A China aprovou uma nova lei de proteção de dados pessoais que detalha os regulamentos sobre coleta, uso e armazenamento. Inclui processamento de dados por empresas sediadas fora da China e abrange requisitos para organizações, como a obrigação de nomear um indivíduo na China responsável por garantir a conformidade com a nova lei.
O governo chinês aprovou na sexta-feira a Lei de Proteção de Informações Pessoais (PIPL), delineando um conjunto de regras sobre como os dados pessoais devem ser coletados, usados e armazenados. Desde que a lei foi lançada no ano passado, ela passou por algumas revisões antes de ser aprovada.
Para entrar em vigor a partir de 1º de novembro, o projeto de lei foi aprovado para lidar com o “caos” criado pelos dados, com plataformas online coletando dados pessoais em excesso, de acordo com um relatório por Agência de Notícias Xinhua. A agência de notícias estatal observou que algumas empresas implantaram sistemas de reconhecimento facial sem autorização, capturando “secretamente” os rostos dos consumidores e outros dados biométricos.
A China é o lar de 989 milhões de usuários online a partir do final de 2020.
“A China sempre atribuiu grande importância à segurança das informações pessoais. A lei de proteção de informações pessoais esclarece as regras sobre o processamento e o fornecimento transfronteiriço de informações pessoais.” Xinhua citou Zang Tiewei, porta-voz da Comissão de Assuntos Legislativos do Comitê Permanente da APN, que aprovou o projeto de lei na sexta-feira.
Zang observou que houve um maior escrutínio sobre tecnologias que realizam perfis de usuários e executam algoritmos de recomendação, o que o governo acredita ter levado a problemas como discriminação de preços baseada em dados. As novas leis visam resolver esses problemas, acrescentou.
De acordo com Xinhuao PIPL estipula que as marcas não devem implantar táticas de marketing voltadas para “características pessoais” e devem fornecer aos consumidores opções para recusar o marketing direcionado.
As principais plataformas online que possuem dados pessoais de uma grande base de clientes também devem estabelecer um órgão independente, composto principalmente por partes externas, para supervisionar como as informações foram tratadas.
Além disso, essas empresas terão que estabelecer políticas de proteção de dados com base em “abertura, equidade e justiça”, bem como publicar regularmente relatórios sobre suas iniciativas de proteção de dados.
No que diz respeito aos sistemas de reconhecimento facial, a lei exige que os sinais sejam exibidos com destaque em locais públicos onde tais equipamentos e imagens são implementados e capturados. Além disso, a coleta e o uso de tais dados devem ser limitados à “salvaguarda da segurança pública”.
As empresas que lidam com consumidores chineses devem garantir a conformidade
Modelado amplamente após o Regulamento Geral de Proteção de Dados da Europa (GDPR), o PIPL estabeleceu uma série de obrigações, diretrizes administrativas e ações de execução em relação ao processamento de dados pessoais, de acordo com um postagem no blog publicado sexta-feira pelo Future of Privacy Forum (FPF). O relatório foi escrito em conjunto pela diretora da FPF para a Ásia-Pacífico, Clarisse Girot, a diretora global de privacidade Gabriela Zanfir-Fortuna e o analista de políticas para privacidade global, Hunter Dorwart.
Eles observaram que o PIPL se aplica a dados pessoais transferidos para fora da China, impondo obrigações aos manipuladores antes que esses dados sejam transferidos para o exterior, como o cumprimento de uma avaliação de segurança pelas autoridades relevantes. Também inclui avaliações de risco obrigatórias para processos específicos, como tomadas de decisão automatizadas que podem ter “uma grande influência” sobre os consumidores.
As organizações devem estabelecer uma entidade dedicada ou nomear um representante na China responsável por questões relacionadas ao processamento de dados. O nome e detalhes de contato de tais representantes teriam de ser fornecidos às autoridades relevantes que supervisionam a implementação da lei.
O PIPL também se estende ao processamento de dados por empresas sediadas fora da China quando uma das três condições for atendida, como casos em que o processamento de dados é realizado para o fornecimento de produtos ou serviços a consumidores na China, bem como quando os dados são usados para analisar ou avaliar as atividades dos consumidores na China.
A terceira condição, em particular, refere-se a “outras circunstâncias previstas em leis ou regulamentos administrativos”, que a FPF disse deixar uma “margem de discricionariedade” às autoridades chinesas para “alargar ainda mais a jurisdição de braço longo da lei em casos transfronteiriços cenários”.
A FPF observou ainda um “distinto sabor de segurança nacional” no PIPL, que é mais aparente em referência às disposições sobre localização de dados e transferências transfronteiriças.
“A lei incorpora disposições que afirmam a intenção da China de defender sua soberania digital”, escreveram os autores. “Entidades estrangeiras que infrinjam os direitos dos cidadãos chineses ou ponham em risco a segurança nacional ou os interesses públicos da China serão colocadas em uma lista negra e quaisquer transferências de informações pessoais de cidadãos chineses para essas entidades serão restritas ou mesmo proibidas.”
“A China também retribuirá contra países ou regiões que tomem ‘medidas discriminatórias, proibitivas ou restritivas contra a China em relação à proteção de informações pessoais” https://www.zdnet.com/article/china-pushes-through-data- proteção-lei-que-aplica-transfronteiriça/.”
De acordo com o relatório da FPF, a nova lei chinesa tem um quadro de aplicação complexo que inclui sanções financeiras até 5% do volume de negócios de uma organização, bem como ações punitivas, como ordens para parar de processar dados e confisco de lucros obtidos ilegalmente.
Se uma empresa se recusar a corrigir a violação, poderá ser multada em até 1 milhão de yuans (US$ 150.000). Os funcionários diretamente responsáveis pela violação de dados também podem ser multados em 10.000 yuans (US$ 1.500) a 100.000 yuans (US$ 15.000). Em violações mais graves, as penalidades financeiras podem chegar a 50 milhões de yuans (US$ 7,5 milhões) ou 5% da receita anual da empresa no ano fiscal anterior.
Omer Tene, vice-presidente e diretor de conhecimento da Associação Internacional de Profissionais de Privacidade (IAPP), disse que a nova lei exigiria o envio de transferências de dados cruzados para a Administração do Ciberespaço da China (CAC) para avaliação de segurança. Além disso, as organizações que lidam com grandes volumes de dados, que Tene observou que seriam definidas pelo CAC, também terão dados armazenados localmente na China.
Em um série de tweets postado um dia antes da aprovação do PIPL, ele acrescentou que a lei era “fortemente baseada no consentimento”, sem previsão de processamento de dados com base em “interesse legítimo” – embora isso não incluísse a necessidade de cumprir contratos ou conformidade com uma obrigação legal.
“Se você está fazendo negócios na China, procure aconselhamento jurídico. Eles não estão brincando”, alertou.
Didi Global foi removido das lojas de aplicativos na China seguindo uma ordem do governo para fazê-lo. A mudança ocorre apenas alguns dias depois que o popular aplicativo chinês de compartilhamento de viagens estreou na Bolsa de Valores de Nova York.
No mês passado, o CAC ordenou que a plataforma chinesa de compartilhamento de viagens Didi removesse seu aplicativo das lojas de aplicativos locais para violação de regulamentos que regem a coleta e o uso de dados pessoais. Didi foi ainda instruído a corrigir “problemas existentes” e “proteger efetivamente” os dados pessoais dos usuários.
No início de maio, o CAC destacou 33 aplicativos móveis por coletar mais dados do usuário do que o necessário para oferecer seus serviços. Essas empresas, que incluíam a Baidu e a Tencent Holdings, também foram instruídas a preencher as lacunas. Citando reclamações do público, a agência governamental disse que os operadores dos aplicativos infringiram as regras depois que as autoridades avaliaram vários aplicativos populares, incluindo aplicativos de navegação em mapas.
Na semana passada, o Ministério da Indústria e Tecnologia da Informação também disse 43 aplicativos foram encontrados com dados de usuários transferidos ilegalmentee ordenou que suas empresas-mãe fizessem retificações.
COBERTURA RELACIONADA
source – www.zdnet.com
