sensible" (biométrica, financiera, de salud, ubicación precisa, datos de menores) requiere un consentimiento explícito y por separado
• Las transferencias transfronterizas requieren uno de tres mecanismos: evaluación de seguridad de CAC, contratos estándar o certificación; todos son operativamente significativos.
• Los requisitos de localización de datos se aplican a los Operadores de Infraestructura de Información Crítica (CIIO)
• La evaluación de seguridad CAC es obligatoria para transferencias transfronterizas a gran escala (más de 100.000 datos de personas al año)
• La información personal importante de menores (menores de 14 años) requiere el consentimiento de los padres por separado y una mayor protección
• Las multas alcanzan hasta el 5% del volumen de negocios anual en caso de infracciones graves; La suspensión del negocio también está disponible como sanción.

---

Marco y alcance de PIPL

Base legislativa

La PIPL fue adoptada por el Comité Permanente del Congreso Nacional del Pueblo el 20 de agosto de 2021. Se basa en las mejores prácticas globales de protección de datos (en particular, el RGPD) y al mismo tiempo refleja el contexto regulatorio único de China, incluidas las consideraciones de seguridad nacional integradas en toda la legislación.

Principios clave (Artículos 5 a 9):

• Legalidad, legitimidad, necesidad y buena fe.
• Propósito claro y razonable
• Minimización de datos
• Garantía de calidad (exactitud e integridad)
• Seguridad y responsabilidad
• Tratamiento limitado al alcance mínimo necesario

Ámbito territorial

El artículo 3 otorga aplicación extraterritorial a PIPL. Se aplica a:

1. Procesamiento de información personal de individuos dentro del territorio de China por entidades dentro de China
2. Procesamiento de información personal de individuos dentro del territorio de China por entidades fuera de China donde:

• El propósito es proporcionar productos o servicios a individuos en China.
• El propósito es analizar o evaluar el comportamiento de las personas en China.
• Otras circunstancias especificadas por CAC

Esto significa que una empresa extranjera que gestiona un sitio web en chino, atiende a consumidores chinos o utiliza herramientas de análisis que perfilan el comportamiento de los usuarios chinos debe cumplir con PIPL.

Procesadores de Información Personal en el Extranjero (OPIP): Las entidades en el extranjero dentro del alcance extraterritorial de PIPL deben (Artículo 53):

• Establecer una entidad dedicada o nombrar un representante dentro de China
• Envíe el nombre y los datos de contacto del representante de China al departamento competente correspondiente.

---

Bases Legales para el Tratamiento

El artículo 13 de PIPL establece seis bases legales para el procesamiento de información personal. A diferencia del RGPD, donde varias bases tienen el mismo peso, PIPL trata el consentimiento individual como la base principal, con otras bases como excepciones:

Requisitos críticos de consentimiento (Artículos 14 a 17):

• El consentimiento debe darse voluntaria y explícitamente
• El consentimiento debe ser informado: las personas deben comprender a qué dan su consentimiento antes de tomar una decisión.
• El consentimiento no se puede agrupar: debe obtener consentimiento por separado para cada propósito de procesamiento
• Retirar el consentimiento debe ser tan fácil como otorgarlo
• El desistimiento no afecta a la tramitación lícita previa
• Negarse a proporcionar información personal o retirar el consentimiento no debe afectar la prestación del producto/servicio principal (excepto cuando los datos sean necesarios para el servicio)

---

Información personal confidencial

El artículo 28 define la información personal sensible (敏感个人信息) como información personal que, una vez filtrada o utilizada ilegalmente, puede causar daño a la dignidad de las personas físicas o daño grave a su seguridad personal o patrimonial. Las categorías específicas incluyen:

• Información biométrica (huellas dactilares, huellas de voz, reconocimiento facial, iris ocular, datos genéticos)
• Creencia religiosa
• Identidades específicas (partido político, etnia)
• Información médica de salud
• Cuentas financieras
• Información de ubicación precisa (GPS en tiempo real, seguimiento preciso del movimiento)
• Información personal de menores de 14 años

Requisitos más estrictos para IP sensible:

• Consentimiento explícito e independiente (adicional a cualquier consentimiento para procesamiento no confidencial)
• Justificación de necesidad: debe tener propósitos específicos y una necesidad adecuada.
• Medidas de seguridad mejoradas
• Notificación a los particulares del impacto específico del tratamiento

Información personal de los niños (menores de 14 años): Debe obtener el consentimiento de los padres o tutores. CAC ha emitido Normas específicas sobre la protección de la información personal de los niños en línea (2019, modificada en 2022) con requisitos adicionales para los proveedores de servicios en línea.

---

Derechos del interesado

PIPL otorga a las personas (Capítulo IV, Artículos 44 a 50) los siguientes derechos:

Derecho a saber y derecho a decidir: Las personas tienen derecho a conocer y decidir sobre el procesamiento de su información personal, y a restringir o rechazar el procesamiento por parte de otros.

Derecho de acceso y copia: Las personas pueden solicitar copias de su información personal. Los procesadores deben proporcionarlo dentro de un plazo razonable.

Derecho a transferir: Cuando sea técnicamente posible, las personas pueden solicitar la transferencia de su información personal a otro procesador designado.

Derecho a corrección: Las personas pueden corregir información personal inexacta o incompleta.

Derecho de eliminación: La eliminación se requiere cuando: (1) el propósito del procesamiento se ha logrado o es imposible; (2) el procesador decide dejar de proporcionar productos/servicios; (3) el período de retención ha expirado; (4) consentimiento retirado; (5) el procesamiento viola leyes/regulaciones o acuerdos.

Derecho a retirar el consentimiento: para el procesamiento basado en el consentimiento, las personas pueden retirarlo en cualquier momento. El retiro no afecta el procesamiento legal previo.

Derecho a explicación: las personas pueden solicitar explicaciones sobre las reglas de procesamiento de información personal.

Derecho a rechazar la toma de decisiones automatizada: cuando se utiliza PI para recomendaciones personalizadas o decisiones automatizadas, las personas tienen derecho a rechazar y solicitar una revisión humana de las decisiones con efectos significativos.

---

Transferencia de datos transfronteriza: el desafío crítico

El Capítulo III (Artículos 38 a 43) de la PIPL impone el marco de transferencia transfronteriza más estricto de cualquier ley de privacidad importante, lo que la convierte en el área de cumplimiento más desafiante desde el punto de vista operativo para las empresas multinacionales.

Tres mecanismos permitidos

1. Evaluación de seguridad de la CAC (artículo 38, apartado 1)

Obligatorio para:

• Operadores de infraestructura de información crítica (CIIO): cualquier transferencia transfronteriza
• Procesadores que no son CIIO: si las transferencias acumuladas al extranjero alcanzan los datos de 100.000 personas en el año en curso (o 10.000 personas de PI sensibles)
• Información personal generada por datos importantes (datos críticos bajo DSL)

La evaluación de seguridad del CAC implica la presentación de una solicitud con documentación detallada de la transferencia, las prácticas de protección de datos del destinatario y los acuerdos contractuales. Los plazos de evaluación son de 60 días hábiles (ampliables a 90).

2. Contrato estándar (artículo 38(2))

Para los procesadores que no son CIIO y que no alcanzan el umbral de 100 000, las transferencias al extranjero se pueden realizar utilizando cláusulas contractuales estándar aprobadas por la CAC publicadas en febrero de 2023. Requisitos clave:

• Utilice la plantilla CAC SCC sin modificaciones
• Presentar el SCC ante la CAC a nivel provincial dentro de los 10 días hábiles siguientes a la entrada en vigor del contrato.
• Realizar una Evaluación de Impacto de la Protección de la Información Personal (PIPIA) antes de la transferencia
• Mantener PIPIA y registros de contratos por 3 años.

3. Certificación (Artículo 38(3))

Las transferencias intragrupo entre entidades afiliadas pueden utilizar la certificación de una organización profesional de protección de información personal acreditada por la CAC. El esquema de certificación PIPIA fue desarrollado conjuntamente por el Comité Técnico Nacional de Normalización de Seguridad de la Información (TC260) y CAC.

Guía de selección del mecanismo de transferencia

Localización de datos para CIIO

Los operadores de infraestructura de información crítica deben almacenar información personal y "datos importantes" recopilados y generados en China dentro de China (Artículo 40). La transferencia transfronteriza de datos recopilados en China por los CIIO requiere la evaluación de seguridad de la CAC. Los CIIO se definen ampliamente por la CSL y las regulaciones de identificación de CIIO específicas del sector, que cubren energía, transporte, agua, finanzas, servicios públicos, gobierno electrónico, defensa nacional y operadores de infraestructura de Internet.

---

Obligaciones para los procesadores a gran escala

El artículo 58 impone obligaciones adicionales a los procesadores de información personal cuyos servicios llegan a una gran cantidad de usuarios (el umbral lo determinará la CAC, pero comúnmente se entiende que son más de 10 millones de usuarios según las directrices de la CAC):

• Formular programas y procedimientos de cumplimiento de protección de información personal**
• Establecer un mecanismo de supervisión externa con supervisión social
• Realizar auditorías periódicas de cumplimiento de la protección de la información personal
• Realizar Evaluaciones de Impacto de la Protección de la Información Personal (PIPIA) antes de procesar actividades con riesgos significativos.
• Aceptar la supervisión de las autoridades nacionales pertinentes.
• Designar un Oficial de Protección de Información Personal (PIPO) responsable de la supervisión

---

Evaluaciones de impacto de la protección de la información personal (PIPIA)

El artículo 55 exige las PIPIA antes de:

• Procesamiento de información personal sensible
• Uso de PI para la toma de decisiones automatizada
• Confiar el procesamiento a terceros, compartir o transferir PI
• Divulgar públicamente PI
• Transferencias transfronterizas (requeridas para el mecanismo SCC)
• Otras actividades de tratamiento con impacto significativo en las personas

La documentación PIPIA debe conservarse durante al menos 3 años. Una PIPIA debe analizar:

• Si el propósito, el método y el alcance del procesamiento cumplen con las leyes/regulaciones
• Impacto en los derechos individuales y el grado de riesgo de seguridad.
• Si las medidas de protección son legales, efectivas y proporcionadas al riesgo.

---

Notificación de infracción

El artículo 57 exige que al descubrir un incidente (violación) de seguridad de la información personal, los procesadores deben tomar medidas correctivas de inmediato y notificar a las autoridades y personas competentes. La notificación debe incluir:

• Tipo de información personal filtrada, manipulada o perdida
• Causas y daños potenciales del incidente.
• Medidas correctivas tomadas por el procesador
• Medidas que las personas pueden tomar para mitigar el daño.
• Información de contacto del procesador

Cronograma: La ley dice "inmediatamente". Las pautas de la CAC indican que esto significa tan pronto como se descubre la infracción para notificación interna y regulatoria. La notificación individual debe realizarse sin demoras indebidas una vez evaluado el alcance.

Cuando es poco probable que la infracción perjudique a las personas, el procesador puede registrar el incidente internamente en lugar de notificar a las personas (sujeto a revisión regulatoria).

---

Aplicación de la CAC y sanciones

La Administración del Ciberespacio de China es la principal autoridad encargada de hacer cumplir la PIPL y trabaja junto con los reguladores del sector (PBOC para datos financieros, NHSA para datos de salud, etc.).

Sanciones administrativas (Artículo 66):

• Aviso y orden de corrección.
• Confiscación de ganancias ilícitas
• Multas de hasta 1 millón de RMB ($140 000 USD) por infracciones menores
• Multas de hasta el 5% de la facturación anual del año anterior por infracciones graves
• Suspensión o terminación de operaciones comerciales (opción nuclear)
• Responsabilidad personal de los ejecutivos: multas de hasta 1 millón de RMB, prohibición de ser director/funcionario de la empresa

Remisión penal: Las violaciones que afecten a la seguridad nacional o que constituyan delitos penales se remiten a las autoridades de seguridad pública.

Acciones de cumplimiento notables:

• Didi Global (2022): multa de 1190 millones de dólares por violaciones graves de la seguridad de los datos de la red: la mayor acción de cumplimiento relacionada con PIPL hasta la fecha
• BOSS Zhipin y Full Truck Alliance (2021): suspensiones e investigaciones por violaciones de revisión de ciberseguridad relacionadas con listados en el extranjero
• Investigaciones en curso de la CAC de empresas de los sectores de tecnología financiera, atención médica e Internet.

---

Lista de verificación de cumplimiento de PIPL

• Análisis de aplicabilidad completado (operaciones en China, usuarios chinos, alcance extraterritorial)
• Representante/entidad de China designada si es una entidad extranjera dentro del alcance de PIPL
• [] Inventario de información personal completado, incluida la identificación de PI confidencial
• Base jurídica documentada para cada actividad de procesamiento (consentimiento para la mayoría)
• Mecanismos de consentimiento separados implementados para cada propósito de procesamiento
• Consentimiento de PI sensible obtenido por separado y explícitamente
• Información personal de niños (menores de 14 años) identificada: mecanismo de consentimiento de los padres implementado
• [] Aviso de privacidad preparado en chino mandarín con toda la información requerida
• Procedimientos de derechos del interesado documentados (acceso, rectificación, supresión, portabilidad, retirada)
• Evaluación de transferencia transfronteriza completada: mecanismo determinado (evaluación CAC, SCC o certificación)
• PIPIA realizada para todas las transferencias transfronterizas (obligatorio para el mecanismo SCC)
• CAC SCC presentado ante la CAC provincial dentro de los 10 días (si se utiliza el mecanismo SCC)
• [] Determinación de CIIO completada: localización de datos implementada, si corresponde
• Obligaciones de procesadores a gran escala evaluadas (umbral de más de 10 millones de usuarios)
• PIPO designado si corresponde (procesador a gran escala)
• Los acuerdos de procesadores de terceros cumplen con el Capítulo II de PIPL
• Medidas de seguridad implementadas: cifrado, control de acceso, monitorización
• Procedimiento de notificación de incumplimiento documentado (respuesta inmediata)
• Transparencia en la toma de decisiones automatizada y mecanismos de exclusión voluntaria implementados

---

Preguntas frecuentes

¿Qué hace que los requisitos de transferencia transfronteriza PIPL de China sean tan desafiantes?

Tres factores: (1) Evaluación de seguridad obligatoria de la CAC para transferencias a gran escala: el proceso de evaluación es largo (más de 60 días hábiles) y requiere documentación extensa, incluidas evaluaciones de riesgos; (2) Incluso para transferencias más pequeñas que utilizan contratos estándar, se debe completar una PIPIA y presentar el contrato ante la CAC dentro de los 10 días posteriores a la firma; (3) Las medianas empresas superan fácilmente los volúmenes de datos que exigen la evaluación obligatoria (100.000 personas/año). Las multinacionales con operaciones en China deben contar efectivamente con programas de cumplimiento de PIPL dedicados a los flujos de datos transfronterizos.

¿Cómo se aplica PIPL a las empresas sin presencia física en China?

El artículo 3(2) aplica la PIPL a los procesadores extranjeros que suministran productos o servicios a personas en China o analizan el comportamiento de personas en China. El artículo 53 exige que dichos procesadores designen una entidad o individuo representativo dentro de China e informen los detalles de contacto a las autoridades competentes. Prácticamente, cualquier sitio web extranjero con un tráfico chino sustancial, cualquier aplicación con usuarios chinos o cualquier plataforma de análisis que procese datos de consumidores chinos debe cumplir con PIPL, incluido el requisito de representación en China.

¿Cómo es el proceso de evaluación de seguridad del CAC en la práctica?

La evaluación de seguridad del CAC implica la presentación de una solicitud detallada a través del CAC a nivel provincial (para la mayoría de las empresas) o del CAC nacional (para los CIIO). Los documentos requeridos incluyen: el informe de autoevaluación de la evaluación de la seguridad de la exportación de datos, el contrato de exportación de PI, el informe PIPIA y otros materiales de respaldo. La evaluación cubre: si el propósito y el método de exportación de datos cumplen con la ley; si el país del destinatario extranjero tiene protección adecuada; riesgos para los derechos individuales derivados de la transferencia; y adecuación de las protecciones contractuales. La evaluación dura 60 días hábiles (ampliable a 90 para casos complejos). Muchas empresas multinacionales han descubierto que, en la práctica, este proceso lleva entre 6 y 12 meses.

¿Cómo interactúa PIPL con la Ley de Seguridad de Datos (DSL) de China?

PIPL y DSL funcionan en conjunto. PIPL se centra en la protección de la información personal. DSL rige todos los datos (incluidos los datos no personales) según la seguridad nacional y la importancia económica, con un sistema de clasificación escalonado que va desde "datos generales" hasta "datos estatales básicos". La DSL exige que todo el procesamiento de datos cumpla con los requisitos de clasificación de datos, las restricciones de procesamiento de datos críticos y las reglas de transferencia transfronteriza para "datos importantes". Los datos críticos (重要数据) tienen sus propios requisitos de evaluación de transferencias transfronterizas según DSL. Las empresas multinacionales en China deben evaluar el cumplimiento tanto de PIPL (para datos personales) como de DSL (para todos los datos, incluidos los comerciales, clasificados como críticos).

¿Existen requisitos PIPL específicos de la industria?

Sí. Varios reguladores del sector han emitido regulaciones complementarias o alineadas con PIPL: el Banco Popular de China (PBOC) tiene requisitos de transmisión y protección de datos financieros; la Administración Nacional de Seguridad Sanitaria (NHSA) regula los datos sanitarios; El Ministerio de Industria y Tecnología de la Información (MIIT) regula la recopilación de datos de aplicaciones móviles con listas específicas de prácticas de recopilación de datos prohibidas. El TC260 (Comité Técnico Nacional de Normalización de la Seguridad de la Información) ha emitido GB/T 35273 (Especificación de seguridad de la información personal) como una norma técnica voluntaria pero ampliamente referenciada. Las entidades reguladas por sector deben cumplir tanto con PIPL como con sus requisitos específicos del sector.

---

Próximos pasos

El PIPL de China se encuentra entre los marcos de protección de datos más exigentes del mundo, particularmente para operaciones de datos transfronterizas. La combinación de procesamiento de consentimiento primero, mecanismos estrictos de transferencia transfronteriza, localización de datos para CIIO y aplicación activa de CAC hace que el cumplimiento de PIPL sea un riesgo a nivel de junta directiva para cualquier organización con una exposición significativa a China.

El equipo de ECOSIRE puede ayudarlo a diseñar arquitecturas de datos compatibles con PIPL, implementar la gestión de consentimiento para usuarios chinos, realizar PIPIA y navegar por el proceso de selección del mecanismo de transferencia transfronteriza.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. El panorama regulatorio de protección de datos de China está evolucionando rápidamente. Consulte a un asesor legal calificado con licencia en China para obtener asesoramiento específico para su organización y actividades.