Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

China y Protección de Datos

El día 1 de noviembre de 2021 entrará en vigor la Ley de Protección de la Información Personal de la República Popular de China (Orden del Presidente Nº 91) que fue adoptada en la Trigésima Sesión del Comité Permanente del 13º Congreso Nacional del Pueblo de la República Popular de China celebrada el 20 de agosto 2021. 

Confieso que, desde que se anunció la aprobación de dicha ley, he tenido curiosidad por ella, tanta que busqué y busqué hasta encontrar el texto oficial, que dejo enlazado aquí

Como serán pocos los valientes que lleguen al final, les adelanto la conclusión: la Ley de Protección de la Información Personal de la República Popular de China guarda muchas similitudes con el Reglamento General de Protección de Datos, salvando la intervención del Estado comunista en casos como el suministro transfronterizo de información personal o actividades que puedan afectar a la seguridad nacional e intereses estratégicos, donde el Estado ejercer un férreo control de la información.

Dada la extensión de la norma (8 capítulos divididos en 74 artículos) destacaré aquellos apartados que creo más relevantes y para ello he dividido este estudio en veinte apartados. Antes de empezar a leer, ármense de paciencia que va para largo, pero yo soy de los que piensan que las cosas se hacen bien o mejor no hacerlas. Empezamos:

1. Finalidad (arts. 1 y 2)

La finalidad de la ley es «regular las actividades de procesamiento de la información personal y promover el uso racional de la información personal, de conformidad con la Constitución» con el «fin de proteger los derechos e intereses de la información personal».

La información personal de las personas físicas «está protegida por la ley y ninguna organización o individuo puede infringir los derechos de información personal de las personas físicas».

2. Ámbito de aplicación (arts. 3 y 4 y 72)

La ley se aplicará al procesamiento de información personal de personas físicas dentro del territorio de la República Popular China.

También se aplicará al procesamiento de información personal de personas físicas de nacionalidad china fuera de la República Popular de China en cualquiera de las siguientes circunstancias: a) Con el propósito de proporcionar productos o servicios a personas físicas nacionales; b) Analizar y evaluar el comportamiento de las personas naturales en el territorio; c) Otras circunstancias estipuladas por leyes y reglamentos administrativos.

El artículo 4 define la “información personal” como «una variedad de información relacionada con una persona física identificada o identificable registrada electrónicamente o por otros medios, excluyendo la información anónima».

Esta ley no se aplica a las personas físicas que manejan información personal para asuntos personales o familiares.

3. Principios relativos al procesamiento (arts. 5 a 10 y 19)

Según el artículo 5 los principios que rigen el procesamiento de información personal son «legalidad, justicia, necesidad y buena fe». A ellos, se añaden los siguientes principios:

  • Limitación de la finalidad: «El procesamiento de la información personal debe tener un propósito claro y razonable, debe estar directamente relacionado con el propósito del procesamiento y debe adoptar un método que tenga el menor impacto sobre los derechos e intereses personales».
  • Minimización de datos: «La recopilación de información personal se limitará al alcance mínimo para el propósito de procesamiento, y la información personal no se recopilará en exceso».
  • Transparencia: «El procesamiento de la información personal revelará las reglas de procesamiento de la información personal e indicará claramente el propósito, el método y el alcance del procesamiento».
  • Exactitud: «El procesamiento de información personal garantizará la calidad de la información personal y evitará cualquier efecto adverso sobre los derechos personales debido a información personal inexacta e incompleta».
  • Limitación del plazo de conservación: «A menos que las leyes y los reglamentos administrativos dispongan lo contrario, el período de conservación de la información personal será el necesario y más breve para lograr el propósito del procesamiento».
  • Responsabilidad proactiva: «Los procesadores de información personal serán responsables de sus actividades de procesamiento de información personal y tomarán las medidas necesarias para garantizar la seguridad de la información personal procesada».

Se prohíbe expresamente el procesamiento de información personal «mediante métodos engañosos, fraudulentos, coercitivos u otros», así como «recopilar, usar, procesar o transmitir ilegalmente la información personal de otros, o comerciar, proporcionar o divulgar ilegalmente la información personal de otros». También se prohíbe participar en «actividades de procesamiento de información personal que pongan en peligro la seguridad nacional o interés público».

4. Participación del Estado en el sistema de protección de la información personal (Arts. 11 y 12)

El Estado «establecerá y mejorará un sistema de protección de la información personal, evitará y sancionará las violaciones de los derechos e intereses de la información personal, fortalecerá la publicidad y educación de la protección de la información personal y promoverá la formación de un buen ambiente para los gobiernos, empresas, organizaciones sociales relevantes y el público a participar en la protección de la información personal».

Asimismo, «el Estado participa activamente en la formulación de reglas internacionales para la protección de la información personal, promoverá los intercambios internacionales y la cooperación en la protección de la información personal y el reconocimiento mutuo de las reglas y estándares de protección de la información personal con otros países, regiones y organizaciones internacionales».

5. Bases de legitimación (arts. 13 a 17)

Los procesadores pueden procesar información personal si han obtenido, con carácter previo, el consentimiento del interesado. El consentimiento deberá ser otorgado de «manera voluntaria y clara por el individuo con pleno conocimiento». El interesado tiene derecho a retirar su consentimiento y el procesador proporcionará una forma conveniente a tal fin. El retiro del consentimiento «no afecta la efectividad de las actividades de procesamiento de información personal que se han llevado a cabo en base al consentimiento del individuo antes del retiro». Es necesario volver a obtener el consentimiento de la persona «si se cambia el propósito del procesamiento, el método de procesamiento y el tipo de información personal procesada».

Se admite el procesamiento información personal cuando el mismo resulte necesario para:

  • La celebración y ejecución de un contrato en el que una persona es parte.
  • La implementación de la gestión de recursos humanos de acuerdo con las normas y reglamentos laborales y el contrato colectivo suscrito.
  • La realización de deberes u obligaciones legales.
  • Responder a emergencias de salud pública o para proteger la vida, la salud y la seguridad de la propiedad de las personas físicas en una emergencia.
  • Realizar reportajes, supervisión de la opinión pública y otros actos de interés público, y manejar la información personal dentro de un rango razonable;
  • Procesar información personal revelada por individuos legalmente.
  • Otras circunstancias estipuladas por leyes y reglamentos administrativos.

Antes de procesar la información personal, los procesadores deberán informar de manera veraz, precisa y completa a las personas sobre los siguientes asuntos de manera visible y en un lenguaje claro y fácil de entender:

  1. El nombre e información de contacto del procesador de información personal.
  2. Propósito del procesamiento de la información personal, método de procesamiento, tipo de información personal procesada y período de conservación.
  3. Métodos y procedimientos para que las personas ejerzan sus derechos conforme a la ley.
  4. Otros asuntos que deban ser notificados por leyes y reglamentos administrativos.

En relación con el RGPD se excluye como base legal el interés legítimo y para la ejecución de medidas precontractuales. El consentimiento se enfoca como la base legal predilecta.

6. Deber de confidencialidad (art. 18)

Se advierte acerca de la posibilidad de que en «circunstancias donde las leyes y reglamentos administrativos exijan confidencialidad o no necesiten ser notificados» no se notificará a las personas afectadas acerca de procesamiento de su información personal.

En una emergencia, «si no es posible notificar a las personas de manera oportuna para proteger la vida, la salud y la seguridad de la propiedad de las personas físicas, el procesador de información personal notificará de inmediato a la persona después de que se elimine la emergencia».

El artículo 25 dispone que «los procesadores de información personal no revelarán la información personal que procesan, a menos que hayan obtenido el consentimiento individual».

7. Corresponsabilidad en las actividades de procesamiento (arts. 20 y 21 y 59)

Cuando dos o más procesadores de información personal determinen conjuntamente el propósito y el método de procesamiento de la información personal, deberán acordar sus respectivos derechos y obligaciones. Con independencia del acuerdo, el individuo podrá dirigir su solicitud a cualquiera de los procesadores para ejercer sus derechos.

Cuando los procesadores de información personal procesen conjuntamente información personal e infrinjan los derechos e intereses del interesado, asumirán la responsabilidad de los daños de forma solidaria.

Cuando un procesador encomiende el procesamiento de información personal a otro deberán acordar por escrito «el propósito, plazo, método de procesamiento, tipos de información personal, medidas de protección, derechos y obligaciones de ambas partes y medidas de supervisión».

El  fideicomisario (así lo traduce Google del chino) «no procesará información personal más allá del propósito de procesamiento acordado, método de procesamiento, etc.» y sin el consentimiento del procesador de información personal «no delegará el procesamiento de información personal a otros». Además,  adoptará las medidas necesarias para garantizar la seguridad de la información personal procesada y ayudará al procesador a cumplir con las disposiciones de la ley.

Si el contrato de encomienda no es efectivo, resulta invalidado o revocado, o ha cumplido su fin, el fiduciario devolverá la información al procesador o bien la eliminará.

8. Decisiones automatizadas y marketing comercial (art. 24)

En la actualidad, hay empresas en China que utilizan información como las condiciones económicas de los consumidores, los hábitos de consumo y la sensibilidad a los precios para discriminar a los consumidores en términos de precios de transacción, engañando y defraudando a los consumidores.

En este sentido, la ley dispone que los procesadores de información personal que utilicen información personal para tomar decisiones automatizadas deberán garantizar «la transparencia de la toma de decisiones y la equidad e imparcialidad de los resultados, y no impondrán un trato diferencial irrazonable a las personas en términos de precios de transacción y otras transacciones o condiciones».

Para tomar decisiones que «tengan un impacto significativo en los derechos e intereses personales a través de métodos automatizados de toma de decisiones, las personas tienen derecho a solicitar explicaciones a los procesadores, y tienen derecho a negarse a que los procesadores de información personal tomen decisiones solo a través de la toma de decisiones automatizada».

9. Equipos de recolección de imágenes en lugares públicos (art. 26)

La instalación de equipos de recolección de imágenes e identificación personal en lugares públicos se justifica para mantener la seguridad pública y cumplir con las regulaciones nacionales relevantes, si bien «las imágenes personales recopiladas y la información de identificación solo se pueden usar con el propósito de mantener la seguridad pública y no se deben usar para otros fines, excepto para aquellos con consentimiento individual».

10. Información personal sensible (arts. 28 a 32)

La información personal sensible es la «información personal que, una vez filtrada o utilizada ilegalmente, puede fácilmente conducir a la violación de la dignidad personal de las personas físicas o al daño de la seguridad personal y patrimonial, incluidos los datos biométricos, creencias religiosas, identidades específicas, salud médica, cuentas financieras, información como paradero, así como información personal de menores de catorce años».

La ley solo autoriza el procesamiento de información sensible a los procesadores de información personal «cuando tienen un propósito específico y una necesidad suficiente, y toman medidas de protección estrictas» y para ello deberán «obtener el consentimiento individual de la persona». Si el interesado es menor de 14 años deberán obtener el consentimiento de sus padres o tutores.

Cabe la posibilidad de que para el procesamiento de información personal sensible existan leyes y reglamentos administrativos que estipulen la necesidad de «obtener las licencias administrativas pertinentes o imponer otras restricciones»

11. Manejo de información personal por órganos estatales (arts. 33 a 37)

Esta ley se aplicará «a las actividades de las agencias estatales en el procesamiento de información personal». Las agencias estatales «procesarán la información personal de acuerdo con los poderes y procedimientos prescritos por las leyes y reglamentos administrativos, y no excederán el alcance y los límites necesarios para realizar las funciones reglamentarias».

Los organismos estatales deberán «cumplir con sus obligaciones de notificación de acuerdo con lo establecido en esta Ley cuando procesen información personal para el desempeño de sus funciones estatutarias; excepto en las circunstancias especificadas en el primer párrafo del artículo 18 de esta Ley», es decir, cuando las leyes y reglamentos administrativos exijan confidencialidad.

La información personal procesada por las agencias estatales se almacenará dentro del territorio de la República Popular China. Si es necesario proporcionar información personal en el extranjero, se realizará una evaluación de seguridad, que puede requerir apoyo y asistencia de los departamentos relevantes.

12. Transferencias internacionales (arts. 38 a 43)

Si un procesador de información personal «realmente necesita proporcionar información personal fuera de la República Popular China debido a necesidades comerciales, deberá cumplir una de las siguientes condiciones:

  • Pasar la evaluación de seguridad organizada por la Administración Estatal del Ciberespacio.
  • Disponer de una certificación de protección de la información personal por una organización profesional, de acuerdo con las regulaciones de la administración nacional del ciberespacio.
  • Celebrar un contrato con el receptor en el extranjero de acuerdo con el contrato estándar formulado por el departamento de administración del ciberespacio nacional, estipulando los derechos y obligaciones de ambas partes.
  • Otras condiciones estipuladas por leyes, reglamentos administrativos o el departamento nacional de administración del ciberespacio.

Cuando los tratados y acuerdos internacionales que la República Popular de China ha celebrado o en los que ha participado contienen disposiciones sobre las condiciones para proporcionar información personal fuera de la República Popular de China, pueden implementarse de acuerdo con esas disposiciones.

De conformidad con el principio de igualdad y reciprocidad, los procesadores de información personal tomarán las medidas necesarias para garantizar que el procesamiento de información personal por parte de destinatarios en el extranjero cumpla con los estándares de protección de información personal estipulados en esta ley.

Cuando un procesador de información personal «proporciona información personal fuera de la República Popular de China deberá obtener el consentimiento del interesado, debiendo informarle acerca de la identidad del destinatario en el extranjero, la información de contacto, el propósito del procesamiento, el método de procesamiento, los tipos de información personal, métodos y procedimientos para el ejercicio de los derechos previstos en la ley y la obtención del consentimiento individual del individuo».

Para transferir información almacenada en el territorio de la República Popular de China, los extranjeros interesados, las agencias judiciales y policiales deberán dirigirse a la autoridad declarada competente, de conformidad con las leyes pertinentes y los tratados y acuerdos internacionales celebrados o a los que se haya adherido la República Popular de China. 

Cuando organizaciones e individuos extranjeros se involucren en actividades de procesamiento de información personal que infrinjan los derechos de información personal de los ciudadanos de la República Popular de China, o pongan en peligro la seguridad nacional y los intereses públicos de la República Popular de China, la administración nacional del ciberespacio puede restringirlos o prohibirlos.

Cuando cualquier país o región adopte prohibiciones, restricciones u otras medidas similares discriminatorias contra la República Popular de China en términos de protección de la información personal, la República Popular de China podrá tomar las medidas correspondientes contra el país o región en función de las condiciones reales.

13. Derechos de las personas en las actividades de procesamiento (arts. 44 a 50)

Las personas tienen «derecho a conocer y tomar decisiones sobre el procesamiento de su información personal», incluso, a solicitar a los procesadores «que expliquen sus reglas de procesamiento»; tienen derecho a «restringir o rechazar el procesamiento de su información personal por parte de otros, a menos que las leyes y reglamentos administrativos dispongan lo contrario»; a «consultar y copiar su información personal de los procesadores de información»; a corregir la información personal «inexacta o incompleta»; y a suprimir dicha información en los siguientes casos:

  1. El propósito de procesamiento se ha logrado, no se puede lograr o ya no es necesario para lograr el propósito de procesamiento.
  2. El procesador de información personal deja de proporcionar productos o servicios, o el período de retención ha expirado.
  3. Las personas retiran su consentimiento.
  4. El procesador de información personal viola leyes, regulaciones administrativas o viola el acuerdo para manejar información personal.
  5. Otras circunstancias estipuladas por leyes y reglamentos administrativos.

Al mismo tiempo, con el fin de adaptarse a la realidad de la diversificación de aplicaciones y servicios de Internet, y para satisfacer la creciente demanda de transferencia multiplataforma de información personal, la ley establece reglas para la portabilidad de la información personal. 

En caso de fallecimiento de una persona natural, sus familiares cercanos podrán, por sus propios intereses lícitos y legítimos, ejercitar los derechos de acceso, copia, rectificación, supresión, etc., a la información personal relevante del fallecido, a menos que el fallecido disponga lo contrario durante su vida.

Los procesadores de información personal deberán establecer un mecanismo conveniente para la aceptación y tramitación de las solicitudes de los interesados. Si se rechaza la solicitud de una persona para ejercer sus derechos, se explicarán las razones. Cuando un procesador de información personal rechaza la solicitud de un individuo para ejercer sus derechos, el individuo puede presentar una demanda en un tribunal popular de conformidad con la ley.

14. Obligaciones de los procesadores de información personal (art. 51)

Los procesadores de información personal tomarán las siguientes medidas para garantizar que las actividades de procesamiento de información personal cumplan con las leyes y administraciones de acuerdo con los propósitos de procesamiento, métodos de procesamiento, tipos de información personal, impacto en los derechos e intereses personales y posibles riesgos de seguridad, evitar el acceso no autorizado y la filtración, manipulación y pérdida de información personal:

  • Formular sistemas de gestión interna y procedimientos operativos.
  • Implementar la gestión clasificada de información personal.
  • Adoptar las medidas técnicas de seguridad correspondientes, como el cifrado y la desidentificación.
  • Determinar razonablemente la autoridad operativa para el procesamiento de la información personal y realizar con regularidad educación y capacitación en seguridad para los profesionales.
  • Formular y organizar la implementación de planes de emergencia para incidentes de seguridad de la información personal.
  • Otras medidas estipuladas por leyes y reglamentos administrativos.

Los procesadores de información personal fuera de la República Popular de China establecerán agencias especializadas o representantes designados dentro del territorio de la República Popular de China.

15. Responsables de protección de la información personal (art. 52)

Los procesadores de información personal «que procesen información personal hasta el número prescrito por el departamento nacional de ciberseguridad e informatización, designarán un responsable de protección de la información personal, que será responsable de supervisar las actividades de procesamiento de información personal y las medidas de protección tomadas» (esto suena al Delegado de Protección de Datos del RGPD).

El procesador de información personal «divulgará la información de contacto de la persona a cargo de la protección de la información personal y enviará el nombre y la información de contacto de la persona a cargo de la protección de la información personal al departamento que realiza las tareas de protección de la información personal.»

16. Auditorías de cumplimiento (arts. 54 a 56)

Los procesadores de información personal realizarán periódicamente auditorías de cumplimiento sobre el cumplimiento de su procesamiento de información personal con las leyes y reglamentos administrativos.

En cualquiera de las siguientes circunstancias, el procesador de información personal deberá realizar una evaluación de impacto de la protección de la información personal con anticipación y registrar la situación del procesamiento:

  1. Procesamiento de información personal sensible.
  2. Usar información personal para tomar decisiones automatizadas.
  3. Confiar el procesamiento de información personal, proporcionar información personal a otros procesadores de información personal y divulgar información personal.
  4. Suministro de información personal en el extranjero.
  5. Otras actividades de procesamiento de información personal que tienen un impacto significativo en los derechos e intereses personales.

 La evaluación del impacto de la protección de la información personal incluirá lo siguiente:

  • Si el propósito y el método de procesamiento de la información personal son legales, adecuados y necesarios.
  • El impacto en los derechos personales y riesgos de seguridad.
  • Si las medidas de protección adoptadas son legales, efectivas y compatibles con el grado de riesgo.

El informe de evaluación de impacto de la protección de la información personal y el registro de procesamiento se conservarán durante al menos tres años.

17. Brechas de seguridad (art. 57)

Cuando ocurra o pueda ocurrir una fuga, manipulación o pérdida de información personal, el procesador de información personal tomará medidas correctivas de inmediato y notificará a los departamentos e individuos que realizan tareas de protección de la información personal. El aviso debe incluir los siguientes elementos:

  • Los tipos, razones y posibles daños de la filtración, manipulación o pérdida de información personal ocurridos o pueden ocurrir.
  • Medidas correctivas tomadas por los procesadores de información personal y medidas que las personas pueden tomar para reducir el daño.
  • Información de contacto del procesador de información personal.

A diferencia del RGPD que obliga a notificar la brecha de seguridad a los afectados cuando el riesgo es alto para sus derechos e intereses, la norma china excluye dicha notificación cuando el procesador de información personal «toma medidas para evitar efectivamente el daño causado por la filtración, alteración o pérdida de información», aunque el departamento que realiza las tareas de protección de la información personal puede exigir la notificación al procesador cuando «cree que puede causar daño».

18. Servicios de plataforma de Internet (art. 58)

Quienes presten importantes servicios de plataforma de Internet, una gran cantidad de usuarios y un tipo complejo de procesador de información personal, deberán cumplir con las siguientes obligaciones:

  1. Establecer y mejorar el sistema de cumplimiento de la protección de la información personal de acuerdo con las regulaciones nacionales, y establecer una organización independiente compuesta principalmente por miembros externos para supervisar la protección de la información personal.
  2. Seguir los principios de apertura, equidad y justicia, formular reglas de la plataforma y aclarar los estándares para el manejo de la información personal por parte de los proveedores de productos o servicios en la plataforma y sus obligaciones de proteger la información personal.
  3. Dejar de brindar servicios a proveedores de productos o servicios en plataformas que tratan con información personal en violación grave de las leyes y regulaciones administrativas.
  4.  Publicar periódicamente informes de responsabilidad social sobre la protección de la información personal y aceptar la supervisión social.

19. Administraciones con funciones de protección de la información personal (arts. 60 a 65)

La Administración Nacional del Ciberespacio es «responsable de la planificación general y la coordinación de la protección de la información personal y la supervisión y gestión relacionadas» y tiene encomendada las siguientes funciones:

  • Formular reglas y estándares específicos para la protección de la información personal.
  • Formular reglas y estándares especiales de protección de información personal para pequeños procesadores de información personal, procesamiento de información personal sensible y nuevas tecnologías y aplicaciones tales como reconocimiento facial e inteligencia artificial.
  • Apoyar la investigación, desarrollo y promoción de tecnología de autenticación de identidad electrónica segura y conveniente, y promover la construcción de servicios públicos para la autenticación de identidad en red.
  • Promover la construcción de un sistema de servicios sociales para la protección de la información personal y apoyar a las agencias relevantes para llevar a cabo servicios de evaluación y certificación de la protección de la información personal.
  • Mejorar el mecanismo de trabajo de denuncias y denuncias de protección de información personal.

Los departamentos pertinentes del Consejo de Estado serán «responsables de la protección y supervisión y gestión de la información personal en el ámbito de sus respectivas funciones de acuerdo con lo establecido en las leyes y reglamentos administrativos pertinentes».

La protección de la información personal y las responsabilidades de supervisión y gestión de los departamentos pertinentes del gobierno popular local en el nivel de “condado” o por encima de él se determinarán de acuerdo con las reglamentaciones nacionales pertinentes.

Los departamentos del Consejo de Estado o a nivel de Condados cumplirán las siguientes funciones:

  • Realizar publicidad y educación sobre protección de la información personal, orientar y supervisar a los procesadores de información personal para que lleven a cabo el trabajo de protección de la información personal.
  • Aceptar y procesar quejas e informes relacionados con la protección de la información personal.
  • Organizar la evaluación de la protección de la información personal, como las solicitudes, y publicar los resultados de la evaluación.
  • Investigar y manejar actividades ilegales de procesamiento de información personal.
  • Otros deberes que establezcan las leyes y reglamentos administrativos.

Los departamentos que desempeñen funciones de protección de información personal podrán tomar las siguientes medidas en el desempeño de funciones de protección de información personal:

  • Investigar sobre las partes relevantes e investigar situaciones relacionadas con las actividades de procesamiento de información personal.
  • Consultar y copiar los contratos, registros, libros de cuentas y otros materiales relevantes de las partes relacionados con las actividades de procesamiento de información personal.
  • Llevar a cabo inspecciones in situ e investigar actividades de procesamiento de información personal sospechosas de ilegalidad.
  • Inspección de equipos y artículos relacionados con las actividades de procesamiento de información personal; si hay evidencia que demuestre que se utilizan para actividades ilegales de procesamiento de información personal, se enviará un informe escrito a la persona responsable principal del departamento y se aprobará, y pueden ser sellados o incautados.

Los departamentos que, desempeñando sus funciones de protección de información personal, encuentren que el manejo de información personal es sospechoso de la comisión de un delito, lo trasladará sin demora al órgano de seguridad pública.

20. Responsabilidad legal (arts. 66 a 71)

Cuando se procese información personal en violación de las disposiciones de esta ley, o cuando el procesamiento de información personal no cumpla con las obligaciones de protección de información personal bajo esta ley, el departamento que desempeñe funciones de protección de información personal ordenará correcciones, dará advertencias y, en su caso, confiscará ganancias ilegales. Además, tendrá facultades para suspender o dar por terminada la prestación de servicios; si se niegan a hacer correcciones, se impondrá una multa, que será inferior a un millón de yuanes (130.976,12 euros); la persona directamente responsable en cargo y otras personas directamente responsables serán, igualmente, multadas con no menos de 10.000 yuanes (1.309,76 euros) pero no más de 100.000 yuanes (13.097,61 euros).

Si hay actos ilegales y las circunstancias son graves, el departamento que desempeñe funciones de protección de la información personal a nivel provincial o superior ordenará correcciones, confiscará las ganancias ilegales e impondrá una multa de menos de 50 millones de yuanes (6.549.650,00 euros) o menos del 5% del volumen de negocios del año anterior. También puede ordenar la suspensión o cese de actividades mediante la revocación del permiso o licencia comercial. Las personas directamente responsables también pueden ser sancionadas con multa de 100.000 yuanes (13.097,61 euros) hasta 1 millón de yuanes (130.976,12 euros). Incluso se les puede prohibir desempeñar cargos durante determinado periodo de tiempo como director, supervisor, gerente senior y persona a cargo de la protección de la información personal en empresas.

Cuando un procesador de información personal maneje «información personal en violación de las disposiciones de esta ley e infrinja los derechos e intereses de muchas personas, la fiscalía popular, las organizaciones de consumidores especificadas por la ley y las organizaciones determinadas por la ciberseguridad e informatización nacional, pueden presentar una demanda en el tribunal popular de conformidad con la ley». Si la infracción constituye delito por infracción a la gestión de la seguridad pública se investigará la responsabilidad penal.

Si ha leído el artículo entero (mi enhorabuena!) y conoce el RGPD coincidirá conmigo en que hay grandes similitudes entre ambas normas. El RGPD está inspirando las reformas de muchos países, no solo China, también en países de América del Sur como Brasil, Chile y Colombia y de América Central como Panamá. 

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).