A Comissão de Assuntos Ciberespaciais da China (“CAC”) promulgou em 7 de julho de 2022 as Medidas sobre Avaliação de Segurança da Transferência de Dados Transfronteiriça (“Medidas”), que delineiam os procedimentos de avaliação de segurança necessários para as transferências de dados transfronteiriços. As Medidas fornecem esclarecimentos sobre a exigência geral de realizar uma avaliação de segurança antes de exportar dados para fora da China, conforme estabelecido no Artigo 38 da Lei de Proteção de Informações Pessoais.
De acordo com as Diretrizes de Interpretação que complementam as Medidas, uma transferência de dados transfronteiriços é definida como uma transferência de dados para o exterior durante a operação de uma empresa na China continental, bem como o uso de dados, seja através de acesso remoto ou não, por indivíduos e organizações no exterior.
Uma avaliação de segurança é obrigatória se alguma das seguintes opções se aplicar em relação às transferências de dados transfronteiriços:
- A transferência envolve dados considerados “importantes”, que são definidos como dados que podem constituir uma ameaça à segurança nacional, à estabilidade econômica e social, à saúde pública e à segurança se forem adulterados, destruídos, vazados ou obtidos ou utilizados de forma ilegal;
- A transferência de informações pessoais por “operadores de infraestrutura de informação crítica”, que envolvem sistemas, infraestruturas e serviços que são parte integrante do bom funcionamento da economia e da sociedade de uma nação, tais como serviços públicos de comunicação e informação, fornecedores de energia, água e transporte;
- A transferência de informações pessoais por processadores de dados que lidam com informações pessoais de mais de um milhão de indivíduos;
- A transferência de informações pessoais por processadores de dados que exportaram informações pessoais de mais de 100.000 indivíduos ou informações pessoais consideradas “sensíveis” de mais de 10.000 indivíduos desde 1 de janeiro do ano anterior;
- Outras circunstâncias, conforme estipulado pelo CAC.
Uma auto-avaliação deve ser realizada antes do pedido de uma avaliação de segurança com o CAC, que deve incluir conclusões em relação ao seguinte:
- A finalidade, escopo e meios da transferência de dados;
- O nível de sensibilidade dos dados e os riscos que representam para o interesse nacional e os direitos individuais;
- Se o usuário estrangeiro dos dados considerou adequadamente suas obrigações e responsabilidades relacionadas à proteção de dados no contrato finalizado;
- O risco de que os dados sejam adulterados, vazados, obtidos ilegalmente ou utilizados durante e após a transferência.
Para solicitar uma avaliação de segurança com o CAC, o processador de dados deve apresentar, junto com sua carta de solicitação, a auto-avaliação e os documentos contratuais entre as partes no que diz respeito à proteção da segurança dos dados. Com base em fatores que não são diferentes daqueles que formam a autoavaliação, o CAC pode levar até 45 dias úteis para realizar a avaliação de segurança. Sem a aprovação do CAC, não será permitida a transferência de dados transfronteiriços. Uma vez aprovado, o processador de dados pode proceder à exportação de dados em conformidade com as regras e regulamentos relevantes. A avaliação de segurança é geralmente válida por dois anos, após os quais a aprovação deve ser solicitada novamente.
Entrando em vigor em 1 de setembro de 2022, espera-se que as Medidas tenham amplas implicações para as empresas estrangeiras que operam na China e que têm uma necessidade legítima de exportar dados para fora da China, seja para suas subsidiárias ou outras partes afiliadas.
Além disso, o efeito retrospectivo das Medidas exige uma revisão sistemática dos acordos de transferência de dados atuais e passados para garantir a conformidade e uma continuação ininterrupta das atividades de compartilhamento de dados.