A principios de junio, China puso en vigor oficialmente regulaciones sobre contratos estándar para transferencias transfronterizas de información personal, que requieren que los procesadores de datos (incluidas las empresas que procesan datos de menos de un millón de personas) tengan contratos con destinatarios extranjeros antes de realizar la transferencia.

Las nuevas reglas son parte de los esfuerzos de Beijing para reforzar el control sobre los datos nacionales en nombre de la protección de la seguridad nacional.

Actualmente, el principal marco legal del país para la gestión de la privacidad de datos consta de tres leyes: la Ley de Ciberseguridad, la Ley de Privacidad de Datos y la Ley de Protección de Información Personal.

En consecuencia, el gobierno central ha establecido un régimen de gestión de la exportación de datos personales. Además de las medidas del contrato estándar, el régimen incluye reglas que exigen a las empresas realizar un registro de evaluación de seguridad ante la autoridad nacional de supervisión de Internet o solicitar una certificación de protección de información personal ante la autoridad competente.

Xu Ke, director del centro de investigación sobre economía digital e innovación legal de la Universidad de Negocios y Economía Internacionales, dijo que los reguladores están luchando por lograr un equilibrio entre mejorar la seguridad de los datos y promover el crecimiento económico impulsado por los datos.

Alto número de empresas, baja tasa de aprobación

Según las evaluaciones de seguridad para transferencias transfronterizas de datos, que entraron en vigor el 1 de septiembre, las empresas que procesan datos personales de más de un millón de personas deben someterse a una evaluación de seguridad si desean transferir datos al extranjero.

Las empresas deben presentar informes de autoevaluación de seguridad a los reguladores de la red local y a la Administración del Ciberespacio de China (CAC) para dos rondas de revisión.

Actualmente, las transferencias de datos al extranjero se consideran legales si el cedente firma un contrato con el destinatario y confirma que los datos a transferir pasan la prueba de seguridad de la autoridad competente.

Aunque las medidas entraron en vigor en septiembre, su implementación ha sido difícil debido al gran número de empresas y a la falta de recursos humanos para evaluar sus informes de seguridad.

A finales de abril, la administración del ciberespacio de Shanghai había recibido más de 400 informes de evaluación, de los cuales sólo el 0,5 por ciento fueron aprobados por la CAC.

La situación es similar en otros lugares. A nivel nacional, las autoridades han recibido más de 1.000 solicitudes para transferir datos al extranjero, de las cuales menos de 10 han pasado dos rondas de revisión, revelaron fuentes de Caixin.

A nivel nacional, la mayor parte del trabajo de revisión de aprobación de informes de seguridad lo lleva a cabo el centro técnico de ciberseguridad CNCERT/CC, que cuenta con una plantilla total de unas 100 personas.

Criterios “vagos”

Además de las limitaciones de personal, la falta de claridad en los criterios de evaluación está ralentizando el proceso de aprobación, ya que los reguladores y las empresas no están de acuerdo sobre por qué es necesaria la transferencia de datos solicitada.

Por ejemplo, el solicitante debe explicar por qué transferir datos a un país extranjero para su procesamiento es legal, razonable y necesario, pero no se proporciona ninguna orientación adicional.

El Sr. Xu Ke advirtió que la aplicación de un mecanismo “todo en uno” podría conducir a restricciones excesivas en ciertas industrias y sectores, obstaculizando el libre flujo de datos porque el nivel de preocupación por la seguridad nacional es diferente.

He Yuan, director ejecutivo del Centro de Investigación de Derecho de Datos de la Universidad Jiao Tong de Shanghai, señaló que la carga de trabajo de los reguladores locales podría aumentar significativamente ya que las empresas con menos de 1 millón de empleados también tendrán que firmar contratos estándar a partir de junio.

Desde 2023, las autoridades continentales han intensificado los esfuerzos de publicidad, como la realización de orientación para que las empresas se familiaricen con las normas de transferencia de datos.

Sin embargo, los altos costos de cumplimiento, las dificultades para comunicarse con los destinatarios extranjeros y la incertidumbre regulatoria se encuentran entre los factores que Beijing no ha podido resolver para las empresas.

Caro

Para evitar problemas, las empresas tienden a consultar a agencias de terceros sobre la presentación de informes de evaluación de seguridad.

Sin embargo, los honorarios por servicios que cobran estas agencias de consultoría pueden fácilmente ascender a cientos de millones de yuanes, lo que pone a las pequeñas empresas en desventaja. La calidad del servicio de estas agencias también puede variar.

Incluso con la ayuda de consultores, muchas empresas todavía tienen dificultades para obtener aprobaciones. Según Zhang Yao, socio de Sun & Young Partners, una firma de abogados con sede en Shanghai, muchas solicitudes presentadas por primera vez no cumplen totalmente los requisitos reglamentarios.

Si bien los reguladores han aclarado los requisitos en torno a cuestiones centrales sobre qué datos deben transferirse al exterior, a través de qué sistemas, a quién y si existen riesgos de seguridad, “resolver estos problemas requiere mucho costo y esfuerzo” por parte de las empresas.

Y para las empresas multinacionales, incluso si logran enviar datos personales al exterior, aún enfrentan constantes inversiones en cumplimiento para su uso posterior, dijo Chen Jihong, socio de Zhong Lun Law Firm, con sede en Beijing.

Además, el transferente de datos debe presentar información sobre el destinatario extranjero en el informe, algo que muy pocas empresas están dispuestas a compartir. Por ejemplo, el gigante Microsoft declaró públicamente que “no cooperará” con las solicitudes de China de evaluaciones de seguridad de datos.

(Según Nikkei Asia)