Comprender la Ley de Protección de Información Personal de China

La Ley de Protección de Información Personal de China (PIPL), que entró en vigor el 1 de noviembre de 2021, es una de las regulaciones de privacidad de datos más importantes fuera de Europa. Para los sitios web globales, especialmente aquellos con visitantes chinos u operaciones en China, la PIPL crea obligaciones de consentimiento que existen de forma independiente de —y a veces entran en conflicto con— los requisitos del GDPR.

La PIPL regula el tratamiento de la información personal de individuos dentro de China. Su ámbito territorial es amplio: se aplica a cualquier organización que trate información personal de personas ubicadas en China, independientemente de dónde tenga su sede la organización. Si tu sitio web es accesible para usuarios chinos y recopilas cualquier dato personal de ellos, la PIPL es relevante para ti.

PIPL vs. GDPR: diferencias clave que importan

Aunque a menudo se denomina a la PIPL como el «GDPR chino», esta comparación oculta diferencias importantes que afectan a cómo implementas el consentimiento:

• El consentimiento como base jurídica principal: El GDPR ofrece seis bases jurídicas para el tratamiento, incluida el interés legítimo. La PIPL se centra más en el consentimiento. Aunque reconoce otras bases legales (necesidad contractual, obligación legal, interés público), el alcance del interés legítimo es mucho más limitado, y el consentimiento es el valor predeterminado esperado para la mayoría de los tratamientos de datos comerciales.
• Consentimiento separado para datos sensibles: La PIPL exige un consentimiento separado y explícito para tratar información personal sensible, que incluye datos biométricos, información financiera, seguimiento de ubicación y datos de menores de 14 años. El seguimiento conductual basado en cookies podría entrar en esta categoría.
• Obligación de localización de datos: Los operadores de infraestructuras de información críticas y las organizaciones que tratan información personal por encima de un umbral de volumen fijado por la Administración del Ciberespacio de China (CAC) deben almacenar los datos dentro de China. Esto afecta al lugar donde se pueden tratar tus datos de analítica y de cookies.
• Restricciones a las transferencias transfronterizas: Transferir información personal fuera de China requiere uno de tres mecanismos: superar una evaluación de seguridad de la CAC, obtener una certificación de un organismo reconocido o firmar cláusulas contractuales tipo publicadas por la CAC. Esto es más restrictivo que los mecanismos de transferencia del GDPR.
• Derechos individuales con características chinas: La PIPL otorga a los interesados derechos similares a los del GDPR (acceso, rectificación, supresión, portabilidad), pero añade el derecho a rechazar la toma de decisiones automatizada y el derecho a solicitar explicaciones sobre las reglas del tratamiento automatizado.

Qué significa la PIPL para las cookies y el seguimiento

La PIPL no menciona específicamente las «cookies» del mismo modo que lo hace la Directiva de ePrivacy de la UE. Sin embargo, la amplia definición de información personal de la ley —cualquier información relacionada con una persona física identificada o identificable— abarca la mayoría de los mecanismos de seguimiento basados en cookies:

• Cookies de analítica que rastrean el comportamiento del usuario entre páginas recopilan información personal según la definición de la PIPL, incluso si el usuario no ha iniciado sesión.
• Cookies publicitarias y píxeles de seguimiento entre sitios entran claramente en el ámbito de aplicación, ya que construyen perfiles vinculados a identificadores de dispositivos.
• Cookies de sesión para funcionalidades básicas (carritos de compra, estado de inicio de sesión) suelen ser admisibles bajo la base de necesidad contractual, de forma similar al GDPR.
• Cookies de terceros que comparten datos con entidades externas activan requisitos adicionales de la PIPL en torno a la divulgación a terceros y, potencialmente, las normas sobre transferencias transfronterizas.

Aplicación de la PIPL: consecuencias reales

A diferencia de algunas leyes de privacidad que existen principalmente sobre el papel, la aplicación de la PIPL ha sido activa y creciente. La Administración del Ciberespacio de China, junto con el Ministerio de Seguridad Pública y otros organismos, ha tomado medidas concretas:

• Las principales tiendas de aplicaciones en China han retirado apps por recopilación excesiva de datos y por no obtener el consentimiento adecuado. Cientos de aplicaciones han sido eliminadas en campañas de cumplimiento.
• Se ha multado a empresas por recopilar información personal más allá de lo necesario para la finalidad declarada.
• La CAC ha emitido advertencias públicas a empresas cuyas políticas de privacidad no describían adecuadamente las actividades de tratamiento de datos.
• En los casos más graves, la PIPL permite imponer multas de hasta 50 millones de RMB (aproximadamente 7 millones de USD) o el 5 % de los ingresos del año anterior, junto con la posible suspensión de las operaciones comerciales.

Para las empresas internacionales, el riesgo es tanto regulatorio como comercial. El incumplimiento puede llevar a la retirada de apps de las tiendas de aplicaciones chinas, al bloqueo de servicios y a daños reputacionales en un mercado de más de mil millones de usuarios de internet.

Segmentación geográfica de los visitantes chinos

Si tu sitio web atiende a una audiencia global que incluye usuarios chinos, necesitas una estrategia de consentimiento segmentada geográficamente. Esto significa detectar cuándo un visitante se encuentra en China y presentar mecanismos de consentimiento que cumplan los requisitos de la PIPL:

• Detección basada en IP: Utiliza geolocalización por IP para identificar visitantes de la China continental. Este es el mismo enfoque que se usa para la segmentación geográfica del GDPR para visitantes del EEE.
• Señales basadas en el idioma: Si el idioma del navegador de un usuario está configurado en chino (zh-CN o zh-TW), esto puede servir como señal secundaria, aunque no debería ser el único criterio.
• Contenido del banner de consentimiento: El aviso de consentimiento mostrado a los usuarios chinos debe estar en chino simplificado, indicar claramente las finalidades de la recopilación de datos, identificar al responsable del tratamiento y ofrecer un mecanismo real para rechazar el tratamiento no esencial.
• Consentimiento separado para tratamientos sensibles: Si utilizas cookies para la elaboración de perfiles de comportamiento o el seguimiento de ubicación, los usuarios chinos deberían ver un aviso de consentimiento separado y más granular para estas categorías.

Gestionar GDPR y PIPL con una sola CMP

La mayoría de los sitios web globales necesitan cumplir varios regímenes de privacidad de forma simultánea. El reto consiste en presentar la experiencia de consentimiento adecuada al usuario adecuado sin mantener sistemas separados. Así es como funciona un enfoque unificado:

La detección de región como base

La CMP debe determinar primero la ubicación del visitante. En función de ello, aplica las reglas de consentimiento apropiadas:

• Visitantes del EEE/Reino Unido: Banner de consentimiento TCF 2.3 con Consent Mode V2, modelo de opt-in, todos los requisitos del GDPR.
• Visitantes chinos: Aviso de consentimiento conforme a la PIPL en chino simplificado, opt-in para el tratamiento no esencial, divulgación clara de las transferencias transfronterizas si los datos salen de China.
• Visitantes de EE. UU.: Normas específicas por estado (CCPA/CPRA para California, leyes estatales para Colorado, Connecticut, Virginia, etc.), normalmente modelos de opt-out.
• Otras regiones: Comportamiento predeterminado basado en la tolerancia al riesgo del editor y las leyes locales aplicables.

Consideraciones sobre el almacenamiento del consentimiento

Los requisitos de localización de datos de la PIPL significan que los registros de consentimiento de los usuarios chinos pueden tener que almacenarse en servidores dentro de China si tus volúmenes de tratamiento de datos superan los umbrales de la CAC. Para la mayoría de los sitios web internacionales con tráfico chino incidental, es poco probable que se alcance este umbral, pero los sitios de alto tráfico que se dirigen a China deberían consultar con asesores legales locales.

Documentación de las transferencias transfronterizas

Cuando un usuario chino consiente el uso de cookies que envían datos a servidores fuera de China (lo que ocurre prácticamente con todas las plataformas occidentales de analítica y publicidad), la CMP debería documentar este consentimiento como parte de la justificación de la transferencia transfronteriza. El aviso de consentimiento debe mencionar explícitamente que los datos se transferirán internacionalmente.

Pasos prácticos para el cumplimiento global

He aquí un plan de acción priorizado para los sitios web que necesitan abordar la PIPL junto con el GDPR:

• Audita tu tráfico procedente de China: Revisa tu analítica para entender qué porcentaje de tus visitantes procede de China. Si es insignificante, tu riesgo es menor, pero no nulo.
• Asocia tus cookies con las categorías de la PIPL: Determina qué cookies tratan información personal según la definición de la PIPL y si alguna implica información personal sensible.
• Implementa consentimiento segmentado geográficamente: Utiliza una CMP que pueda presentar diferentes experiencias de consentimiento según la ubicación del visitante, con el idioma y la base jurídica adecuados para cada región.
• Actualiza tu política de privacidad: Añade una sección que aborde específicamente los derechos bajo la PIPL y tus prácticas de tratamiento de datos para usuarios chinos.
• Revisa las transferencias transfronterizas: Documenta cómo se transfieren y tratan internacionalmente los datos personales de los usuarios chinos, y asegúrate de contar con un mecanismo de transferencia válido.

Nota importante: El cumplimiento de la PIPL para sitios web que se dirigen a China puede ser complejo, y las directrices regulatorias siguen evolucionando. Este artículo ofrece una visión general, pero las organizaciones con operaciones o bases de usuarios significativas en China deberían buscar asesoramiento jurídico específico para su situación.

FlexyConsent admite experiencias de consentimiento segmentadas geográficamente con reglas específicas por región, lo que te permite abordar GDPR, PIPL, CCPA y otras leyes de privacidad desde una única plataforma. El plan gratuito incluye geodetección y configuración de consentimiento para múltiples regiones.