Comprender a Lei de Protección de Información Persoal de China

A Lei de Protección de Información Persoal de China (PIPL), que entrou en vigor o 1 de novembro de 2021, é unha das regulacións de privacidade de datos máis relevantes fóra de Europa. Para os sitios web globais, especialmente aqueles con visitantes chineses ou operacións en China, a PIPL crea obrigas de consentimento que existen de forma independente —e ás veces en conflito— cos requisitos do GDPR.

A PIPL regula o tratamento da información persoal de individuos dentro de China. O seu ámbito territorial é amplo: aplícase a calquera organización que trate información persoal de persoas situadas en China, independentemente de onde teña a súa sede a organización. Se o teu sitio web é accesible para usuarios chineses e recolles calquera dato persoal deles, a PIPL é relevante para ti.

PIPL vs. GDPR: diferenzas clave que importan

Aínda que a PIPL adoita chamarse “o GDPR de China”, esta comparación agocha diferenzas importantes que afectan a como implementas o consentimento:

• O consentimento como base xurídica principal: O GDPR ofrece seis bases xurídicas para o tratamento, incluído o interese lexítimo. A PIPL é máis centrada no consentimento. Aínda que recoñece outras bases xurídicas (necesidade contractual, obrigación legal, interese público), o alcance do interese lexítimo é moito máis restrinxido, e o consentimento é o valor por defecto esperado para a maioría dos tratamentos de datos comerciais.
• Consentimento separado para datos sensibles: A PIPL require consentimento separado e explícito para o tratamento de información persoal sensible, que inclúe datos biométricos, información financeira, seguimento de localización e datos de menores de 14 anos. O seguimento de comportamento baseado en cookies pode encaixar nesta categoría.
• Localización obrigatoria de datos: Os operadores de infraestruturas críticas de información e as organizacións que traten información persoal por riba dun limiar de volume fixado pola Cyberspace Administration of China (CAC) deben almacenar os datos dentro de China. Isto afecta onde se poden tratar os teus datos de analítica e cookies.
• Restricións ás transferencias transfronteirizas: Transferir información persoal fóra de China require un destes tres mecanismos: superar unha avaliación de seguridade da CAC, obter certificación dun organismo recoñecido ou subscribir cláusulas contractuais tipo publicadas pola CAC. Isto é máis restritivo que os mecanismos de transferencia do GDPR.
• Dereitos individuais con características chinesas: A PIPL concede aos titulares de datos dereitos similares aos do GDPR (acceso, rectificación, supresión, portabilidade), pero engade o dereito a rexeitar a toma de decisións automatizada e o dereito a solicitar explicación das regras de tratamento automatizado.

Que implica a PIPL para as cookies e o seguimento

A PIPL non menciona especificamente as “cookies” do mesmo xeito que a Directiva ePrivacy da UE. Porén, a definición ampla de información persoal da lei —calquera información relacionada cunha persoa física identificada ou identificable— abrangue a maior parte do seguimento baseado en cookies:

• Cookies de analítica que rastrexan o comportamento do usuario entre páxinas recollen información persoal segundo a definición da PIPL, mesmo se o usuario non iniciou sesión.
• Cookies de publicidade e píxeles de seguimento entre sitios entran claramente no ámbito de aplicación, xa que constrúen perfís asociados a identificadores de dispositivo.
• Cookies de sesión para funcionalidades básicas (cestas da compra, estado de inicio de sesión) son xeralmente admisibles baixo a base de necesidade contractual, de xeito similar ao GDPR.
• Cookies de terceiros que comparten datos con partes externas activan requisitos adicionais da PIPL en materia de divulgación a terceiros e, potencialmente, as normas de transferencia transfronteiriza.

Aplicación da PIPL: consecuencias reais

Ao contrario que algunhas leis de privacidade que existen principalmente sobre o papel, a aplicación da PIPL é activa e crecente. A Cyberspace Administration of China, xunto co Ministerio de Seguridade Pública e outras axencias, tomou medidas concretas:

• As principais tendas de apps en China eliminaron aplicacións por recollida excesiva de datos e por non obter o consentimento adecuado. Centos de apps foron retiradas en campañas de aplicación.
• Multouse empresas por recoller información persoal máis aló do necesario para o fin declarado.
• A CAC emitiu advertencias públicas a empresas cuxas políticas de privacidade non describían adecuadamente as actividades de tratamento de datos.
• Nos casos máis graves, a PIPL permite multas de ata 50 millóns de RMB (aproximadamente 7 millóns de USD) ou o 5% dos ingresos do ano anterior, xunto coa posible suspensión das operacións comerciais.

Para as empresas internacionais, o risco é tanto regulatorio como comercial. O incumprimento pode levar á eliminación de apps das tendas chinesas, ao bloqueo de servizos e a danos reputacionais nun mercado de máis de mil millóns de usuarios de internet.

Segmentación xeográfica de visitantes chineses

Se o teu sitio web atende unha audiencia global que inclúe usuarios chineses, necesitas unha estratexia de consentimento segmentada por xeografía. Isto significa detectar cando un visitante se atopa en China e presentar mecanismos de consentimento que cumpran os requisitos da PIPL:

• Detección baseada en IP: Usa xeolocalización por IP para identificar visitantes da China continental. É o mesmo enfoque que se utiliza para a segmentación por GDPR de visitantes do EEE.
• Sinais baseados na lingua: Se o idioma do navegador do usuario está configurado en chinés (zh-CN ou zh-TW), isto pode servir como sinal secundario, aínda que non debería ser o único determinante.
• Contido do banner de consentimento: O aviso de consentimento mostrado aos usuarios chineses debe estar en chinés simplificado, indicar claramente os fins da recollida de datos, identificar o responsable do tratamento e ofrecer un mecanismo real para rexeitar o tratamento non esencial.
• Consentimento separado para tratamentos sensibles: Se utilizas cookies para perfilado de comportamento ou seguimento de localización, os usuarios chineses deberían ver unha solicitude de consentimento separada e máis granular para estas categorías.

Xestionar GDPR e PIPL cunha única CMP

A maioría dos sitios web globais necesitan cumprir varios réximes de privacidade ao mesmo tempo. O reto é presentar a experiencia de consentimento adecuada ao usuario adecuado sen manter sistemas separados. Así é como funciona un enfoque unificado:

A detección de rexión como base

A CMP debe determinar primeiro a localización do visitante. En función disto, aplica as regras de consentimento apropiadas:

• Visitantes do EEE/Reino Unido: Banner de consentimento TCF 2.3 con Consent Mode V2, modelo de opt-in, todos os requisitos do GDPR.
• Visitantes chineses: Aviso de consentimento conforme coa PIPL en chinés simplificado, opt-in para o tratamento non esencial, divulgación clara das transferencias transfronteirizas se os datos saen de China.
• Visitantes dos EUA: Regras específicas por estado (CCPA/CPRA para California, leis estatais de Colorado, Connecticut, Virxinia, etc.), normalmente modelos de opt-out.
• Outras rexións: Comportamento por defecto baseado na tolerancia ao risco do editor e nas leis locais aplicables.

Consideracións sobre o almacenamento do consentimento

Os requisitos de localización de datos da PIPL significan que os rexistros de consentimento de usuarios chineses poden ter que almacenarse en servidores dentro de China se os teus volumes de tratamento de datos superan os limiares da CAC. Para a maioría dos sitios internacionais con tráfico incidental de China, é pouco probable que se alcance este limiar, pero os sitios de alto tráfico que teñan como obxectivo China deberían consultar con asesoría xurídica local.

Documentación das transferencias transfronteirizas

Cando un usuario chines consinte o uso de cookies que envían datos a servidores fóra de China (que é o caso de practicamente todas as plataformas occidentais de analítica e publicidade), a CMP debería documentar este consentimento como parte da xustificación da transferencia transfronteiriza. O aviso de consentimento debería mencionar explicitamente que os datos se transferirán internacionalmente.

Pasos prácticos para o cumprimento global

Velaquí un plan de acción priorizado para sitios web que necesiten abordar a PIPL xunto co GDPR:

• Audita o teu tráfico procedente de China: Revisa a túa analítica para entender que porcentaxe dos teus visitantes procede de China. Se é desprezable, o teu risco é menor pero non nulo.
• Asocia as túas cookies ás categorías da PIPL: Determina que cookies tratan información persoal segundo a definición da PIPL e se algunha implica información persoal sensible.
• Implementa consentimento segmentado por xeografía: Usa unha CMP que poida presentar experiencias de consentimento diferentes segundo a localización do visitante, coa lingua e a base xurídica adecuadas para cada rexión.
• Actualiza a túa política de privacidade: Engade unha sección que aborde especificamente os dereitos segundo a PIPL e as túas prácticas de tratamento de datos para usuarios chineses.
• Revisa as transferencias transfronteirizas: Documenta como se transfiren e tratan internacionalmente os datos persoais dos usuarios chineses e asegúrate de que contas cun mecanismo de transferencia válido.

Nota importante: O cumprimento da PIPL para sitios web que teñen como obxectivo China pode ser complexo, e as orientacións reguladoras aínda están a evolucionar. Este artigo ofrece unha visión xeral, pero as organizacións con operacións ou bases de usuarios significativas en China deberían buscar asesoramento xurídico específico para a súa situación.

FlexyConsent admite experiencias de consentimento segmentadas por rexión con regras específicas, o que che permite abordar GDPR, PIPL, CCPA e outras leis de privacidade desde unha única plataforma. O plan gratuíto inclúe xeodetección e configuración de consentimento multi-rexión.