As empresas internacionais que processam informações da China devem obter o consentimento do usuário e estabelecer um mapa de dados, para que não entrem em conflito com a Lei de Proteção de Informações Pessoais (PIPL) do país. Especificamente, eles devem examinar atentamente o fluxo de dados transfronteiriço e a residência, mesmo que ainda seja necessária mais clareza sobre alguns componentes da nova legislação.
No entanto, as organizações que já estão configuradas para cumprir o Regulamento Geral de Proteção de Dados da Europa (GDPR) têm uma boa base para trabalhar no sentido de cumprir o PIPL.
Aprovada em agosto, a legislação chinesa entrou em vigor no mês passado, estabelecendo regras básicas sobre como os dados devem ser coletados, usados e armazenados. Ele descreve os requisitos de processamento de dados para empresas sediadas fora da China, incluindo a aprovação em uma avaliação de segurança conduzida por autoridades estaduais.
As corporações multinacionais (EMNs) que movimentam informações pessoais do país também deverão obter certificação em proteção de dados de instituições profissionais. O governo chinês descreveu a legislação como necessário para resolver o “caos” criado, no qual as plataformas online têm coletado excessivamente dados pessoais.
Como foi modelado amplamente de acordo com o GDPR, as empresas que se prepararam para a legislação de proteção de dados da UE estariam em melhor posição para se preparar para a conformidade com o PIPL.
Por exemplo, ambos os projetos explicitam a necessidade de obter o consentimento do usuário e regras sobre a soberania dos dados, de acordo com Xin Leo, um associado sênior com sede em Xangai do escritório de advocacia Pinsent Masons.
Como o GDPR, as empresas precisam obter consentimento antes de coletar e usar dados de clientes no PIPL. A legislação chinesa também delineou cláusulas padrão que deveriam ser incluídas em contratos de serviço ou acordos entre ambas as partes – uma que forneceu os dados e a outra que os recebeu – que eram semelhantes às detalhadas no GDPR.
Isso garantiu que as organizações que coletaram e processaram dados forneceriam níveis semelhantes de proteção sob o PIPL como fariam com o GDPR, disse Xin em uma entrevista à ZDNet.
Estar em conformidade com o GDPR colocou as empresas no caminho certo para a adesão ao PIPL, bem como outras legislações chinesas associadas, especificamente, as contas de segurança cibernética de 2017 e 2021 do país, disse JoHannah Harrington, diretora jurídica da Elements Global Services, especializada em tecnologia de RH e conformidade. A empresa trabalha com escritórios de advocacia locais na China, onde também possui sócios da secretaria corporativa.
Harrington também apontou a necessidade de consentimento do usuário antes que os dados possam ser processados ou transferidos para fora da China como um componente comum compartilhado pelo PIPL e pelo GDPR.
Além disso, ambas as leis exigiam que as organizações atendessem a certos requisitos, como uma finalidade clara e razoável, para processar os dados coletados e que tivessem processos em vigor para manter a proteção dos dados. Isso incluiu a implantação de ferramentas de segurança de dados e a condução de processos de mitigação de riscos, como firewall e avisos de privacidade online.
Como o GDPR, o PIPL destaca a necessidade de garantir a aceitação do usuário e a reclassificação de dados, disse Sovan Bin, CEO da Odaseva. O fornecedor de gerenciamento de dados oferece ferramentas para garantir que os dados sejam compatíveis, incluindo GDPR e PIPL, à medida que se movem pela rede global de uma organização.
Os consumidores protegidos por ambas as legislações também têm o direito de pedir para serem excluídos ou removidos do banco de dados de uma organização, disse Bin à ZDNet.
Os esforços conjuntos para definir a propriedade dos dados e devolver o consentimento aos consumidores, independentemente de onde seus dados estivessem, começaram com o GDPR, que foi lançado em 2016. Ele disse que a legislação da UE apresentou o conceito de transferências de dados transfronteiriças, portanto, regras que exigem as organizações obter consentimento sempre que movessem dados para fora do país de origem do usuário não eram exclusivos do PIPL.
Os reguladores chineses, porém, tiveram o benefício de tempo para avaliar o impacto de tais leis e adotar uma abordagem moderna, observou ele.
Os dados se tornaram um ativo essencial para todas as organizações ao longo dos anos, enquanto as tecnologias também evoluíram. As regulamentações estabelecidas na década de 1990, por exemplo, não eram mais relevantes com o surgimento das tecnologias de nuvem, disse ele, acrescentando que vários países estavam modernizando suas regulamentações de dados para que fossem mais compatíveis com a era da nuvem.
Ainda restam dúvidas sobre o consentimento do usuário, conflito com as leis internacionais
Porém, embora o PIPL compartilhe várias semelhanças com o GDPR, há algumas diferenças significativas entre as duas legislações que as organizações devem observar.
De acordo com Harrington, o PIPL não inclui interesses ou finalidades legítimas como condição para o processamento de dados, ao contrário do GDPR. Isso, por exemplo, permite que as organizações processem os dados pessoais de seus funcionários, visto que isso é considerado um motivo legítimo.
A exclusão de finalidades legítimas poderia significar que as multinacionais teriam que buscar o consentimento de todos os funcionários na China, se ainda não o tivessem feito, antes que seus departamentos de RH tivessem permissão para processar as informações pessoais do funcionário.
As incertezas sobre o conceito de consentimento do usuário, que ainda não foi bem definido no PIPL, foi um dos motivos pelos quais as principais empresas de tecnologia optaram por deixar o mercado chinês, disse Harrington.
A clareza em torno do consentimento foi fundamental porque, de acordo com a legislação chinesa, ele deve ser aplicado antes que os dados possam ser processados. Ela acrescentou que, como a lei é nova e não testada, definições mais claras em algumas áreas ainda precisam ser estabelecidas.
De acordo com Xin, a legislação delineou três áreas que as organizações deveriam abordar no que diz respeito às transferências de dados transfronteiriças. Isso incluiu a necessidade de uma avaliação de segurança do governo, para obter aprovação, se os dados processados excederem um limite especificado pela legislação.
Alguns requisitos exigiam que certas certificações fossem estabelecidas, em instâncias específicas, entre o exportador e o receptor de dados, mas ainda não estava claro como tais procedimentos deveriam ser realizados, disse ele.
Ambas as partes também precisariam concordar com um modelo, ou modelo, de contrato a ser estipulado pelo regulador. Os termos deste contrato, no entanto, ainda não foram divulgados.
Havia mais incerteza sobre as regras do PIPL relativas à soberania dos dados, disse Xin, segundo as quais os dados pessoais armazenados na China não poderiam ser fornecidos a jurisdições ou organizações estrangeiras sem o consentimento do governo chinês.
Embora essa política não seja nova, como já está declarada na segurança de dados do país e nas leis criminais corporativas internacionais, há dúvidas sobre como isso funcionará ao lado das leis internacionais. O Lei CLOUD (Esclarecimento do Uso Legal de Dados no Exterior) dos EUA, em particular, dá poder de aplicação da lei dos EUA para exigir acesso aos dados armazenados por provedores de nuvem, incluindo dados mantidos fora dos EUA.
Fazer isso na China seria uma violação do PIPL, disse Xin, o que poderia criar um dilema para as multinacionais que operam no país. Ele acrescentou que as disposições, se houver, e os procedimentos que as organizações devem seguir sob tais circunstâncias não são claros.
Bin observou que as organizações estavam gastando mais esforços, em particular, para garantir a conformidade com as especificações relacionadas aos dados transfronteiriços e à residência de dados. O PIPL delineou certos limites sob os quais as organizações teriam que aderir às diretrizes sobre como processar dados internacionais, disse ele. As empresas que lidam com dados pessoais de mais de 1 milhão de usuários, por exemplo, ou que tiveram que transferir dados pessoais de mais de 100.000 usuários, teriam que cumprir políticas específicas.
Políticas adicionais relativas à residência de dados também se aplicam a certos tipos de dados, disse ele. Por exemplo, as empresas que processam dados considerados mais confidenciais devem passar por uma avaliação de segurança da Cyberspace Administration of China (CAC).
Ele aconselhou as empresas a ter mais cuidado ao lidar com esses dados além das fronteiras, para garantir a conformidade com o PIPL.
Ele observou ainda que, ao contrário do GDPR, em que havia um período de carência de dois anos durante o qual as organizações podiam se preparar antes da execução e das multas serem implementadas, o PIPL não tinha um subsídio semelhante. Além disso, a legislação chinesa foi aprovada e entrou em vigor em um período mais curto, dando às empresas menos tempo para se prepararem para o cumprimento.
Procure um representante local, consentimento como primeiros passos
Embora a legislação seja nova e algumas definições permaneçam obscuras, existem alguns primeiros passos que as organizações podem tomar para cumprir o PIPL. Isso inclui a nomeação de um representante local e o registro, quando necessário, junto às autoridades competentes.
Pedir o consentimento do usuário para todas as formas de dados seria um bom ponto de partida para começar, além de garantir que houvesse um propósito claro para a coleta de dados do usuário, disse Harrington.
Ela também recomendou que as organizações indicassem representantes locais para lidar com processos relacionados a dados na China e realizar avaliações de segurança de seu gerenciamento de dados.
Xin aconselhou as empresas a estabelecer um mapa de dados, incluindo a determinação dos tipos de dados pessoais que mantinham, e a realizar uma análise de conformidade para identificar lacunas entre suas práticas de dados atuais e os requisitos do PIPL.
Eles então precisariam aprimorar suas políticas de dados, bem como a infraestrutura de TI e a estrutura organizacional de acordo para preencher quaisquer lacunas, disse ele.
Com diferentes unidades de negócios processando dados de maneira diferente, ele enfatizou a necessidade das organizações garantirem que tivessem um entendimento abrangente de como todos esses departamentos coletavam e processavam os dados.
Ele também destacou a importância de treinar funcionários e aumentar a conscientização geral sobre as políticas de gerenciamento de dados. As empresas poderiam considerar a nomeação de um representante para cada unidade de negócios que se concentrasse na proteção de dados e se reportasse ao diretor de privacidade de dados da empresa, acrescentou.
Com relação ao tratamento de dados pessoais dos funcionários, Xin também sugeriu que as organizações formulassem suas regras trabalhistas para incorporar a coleta de dados e práticas de proteção. Ao aceitar seu emprego na organização, os funcionários teriam dado consentimento para a coleta e gerenciamento de dados pessoais, conforme estipulado no contrato de trabalho ou manual da empresa.
Isso não exigiria que as empresas obtivessem separadamente o consentimento dos funcionários para o PIPL, disse ele. No entanto, a maioria das multinacionais que processaram dados de funcionários na China provavelmente precisariam fazer uma avaliação separada do impacto da privacidade, observou ele.
Qualquer organização que deseje transferir dados para fora da China também será obrigada a realizar tais avaliações, disse ele, acrescentando que aqueles que fornecem dados pessoais sensíveis a terceiros deveriam fazer o mesmo.
De acordo com o PIPL, os infratores que não cumprirem as ordens para retificar a violação enfrentarão multas de até 1 milhão de yuans ($ 150.000), enquanto a pessoa responsável por garantir o cumprimento pode ser multada entre 10.000 yuans ($ 1.500) e 100.000 yuans ($ 15.000) .
Para casos “graves”, as autoridades chinesas também aplicam multas de até 50 milhões de yuans (US $ 7,5 milhões) ou 5% do faturamento anual da empresa no ano fiscal anterior. Além disso, suas operações comerciais podem ser suspensas ou autorizações e licenças comerciais revogadas.
COBERTURA RELACIONADA
source – www.zdnet.com
