China aprova Lei de Proteção de Dados Pessoais semelhante à LGPD e ao GDPR

report pipl_Report

O Comitê Permanente do Congresso Nacional do Povo da China aprovou, em 20 de agosto, a Lei de Proteção de Informações Pessoais (PIPL), que entrará em vigor a partir do dia 1º de novembro. De acordo com o documento oficial, a legislação tem como objetivo a proteção dos direitos e interesses dos indivíduos, bem como a regulação das atividades de processamento dos dados pessoais.

A intenção da China foi unir a PIPL às legislações de Segurança Cibernética e Segurança de Dados já vigentes no país. Por esse motivo, a partir da produção de efeitos da PIPL, a China será um dos países com maior rigor na proteção dos dados pessoais dos seus cidadãos.

Assim como o GDPR – General Data Protection Regulation, em vigor na União Europeia desde 2018, a PIPL deve impactar a forma como as empresas tratam dados pessoais na China e restringir as transferências transfronteiriças de dados.

Outra semelhança é o fato de ambas as leis preverem que os dados pessoais devem ser processados ​​de acordo com protocolo transparente e rígido. Nesse quesito, por ter sido inspirada no GDPR, a LGPD (Lei Geral de Proteção de Dados), vigente no Brasil desde 2020, também objetiva transparência no uso de dados pessoais por parte das empresas e do Poder Público.

Diferença entre informações pessoais e dados pessoais

Aqui estamos no primeiro ponto de convergência entre as legislações chinesa, europeia e brasileira de proteção de dados: definições de informações pessoais e de dados pessoais. A PIPL tem como conceito central a informação pessoal, classificada no artigo 4º como “informações relacionadas a pessoas físicas identificadas ou identificáveis ​​registradas eletronicamente ou por outros meios, excluindo informações anônimas”.

No GDPR, assim como na LGPD, o conceito central é o de dados pessoais. No Regulamento Geral de Proteção de Dados e na LGPD, dados pessoais são definidos como qualquer informação relacionada a uma pessoa física ou natural identificada ou identificável, chamada de titular dos dados.

Portanto, a informação pessoal, de acordo com a PIPL, identifica uma pessoa física sozinha ou em combinação com outros dados, conceito semelhante aos dados pessoais do GDPR e da LGPD, já que nessas leis também há possibilidade de identificação de uma pessoa direta ou indiretamente.

As três legislações preveem diferentes tipos de informações ou de dados. A PIPL apresenta o conceito de informações pessoais sensíveis, que são etnia, nacionalidade, crença religiosa, características biológicas pessoais, assim como de saúde, histórico médico, contas financeiras, etc.

Da mesma forma, em seu artigo 5º, II, a LGPD descreve que dados pessoais sensíveis são aqueles que dispõem sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O GDPR segue basicamente no mesmo sentido.

Controladores e Operadores

A Lei de Proteção de Informações Pessoais (PIPL) descreve que controladores de informações pessoais são as organizações ou os indivíduos que determinam, de forma independente, objetivos, meios ou qualquer outro assunto relacionado ao processamento da informação pessoal.

O artigo 9º da legislação prevê que eles “são responsáveis ​​por suas atividades de processamento de informações pessoais e que devem tomar as medidas necessárias para garantir a segurança das informações pessoais processadas”.

No GDPR, o controlador é “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”.

A LGPD, por sua vez, apresenta a figura do controlador em seu artigo 5º, sendo a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.

As três legislações são semelhantes no que tange à responsabilidade dada aos agentes de tratamento de dados (controlador e operador), bem como preveem possibilidade da atuação conjunta de um ou mais agentes de tratamento, impondo responsabilidade solidária em caso de dano causado pela atividade.

Alcance territorial

Semelhante ao GDPR e à LGPD, o PIPL estende seu escopo territorial ao processamento de informações pessoais conduzido fora da China, desde que o objetivo da atividade seja:

  • Fornecer produtos ou serviços a indivíduos na China;
  • Analisar ou avaliar o comportamento de indivíduos na China; ou
  • Para outros fins a serem especificados por leis e regulamentos.

A Lei de Proteção de Informações Pessoais prevê que as entidades de processamento de informações pessoais offshore também estão sujeitas às regras estabelecidas, devendo nomear escritório dedicado ou representante designado na China para o exercício da atividade (artigo 53).

O GDPR, por sua vez, possui a figura do Representante da UE, que é a pessoa designada, quando aplicável, para representar os clientes não estabelecidos na União Europeia em relação às obrigações no âmbito do GDPR.

Aqui é importante não confundir o Representante da UE com o DPO, sendo este a pessoa designada, quando aplicável, para assegurar conformidade com as exigências do GDPR, que define os critérios e as condições dessa designação. Na LGPD, o DPO equivale ao Encarregado, que deverá ser indicado pelo controlador.

A PIPL também inclui cláusulas que permitem que sejam adotadas medidas em desfavor de países que tenham agido de forma discriminatória no que diz respeito à proteção de informações pessoais ou que tenham prejudicado os direitos e interesses dos titulares de dados chineses e a segurança nacional.

Base legal

A PIPL também exige que as organizações tenham base legal para processar informações pessoais, mas não menciona o “legítimo interesse”, como ocorre na LGPD e na norma vigente na UE. O que se observa na PIPL é exceção à exigência do consentimento tratada no artigo 13 da legislação, em dois casos específicos:

“De acordo com outras disposições relevantes desta lei, o consentimento pessoal deve ser obtido para o processamento de informações pessoais, mas nas circunstâncias especificadas nos itens 2 a 7 do parágrafo anterior, nenhum consentimento pessoal é necessário” (PIPL, artigo 13).

As situações descritas nos itens 2 e 7 do artigo 13 são: (i) execução de contrato em que indivíduo seja parte ou implementação da gestão de recursos humanos de acordo com as regras e regulamentos laborais estabelecidos na lei e no contrato coletivo celebrado em conformidade com a lei; e (ii) outras circunstâncias estipuladas por leis e regulamentos administrativos.

Direitos dos titulares

A legislação chinesa, em seu artigo 44, determina que os titulares dos dados têm o direito de saber, o direito de decidir e o direito de limitar ou se opor ao tratamento de suas informações pessoais por terceiros. Além disso, eles também têm o direito de acessar e copiar suas informações pessoais dos agentes de tratamento de dados (artigo 45) e o direito de solicitar que esses mesmos agentes corrijam ou completem suas informações pessoais (artigo 46).

Por fim, os titulares dos dados têm o direito de solicitar a eliminação das informações pessoais (artigo 47), o direito de retirar o consentimento e o direito de solicitar que o agente de tratamento de dados explique as regras de tratamento (artigo 48). Tanto a LGPD quanto o GDPR garantem aos titulares direitos correlacionados.

Os titulares também podem, a qualquer momento, solicitar que as empresas que coletaram seus dados realizem a portabilidade, a correção ou a exclusão definitiva de suas informações.

Sanções administrativas

Na parte das sanções, caso uma entidade de processamento viole os requisitos do PIPL, os reguladores podem determinar e aplicar ações corretivas, a exemplo de advertências, confisco de receitas ilegais, suspensão de serviços ou aplicação de multa, que pode chegar a 50 milhões de RMB (Renminbi) ou 5% da receita anual do exercício financeiro anterior (artigo 66).

O Regulamento da União Europeia prevê, no artigo 83, que o valor das multas deverá ser limitado a 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior.

No Brasil, o artigo 52 da LGPD dispõe sobre as sanções administrativas aplicáveis em caso de danos causados em decorrência da atividade de tratamento de dados. Quanto às multas pecuniárias, a legislação prevê que caberá multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões, além de multa diária limitada ao mesmo valor.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp