¿Cuál es la especificación de seguridad de la información personal de China?

La Especificación de Seguridad de la Información Personal de China, también conocida como La Especificación para abreviar, es una ley china de seguridad de datos que entró en vigor en 2018. En la misma línea que otras leyes de privacidad de todo el mundo, como el Reglamento General de Protección de Datos de la UE o GDPR o la Ley de Protección de Información Personal y Documentos Electrónicos o PIPEDA, la Especificación de Seguridad de la Información Personal se aprobó para crear una línea de base para la protección de la información y los datos personales dentro de China. Publicada por la organización china de Normas Nacionales de Seguridad de las Tecnologías de la Información, conocida como TC260, la ley fue desarrollada y redactada por un equipo con aportaciones de organizaciones locales y nacionales de ciberseguridad y auditoría y normas, destacadas empresas de Internet, unidades de investigación de ministerios gubernamentales y las principales universidades del país.

¿Cuál es el ámbito de aplicación de la Especificación de Seguridad de la Información Personal?

La Especificación de Seguridad de la Información Personal se aplica a todas las empresas y organizaciones que recogen información o datos personales de ciudadanos chinos. En virtud de la Especificación, la información personal se define como “nombres, fechas de nacimiento, números de documentos de identidad, información biométrica, direcciones, métodos de contacto de telecomunicaciones, registros y contenidos de comunicaciones, contraseñas de cuentas, información sobre propiedades, información crediticia, datos de localización, información sobre alojamiento, información sanitaria y fisiológica, datos de transacciones, etc.”. Además, toda forma de información, registrada electrónicamente o por otros medios, que pueda utilizarse sola o en combinación con otras formas de información para identificar a “una persona física específica o reflejar actividades de una persona física específica” también constituye información personal con arreglo a la ley.

Por otra parte, el pliego de condiciones también define la información personal sensible como “los números de documento de identidad, la información biométrica, los números de cuentas bancarias, los registros y contenidos de comunicaciones, la información sobre propiedades, la información crediticia, los datos de localización, la información sobre alojamiento, la información sanitaria y fisiológica, los datos sobre transacciones y la IP de niños de 14 años o menos”. En este sentido, cualquier forma de información personal que “una vez filtrada, facilitada ilegalmente o utilizada indebidamente, pueda amenazar la seguridad personal y patrimonial y/o causar fácilmente daños a la reputación personal, a la salud física y mental o discriminación” también constituye información personal sensible con arreglo a la ley.

¿Cuáles son los requisitos de las agencias y organizaciones empresariales en virtud de la Especificación?

Según la Especificación de Seguridad de la Información Personal de China, las empresas y organizaciones que recopilan información personal e información personal sensible de ciudadanos chinos deben cumplir una serie de principios de protección de datos al recopilar, procesar y divulgar dichos datos. Entre estos principios figuran los siguientes

• Principio de proporcionalidad de poderes y responsabilidades– Las organizaciones y entidades empresariales deben asumir la responsabilidad de cualquier daño que se produzca en el transcurso de la recogida, tratamiento o divulgación de la información.
• Principio de Especificación de Finalidad– La información personal sólo puede tratarse con fines específicos, justificados, necesarios y legales.
• Principio de consentimiento: las organizaciones y entidades empresariales son responsables de obtener el consentimiento de los interesados, así como de proporcionar a dichos interesados información específica sobre el alcance, el método, la finalidad y las normas del tratamiento de datos.
• Principio de minimización: las organizaciones y entidades empresariales sólo están autorizadas a procesar los tipos y cantidades mínimos de información personal necesarios para cumplir los fines para los que se recopilaron dichos datos, y en conjunción con los fines para los que se obtuvo el consentimiento de un interesado, a menos que un interesado también consienta el procesamiento posterior de su información personal.
• Principio de apertura y transparencia: el alcance, las normas, la finalidad y demás información pertinente relacionada con una empresa o agencia que recopile información personal de ciudadanos chinos deben hacerse públicos de forma explícita, inteligible y abierta a la supervisión externa.
• Principio de seguridad– Las organizaciones y entidades empresariales que recojan datos personales de ciudadanos chinos deben tener en cuenta los riesgos que conlleva el tratamiento de dichos datos personales, así como desarrollar y aplicar medidas de seguridad, técnicas y de gestión adecuadas para salvaguardar la integridad, confidencialidad y disponibilidad de los datos personales que obren en su poder.
• Principio de Participación del Sujeto– Las organizaciones y entidades empresariales que recojan información personal de ciudadanos chinos también deben proporcionar a los sujetos de los datos los medios para acceder, corregir, eliminar, retirar el consentimiento y cerrar las cuentas que contengan información personal de dichos sujetos.

¿Cuáles son los derechos de los ciudadanos chinos en virtud de la Especificación de Seguridad de la Información Personal de China?

En virtud de la Especificación de Seguridad de la Información Personal de China, los ciudadanos chinos tienen diversos derechos en relación con la privacidad y protección de sus datos. Algunos de estos derechos son:

• Derecho de acceso– Las organizaciones y entidades empresariales son responsables de proporcionar a los interesados acceso a los tipos de información personal que poseen sobre dichos interesados, las fuentes de dicha información personal, los fines para los que se utiliza la información personal y la identidad de cualquier tercero que también haya accedido a esta información personal.
• Derecho de rectificación – Las organizaciones y entidades empresariales son responsables de proporcionar a los interesados una vía de recurso para rectificar la información personal que posean relativa a dichos interesados en caso de que resulte ser incompleta, inexacta o errónea.
• Derecho de supresión– Las organizaciones y entidades empresariales deben suprimir la información personal de un interesado si dicha información personal se obtuvo de forma ilícita, si la información personal se ha utilizado en un contexto distinto del establecido en el momento en que el interesado otorgó su consentimiento, o si la información personal se ha compartido con un tercero o se ha divulgado a otra entidad sin obtener previamente el consentimiento del interesado en cuestión.
• Derecho a retirar el consentimiento– Las organizaciones y entidades empresariales son responsables de proporcionar a los interesados un método que puedan utilizar para retirar su consentimiento al acceso a su información personal, así como de garantizar que la información personal de un interesado deje de tratarse una vez retirado su consentimiento.
• Derecho a darse de baja – Las organizaciones y entidades empresariales que ofrecen productos o servicios a través de cuentas registradas son responsables de proporcionar a los interesados un medio para darse de baja de dichas cuentas. Este método de cancelación debe ser fácil de utilizar.
• Derecho a obtener una copia de la información personal– Las organizaciones y entidades empresariales están obligadas a proporcionar a los interesados que lo soliciten una copia de su información personal.
• Derecho a recibir una respuesta a las solicitudes de información– Una vez que una entidad u organización empresarial ha verificado la identidad de un interesado concreto, es responsable de responder a su solicitud de información en un plazo que no supere los 30 días desde el punto de contacto inicial.

¿Cuáles son las sanciones por infringir la Especificación de Seguridad de la Información Personal de China?

Aunque la Especificación de Seguridad de la Información Personal no establece penas específicas para las infracciones de la ley, las organizaciones, particulares y entidades empresariales que hayan demostrado no cumplirla están sujetos en la práctica a acciones judiciales del Tribunal Supremo de China. Para ilustrar mejor este punto, en abril de este año, un profesor de Derecho que visitaba un zoo en China demandó a dicho zoo por intentar recopilar su información de reconocimiento facial. Como resultado, el tribunal dictaminó que el zoo debía eliminar la información biométrica del demandante, ya que la recopilación de dicha información personal es “innecesaria para la ejecución del contrato de consumo entre el zoo y el demandante”.

De acuerdo con la ley china sobre ciberseguridad, la especificación sobre seguridad de la información personal funciona como medio de protección de los derechos de los ciudadanos chinos sobre sus datos personales. A través de estas dos leyes, existen diversas normas que las empresas y organizaciones que operan tanto dentro como fuera de China deben cumplir en todo momento a la hora de recopilar, procesar, acceder y divulgar información personal. Dado que estas dos leyes, combinadas entre sí, ofrecen una protección similar a la del Reglamento General de Protección de Datos (RGPD) de la UE, los ciudadanos chinos gozan de un nivel de protección de la privacidad que muchos otros países aún no han adoptado.