Alguns pontos sobre o Projeto de Lei de Proteção de Informações Pessoais da China

Alguns pontos sobre o Projeto de Lei de Proteção de Informações Pessoais da China.

1. Conceitua “informações pessoais” de forma ampla, trazendo as expressões identificadas ou identificáveis. (Art. 4);

2. Por meio de um conceito aberto, define Informações pessoais sensíveis como informações pessoais que, uma vez vazadas ou usadas ilegalmente, podem resultar em discriminação pessoal ou sérios danos à segurança pessoal ou patrimonial, incluindo informações sobre raça, etnia, crenças religiosas e dados biométricos individuais, finanças, saúde, rastreamento de localização individual e etc. (Art. 29);
   O tratamento de Informações pessoais sensíveis deve ocorrer por meio de consentimento específico. (Art. 30);

3. Elenca bases legais para o tratamento como: consentimento; obrigação legal ou regulatória; execução de contrato e interesse público. Contudo, não trata do legítimo interesse. (Art. 13);

4. Define tratamento, de forma exemplificativa, como sendo “o processamento de informações pessoais incluindo a coleta, armazenamento, uso, processamento, transferência, fornecimento, publicação e outras atividades semelhantes.” (Art. 4);

5. Traz as figuras dos controladores, co-controladores e operadores. (Art. 21 e Art. 22);

6. Aplicável às pessoas naturais e às pessoas jurídicas de direito público ou privado. (art. 2º e seção 3)

7. Possui extraterritorialidade, uma vez que se aplica a entidades com sede fora da China que forneçam produtos e serviços a titulares no país ou que realizem tratamento de dados no território chinês. (art. 3º)

8. Preceitua direitos aos titulares como os de: informação; retificação; limitação; acesso; exclusão e explicação. (art. 44 a 49)

9. Determina a elaboração de Avaliação de risco quando se tratar de: informações pessoais sensíveis; decisão automatizada; ou quando as informações pessoais possam gerar riscos ao titular. (Art. 54)

10. O Encarregado (persons responsible for personal information protection) deve ser indicado pelo controlador para situações específicas, dependendo do volume do tratamento de dados pessoais. Exige publicidade sobre a identidade e as informações de contato. (art. 51);

11. Traz regras sobre transferências internacionais, com base em avaliações do Departamento de cibersegurança e informatização do Estado, em certificação ou em contratos. (Art. 38);

12. As decisões automatizadas devem ser fundadas na transparência, na justiça e na razoabilidade. Quando a decisão afetar um direito ou interesse do titular, o mesmo possui o direito de explicação e o direito de revisão por um meio não automatizado. (art. 25).

Fonte: https://www.linkedin.com/pulse/chinas-draft-personal-information-protection-law-13-zanfir-fortuna/

Fonte: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/chinas-draft-personal-information-protection-law-full-translation/