Es posible que las empresas europeas hayan sido advertidas previamente sobre la nueva Ley de Protección de Información Personal (PIPL) de China, pero los niveles de preparación, y tal vez incluso la voluntad, siguen siendo mucho menos claros a medida que ingresamos en 2022.
PIPL en su forma más reciente se lanzó en agosto de 2021 y entró en vigencia el 1 de noviembre. En ese momento, el Comité Permanente de la Asamblea Popular Nacional de China dijo que esta medida de seguridad cibernética se estaba promulgando para “proteger los derechos e intereses de la información personal, regular las actividades de procesamiento de información personal y promover el uso racional de la información personal”.
En teoría, esta es una solicitud racional y lógica en la misma línea que el ahora arraigado Reglamento General de Protección de Datos (RGPD) de Europa (la UE y el Espacio Económico Europeo). Sin embargo, tales son las demandas relacionadas con la transferencia transfronteriza de datos y las sanciones vigentes en caso de que no se respete el cumplimiento, que las empresas fuera de China están reevaluando sus transacciones dentro del país, sus procesos internos para facilitar las operaciones digitalizadas con socios chinos. o si realmente vale la pena correr el riesgo de “entrar” en China.
“Estamos viendo varios niveles de preparación”, dice Guanfu Haffke, director de innovación y estrategia de Odaseva, un especialista en gestión y protección de datos de 10 años que permite el movimiento de datos de Salesforce para una gran cantidad de pesos pesados de Fortune 500. “Algunas grandes empresas ya habían hecho su estrategia para China antes de que entrara en vigor la ley. Pero más empresas aún se encuentran en la fase de observación y están hablando con los consejos legales locales y los proveedores para abordar los requisitos de cumplimiento”.
Sin atajos
Mantenerse al tanto de los cambios nacionales, regionales y legislativos es una de las fortalezas clave de Odaseva, con su propuesta de residencia como servicio naturalmente adaptada a los desafíos que presenta un cambio de regulación como PIPL. Como parte de las conversaciones con los clientes basadas en la privacidad de datos de la empresa, una de las principales preocupaciones en estos primeros meses se ha basado en los impactos en la arquitectura de datos, dice Haffke.
“La mayor fuente de tensión o nerviosismo provendría de cualquier cambio en la arquitectura de datos o en la gestión de procesos que afectará las operaciones comerciales actuales de una organización”, dice. “Esto significa que los procesos automáticos que ya dependen de un SaaS [software-as-a-service] solución alojada fuera de China, ya que ya no será posible.
“Simplemente, las herramientas de informes que agregan datos de diferentes regiones para su comparación y análisis no podrán funcionar como antes, y esa es la mayor preocupación de todas las empresas que anteriormente confiaban en esa uniformidad transfronteriza”.
Tomar atajos ciertamente tampoco es una opción. La Administración del Ciberespacio de China, el regulador de protección cibernética y de datos del país, ya ha afirmado que las violaciones de las nuevas regulaciones de PIPL podrían dar lugar a sanciones equivalentes a 7,7 millones de dólares o el equivalente al 5 % de los ingresos comerciales de una empresa del año anterior.
“Es comprensible que, como resultado, ya hayamos visto un tremendo aumento en el interés en torno a soluciones como nuestra propuesta de residencia como servicio, ya que las organizaciones intentan abordar simultáneamente el problema del cumplimiento, al mismo tiempo que mantienen sus operaciones comerciales existentes funcionando sin problemas durante la fase de transición”, dice Haffke.
Pisando cáscaras de huevo
Entonces, ¿cuáles son exactamente las consideraciones clave que se incluyen bajo esta bandera de transferencia transfronteriza, sobre las cuales las empresas buscan orientación?
Antes de agosto de 2021, a pesar de saber que la regulación estaba en camino, todavía había interpretaciones vagas de lo que estaba por venir. A primera vista, el “borrador” final presentado en agosto logró elaborar requisitos más detallados relacionados con la transferencia de datos. Pero la confusión no ha disminuido por completo, al parecer.
Haffke dice: “Las cosas que se han aclarado en gran medida se relacionan con los diferentes umbrales en la información personal y, de hecho, qué pasos deben tomarse para cumplir en última instancia con las transferencias de datos transfronterizas”.
Pero lo que no está tan claro es qué empresas serán evaluadas para confirmar el cumplimiento.
Haffke continúa: “Todavía hay mucho espacio para la interpretación. Vemos que los puntos clave de presión están en torno a las incertidumbres en el proceso de evaluación de seguridad requerido. Esto se debe especialmente a lo nuevo que es PIPL y, posteriormente, no hay casos precedentes. Simplemente, las empresas no saben con seguridad si aprobarán esa evaluación de seguridad”.
Por lo tanto, las empresas europeas están dando un salto hacia lo desconocido. Desde noviembre, los pasos iniciales (cuidadosos, como si se tratara de una cáscara de huevo) se han tomado de la mano con TI, con todas las unidades de negocios relevantes y, especialmente, con los departamentos legales, para tratar de minimizar las posibilidades de tropezar con el primer obstáculo.
Haffke señala que una opción más drástica, pero potencialmente necesaria, implica la introducción de una solución completamente localizada para la propia China. Por supuesto, trazar una solución de gestión de relaciones con los clientes (CRM) local china en lugar de tratar de casar a China con su plataforma global de CRM ayudaría a evitar los riesgos de cumplimiento. Sin embargo, por otro lado, el nivel de inversión necesario para alterar el statu quo de las propias organizaciones también presenta una desventaja significativa.
GDPR vs PIPL: lo mismo, pero diferente
“En última instancia, especialmente para las empresas en Europa, el punto de presión clave y el voto decisivo se basarán en los márgenes de beneficio”, dice Jeff Carr, asesor de ciberseguridad, autor, investigador y fundador de Safe House Global. “Las empresas tendrán que sopesar si el costo de cumplir con PIPL, de cualquier manera que elijan hacerlo, realmente vale la pena para sus resultados”.
Los eventos de la compañía de Carr sirven para destacar algunas de las cuestiones de seguridad más apremiantes de la era digital, y en los últimos meses se ha interesado especialmente en las comparaciones entre PIPL y GDPR.
“Por supuesto, existen ciertas similitudes entre PIPL y el RGPD de la Unión Europea”, dice. “Sin embargo, hay dos diferencias fundamentales. En primer lugar, existe una laguna de uso común dentro de GDPR que dice que las empresas pueden recopilar y retener datos de usuarios para “fines comerciales” no especificados. Las empresas a menudo explotan esta laguna, pero no está disponible cuando se trata de PIPL.
“En segundo lugar, los requisitos para mover datos de clientes no chinos fuera de China son mucho más complejos y, muy probablemente, más costosos de cumplir. Esta será una barrera importante para las empresas europeas que buscan hacer negocios en el país”.
Haffke está de acuerdo con estas afirmaciones, con una adición clave que se relaciona con el tiempo. Significativamente, la hoja de ruta de cumplimiento de GDPR, que todavía se está presentando de manera preventiva frente a las empresas hasta el día de hoy, parece, cuando se trata de PIPL, ser más un curso de ataque inmediato con trampas explosivas.
Ella dice: “Los legisladores chinos no especifican un cronograma, a diferencia de cuando se introdujo por primera vez el RGPD en Europa. Incluso recientemente, vale la pena señalar que la versión final de las nuevas cláusulas contractuales tipo [SCCs]que fue publicado por la Comisión Europea el 4 de junio de 2021, declaró que las organizaciones que transfieren o reciben datos personales que se originan en el Espacio Económico Europeo [EEA]fuera del EEE, estaría obligada a implementar estos SCC con sus clientes, proveedores y afiliados para diciembre de 2022.
“Este es quizás el desarrollo de GDPR más significativo desde la aprobación de GDPR y todavía les da a las empresas un marco de tiempo para trabajar”.
Por supuesto, hay elementos que las empresas pueden aprovechar de sus cambios de GDPR para propósitos de PIPL. Ambas leyes se centran en la protección de la información personal, ante todo. Esto se relaciona con los aspectos de obtener el consentimiento, los parámetros de clasificación bajo ese banner de “información personal”, los derechos del consumidor en la forma de poder eliminar la información, por ejemplo, y las medidas de seguridad de los datos.
“Sin embargo, son las diferencias relacionadas con las reglas de residencia de datos absolutamente críticas lo que significa que las empresas deben comprender realmente sus datos y cómo se aplica PIPL a sus operaciones”, dice Haffke.
¿Es hora de irse o la oportunidad de demostrar la agilidad de los datos?
Para la mayoría de las organizaciones, es difícil imaginar navegar este viaje PIPL sin tomar decisiones drásticas, pero ¿cuántas probablemente tomarán la decisión más drástica de todas?
“Ya hay algunos ejemplos famosos de empresas que han salido de China, como LinkedIn y el videojuego Fortnite”, dice Haffke. “Sin embargo, estas son elecciones muy drásticas”.
Pero Carr, de Safe House Global, no está tan seguro de que esa elección sea solo el último recurso.
“Sospecho que habrá una disminución de las empresas extranjeras en China, año tras año”, dice. “Esto se debe en parte al costo de cumplir con PIPL, pero también en parte a que China realmente no quiere empresas de propiedad extranjera en el país a largo plazo.
“China solo quiere empresas extranjeras que operen en sectores en los que el país aún no se ha puesto al día tecnológicamente, y PIPL es una forma de inclinarse naturalmente hacia esa dinámica. En última instancia, China está haciendo lo correcto para sus ciudadanos. Las empresas que no están contentas con PIPL, hasta ahora, se han visto mimadas por décadas de rienda suelta para recopilar, analizar y monetizar datos que nunca les pertenecieron en primer lugar”.
Para aquellos que desean mantenerse firmes y mantener activas sus operaciones globales en un mercado tan vasto y significativo, es probable que se tomen rutas alternativas. Como ya se exploró, la posibilidad de una presencia localizada en China podría modificarse aislando la infraestructura de TI de una empresa en el país, lejos de sus sistemas de TI globales.
Pero si bien esto logrará el cumplimiento desde la perspectiva de la residencia de datos, significa renunciar a la colaboración transfronteriza interna a medida que China se convierte en una “caja negra para otras entidades dentro de la misma empresa”.
Desde la perspectiva de Odaseva, la forma más lógica de avanzar es intentar lograr el cumplimiento de los datos a pesar de los baches y las ambigüedades que se presentan, dice Haffke.
“Con la residencia como servicio, las empresas tienen la capacidad de combinar la colaboración global con el cumplimiento estricto en términos de residencia de datos”, dice. “Estamos obteniendo mucha tracción con este modelo, especialmente cuando las regulaciones son tan nuevas y mientras esperamos más aclaraciones sobre los protocolos de evaluación.
“Nuestro consejo sería utilizar PIPL como un ejercicio digital útil. Puede verse como una prueba de la agilidad de las organizaciones en lo que respecta a la privacidad de datos, y en el ejercicio de la elección correcta en el momento adecuado y para el alcance correcto, a lo largo de sus viajes generales de privacidad de datos”.