Proteger la información personal de los empleados chinos: Puntos clave para la dirección de RRHH

La Ley de Protección de la Información Personal de China («PIPL») entró en vigor el 1 de noviembre de 2021. Acompañando a la PIPL, la Administración del Ciberespacio de China («CAC») también publicó el borrador de las Medidas para la Evaluación de la Seguridad de los Datos Salientes para su consulta pública.

En la mayoría de los casos, las empresas multinacionales con operaciones en China implicarán cierta comunicación de ida y vuelta entre China y la sede en el extranjero. Estas empresas necesitan recopilar y procesar información de sus empleados actuales y potenciales, desde el proceso de contratación hasta el final del empleo. Por lo tanto, es crucial estudiar las disposiciones pertinentes de la PIPL que afectan al modo en que los empresarios recopilan y procesan la información personal de los empleados. Podemos prever algunos escenarios en los que los empresarios deberían ser especialmente cuidadosos:

• La transmisión de información entre las filiales chinas y las empresas relacionadas en el extranjero implica información personal de los empleados;
• Los datos ERP de la empresa, incluida la información personal de los empleados chinos, están alojados o se realizan copias de seguridad en un servidor extranjero;
• Un proveedor de servicios externo gestiona los seguros y otras prestaciones de los empleados con sede en China fuera del país;
• La filial será vendida o adquirida, y el nuevo propietario potencial está organizando la transacción a través de un tercero en el extranjero;
• Se está llevando a cabo una investigación interna que requiere el acceso a los equipos electrónicos de los empleados.

En la práctica, sin duda hay casos más complejos en los que debe realizarse un análisis detallado. Basándonos en el desarrollo actual del marco de privacidad de datos, aconsejamos a los empresarios que tomen las siguientes medidas:

Notificar explícitamente a los empleados y obtener su consentimiento por escrito sobre el tratamiento de su información personal

Ya es habitual que muchos empresarios obtengan el «consentimiento general» de los empleados durante el proceso de contratación e inducción. La antigua práctica podría consistir simplemente en una declaración general en los contratos de los empleados o en el manual del personal. Sin embargo, estas cláusulas ya no son válidas para cubrir todos los escenarios. Deben darse avisos por separado a los empleados cuando el empleador pretenda revelar información de los empleados a un tercero, transferirla a un lugar fuera de China o procesar información personal sensible. En el consentimiento escrito, los empleadores deben notificar explícitamente a los empleados los puntos específicos:

• Nombre e información de contacto del responsable del tratamiento;
• Los fines y métodos de tratamiento de la información personal;
• Categorías y periodos de conservación de la información personal que vaya a tratarse; y
• Métodos y procedimientos para que los trabajadores ejerzan sus derechos consagrados en la PIPL.

Aunque la LPRP prevé motivos adicionales para procesar los datos de los empleados en determinadas circunstancias sin necesidad de obtener el consentimiento, aún no se ha aclarado el alcance exacto de estas excepciones. Por lo tanto, la mejor política es que los empresarios sean prudentes en todos los casos.

Realizar una evaluación del impacto sobre la seguridad antes de transmitir información personal al extranjero

Según el borrador de Medidas para la evaluación de la seguridad de los datos salientes, antes de que los empleadores proporcionen al extranjero información personal de sus empleados, deben realizar primero autoevaluaciones de los riesgos de la exportación de datos, centrándose en la evaluación de las siguientes cuestiones:

• Legalidad, adecuación y necesidad de la finalidad, el alcance y los métodos de exportación de los datos y del tratamiento de los mismos por parte de los destinatarios en el extranjero;
• El volumen, el alcance, los tipos y la sensibilidad de los datos exportados, así como los riesgos protencionales para la seguridad nacional, los intereses públicos o los derechos e intereses legítimos de las personas y organizaciones que podría acarrear la exportación de los datos;
• Medidas técnicas y de gestión, y capacidad de los responsables del tratamiento de datos para prevenir riesgos como la fuga y la destrucción de datos;
• Responsabilidades y obligaciones que el receptor en el extranjero se ha comprometido a asumir, así como sus medidas de gestión y técnicas, y la capacidad para llevar a cabo las responsabilidades y obligaciones, y si pueden garantizar la seguridad de la transferencia de datos salientes;
• Riesgos de fugas, daños, manipulación y abuso de los datos tras su transmisión al extranjero y su posterior transferencia;
• Si las personas cuyos datos se transmiten al extranjero pueden acceder fácilmente a los canales para mantener sus derechos e intereses en la protección de la información personal.
• Si los acuerdos firmados con el destinatario extranjero especifican plenamente las responsabilidades y obligaciones en la protección de la seguridad de los datos.

Además de las autoevaluaciones, si la cantidad de información personal supera un determinado umbral de acuerdo con las Medidas para la evaluación de la seguridad de los datos salientes, se pondrá en marcha una evaluación obligatoria del impacto sobre la seguridad a través del nivel provincial de la CAC.

Firmar acuerdos transfronterizos de transferencia de datos con destinatarios de datos en el extranjero

La filial china debe firmar un acuerdo de transferencia transfronteriza de datos con cada uno de sus destinatarios en el extranjero. El acuerdo debe establecer las responsabilidades y obligaciones para la protección de la seguridad de los datos, incluyendo:

• Fines y métodos de transmisión de los datos al extranjero y alcance de los datos salientes;
• Fines y métodos del tratamiento de datos por parte del destinatario en el extranjero;
• Ubicación y duración del almacenamiento de los datos en el extranjero;
• Cómo tratar los datos después de que expire el periodo de almacenamiento, finalice la finalidad acordada o se rescinda el contrato;
• Cláusulas restrictivas que impidan al destinatario extranjero volver a transferir los datos transmitidos al extranjero a otras organizaciones o personas;
• Medidas de seguridad que se adoptarán en caso de que se produzca algún cambio sustancial en el derecho de control real o en el ámbito empresarial del destinatario en el extranjero, o algún cambio en el entorno jurídico del país o región donde se encuentra el destinatario en el extranjero, que dificulte la garantía de la seguridad de los datos;
• Responsabilidad por incumplimiento de la obligación de protección de la seguridad de los datos, y cláusulas de resolución de litigios vinculantes y ejecutables;
• Cláusulas sobre la correcta aplicación de medidas de emergencia en caso de filtración de datos y otros riesgos;
• Cláusulas sobre la garantía de canales fluidos para que las personas puedan salvaguardar sus derechos e intereses en materia de información personal.

Revisar y actualizar la política de almacenamiento de datos y copias de seguridad de la empresa en China

Los responsables de RR.HH. en China deben trabajar con el departamento de TI para revisar la infraestructura informática actual en materia de almacenamiento de datos, protección y política de copias de seguridad. Preste especial atención a evaluar si la empresa debe mejorar la política de copias de seguridad de datos en China, el sistema de gestión de bases de datos, el enmascaramiento de datos y el mecanismo de acceso remoto.

Para los casos más complejos, se recomienda realizar un análisis de riesgos para evitar responsabilidades. Los empresarios tendrían que replantearse sus políticas y aplicar correcciones para ajustarse al marco de privacidad de datos de China. Las modificaciones deben planificarse en función de la situación de cada empresa para reducir la exposición a la responsabilidad y generar la confianza de los empleados.