Protegendo Informações Pessoais dos Funcionários da China: Ponto Chave para o Gerenciamento de RH

Lei Chinesa de Proteção de Infotmações Pessoais (“LPIP”) entrou em vigor no dia 1 de Novembro de 2021. Acompanhando a LPIP, a Administração de Ciberespaço da China (“ACC”) também publicou o projeto de Medidas para a Avaliação de Segurança de Dados de Saída para consulta pública.

Na maioria dos casos, as empresas multinacionais com operações na China envolverão alguma comunicação entre a China e a sede no exterior. Essas empresas precisam coletar e processar informações de seus funcionários atuais e futuros, desde o processo de recrutamento até o fim do emprego. Portanto, é crucial estudar as disposições relevantes do LPIP que afetam a forma como os empregadores coletam e processam as informações pessoais dos funcionários. Podemos prever alguns cenários em que os empregadores devem ser extremamente cuidadosos:

  • A transmissão de informações entre subsidiárias da China e empresas relacionadas no exterior envolve informações pessoais de funcionários;
  • Os dados de PRE (Planejamento de Recursos da Empresa) da empresa, incluindo informações pessoais de funcionários da China, são hospedados ou submetidos a backup em um servidor no exterior;
  • Um provedor de serviços terceirizado está gerenciando o seguro dos funcionários baseados na China e outros benefícios fora da China;
  • A subsidiária será vendida ou adquirida, e o potencial novo proprietário está organizando a transação por meio de um terceiro no exterior;
  • Uma investigação interna está sendo realizada, exigindo o acesso aos equipamentos eletrônicos dos funcionários.

Na prática, certamente existem casos mais complexos em que uma análise detalhada deve ser realizada. Com base no desenvolvimento atual da estrutura de privacidade de dados, aconselhamos os empregadores a tomar as seguintes ações:

Notificar explicitamente os funcionários e obter seu consentimento por escrito para processar suas informações pessoais

Já é comum que muitos empregadores obtenham “consentimento geral” dos funcionários durante a contratação e o processo de orientação. A prática antiga pode envolver apenas uma declaração geral sobre os contratos do funcionário ou o manual do pessoal. No entanto, essas cláusulas não são mais válidas para cobrir todos os cenários. Avisos separados devem ser dados aos funcionários quando o empregador pretender divulgar informações do funcionário a terceiros, transferir para um local fora da China ou processar informações pessoais confidenciais. No consentimento por escrito, os empregadores devem notificar explicitamente os funcionários sobre itens específicos:

  • Nome e informações de contato do controlador de dados;
  • As finalidades e métodos de processamento de informações pessoais;
  • Categorias e períodos de retenção de informações pessoais a serem processadas; e
  • Métodos e procedimentos para que os funcionários exerçam seus direitos consagrados no LPIP.

Embora o LPIP forneça fundamentos adicionais para processar dados de funcionários em determinadas circunstâncias sem a necessidade de obter consentimento, o escopo preciso dessas exceções ainda não foi esclarecido. Portanto, a melhor política é que os empregadores sejam prudentes em todos os casos.

Realizar uma avaliação de impacto de segurança antes de transmitir informações pessoais para o exterior

De acordo com o projeto de Medidas para a Avaliação de Segurança de Dados de Saída, antes de os empregadores fornecerem informações pessoais de funcionários no exterior, eles devem primeiro realizar autoavaliações de risco de exportação de dados, com foco na avaliação dos seguintes assuntos:

  • Legalidade, adequação e necessidade da finalidade, escopo e métodos de exportação dos dados e do tratamento dos dados pelos destinatários no exterior;
  • Volume, escopo, tipos e sensibilidade dos dados exportados e riscos protencionais à segurança nacional, interesses públicos ou direitos e interesses legais de indivíduos e organizações que possam ser causados pela exportação dos dados;
  • Medidas de gestão e técnicas, e a capacidade dos manipuladores de dados para prevenir riscos como vazamentos e destruição de dados;
  • Responsabilidades e obrigações que o destinatário no exterior se comprometeu a assumir, bem como suas medidas de gestão e técnicas, e a capacidade de cumprir as responsabilidades e obrigações, e se pode garantir a segurança da transferência de dados de saída;
  • Riscos de vazamentos, danos, adulteração e abuso de dados após os dados serem transmitidos para o exterior e posteriormente transferidos;
  • Se os indivíduos cujos dados são transmitidos para o exterior podem acessar facilmente os canais para manter seus direitos e interesses na proteção de informações pessoais.
  • Se os acordos assinados com o destinatário no exterior especificam totalmente as responsabilidades e obrigações na proteção da segurança dos dados.

Além das autoavaliações, se a quantidade de informações pessoais exceder um determinado limite de acordo com as Medidas para a Avaliação de Segurança de Dados de Saída, uma avaliação de impacto de segurança obrigatória por meio do nível provincial do CAC será acionada.

Assine acordos de transferência de dados internacionais com destinatários de dados no exterior

A subsidiária da China deve assinar um acordo de transferência de dados transfronteiriça com cada um de seus destinatários de dados no exterior. O acordo deve fornecer as responsabilidades e obrigações para a proteção da segurança de dados, incluindo:

  • Finalidades e métodos de transmissão dos dados para o exterior e o escopo dos dados de saída;
  • Finalidades e métodos de processamento de dados pelo destinatário no exterior;
  • Localização e duração do armazenamento dos dados no exterior;
  • Como lidar com os dados após o término do período de armazenamento, a conclusão da finalidade acordada ou a rescisão do contrato;
  • Cláusulas restritivas que restringem o destinatário estrangeiro de retransferir os dados transmitidos ao exterior para outras organizações ou indivíduos;
  • Medidas de segurança que devem ser tomadas em caso de qualquer alteração substancial no direito de controle real ou escopo de negócios do destinatário no exterior, ou qualquer alteração no ambiente jurídico do país ou região onde o destinatário no exterior está localizado, o que dificulta a garantia segurança de dados;
  • Responsabilidade por violação da obrigação de proteção de segurança de dados e cláusulas de resolução de litígios vinculativas e executáveis;
  • Cláusulas sobre a correta execução de medidas emergenciais em caso de vazamento de dados e outros riscos;
  • Cláusulas sobre a garantia de canais tranquilos para os indivíduos protegerem seus direitos e interesses de informações pessoais.

Revisar e atualizar a política de armazenamento e backup de dados da empresa na China

Os gerentes de RH na China devem trabalhar com o departamento de TI para revisar a infraestrutura de TI atual sobre armazenamento de dados, proteção e política de backup. Preste atenção especial para avaliar se a empresa deve melhorar a política de backup de dados da China, sistema de gerenciamento de banco de dados, mascaramento de dados e mecanismo de acesso remoto.

Para casos mais complexos, recomenda-se realizar uma análise de risco para evitar responsabilidade. Os empregadores precisariam repensar suas políticas e implementar correções para se alinharem à estrutura de privacidade de dados da China. As alterações devem ser planejadas de acordo com a situação de cada empresa para reduzir a exposição ao passivo e gerar confiança dos funcionários.