La nueva Ley de ciberseguridad china: se anuncian aclaraciones y retraso en la ejecución

Posted by Reading Time: 5 minutes

Por Alexander Chipman Koty
Traductor Sharon Kwok
Editor Lorena Miera Ruiz

La nueva Ley de ciberseguridad china (la “Ley”) entró en vigencia el 1 de junio de 2017 en medio de la ansiedad generalizada entre la comunidad empresarial extranjera. Varias personas dentro del sector privado estaban preocupadas por los estrictos requisitos de la Ley, el lenguaje ambiguo y la falta de claridad en cuanto al plan de implementación.

Para disipar estas preocupaciones, la Administración del ciberespacio china (ACC) modificó el lenguaje empleado en ciertas partes de la Ley y retrasó la implementación de las provisiones transfronterizas de localización de datos hasta el final de 2018. Mientras que los cambios de última hora añaden claridad a la Ley y dan tiempo extra para que las empresas para que se preparen para cumplir con la nueva legislación, muchas de las cuestiones fundamentales que interesaban a las empresas extranjeras permanecen inalteradas.

Como resultado, las empresas que se encuentran hoy en día tienen negocios en China continental deben revisar esta Ley. Los asesores profesionales pueden ayudar a determinar si su empresa necesita realizar cambios en su estructura comercial para cumplir con la nueva Ley.

Localización de datos retrasada, revisiones de seguridad reducidas

Antes del 1 de junio de 2017, circulaban rumores en la comunidad empresarial de que las autoridades retrasarían la aplicación de la Ley. A pesar de las preocupaciones de las empresas extranjeras y la escasez de directrices de apoyo de las autoridades, la Ley entró en vigor en última instancia el 1 de junio de 2017; la ACC indicó que publicaría todas las directrices y reglamentos de implementación en el período de un año.

Sin embargo, en una reunión con representantes de empresas y gobiernos extranjeros, la ACC ofreció un período de gracia de 19 meses para que las empresas cumplieran con los requerimientos de flujo de datos transfronterizos. Las empresas tienen ahora hasta el 31 de diciembre de 2018 para cumplir con esa parte de la Ley.

Los otros aspectos de la Ley, incluyendo los polémicos requisitos de revisión de seguridad, siguen siendo efectivos a desde el 1 de junio, aunque las autoridades eliminaron la disposición para revisiones automáticas de seguridad de las transferencias en el extranjero de 1.000 GB o más por un operador de red. El borrador revisado de Medidas también indica que “las transferencias internas de datos de la empresa no estarán sujetas a una revisión de seguridad si la empresa no utiliza su red para comercializar datos de forma externa”. Esto sugiere que aquellas empresas que utilizan sus redes exclusivamente para fines internos podrían no estar sujetas a revisiones de seguridad.

Related-Link_CB-icons_2017La nueva ley de ciberseguridad China entra en vigor el 1 de junio

Clarificación del alcance de la localización de datos

El 31 de mayo de 2017, el ACC publicó en su página web una lista de preguntas frecuentes donde se establece que los requisitos de localización de datos sólo se aplican a la información personal y/o datos importantes recopilados o generados por los operadores de infraestructura de información crítica (IIC). Este era el lenguaje utilizado en la Ley original que se aprobó en noviembre de 2016.

El borrador de Medidas para la evaluación de la seguridad de la información personal y los datos críticos que salen del país (las “Medidas”), publicado el 11 de abril de 2017, parecía extender los requisitos de localización de datos a los “operadores de red” además de los operadores de IIC. Dado que una amplia cantidad de empresas se pueden considerar “operadores de redes” con la definición amplia utilizada en las Medidas, la confirmación de la ACC de que los requisitos de localización de datos sólo se aplican a los operadores de IIC es un alivio para las empresas extranjeras que podrían haberse visto afectadas.

Cabe señalar que esta aclaración apareció en la lista de preguntas frecuentes publicada por la ACC, pero no constituye una enmienda oficial a la Ley o las Medidas. Como tal, los que podrían ser considerados operadores de red deben esperar más actualizaciones oficiales y anuncios antes de tomar una decisión final sobre si podrían o no verse afectados por las provisiones de localización de datos.

Aunque la ACC respondió a la confusión que rodeaba a los operadores de red, no restringió la definición vaga del operador de IIC. Según la Ley, los operadores de IIC son entidades que prestan servicios que, si se pierden o dañan, podrían poner en peligro la seguridad nacional, la economía o el interés público de China.

Entre los ejemplos que figuran en la Ley se incluyen los servicios públicos de comunicaciones e información, energía, transporte, conservación del agua, finanzas, servicios públicos y gobierno electrónico entre otros. El Consejo de Estado lanzará medidas para definir aún más a los operadores de IIC.

Professional-Service_CB-icons-2017 Servicios profesionales de Dezan Shira & Associates

Clarificación de “datos importantes” e “información personal”

La ACC aclaró que los “datos importantes” serán evaluados como datos importantes desde la perspectiva del estado, en lugar de la perspectiva de una empresa o individuo.

En el borrador de las Directrices para la evaluación de la seguridad de las transferencias transfronterizas publicada el 27 de mayo de 2017, “datos importantes” se define ampliamente como datos que pueden “influir o perjudicar al gobierno, el estado, las fuerzas armadas, la economía, la cultura, la sociedad, la tecnología, la información, etc., así como otros asuntos de seguridad nacional”. Los departamentos pertinentes del gobierno tendrán la responsabilidad de clarificar los detalles de lo que se considerará como “datos importantes” dentro de su industria.

La amplitud de esta definición, si bien ahora está ligeramente más detallada que antes, no ayuda a disipar los temores sobre el acceso del gobierno a información clave, como los datos de propiedad y código fuente, ya que deja un margen considerable para que el gobierno defina “datos importantes”.

El borrador de las Medidas revisado también aclaró que la “información personal” puede enviarse fuera de China con el consentimiento implícito, por ejemplo, enviando un correo electrónico al extranjero. Anteriormente, no estaba claro si se necesitaría el consentimiento expreso para exportar datos personales al extranjero.

Related-Link_CB-icons_2017La Gran Muralla china de Internet: implicaciones para los negocios

Se recomienda proactividad

Si bien las empresas tienen hasta finales de 2018 para cumplir con los requisitos de localización de datos y muchas regulaciones y pautas de apoyo aún no han sido finalizadas o emitidas, se recomienda que las empresas tomen medidas de manera proactiva para revisar su exposición a la Ley.

Hace poco, la ACC eliminó docenas de noticias de famosos y chismes que aparecían en plataformas chinas, como Sina Weibo, WeChat, Netease y Baidu, justificando su acción con las disposiciones de privacidad incluidas en la nueva Ley. Además, la Comisión central para la inspección de la disciplina criticó al ACC poco después de que la Ley entrara en vigor, declarando que “hubo un período de tiempo en el que no llevó a cabo de manera oportuna las instrucciones y los requisitos importantes establecidos por el secretario general Xi Jinping”.

Como los reguladores de la ACC han tomado medidas para asegurar el cumplimiento de la Ley y puede que éstos estén bajo la presión de las autoridades superiores para promulgarlas rápidamente, se recomienda a las empresas que tomen medidas proactivas para cumplir con esta Ley. A pesar de que muchas de las medidas exactas a tomar no están claras debido a la ambigüedad de misma, no obstante, un enfoque proactivo demuestra la voluntad de cumplir con los reguladores.

Por lo pronto, se recomienda a las empresas que tengan operaciones y clientes en China que estén pendientes de futuras aclaraciones y medidas de apoyo a la Ley.

Introducción a Dezan Shira & Associates

Con décadas de experiencia operando en el continente asiático, los especialistas de Dezan Shira y Asociados se encuentran bien posicionados para ayudar a las compañías de habla hispana a superar los obstáculos encontrados y lograr el éxito empresarial no sólo en China, sino en el resto de la región, a través de nuestro Spanish Desk. Para obtener más información, por favor contáctenos en la siguiente  dirección: spanishdesk@dezshira.com