Muchas empresas extranjeras creen que las leyes chinas de protección de datos solo afectan a las compañías con oficina en Pekín o en Shanghái. No es cierto. El PIPL, el equivalente chino del RGPD, alcanza a cualquier entidad que trate datos personales de residentes en China, esté donde esté. Si su sitio instala cookies, recopila correos o sigue el comportamiento de visitantes situados en China, le afecta. En caso de infracción grave, la multa llega a 50 millones de RMB o al 5 % de la facturación del año anterior. Y las auditorías de cumplimiento son obligatorias desde mayo de 2025. El marco ya está en vigor.
Tres leyes, un panorama
| PIPL | Ley de seguridad de datos | Ley de ciberseguridad | |
|---|---|---|---|
| En vigor desde | Noviembre de 2021 | Septiembre de 2021 | Junio de 2017 |
| Perímetro | Datos personales de residentes en China | Conjunto de datos tratados en China | Operaciones de red en China |
| ¿Se aplica a empresas extranjeras fuera de China? | Sí | Solo en caso de actividades en China | Solo en caso de actividades en China |
| Transferencias transfronterizas | Evaluación de seguridad, contratos tipo o certificación | Restricciones sobre los datos sensibles | Evaluación de seguridad obligatoria |
| Sanción principal | Hasta 50 M RMB o el 5 % de la facturación | Multas y posible cierre | Multas y retirada de licencia |
| Auditorías obligatorias | Sí (desde mayo de 2025) | Clasificación obligatoria | Evaluaciones de seguridad |
PIPL: la ley que le sigue a todas partes
La ley de protección de la información personal entró en vigor en noviembre de 2021. Es la que las empresas extranjeras deben dominar primero. A diferencia de las otras dos leyes del marco chino, el PIPL tiene alcance extraterritorial. Se aplica a cualquier entidad, esté donde esté, en cuanto trata datos personales de personas que residen en China.
En concreto: si su sitio se dirige a usuarios chinos y recopila cualquier dato (nombres, correos, teléfonos, datos de navegación o identificadores de dispositivos), el PIPL le afecta. Da igual que la sede esté en Shanghái, en San Francisco o en Estocolmo. Da igual que la empresa nunca haya pisado China. Si los datos son de residentes en el país, la ley se aplica.
El PIPL tiene alcance extraterritorial. Cualquier empresa que trate datos personales de residentes en China está sometida a él, sea cual sea su país de implantación.
Las auditorías de cumplimiento son obligatorias desde mayo de 2025. Si trata los datos de más de un millón de personas, tiene que nombrar a un delegado de protección de datos. Las transferencias transfronterizas también están reguladas. Una transferencia es cualquier dato de un usuario chino que sale del territorio. Para hacerla, la empresa elige entre tres vías: una evaluación de seguridad gubernamental, cláusulas contractuales tipo o una certificación de un organismo autorizado. Llevar los datos a servidores en Fráncfort y dar el tema por cerrado ya no vale.
Las sanciones llegan a 50 millones de RMB o al 5 % de la facturación del año anterior, siempre el importe más alto. Los directivos también pueden responder a título personal. Quien ya pasó por una adaptación al RGPD reconocerá la estructura, y el orden de magnitud de las multas le sonará parecido.
Las infracciones graves del PIPL pueden costar hasta 50 millones de RMB o el 5 % de la facturación del año anterior. Los directivos también responden a título personal.
DSL y ley de ciberseguridad: los otros dos pilares
La ley de seguridad de datos (septiembre de 2021) y la ley de ciberseguridad (junio de 2017) completan el marco. Afectan sobre todo a las empresas que operan, o tratan datos, físicamente en China.
El DSL abarca todos los datos tratados en China, mucho más allá de los personales. Define tres niveles: datos fundamentales del Estado, datos sensibles y datos generales. Las empresas deben clasificar sus datos y proteger cada categoría según su nivel. La transferencia de datos sensibles fuera del país tiene restricciones añadidas, y a veces necesita el visto bueno de las autoridades.
La ley de ciberseguridad, la más antigua de las tres, obliga a los operadores de redes a guardar en servidores chinos los datos generados en China. Los operadores de infraestructuras críticas tienen un régimen más estricto: evaluaciones de seguridad obligatorias, protocolos reforzados y exigencias de declaración más duras.
Para la mayoría de las empresas extranjeras con un sitio dirigido a usuarios chinos, el PIPL es la primera ley que hay que atender. El DSL y la ley de ciberseguridad pesan más cuando la empresa tiene servidores, personal u operaciones de datos en China continental.
Qué deben aplicar en concreto las empresas extranjeras
Si su empresa recopila o trata datos de usuarios chinos de cualquier forma, los puntos que siguen son obligaciones legales que debe cumplir.
| Exigencia | Detalles |
|---|---|
| Delegado de protección de datos | Obligatorio a partir de 1 millón de personas afectadas |
| Clasificación de los datos | Cartografiar los datos recopilados según las categorías del DSL |
| Almacenamiento de los datos | Datos de los usuarios chinos en servidores en China continental |
| Consentimiento explícito | Aceptación activa e informada del usuario antes de cualquier recopilación |
| Evaluación transfronteriza | Evaluación gubernamental, contratos tipo o certificación |
| Auditorías de cumplimiento | Obligatorias en virtud del PIPL desde mayo de 2025 |
| Procedimiento de notificación en caso de filtración | Establecerlo antes de que ocurra un incidente |
Nombrar a un delegado de protección de datos. Si trata los datos de más de un millón de personas, el PIPL le obliga a designar uno.
Clasificar los datos. Inventaríe lo que recopila. Mida su nivel de sensibilidad. Y asígnelo a las categorías del DSL. Los datos fundamentales del Estado y los datos sensibles traen obligaciones reforzadas.
Guardar en China los datos de los usuarios chinos. Los datos personales de los residentes en China deben alojarse en servidores instalados en China continental. Lo exige la ley de ciberseguridad, y el PIPL lo refuerza.
Pedir un consentimiento real. Antes de recopilar cualquier dato personal, el usuario debe dar un consentimiento explícito, informado y activo. Las casillas premarcadas no bastan. Tampoco valen las condiciones escondidas en un pie de página que nadie lee.
Un consentimiento explícito significa que el usuario acepta de forma activa. Las casillas premarcadas y el consentimiento implícito por seguir navegando no cumplen el PIPL.
Este punto descoloca a muchas empresas habituadas al enfoque «al continuar navegando, usted acepta».
Regular las transferencias transfronterizas. Si los datos de usuarios chinos tienen que salir del país, por ejemplo a servidores en Europa o Estados Unidos, hay que pasar por una evaluación de seguridad gubernamental, por contratos tipo o por una certificación. No hay atajos. Tampoco hay exenciones para los volúmenes pequeños.
Hacer auditorías de cumplimiento. El PIPL las exige desde mayo de 2025. Es un proceso continuo, bajo la revisión de los auditores.
Preparar los procedimientos de notificación antes de necesitarlos. Si hay una filtración de datos, hay que avisar a las autoridades y a las personas afectadas dentro de unos plazos fijados. Las empresas que redactan ese procedimiento solo después del incidente parten de una posición mucho peor.
¿Le echamos una mano?
ChinaWebFoundry lleva proyectos web en China de principio a fin. Si todo esto le parece más de lo que quiere afrontar solo, escríbanos.
Hablemos