Protección de datos made in China

por

Hace nada hemos presenciado, tras dos borradores que circularon bastante, el texto de la ley china de protección de datos («Ley de la República Popular China sobre la protección de la información personal») ya aprobada y con entrada en vigor este 1 de noviembre. Después del shock inicial de ver que China se ha metido en esta montaña rusa de la protección de datos de cabeza, toca ver si el texto mola en comparativa con el RGPD, es muy de lo que esperamos de allí, e hipotetizar (nunca mejor dicho) sobre el porqué de esta norma en estos momentos

Antes de entrar en harina, ya habido varios post y publicaciones que han analizado este texto, por ejemplo, la publicado en la web de IAPP; pero parafraseando cierto «rezo» del Sargento Hartman («La Chaqueta Metálica»): Este es mi post/análisis. Hay otros muchos, pero este es el mío.

Por si alguien quiere conocer el texto original en chino, por aquí tiene el enlace del texto colgado en la web del «Congreso de los diputados» chino. Para el que quiera la versión traducida, hay dos opciones:

  • Los traductores más conocidos controlan para sacar una versión correcta; y
  • Traducciones realizadas al inglés por gente que controla: por ejemplo, la realizada por Stanford. El único fallo que veo (en la de Stanford y otras distintas) es que se traduce responsable como encargado, aunque puede ser provocado por cómo han denominado la figura en la propia ley china. Ahí queda el comentario.

¿En comparativa con el RGPD cómo anda la norma china?

Sorprendentemente es mucho más RGPD que casi toda la normativa que otros países están desarrollando por el efecto proprivacidad que parece que ha generado nuestra norma europea. Esa similitud, unido a la procedencia y el histórico del país en la materia (nadie mira a las farolas con reconocimiento facial) hace que tengas la sensación de que algo raro pasa. Esto último lo dejamos para el apartado de conclusiones, hipótesis y teorías.

Para que esto no sea un rollo solo mencionaré los elementos que me han llamado más la atención, y también, para que tenga algo de gracia asignaré a cada punto uno de estos tres emojis 👍 🤜 👎, según me parezca de RGPDiano cada punto en plan bien, un poco meh o mal. Al lío con los puntos llamativos de la ley china:

  • ¿Qué es un dato personal?: versión breve del RGPD y con menos puntualización del límite al no mencionar «directa o indirectamente» , ni dar ejemplos concretos para evitar movidas. 🤜
  • ¿Qué operaciones con los datos quedan cubiertas?: versión breve del RGPD en la que podría entenderse muchos de los matices de las fases del RGPD en estos muy genéricos, pero quién sabe. ¿Qué diferencia el «uso» del «tratamiento»: recogida, almacenamiento, uso, el tratamiento, transmisión, suministro, divulgación y supresión de la información personal». 🤜
  • Definiciones: tiene un apartado a modo de anexo final, pero limitado a definir sucintamente al responsable, anonimización, seudonimización y decisiones automatizadas, pero dejando fuera al resto de conceptos que deberían estar también. 👎
  • Principios: reconocen calidad, exactitud minimización, limitación del plazo de conservación, transparencia, licitud, lealtad y limitación de la finalidad. Faltarían el de integridad, ya que el de confidencialidad estaría inferido/dejado caer en el artículo concreto sobre el tema, y el de proactividad creo que podría decirse que también se infiere algo parecido en su versión de «responsabilidad del responsable».👍
  • Seguridad nacional: manga ancha y abstracta para todo tratamiento que se pudiera considerar como contrario a la seguridad nacional o interés público. 👎
  • Bases de legitimación: muy parecidas a las del RGPD, salvo por lo siguiente 🤜 tirando a 👎:
    • Nada de interés legítimo: se lo reservan para datos de fallecidos en su propio artículo, por dejarlo caer, pero no les mola en absoluto;
    • No incluyendo en su versión de ejecución del contrato medidas precontractuales pedidas;
    • Especie de mix con el 9.2.b de obligaciones o deberes del responsable en materia laboral;
    • El interés público tiene un agujero indeterminado en forma de «margen razonable» no definido;
    • Se eleva a base una especie de «datos manifiestamente públicos por el interesado del 9.2.e del RGPD, pero con más peligro por el añadido de un indeterminado «revelado legalmente dentro de un rango razonable».
    • El consentimiento se enfoca a lo largo del texto como la base principal y mejor.
  • Consentimiento: requisitos del consentimiento similares al RGPD: libre, específico, informado, revocable e inequívoco. 👍 y flipa, al menos en lo teórico.
  • Información: miniversión del 13 + 14 del RGPD. Obliga a informar del responsable y contacto, finalidad, legitimación, tipos de datos tratados, conservación y derechos + cosas que obliguen otras leyes. Faltarían destinatarios y reclamar ante la autoridad de supervisión y control. 🤜 tirando a 👍.
  • Robocop (tratamiento por autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales): matización en el sentido lógico de la «Directiva Robocop» para no informar al interesado, pero muy opaco al no dejar claro cuáles son esas otras leyes o reglamentos que determinarían los supuestos concretos de nope. 👎
  • Corresponsabilidad: en términos similares a los del RGPD del 26. 👍
  • Encargado de tratamiento: buena parte de lo que implica el 28 del RGPD, aunque sin concretar tanto ni detallar la obligación de colaboración con el responsable. 🤜 tirando a 👍.
  • Tratamientos como consecuencia de operaciones mercantiles: determina información obligatoria al interesado de la cesión de los datos, pero no acota sobre qué base se entendería legitimado. En interés legítimo no puede ser, básicamente, porque ya hemos visto que no creen en ellO. 🤜
  • Decisiones automatizadas y elaboración de perfiles: plantea la problemática de estos dos tratamientos que suelen ir de la mano, aunque lo vehiculan desde el concepto único de decisiones automatizadas. Tampoco establecen una diferenciación de la que sea solo automatizada y la totalmente automatizada, meten el concepto peligroso de «trato diferenciado no razonable», no incluyen restricciones y garantías adicionales más allá de información al interesado, oposición, derecho a no ser objeto de un tratamiento que se base en una decisión automatizada y aclaración del sistema. 🤜 tirando a 👎 por el agujero de trato discriminatorio si es «razonable».
  • Videovigilancia: un intento de videovigilancia menos desarrollado basado en interés público (muy del rollo de la AEPD), sin plazos de conservación, pero con la escapatoria del consentimiento para otros fines sin lo acepta el interesado que puede dar días de gloria. 🤜
  • Tratamiento peligroso: posibilidad de tratar los datos del interesado si se han cedido legalmente o se han recopilado del interesado, dentro del dichoso «margen razonable» + una especie de oposición para que no pase (casi recuerda a cierta publicidad electoral por medios electrónicas que sigue viva con oposición posterior). 👎
  • Datos públicos con efectos significativos en la persona: limitado a consentimiento de interesado. 👍
  • Datos especialmente protegidos: se parte de un planteamiento de ejemplos similar al del RGPD: información biométrica, creencias religiosas o datos de salud + información financiera, localización y datos de menores de 14 años. La lían al no establecer una prohibición de inicio que se levante con cumplimiento de casusas tasada como en el 9 del RGPD y al centrarlo todo en el consentimiento, reforzado con la especificación de que sea separado y por escrito, pero obviando el resto de bases. Se añade puenteo de otras leyes y reglamentos que puedan exigir licencias administrativas u otros requisitos/restricciones. 👎
  • Menores: marca una edad de consentimiento idéntica a la española y con el límite del consentimiento de los padres/tutores en menores a esa edad. Se hace referencia a que el responsable deberá tener normas especiales para el tratamiento de datos de menores, pero vaya usted a saber qué implica eso sin mayor aclaración. 👍
  • Administración china obligada por esta norma: quiebro del estado chino diciendo que los tratamientos de datos que hagan se ajustarán a esta ley, salvo que exista una ley especial chula. 👎
  • Almacenamiento de datos tratados por la administración en China: compromiso de que todos los datos tratados por la administración se almacenen en China, y con una especie de TIA si necesitan sacarlos fuera. 👍. Ojalá aquí la administración se obligara a mantener los datos en España y no contratar a los de siempre a la 1º de cambio.
  • Transferencias internacionales: previsión de transferencias fuera de China con un control muy directo del estado y muy descafeinado en relación con el RGPD y sus tres niveles. Aquí se intuye la versión china (controlada por el estado) de la TIA, las SCCs y la certificación, aunque lo chafa del todo al hacer l de «escoja una, la que más le guste». 🤜 tirando a 👎
  • Petición de autoridades de otros países: anticooperación con autoridades de otros países. Si te piden algo se lo comentas al estado y ya te dicen ello si yai or nai, sea seguridad nacional o novio chino a la fuga. 👎
  • Artículo Hummurabi: ojo por ojo si algún país impone restricciones o medidas que no gustan en materia de protección de datos contra China. Harán lo propio con el estado «onfensor», pero ¿puede implicar retención de datos e intercambio cual puente de los espías o qué? 👎
  • Derechos: en principio, parece que tienen los mismos derechos del RGPD, aunque con el puenteo de que otras leyes o reglamento digan lo contrario y: 👎
    • Puenteo de supresión. el responsable puede alegar que es técnicamente difícil de hacer y seguir tratándola si aplica las medidas de seguridad necesarias y no se ha agotado el plazo de conservación;
    • Derecho de portabilidad limitado a que se cumpla lo que quiera el departamento competente del estado; y
    • Ejercicio de derechos: obligación de tener un sistema, pero sin mucho desarrollo ni plazos. Si te lo deniegan vete a ver al juez chino y pista.
  • Personas fallecidas: artículo bastante calcado al artículo 3 de nuestra LOPDgdd sobre el tema. 👍
  • Obligaciones del responsable: Más limitado de lo que acostumbramos: 🤜 tirando a 👍.
    • Seguridad: especie de artículo 32 del RGPD con cifrado y seudonimización, pero sobre todo organizativa al obligar a tener un procedimiento de gestión, formación y procedimiento para incidentes de seguridad;
    • Responsable interno: obligación de nombrarlo y comunicar sus datos de contacto. No llega a ser un DPO;
    • Representante: idéntico a lo nuestro para empresas de fuera;
    • Auditoría: periódicas sin más concreción;
    • Evaluaciones de impacto: obligatorias en caso de tratamiento de datos sensibles, decisiones automatizadas, transferencias y encargados de tratamiento., pero sin la gran escala y dejando fuera lo de que lo público esté obligado. Mola la matización de mantener 3 años el informe; y
    • Violaciones de seguridad: notificación de violaciones parecida al 33 y 34. Puede no notificarse al afectado si lo que se ha hecho ha eliminado el riesgo.
  • AEPD china: Departamento Estatal de Información de Internet. 👍
  • Sanciones: leves en las que se ordenará que lo arregles y si te niegas multa de 1 millón de yuanes y de 10.000 a 100.000 yuanes (13.137 euros) para los responsables directos dentro de la empresa. Graves: hasta 50 millones (6.568.576 millones) o el 5% de volumen de negocio, posible revocación de la licencia comercial + sanción personal a los responsables entre 100.000 yuanes a 1 millón (130.000 euros). 🤜
  • Excepción doméstica: planteada igual a la del RGPD. 👍

Valoración del porqué (el mío) de que venga esta norma ahora

A lo mejor nos esteramos en el futuro por el devenir de los acontecimientos o especialistas nos lo aclaran, pero leer esta nueva norma me parece un cartel luminoso típico de Las Vegas para que entres (lo de pensar mal es propio de Valladolid):

  • Ante la tormenta de transferencias internacionales actual con Schrems II, puede ser un canto de sirena para que la Comisión Europea apruebe una hipotética decisión de adecuación, o como reclamo para que sus empresas se conviertan en las sustitutas de las grandes norteamericanas. Todo ello con un hábil puenteo en muchos puntos a que otras normas y reglamento digan otra cosa, no lo permitan o al estado cambia de idea.
  • Este intento de hacer ver la ley como mucho más garantista para el ciudadano (y el resto de países preocupados o interesados) lo remata el uso predilecto del consentimiento, por esa creencia de que es la base que da un mayor control al ciudadano. Es llamativo que en ningún momento se haga referencia a la necesidad del responsable de demostrar la obtención de un consentimiento válido.
  • El RGPD es una norma «cebolla», es decir, que en la 1º lectura crees que entienden todo lo que dice, pero en las siguientes relecturas empiezas a ver que todo es más complejo y te toca recoger cable en algunas cosas, que no se ha dado puntada sin hilo y que el legislador ha tratado un tema complejo de una manera acorde. Con la ley china no me da esa sensación cebollesca, aunque un poco de la culpa la puede tener el hecho de que mucha de la base parece calcada del RGPD que tengo algo visto.