Como ya adelantábamos en este blog hace unos meses, la nueva ley de seguridad cibernética china entró en vigor el pasado 1 de junio de 2017. Se trata de una ley que, en aras de la seguridad nacional china, regula un amplio abanico de cuestiones entorno a la ciberseguridad, si bien de forma muy genérica y con excesivos términos vagamente definidos. A modo de ejemplo, el texto incluye una serie de medidas que permiten a las autoridades chinas revisar aquellos productos y servicios tecnológicos que afecten a la seguridad nacional, si bien no se especifica qué tipología de productos o servicios afectarían a la vaga definición de “seguridad nacional”.
Respecto a su ámbito de aplicación, la ley distingue entre meros “operadores de red” y “operadores de infraestructuras de información crítica”. En esta última categoría, según ha sido interpretada por los juristas chinos, se incluirían industrias como las telecomunicaciones, salud pública, o bienestar social. Sin embargo, los borradores publicados hasta la fecha por la Cyberspace Administration of China (CAC) parecen apuntar a una definición más amplia del concepto de operadores de infraestructuras de información crítica.
La ley, entre otras, regula en su Artículo 37 la obligación de los operadores de infraestructuras de información crítica a almacenar sus datos dentro del territorio chino, so pena de ver su empresa suspendida, cerrada, o su licencia de negocio revocada. Además, obliga a todos los operadores, sean operadores de infraestructuras de información crítica o meros operadores de red, a proporcionar apoyo técnico y asistencia a los cuerpos policiales y a las agencias de inteligencia chinas en aras de salvaguardar la “seguridad nacional”.
A fin de soslayar la vaguedad de la ley, está prevista la redacción de un reglamento de desarrollo que regule en mayor detalle las medidas que los operadores deberán implementar para evaluar el grado de seguridad de las transferencias de información personal que realicen al exterior del país. En otras palabras, el reglamento contendrá información pormenorizada sobre la información que dichos operadores estarán autorizados a transferir al extranjero, señalando aquellas tipologías de información que pueden ser transferidas y, en su caso, el procedimiento instaurado para ello. A este respecto, se prevé la obligación de los operadores de redes de llevar a cabo una evaluación de seguridad sobre la necesidad, la legalidad y la logística de enviar información personal fuera del país. Otro aspecto a regular en este sentido reside en el consentimiento del individuo cuya información personal se pretende transferir. A estos efectos, cabe señalar que la ley condiciona las transferencias de información personal dirigidas al exterior del país a (i) la previa notificación y (ii) al consentimiento del individuo afectado. No obstante, el Artículo 42 de la ley exime dicho consentimiento en aquellos casos en los que la información se presente disociada.
Las sanciones previstas en la nueva ley son relativamente severas a nivel económico, pues pueden ascender hasta un millón de RMB (aproximadamente, 130.000 EUR). Hasta la fecha, las autoridades chinas han impuesto nueve sanciones derivadas de incumplimientos de esta nueva ley de seguridad cibernética, solo una de ellas tiene carácter pecuniario: 10.000 RMB a la sociedad incumplidora y 5.000 RMB a su representante.
Con todo, y a la vista de la enorme vaguedad de la ley, se recomienda a las empresas chinas, o aquellas que interactúen directa o indirectamente con China, que sean especialmente cautelosas en todo aquello concerniente al ámbito de la ciberseguridad, siguiendo de cerca las novedades que surjan alrededor de la nueva ley, su normativa de desarrollo, y las directrices que las agencias gubernamentales chinas puedan emitir al respecto.
En cualquier caso, haremos un seguimiento de las novedades que puedan surgir al respecto a través de este blog.
Claudia Ros y Chesy Chen
