Entendre la Llei de Protecció d'Informació Personal de la Xina

La Llei de Protecció d'Informació Personal de la Xina (PIPL), que va entrar en vigor l’1 de novembre de 2021, és una de les regulacions de privacitat de dades més rellevants fora d’Europa. Per als llocs web globals, especialment aquells amb visitants xinesos o operacions a la Xina, la PIPL crea obligacions de consentiment que existeixen de manera independent —i de vegades en conflicte— amb els requisits del GDPR.

La PIPL regula el tractament d’informació personal d’individus dins de la Xina. El seu abast territorial és ampli: s’aplica a qualsevol organització que tracti informació personal de persones ubicades a la Xina, independentment d’on tingui la seva seu l’organització. Si el teu lloc web és accessible per a usuaris xinesos i reculls qualsevol dada personal d’aquests usuaris, la PIPL és rellevant per a tu.

PIPL vs. GDPR: diferències clau que importen

Tot i que sovint es descriu la PIPL com el «GDPR xinès», aquesta comparació amaga diferències importants que afecten com implementes el consentiment:

• El consentiment com a base jurídica principal: El GDPR ofereix sis bases jurídiques per al tractament, incloent-hi l’interès legítim. La PIPL és més centrada en el consentiment. Tot i que reconeix altres bases jurídiques (necessitat contractual, obligació legal, interès públic), l’abast de l’interès legítim és molt més reduït, i el consentiment és l’opció per defecte esperada per a la majoria de tractaments comercials de dades.
• Consentiment separat per a dades sensibles: La PIPL exigeix un consentiment separat i explícit per al tractament d’informació personal sensible, que inclou dades biomètriques, informació financera, seguiment de la ubicació i dades de menors de 14 anys. El seguiment de comportament basat en cookies pot entrar en aquesta categoria.
• Localització obligatòria de dades: Els operadors d’infraestructures d’informació crítiques i les organitzacions que tracten informació personal per sobre d’un llindar de volum establert per l’Administració del Ciberespai de la Xina (CAC) han d’emmagatzemar les dades dins de la Xina. Això afecta on es poden tractar les teves dades d’analítica i de cookies.
• Restriccions a les transferències transfrontereres: Transferir informació personal fora de la Xina requereix un dels tres mecanismes: superar una avaluació de seguretat de la CAC, obtenir una certificació d’un organisme reconegut o subscriure clàusules contractuals estàndard publicades per la CAC. Això és més restrictiu que els mecanismes de transferència del GDPR.
• Drets individuals amb característiques xineses: La PIPL atorga als interessats drets similars als del GDPR (accés, rectificació, supressió, portabilitat), però afegeix el dret a rebutjar la presa de decisions automatitzada i el dret a sol·licitar una explicació de les regles de tractament automatitzat.

Què implica la PIPL per a les cookies i el seguiment

La PIPL no esmenta específicament les «cookies» de la mateixa manera que ho fa la Directiva ePrivacy de la UE. No obstant això, la definició àmplia d’informació personal de la llei —qualsevol informació relacionada amb una persona física identificada o identificable— inclou la majoria de mecanismes de seguiment basats en cookies:

• Cookies d’analítica que registren el comportament de l’usuari entre pàgines recullen informació personal segons la definició de la PIPL, fins i tot si l’usuari no ha iniciat sessió.
• Cookies publicitàries i píxels de seguiment entre llocs entren clarament dins de l’abast, ja que construeixen perfils vinculats a identificadors de dispositiu.
• Cookies de sessió per a funcionalitats bàsiques (cistelles de compra, estat d’inici de sessió) són generalment permeses sota la base de necessitat contractual, de manera similar al GDPR.
• Cookies de tercers que comparteixen dades amb tercers activen requisits addicionals de la PIPL sobre la divulgació a tercers i, potencialment, les normes de transferència transfronterera.

Aplicació de la PIPL: conseqüències reals

A diferència d’algunes lleis de privacitat que existeixen principalment sobre el paper, l’aplicació de la PIPL ha estat activa i creixent. L’Administració del Ciberespai de la Xina, juntament amb el Ministeri de Seguretat Pública i altres organismes, ha pres mesures concretes:

• Les principals botigues d’aplicacions de la Xina han eliminat apps per recollida excessiva de dades i per no obtenir el consentiment adequat. Centenars d’apps han estat retirades en campanyes d’aplicació.
• S’han multat empreses per recollir informació personal més enllà del que era necessari per a la finalitat declarada.
• La CAC ha emès advertiments públics a empreses les polítiques de privacitat de les quals no descrivien adequadament les activitats de tractament de dades.
• En casos greus, la PIPL permet multes de fins a 50 milions de RMB (aproximadament 7 milions de dòlars) o el 5% dels ingressos de l’any anterior, juntament amb la possible suspensió de les operacions comercials.

Per a les empreses internacionals, el risc és tant regulador com comercial. L’incompliment pot comportar l’eliminació de l’app de les botigues d’aplicacions xineses, el bloqueig de serveis i danys reputacionals en un mercat de més de mil milions d’usuaris d’internet.

Geo-segmentació dels visitants xinesos

Si el teu lloc web dona servei a una audiència global que inclou usuaris xinesos, necessites una estratègia de consentiment geo-segmentada. Això significa detectar quan un visitant es troba a la Xina i presentar mecanismes de consentiment que compleixin els requisits de la PIPL:

• Detecció basada en IP: Utilitza geolocalització per IP per identificar visitants de la Xina continental. Aquest és el mateix enfocament utilitzat per a la geo-segmentació del GDPR per als visitants de l’EEE.
• Senyals basats en l’idioma: Si l’idioma del navegador de l’usuari està configurat en xinès (zh-CN o zh-TW), això pot servir com a senyal secundari, tot i que no hauria de ser l’únic determinant.
• Contingut del bàner de consentiment: L’avís de consentiment mostrat als usuaris xinesos hauria d’estar en xinès simplificat, indicar clarament les finalitats de la recollida de dades, identificar el responsable del tractament i oferir un mecanisme real per rebutjar el tractament no essencial.
• Consentiment separat per a tractaments sensibles: Si utilitzes cookies per a la creació de perfils de comportament o el seguiment de la ubicació, els usuaris xinesos haurien de veure una sol·licitud de consentiment separada i més granular per a aquestes categories.

Gestionar el GDPR i la PIPL amb un sol CMP

La majoria de llocs web globals han de complir diversos règims de privacitat simultàniament. El repte és presentar l’experiència de consentiment adequada a cada usuari sense mantenir sistemes separats. Així és com funciona un enfocament unificat:

La detecció de regió com a fonament

El CMP ha de determinar primer la ubicació del visitant. A partir d’això, aplica les regles de consentiment corresponents:

• Visitants de l’EEE/Regne Unit: Bàner de consentiment TCF 2.3 amb Consent Mode V2, model d’opt-in i tots els requisits del GDPR.
• Visitants xinesos: Avís de consentiment conforme a la PIPL en xinès simplificat, opt-in per al tractament no essencial i divulgació clara de les transferències transfrontereres si les dades surten de la Xina.
• Visitants dels EUA: Normes específiques per estat (CCPA/CPRA per a Califòrnia, lleis estatals per a Colorado, Connecticut, Virgínia, etc.), generalment models d’opt-out.
• Altres regions: Comportament per defecte basat en la tolerància al risc de l’editor i les lleis locals aplicables.

Consideracions sobre l’emmagatzematge del consentiment

Els requisits de localització de dades de la PIPL signifiquen que els registres de consentiment dels usuaris xinesos poden haver de ser emmagatzemats en servidors dins de la Xina si els teus volums de tractament de dades superen els llindars de la CAC. Per a la majoria de llocs web internacionals amb trànsit xinès incidental, és poc probable que se superi aquest llindar, però els llocs d’alt trànsit que tinguin com a objectiu la Xina haurien de consultar assessors legals locals.

Documentació de les transferències transfrontereres

Quan un usuari xinès consent cookies que envien dades a servidors fora de la Xina (que és el cas de pràcticament totes les plataformes occidentals d’analítica i publicitat), el CMP hauria de documentar aquest consentiment com a part de la justificació de la transferència transfronterera. L’avís de consentiment hauria d’esmentar explícitament que les dades es transferiran internacionalment.

Passos pràctics per al compliment global

Aquí tens un pla d’acció prioritzat per als llocs web que han d’afrontar la PIPL al costat del GDPR:

• Audita el teu trànsit xinès: Revisa les teves eines d’analítica per entendre quin percentatge dels teus visitants prové de la Xina. Si és negligible, el teu risc és menor però no nul.
• Mapeja les teves cookies a les categories de la PIPL: Determina quines cookies tracten informació personal segons la definició de la PIPL i si alguna implica informació personal sensible.
• Implementa consentiment geo-segmentat: Utilitza un CMP que pugui presentar experiències de consentiment diferents segons la ubicació del visitant, amb l’idioma i la base jurídica adequats per a cada regió.
• Actualitza la teva política de privacitat: Afegeix una secció que abordi específicament els drets de la PIPL i les teves pràctiques de tractament de dades per als usuaris xinesos.
• Revisa les transferències transfrontereres: Documenta com es transfereix i es tracta internacionalment la informació personal dels usuaris xinesos i assegura’t de disposar d’un mecanisme de transferència vàlid.

Nota important: El compliment de la PIPL per als llocs web que tenen com a objectiu la Xina pot ser complex, i les directrius reguladores encara estan evolucionant. Aquest article ofereix una visió general, però les organitzacions amb operacions o bases d’usuaris significatives a la Xina haurien de buscar assessorament legal específic per a la seva situació.

FlexyConsent admet experiències de consentiment geo-segmentades amb regles específiques per regió, cosa que et permet abordar el GDPR, la PIPL, la CCPA i altres lleis de privacitat des d’una sola plataforma. El pla gratuït inclou geodetecció i configuració de consentiment per a múltiples regions.