China publicó recientemente los segundos borradores de su Ley de seguridad de datos (DSL) y su Ley de protección de información personal (PIPL) para comentarios públicos (consulte el análisis aquí ).
Antilavadodedinero / FCPA
Entre otras disposiciones, las dos leyes impondrían un nuevo requisito de que, si una agencia judicial o de ejecución fuera de China solicita datos almacenados en China, ya sean datos personales o datos no personales, las empresas deben obtener primero la aprobación del gobierno chino antes de transferir los datos, o enfrentarse a posibles sanciones, como multas.
Una vez promulgadas, DSL y PIPL se sumarán a un mosaico de leyes y regulaciones que afectan las transferencias de datos fuera de China, incluida, por ejemplo, la Ley de Secretos de Estado revisada en 2010 y la Ley de Asistencia Judicial Penal Internacional (ICJAL) en 2018 (que sobre lo que escribimos para el Blog de la FCPA aquí y aquí ). Un cuadro que compara las restricciones de transferencia relacionadas con la aplicación en el borrador de DSL, el borrador de PIPL y la ICJAL está disponible a pedido.
Fuera del contexto de la investigación y el litigio, el DSL y el PIPL, junto con la Ley de Ciberseguridad de China, establecerán un marco regulador complejo de protección de datos y ciberseguridad que regirá las transferencias transfronterizas de datos personales y no personales.
Las disposiciones propuestas en DSL y PIPL complementarían las leyes existentes de varias maneras:
(1) DSL y PIPL juntos cubren una amplia gama de datos
(2) el DSL y el PIPL se aplican a todas las solicitudes de agencias judiciales y de ejecución fuera de China, sin distinguir entre solicitudes (a diferencia de la ICJAL, que se aplica solo a asuntos penales), y
(3) estas leyes imponen sanciones por violaciones (a diferencia de la ICJAL, que no tiene sanciones por incumplimiento).
Las nuevas disposiciones hacen limitar el alcance de los datos sujetos a dichas restricciones a los datos almacenados “en China”, aunque este término se deja sin definir en ambas leyes.
El artículo 35 de la DSL establece que si una agencia judicial o de ejecución fuera de China solicita datos almacenados dentro de China, dichos datos no se proporcionarán sin la aprobación de una «agencia gubernamental competente» no especificada en China (presumiblemente el Ministerio de Justicia y posiblemente otros ), excepto para las solicitudes de datos que están sujetas a un tratado o acuerdo separado, donde China, como parte del tratado o acuerdo, «puede» cumplir con dichas solicitudes. El DSL establece que no se aplica a secretos de estado, información personal o datos militares, pero se aplica a todos los demás escenarios en los que las empresas procesan datos no personales.
El artículo 46 de la DSL describe las posibles sanciones por infracciones, que van desde una advertencia hasta una multa entre 100.000 yuanes y 1 millón de yuanes (entre 15.500 y 155.000 yuanes) para las empresas y una multa entre 20.000 y 200.000 yuanes (entre 3.100 y 31.000 yuanes). para empleados responsables.
El artículo 41 de la PIPL incluye una prohibición casi idéntica de transferir información personal almacenada en China a una agencia judicial o de ejecución fuera de China sin aprobación previa. La PIPL define «información personal» como «varios tipos de información electrónica o registrada de otra manera relacionada con una persona física identificada o identificable», que es en gran medida coherente con las definiciones utilizadas por el Reglamento general de protección de datos (GDPR) de Europa y la Ley de ciberseguridad de China.
La PIPL no incluye una multa específica por violar este artículo, pero las empresas que violen la PIPL pueden estar sujetas a una multa de referencia de hasta 1 millón de RMB (aproximadamente $ 155,000). Si la infracción se considera «grave», la multa, además de la devolución de ingresos ilegales, puede aumentarse a 50 millones de yuanes (unos 7,8 millones de dólares) o al cinco por ciento de los ingresos anuales de la empresa durante el año financiero anterior. La infracción también puede incluirse en el historial de la empresa en el sistema de crédito social de China .
El borrador de DSL y PIPL deja sin respuesta una serie de preguntas, incluyendo qué agencias de fuera de China pueden calificar como «agencias judiciales y de ejecución», cómo se pueden ver afectadas las solicitudes de datos almacenados en Hong Kong y Macao, qué datos se pueden considerar como «almacenados ”En China, y el proceso de aprobación preciso para transferir datos fuera de China.
Aunque persisten las incertidumbres con respecto al plan del gobierno chino para implementar estas disposiciones, las restricciones propuestas en DSL y PIPL complican aún más el dilema que una empresa multinacional puede enfrentar cuando se enfrenta a una solicitud del gobierno o una orden judicial para producir datos o documentos almacenados en China: cumplir con la solicitud y enfrentarse a posibles sanciones y dificultades por violar la ley china, solicitar la aprobación del gobierno chino (que puede llevar un tiempo prolongado o no tener éxito en última instancia, e incluso puede estar prohibido por las leyes del país solicitante), o negarse a Cumplir con la solicitud y enfrentar consecuencias adversas bajo las leyes del país solicitante. Sobre este trasfondo,
Estos factores pueden incluir:
- Las circunstancias de la transferencia de datos. Por ejemplo, ¿los datos son para una revisión, auditoría o investigación puramente interna? Si es así, ¿qué probabilidad hay de una divulgación posterior, ya sea voluntaria o involuntaria, a una agencia gubernamental en el futuro? ¿Está la empresa bajo orden judicial o sujeta a otros procesos obligatorios para producir tales datos? ¿O alguna agencia de ejecución no china como el DOJ o la SEC ya ha solicitado los datos?
- La medida en que los datos almacenados en China están controlados por la entidad que recibe la solicitud de la agencia judicial o de ejecución . Según la ley de EE. UU., Las empresas deben producir datos y documentos que estén en su posesión, custodia o control, independientemente de dónde se encuentren esos datos y documentos y de qué estatutos de bloqueo en otras jurisdicciones podrían restringir las transferencias transfronterizas. El hecho de que una empresa tenga «posesión, custodia o control» sobre las pruebas almacenadas en el extranjero es una evaluación basada en hechos y puede depender de factores como la capacidad práctica de la empresa para acceder a los datos desde fuera de China y la propiedad contractual y relaciones entre las filiales corporativas relevantes.
- Si los datos o la información contenida en los datos están disponibles en otras ubicaciones o por otros medios . Por ejemplo, es posible que los datos ya existan en servidores fuera de China porque se enviaron a empleados ubicados fuera de China en el curso normal del negocio o para otros fines.
- El nivel de interés de China o del país solicitante en los datos . Como ejemplo simplificado, una solicitud de informes de gastos de los empleados almacenados en los sistemas financieros de una empresa privada en China presumiblemente sería de menos interés para el gobierno chino que la información sobre las ventas de la empresa a una entidad sensible afiliada al gobierno chino. (La búsqueda de aprobaciones puede alertar a las autoridades sobre situaciones de las que pueden no haber tenido conocimiento, lo que aumentaría el riesgo de investigaciones paralelas o acciones de cumplimiento).
Según el plan legislativo de China, es probable que tanto el DSL como el PIPL se promulguen en los próximos dos o tres meses. Aunque el momento es menos seguro, las regulaciones de implementación deben seguir a partir de entonces para proporcionar más orientación regulatoria sobre cómo se interpretarán e implementarán estas dos disposiciones.