El pasado 1 de junio entró en vigor la controvertida Ley china en materia de Ciberseguridad que tiene como objetivo regular las actividades que las empresas que operan en aquel país pueden realizar en el ciberespacio chino.
Desde PwC hemos elaborado este resumen con el objetivo de facilitar la comprensión de los aspectos más relevantes de este nuevo marco normativo y ayudar a las entidades europeas que operan en China o pretenden acceder al mercado chino a identificar los cambios que incorpora y las acciones que, en su caso, deberán realizar para cumplir con sus obligaciones.
¿Qué tipo de entidades se ven afectadas?
El artículo 2 de la Ley no establece un principio de extraterritorialidad y limita su ámbito de aplicación a las empresas que se encuentran establecidas en el territorio de la República Popular China, de manera que no afecta a aquellas entidades que simplemente dirijan su oferta de bienes o servicios a interesados que residan en aquel país pero que no disponen de un establecimiento permanente en China.
¿Cuáles son las medidas de seguridad que resultan aplicables?
De manera similar a nuestra Directiva NIS sobre Ciberseguridad, la normativa china establece en su artículo 2 y 9 la obligación por parte de operadores de redes de telecomunicaciones, proveedores de acceso a una red de telecomunicaciones y prestadores de los servicios de la sociedad de la información de adoptar medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad en el marco de la oferta de servicios o productos en China.
Deber de retención de información
Se establece una obligación de cooperar con las autoridades chinas por parte de los operadores de redes de telecomunicaciones y proveedores de acceso a internet, que estarán obligados a almacenar información relativa a los datos de tráfico o actividades de red durante un periodo de 6 meses reforzando, de este modo, las prerrogativas de monitorización y control de tráfico de internet del Gobierno chino.
Subcontratistas de servicios considerados esenciales
Las empresas prestadoras de servicios consideradas esenciales deberán celebrar un contrato con los subcontratistas, con independencia de que estén localizados dentro de China o fuera de su territorio, que incorpore entre sus cláusulas la descripción de las medidas de seguridad exigibles de conformidad con esta normativa, la localización de la información, el esquema de posibles subcontrataciones y un deber de confidencialidad extensible a los empleados de los subcontratistas respecto de la información a la que pudieran acceder durante la prestación del servicio, quedando sometidas al poder de inspección de las autoridades chinas a fin de que puedan verificar el cumplimiento de todos los aspectos establecidos en la regulación de aquel país por parte de los proveedores extranjeros.
Privacidad
La normativa también regula aspectos relativos a la protección de los datos de carácter personal, utilizando para ello definiciones que, en muchos aspectos, son coincidentes con las establecidas en la legislación europea y, de manera especial, con las previsiones contenidas en el Reglamento (2016/679) General de Protección de Datos.
En este sentido, el concepto de “dato de carácter personal” del artículo 76.5 de la Ley china es similar al establecido en el artículo 4.1 del Reglamento, lo que permitirá a las entidades europeas con filiales en China poder establecer un criterio común a la hora de definir los activos a los que le resultarán aplicables las políticas corporativas en materia de protección de datos de carácter personal. De la misma manera, la normativa china también establece la obligación de las empresas de notificar una violación de la seguridad de los datos personales a las autoridades chinas, así como a los propios afectados.
Localización de los datos y limitaciones a la transferencia de información fuera del territorio chino
La Ley recoge la creciente preocupación de numerosos países de que los datos de sus ciudadanos permanezcan en su territorio nacional, estableciendo la obligación para las empresas afectadas de que determinada información personal y corporativa, aquella que pueda resultar más relevante, se almacenen en China
Quizás el aspecto más controvertido de este apartado, que se diferencia de otras normativas de localización de datos, como por ejemplo la legislación rusa, es que también obliga a las entidades a localizar la información personal de los ciudadanos extranjeros que viven en aquel país.
De manera complementaria a la obligación de almacenar la información en el territorio chino, se establecen limitaciones a la transferencia internacional de información que hubiera sido obtenida o recabada en aquel país, de manera que las entidades afectadas que utilicen recursos físicos para implementar un servicio o comercializar un producto, ya sea de forma directa o subcontratada, que se encuentren ubicados fuera de China, deberán realizar un análisis del impacto que la transferencia de la información puede suponer para la Ciberseguridad, el cual deberá ser revisado y, en su caso, autorizado, por las autoridades chinas con competencia en la materia.
¿Cuál es el régimen sancionador aplicable?
El Capítulo VI determina la posible imposición de sanciones económicas para las empresas de hasta 10 veces el valor del enriquecimiento ilícito (artículo 64), el cierre de páginas web, la cancelación, definitiva o temporal, de los permisos o licencias para poder operar en aquel país, así como penas privativas de libertad permanentes para las personas físicas responsables de un ciberataque.
Es importante destacar que la normativa establece la responsabilidad directa del personal directivo de las empresas afectadas o de sus empleados por la infracción de los derechos relativos a la privacidad de los usuarios.
Próximos pasos a realizar por las entidades europeas con intereses comerciales en China
Es aconsejable que aquellas entidades que operan a través de filiales establecidas en China o que tengan como objetivo poder acceder al mercado chino analicen de qué modo les puede afectar esta nueva normativa.
Para ello, nuestra sugerencia es que las entidades realicen las siguientes acciones:
- Revisión del worlflow de las actividades empresariales que se realizan, o que se prevén realizar, en aquel país.
- Analizar la nueva normativa y realizar un gap análisis entre la situación actual y los requisitos de la Ley de Ciberseguridad china.
- Establecer un Plan de Acción priorizado que incorpore las medidas necesarias que se deberán implementar para garantizar el cumplimiento de los principios, derechos y garantías que el nuevo marco normativo chino en materia de ciberserguridad establece.