China establece nuevas obligaciones para transferencias de datos transfronterizas

2022-09-21T16:00:00
Otros países

China adopta un nuevo marco de evaluación de seguridad para las transferencias transfronterizas de datos personales y  “datos importantes”

China establece nuevas obligaciones para transferencias de datos transfronterizas
21 de septiembre de 2022

El 7 de julio de 2022, la Administración del Ciberespacio de China publicó las Medidas de Evaluación de la Seguridad de las Transferencias Transfronterizas de Datos (las "MES"), que entraron el vigor el pasado 1 de septiembre.

La nueva normativa afecta a dos tipos de datos que se transfieran fuera de China: (i) datos personales, y (ii) “datos importantes”: de acuerdo con el artículo 19 de las MES, por datos importantes se entiende cualquier dato cuya manipulación, daño, filtración o adquisición o uso ilegal, si se produce, puede poner en peligro la seguridad nacional, el funcionamiento de la economía, la estabilidad social, la salud y la seguridad públicas, u otras.

Estos tipos de datos están sujetos a las obligaciones de evaluación de la seguridad, que son dos: una autoevaluación por parte de quien transfiere los datos y una evaluación realizada por la Administración del Ciberespacio de China.

Autoevaluación

Por un lado, quien transfiere los datos debe realizar una autoevaluación en todas sus transferencias transfronterizas, aunque existe un umbral mínimo para quienes tratan datos y no son operadores de infraestructuras críticas. La autoevaluación incluye la comprobación de si la transferencia cumple con los principios de legalidad, legitimidad y necesidad, si el destinatario extranjero es capaz de salvaguardar la seguridad de los datos, si quien transfiere los datos puede proporcionar canales de transferencia de datos seguros y adecuados y si el contrato entre el exportador de datos y el destinatario contiene la lista completa de obligaciones relativas a la protección de datos para proporcionar el máximo nivel de protección.

Evaluación de la seguridad por parte de la Administración del Ciberespacio de China

Además de la autoevaluación, algunas transferencias transfronterizas están sujetas a una evaluación que debe realizar la Administración del Ciberespacio de China. Dicha evaluación es necesaria en las situaciones en que (i) se transfieren "datos importantes" fuera de China, (ii) se transfiere fuera de China información personal de más de 1 millón de personas por parte de exportadores comunes de datos, o por parte de Operadores de Infraestructuras Críticas de Información; (iii) se hayan transferido fuera de China, desde el 1 de enero de 2021, acumulativamente, datos personales de 100.000 personas, o información personal sensible de 10.000 personas. En algunos casos, los responsables de la transferencia de datos deben solicitar una reevaluación.

Las empresas que tratan datos personales en China y los transfieren a compañías matrices fuera de China deben revisar sus procesos legales para ajustarse a las nuevas normas.

21 de septiembre de 2022