A Lei de Proteção de Dados Pessoais da China

September 9, 2025

A Lei de Proteção de Dados Pessoais (PIPL – Personal Information Protection Law) da República Popular da China, em vigor desde 1º de novembro de 2021, representou um marco significativo no cenário global de privacidade de dados. Considerada a legislação de privacidade de dados mais abrangente da China em toda a sua história, a PIPL estabelece um conjunto rigoroso de regras para o tratamento de dados pessoais. Ela se alinha a padrões globais como a GDPR da União Europeia, mas com características e nuances próprias do contexto chinês, refletindo a soberania cibernética e a segurança nacional como pilares fundamentais.

Antes da PIPL, o cenário regulatório chinês para a proteção de dados era fragmentado, composto por diversas leis e regulamentos como a Lei de Segurança Cibernética (CSL – Cybersecurity Law) de 2017, a Lei de Segurança de Dados (DSL – Data Security Law) de 2021 e os Padrões Nacionais de Segurança da Informação (Information Security Technology – Personal Information Security Specification) de 2020. Embora essas leis estabelecessem princípios básicos e requisitos técnicos, faltava uma estrutura legal unificada e abrangente dedicada exclusivamente à proteção de dados pessoais e aos direitos dos titulares.

A promulgação da PIPL foi impulsionada pelo rápido crescimento da economia digital, o aumento das preocupações com a coleta e o uso indevido de dados pessoais por empresas e órgãos governamentais, e a necessidade de harmonizar a regulamentação interna com as tendências globais de privacidade. Os principais objetivos da PIPL são:

Principais Objetivos da PIPL

Proteger os direitos e interesses dos indivíduos: assegurar que os dados pessoais sejam tratados de forma justa, transparente e legal, e que os indivíduos tenham controle significativo sobre suas informações. Isso inclui o direito de acesso, correção, exclusão e portabilidade.

Regulamentar o tratamento de dados pessoais: estabelecer regras claras e princípios para a coleta, armazenamento, uso, processamento, transmissão, disponibilização, exclusão e outras operações de dados, garantindo a legalidade e a minimização.

Promover o uso legítimo e ordenado de dados pessoais: facilitar o desenvolvimento da economia digital e a inovação tecnológica, garantindo que o tratamento de dados ocorra de maneira segura, ética e em conformidade com a lei, sem inibir o fluxo de dados necessário para o comércio e serviços.

Garantir a segurança nacional e o interesse público: equilibrar a proteção de dados com as necessidades de segurança e desenvolvimento do país, especialmente em setores críticos e para dados considerados “importantes” ou “essenciais”.

1. Definições Chave e Categorias de Dados

A PIPL introduziu definições e termos fundamentais para a sua aplicação, com implicações práticas significativas para a conformidade. Vejamos os principais abaixo:

Termos e Definições da PIPL

Dados Pessoais: refere-se a todas as informações relacionadas a um indivíduo identificado ou identificável, registradas por meios eletrônicos ou outros. Isso inclui, mas não se limita a nome, número de telefone, endereço, identificadores online (endereços IP, IDs de cookies), dados de localização e informações biométricas. É crucial notar que a PIPL exclui informações anonimizadas, nas quais o indivíduo não pode ser identificado e os dados não podem ser reconstituídos para identificar uma pessoa específica. Pseudonimização, no entanto, ainda é considerada dados pessoais.

Dados Pessoais Sensíveis: são dados pessoais que, se vazados ou utilizados ilegalmente, podem resultar em discriminação pessoal ou graves danos à segurança de indivíduos e propriedades. Esta categoria exige um nível de proteção muito mais elevado e consentimento explícito e separado. Exemplos incluem:

 Dados biométricos (impressões digitais, reconhecimento facial, voz).

 Crenças religiosas e filosóficas.

 Estado de saúde e histórico médico.

 Transações financeiras e contas bancárias.

 Informações de localização e rastreamento.

 Orientação sexual.

 Informações pessoais de menores de 14 anos, sob consentimento dos pais.

O tratamento de dados sensíveis requer uma base legal mais robusta e uma Avaliação de Impacto na Proteção de Dados (DPIA – Data Protection Impact Assessment) obrigatória.

Tratamento de Dados: abrange uma ampla gama de atividades, incluindo a coleta, armazenamento, uso, processamento, transmissão, fornecimento, a publicação e a eliminação de dados pessoais. Essencialmente, qualquer operação realizada sobre dados pessoais, seja por meios automatizados ou não.

Controlador de Dados: refere-se a qualquer organização ou indivíduo que, de forma independente, determina o propósito e os meios do tratamento de dados pessoais. Este é o principal responsável pela conformidade com a PIPL.

Processador de Dados (Operador de Dados): embora a PIPL não defina explicitamente “processador” como a GDPR, ela se refere a partes que tratam dados em nome de um controlador (por exemplo, provedores de serviços de nuvem, empresas de marketing etc.). O controlador é responsável por supervisionar o processador e garantir que este cumpra as obrigações da PIPL através de contratos claros.

2. Alcance Extraterritorial

A PIPL possui um escopo extraterritorial notável, similar à GDPR e à LGPD do Brasil, o que a torna relevante para empresas em todo o mundo, independentemente de sua localização física. Com efeito, podemos conceituar o alcance da PIPL da seguinte forma:

Empresas Chinesas

Empresas Estrangeiras

Qualquer organização ou indivíduo que trate dados pessoais dentro do território da China continental está sujeito à PIPL. Isso inclui empresas com sede na China, filiais de empresas estrangeiras e até mesmo indivíduos que tratam dados pessoais para fins não domésticos.

A lei se aplica a organizações e indivíduos fora da China que tratem dados pessoais de residentes na China, se tal tratamento tiver um dos seguintes propósitos:

Fornecer produtos ou serviços a indivíduos dentro da China: por exemplo, uma plataforma de e-commerce estrangeira que venda produtos para consumidores chineses ou um serviço de streaming que ofereça conteúdo para usuários na China.

Analisar ou avaliar atividades de indivíduos dentro da China: isso pode incluir monitoramento de comportamento online, análise de mercado ou pesquisa de usuários chineses para fins de personalização de produtos ou publicidade direcionada.

Qualquer outra circunstância prevista em leis ou regulamentos administrativos: esta cláusula “catch-all” oferece flexibilidade às autoridades chinesas para expandir o escopo da PIPL conforme necessário, dependendo de futuras regulamentações ou interpretações.

Um aspecto importante e que não deve ser menosprezado é que, para empresas estrangeiras sem presença física na China, a PIPL exige a designação de um representante ou estabelecimento dedicado no país para lidar com assuntos relacionados à proteção de dados. Este representante atua como um ponto de contato para as autoridades chinesas e para os titulares de dados, e é responsável por registrar as informações da empresa junto aos órgãos reguladores. A falha em designar tal entidade pode resultar em penalidades significativas.

3. Princípios Fundamentais

A PIPL estabelece princípios rigorosos para o tratamento de dados, exigindo que os controladores e os processadores de dados operem com base em fundamentos legais e transparência, promovendo uma cultura de “privacidade por design” (privacy by design) e “privacidade por padrão” (privacy by default), dependendo da situação. Vejamos os princípios aduzidos pela PIPL abaixo:

Princípios da PIPL

Princípio da Legalidade e Legitimidade: o tratamento de dados deve ter uma base legal um propósito legítimo. Isso significa que a coleta e o uso de dados devem ser justificados por uma razão válida, como o cumprimento de um contrato ou uma obrigação legal.

Princípio da Necessidade Mínima: controladores e processadores de dados só devem coletar a quantidade mínima de informações pessoais necessárias para alcançar o propósito estabelecido. Isso evita a coleta excessiva e desnecessária de dados.

Princípio do Consentimento: a PIPL exige o consentimento explícito e voluntário do titular para o tratamento dos seus dados pessoais. O consentimento deve ser obtido de forma clara e compreensível. No entanto, o consentimento não é a única base legal, as quais são discutidas abaixo.

Princípio da Transparência e da Notificação: os controladores e processadores de dados são obrigados a informar claramente os titulares de dados sobre a finalidade, o método e o tipo de dados que estão coletados. O titular de dados deve saber o que acontece com seus dados e ter o direito de acessá-los e corrigi-los, se necessário.

Princípio da Qualidade e Precisão: dados pessoais devem ser precisos e mantidos atualizados. Controladores e processadores de dados precisam tomar medidas razoáveis para garantir que a qualidade dos dados seja mantida, permitindo que os titulares de dados corrijam quando estiverem incorretos.

Princípio da Responsabilidade: a PIPL exige que os controladores e processadores de dados sejam responsáveis pela segurança dos dados que tratam. Desse modo, devem implementar medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, divulgação alteração ou perda. Em caso de violação de dados, a empresa deve notificar as autoridades os titulares de dados afetados.

Princípio da Limitação de Armazenamento: os dados pessoais devem ser mantidos apenas pelo tempo necessário para cumprir o propósito para o qual foram coletados. Uma vez que o propósito seja atingido, os dados devem ser excluídos ou anonimizados.

Princípio da Segurança Integrada: este princípio, embora não seja denominado de “privacidade por design” de forma explícita, está presente na PIPL. A lei exige que a segurança e a proteção de dados sejam incorporadas desde a fase de design de produtos e serviços, não devendo ser considerada apenas posteriormente, mas sendo parte fundamental da atividade para a qual haverá o seu tratamento.

4. Bases Legais

A PIPL, assim como a GDPR e a LGPD, estabelece as seguintes bases legais para o tratamento legítimo de dados pessoais de um indivíduo. Portanto, dados pessoais podem ser tratados quando:

Bases Legais da PIPL

Obtidos o consentimento do indivíduo em causa.

Necessários para a celebração ou execução de contrato do qual o interessado seja parte, ou para implementar a gestão de recursos humanos de acordo com as normas e regulamentos trabalhistas formulados de acordo com a lei e os contratos coletivos celebrados de acordo com a lei.

Necessários para cumprir deveres ou obrigações legais.

Necessários para lidar com emergências de saúde pública ou para a proteção da vida, da saúde e da segurança patrimonial de um indivíduo.

Atos como a cobertura de notícias e a supervisão da opinião pública forem realizados no interesse público e o processamento de informações pessoais estiver dentro de um escopo razoável.

As informações pessoais divulgadas pelos próprios indivíduos ou outras informações pessoais legalmente divulgadas forem processadas dentro de um escopo razoável, de acordo com as disposições desta Lei.

Houver outras circunstâncias previstas em leis e regulamentos administrativos.

5. Direitos dos Titulares de Dados

A PIPL confere aos titulares uma série de direitos sobre seus dados pessoais, capacitando-os a controlar como suas informações são usadas e exigindo que os controladores e os processadores estabeleçam mecanismos para facilitar o exercício desses direitos:

Direitos dos Titulares de Dados na PIPL

Direito de Acesso e Cópia: os indivíduos têm o direito de acessar e obter cópias de seus dados pessoais mantidos por um controlador ou processador. Os controladores e os processadores devem fornecer esses dados de forma oportuna e em um formato legível.

Direito de Correção e Retificação: podem solicitar a correção de dados imprecisos ou incompletos. Os controladores e os processadores devem corrigir os dados sem demora indevida.

Direito de Exclusão: podem solicitar a exclusão de seus dados em certas circunstâncias, como quando os dados não são mais necessários para o propósito original, quando o consentimento é retirado, ou quando o tratamento é ilegal. Os controladores e os processadores devem atender a essas solicitações, a menos que haja uma base legal para reter os dados (por exemplo, obrigação legal).

Direito de Retirar o Consentimento: os indivíduos podem retirar seu consentimento para o tratamento de seus dados a qualquer momento, e os controladores devem interromper o tratamento baseado nesse consentimento. A retirada do consentimento não afeta a legalidade do tratamento realizado antes da retirada.

Direito de Portabilidade de Dados: podem solicitar a transferência de seus dados para outro controlador. A PIPL exige que os controladores forneçam um caminho para a portabilidade, embora os detalhes técnicos e os formatos padrão ainda estejam em desenvolvimento.

Direito de Limitação e Recusa: os indivíduos têm o direito de limitar o tratamento de seus dados ou recusar o tratamento para fins de marketing direto, perfilagem ou tomada de decisões automatizadas que afetem significativamente seus direitos e interesses.

Direito a uma Explicação: este é um direito particularmente importante na PIPL, especialmente no contexto de algoritmos e inteligência artificial. Os indivíduos podem solicitar explicações sobre as regras de tratamento de dados de seus controladores, incluindo as lógicas e regras de tomada de decisão automatizada (por exemplo, sistemas de recomendação, avaliação de crédito). Isso visa aumentar a transparência e a responsabilidade de sistemas algorítmicos.

6. Principais Obrigações para Controladores e Processadores

A PIPL impõe responsabilidades significativas a controladores e processadores de dados para garantir a conformidade e a segurança, exigindo uma abordagem proativa e sistemática à proteção de dados. Essas responsabilidades são:

Principais Obrigações para Controladores e Processadores na PIPL

Nomeação de Representante ou Encarregado de Proteção de Dados (DPO – Data Protection Officer): empresas que tratam uma grande quantidade de dados pessoais (ainda não há um limite numérico exato definido, mas geralmente implica em volumes comerciais significativos) devem nomear uma pessoa responsável pela proteção de dados ou estabelecer uma equipe de proteção de dados. Para empresas estrangeiras sem presença física na China, é exigido um representante ou estabelecimento no país, cujo nome e informações de contato devem ser registrados junto às autoridades. O DPO é responsável por supervisionar a conformidade, atuar como ponto de contato com as autoridades e aconselhar a organização.

Realização de DIPAs: obrigatório antes de iniciar atividades de tratamento de dados que apresentem alto risco aos direitos e interesses dos indivíduos. Exemplos incluem:

– Tratar dados pessoais sensíveis.

– Realizar transferência transfronteiriça de dados.

– Realizar tratamento automatizado de dados pessoais para tomada de decisões que afetem os direitos e interesses dos indivíduos.

– Tratar um grande volume de dados pessoais.

– Qualquer outra atividade de tratamento de dados que possa ter um impacto significativo nos direitos e interesses dos indivíduos. Uma DPIA deve identificar os riscos, avaliar a necessidade e legalidade do tratamento, e propor medidas de segurança para mitigar os riscos.

Implementação de Medidas de Segurança Adequadas: os controladores devem adotar medidas técnicas e organizacionais eficazes para proteger os dados pessoais contra acesso não autorizado, vazamento, alteração ou destruição. Isso inclui:

– Medidas Técnicas: criptografia de dados em trânsito e em repouso, anonimização e pseudonimização, controle de acesso baseado em função (RBAC – Role-Based Access Control), auditorias de segurança regulares, monitoramento de rede, sistemas de detecção de intrusão (IDS/IPS), e planos de recuperação de desastres.

– Medidas Organizacionais: políticas internas de proteção de dados, treinamento regular de funcionários, acordos de confidencialidade, gerenciamento de fornecedores (due diligence e contratos com processadores), e planos de resposta a incidentes.

Resposta a Incidentes de Segurança: em caso de violação de dados (por exemplo, vazamento, alteração, perda), os controladores e processadores devem notificar prontamente as autoridades reguladoras (principalmente a Administração do Ciberespaço da China (CAC – Cyberspace Administration of China)) e os indivíduos afetados. A notificação deve incluir a causa do incidente, as categorias de dados afetadas, as medidas corretivas tomadas e as ações que os indivíduos podem tomar para mitigar os danos.

Manutenção de Registros de Tratamento: é exigido o registro das atividades de tratamento de dados pessoais, incluindo os tipos de dados, propósitos, bases legais, destinatários (internos e externos), e medidas de segurança. Esses registros devem ser mantidos por pelo menos três anos e estar disponíveis para inspeção pelas autoridades.

7. Transferência Transfonteiriça (Internacional) de Dados

A PIPL impõe regras estritas para a transferência de dados pessoais para fora da China, visando garantir que os dados de residentes chineses sejam protegidos mesmo quando processados no exterior. Esta é uma das áreas mais desafiadoras para empresas multinacionais. Uma das seguintes condições deve ser atendida para legitimar a transferência transfonteiriça de dados:

Condições para Legitimar a Transferência Transfronteiriça de Dados na PIPL

Avaliação de Segurança (Security Assessment): conduzida pelas CAC. É obrigatória para:

– Operadores de Infraestrutura de Informação Crítica.

– Controladores e processadores que tratam um grande volume de dados pessoais (ainda não há um limite numérico exato, mas geralmente acima de 1 milhão de indivíduos).

– Controladores e processadores que transferem dados pessoais sensíveis em grande volume.

– Outras circunstâncias que as autoridades considerem que possam afetar a segurança nacional ou o interesse público. O processo de avaliação de segurança é rigoroso e pode ser demorado, exigindo uma análise detalhada da segurança dos dados no exterior e da conformidade do destinatário.

Certificação de Proteção de Informações Pessoais: obtenção de uma certificação emitida por uma instituição profissional designada pela CAC. Este é um mecanismo de conformidade voluntário, que pode agilizar o processo para algumas empresas.

Contrato Padrão: assinatura de um contrato padrão com o destinatário estrangeiro, seguindo um modelo publicado segundo cláusulas contratuais padrão. Este é um caminho mais comum para empresas que não se enquadram nos requisitos da avaliação de segurança. O contrato padrão impõe obrigações ao destinatário estrangeiro para proteger os dados de acordo com os padrões da PIPL.

Outras Condições: outras condições previstas em leis, regulamentos administrativos ou disposições da Autoridade de Proteção de Dados. Esta cláusula permite flexibilidade para futuras regulamentações.

Além disso, independentemente do mecanismo de transferência escolhido, os controladores devem informar os titulares dos dados sobre o nome ou contato do destinatário estrangeiro, o propósito e os métodos de tratamento, os tipos de dados e os direitos dos titulares, e obter consentimento separado para a transferência transfronteiriça. É crucial que as empresas realizem uma DPIA antes de qualquer transferência transfronteiriça para avaliar os riscos e garantir a conformidade.

8. Fiscalização e Penalidades

A PIPL é fiscalizada principalmente pela CAC e outros departamentos competentes, como o Ministério da Indústria e Tecnologia da Informação (MIIT) e a Administração Estatal para Regulação do Mercado (SAMR). As penalidades por não conformidade são severas e visam deter violações:

Penalidades na PIPL

Advertências e Ordens de Correção: para infrações menores ou primeiras violações, as autoridades podem emitir advertências, ordenar a correção de práticas ou confiscar ganhos ilegais.

Multas Administrativas:

– Para violações gerais ou menos graves: multas de até 1 milhão de yuans (aprox. USD 140.000).

– Para violações graves (por exemplo, tratamento ilegal de dados sensíveis, recusa em corrigir violações após advertência, causar grandes danos): multas de até 50 milhões de yuans (aprox. USD 7 milhões) ou 5% do faturamento anual do ano anterior (o que for maior). Esta última é uma das maiores multas percentuais do mundo.

Suspensão de Atividades: a suspensão de negócios relacionados ao tratamento de dados pessoais, ou a suspensão de aplicativos móveis.

Revogação de Licenças: a revogação de licenças de negócios, o que pode efetivamente impedir a empresa de operar na China.

Responsabilidade Pessoal: indivíduos diretamente responsáveis pelas violações (por exemplo, executivos, DPOs) podem ser multados em até 1 milhão de yuans e proibidos de atuar como DPOs ou em funções de gestão de dados em empresas.

Ações Judiciais: os titulares de dados podem mover ações judiciais por danos causados por violações da PIPL. Além disso, as procuradorias podem iniciar ações de interesse público contra controladores e processadores que violam os direitos de um grande número de indivíduos.

9. Desafios Atuais Enfrentados pelas Empresas

Certamente, a conformidade com leis de privacidade, em qualquer país do mundo, enseja diversos desafios às empresas para se adaptarem às regulações. No caso da PIPL não é diferente e assim listamos os principais desafios que vislumbramos para as empresas que precisam se adaptar à legislação:

Principais Desafios para as Empresas

Ambiguidade em Certas Disposições: embora abrangente, algumas áreas da lei, como os detalhes exatos dos requisitos de avaliação de segurança para transferência transfronteiriça, os limites exatos para “grande volume” de dados, e a interpretação de “dados importantes” (que se relaciona com a Lei de Segurança de Dados), ainda precisam de maior clareza através de regulamentos de implementação e diretrizes práticas.

Complexidade da Conformidade: para empresas multinacionais, harmonizar a conformidade com a PIPL com outras leis de privacidade (como GDPR, CCPA) pode ser complexo devido a diferenças nas exigências, terminologia e abordagens regulatórias. Por exemplo, a PIPL tem uma forte ênfase na segurança nacional e no controle governamental sobre dados.

Custos de Conformidade: a implementação de medidas de segurança robustas, a realização de DPIAs, a adaptação de processos de consentimento, a reengenharia de fluxos de dados e a contratação de especialistas exigem investimentos significativos em tecnologia, pessoal e consultoria jurídica.

Interpretação e Execução: a forma como a CAC e outras autoridades interpretarão e aplicarão a lei na prática, e a frequência das fiscalizações e penalidades, continua a ser um ponto de atenção, já que existe um receio de que a aplicação da lei possa ser influenciada por prioridades políticas e econômicas.

Localização de Dados: embora a PIPL não exija explicitamente a localização de todos os dados, os requisitos rigorosos de transferência transfronteiriça, especialmente para dados importantes e grandes volumes, podem levar muitas empresas a optarem por armazenar dados dentro da China para simplificar a conformidade.

10. Visão Geral

A Lei de Proteção de Dados Pessoais da China é uma legislação abrangente e sofisticada que estabeleceu um novo padrão para a proteção de dados pessoais no país. Ela reflete a crescente conscientização global sobre a importância da privacidade e alinha a China a outras jurisdições com leis robustas de proteção de dados, ao mesmo tempo em que incorpora elementos únicos de sua estrutura regulatória e prioridades nacionais.

Para empresas que operam na China ou processam dados de cidadãos chineses, a PIPL não é apenas uma diretriz, mas uma exigência legal com penalidades significativas em caso de não conformidade. A adaptação eficaz à PIPL exige uma compreensão profunda de suas definições, requisitos e obrigações, bem como a implementação de medidas técnicas e organizacionais robustas e uma governança de dados proativa.

A PIPL representou indubitavelmente um passo crucial para a China em direção a uma governança de dados mais madura e responsável, com implicações profundas para a forma como os dados pessoais são tratados em um dos maiores mercados digitais do mundo. Empresas devem considerar a conformidade com a PIPL como uma prioridade estratégica, não apenas para evitar penalidades, mas para construir confiança com os consumidores, garantir a continuidade das operações e assegurar um crescimento sustentável a longo prazo em um ambiente regulatório em constante evolução.

Alexandre Dalmasso

RECENT POSTS

A Lei de Proteção de Dados Pessoais da China

September 9, 2025

Superior Tribunal de Justiça ratifica a responsabilidade solidária na lei anticorrupção

September 1, 2025

A Lei da Morte Digna no Uruguai

August 22, 2025

China's Personal Information Protection Law

September 9, 2025

Brazil’s Superior Court of Justice ratifies joint and several liability in Brazilian Anti-Corruption Act

September 1, 2025

The Uruguayan Dignified Death Act

August 22, 2025

Contratos no setor de tecnologia

December 11, 2024

Contratos no setor da indústria farmacêutica e percepções jurídicas

December 4, 2024

Disposições de limitação de responsabilidade: equilibrando riscos em contratos

November 28, 2024

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

A Lei de Proteção de Dados Pessoais da China

September 9, 2025
No items found.

A Lei de Proteção de Dados Pessoais (PIPL – Personal Information Protection Law) da República Popular da China, em vigor desde 1º de novembro de 2021, representou um marco significativo no cenário global de privacidade de dados. Considerada a legislação de privacidade de dados mais abrangente da China em toda a sua história, a PIPL estabelece um conjunto rigoroso de regras para o tratamento de dados pessoais. Ela se alinha a padrões globais como a GDPR da União Europeia, mas com características e nuances próprias do contexto chinês, refletindo a soberania cibernética e a segurança nacional como pilares fundamentais.

Antes da PIPL, o cenário regulatório chinês para a proteção de dados era fragmentado, composto por diversas leis e regulamentos como a Lei de Segurança Cibernética (CSL – Cybersecurity Law) de 2017, a Lei de Segurança de Dados (DSL – Data Security Law) de 2021 e os Padrões Nacionais de Segurança da Informação (Information Security Technology – Personal Information Security Specification) de 2020. Embora essas leis estabelecessem princípios básicos e requisitos técnicos, faltava uma estrutura legal unificada e abrangente dedicada exclusivamente à proteção de dados pessoais e aos direitos dos titulares.

A promulgação da PIPL foi impulsionada pelo rápido crescimento da economia digital, o aumento das preocupações com a coleta e o uso indevido de dados pessoais por empresas e órgãos governamentais, e a necessidade de harmonizar a regulamentação interna com as tendências globais de privacidade. Os principais objetivos da PIPL são:

Principais Objetivos da PIPL

Proteger os direitos e interesses dos indivíduos: assegurar que os dados pessoais sejam tratados de forma justa, transparente e legal, e que os indivíduos tenham controle significativo sobre suas informações. Isso inclui o direito de acesso, correção, exclusão e portabilidade.

Regulamentar o tratamento de dados pessoais: estabelecer regras claras e princípios para a coleta, armazenamento, uso, processamento, transmissão, disponibilização, exclusão e outras operações de dados, garantindo a legalidade e a minimização.

Promover o uso legítimo e ordenado de dados pessoais: facilitar o desenvolvimento da economia digital e a inovação tecnológica, garantindo que o tratamento de dados ocorra de maneira segura, ética e em conformidade com a lei, sem inibir o fluxo de dados necessário para o comércio e serviços.

Garantir a segurança nacional e o interesse público: equilibrar a proteção de dados com as necessidades de segurança e desenvolvimento do país, especialmente em setores críticos e para dados considerados “importantes” ou “essenciais”.

1. Definições Chave e Categorias de Dados

A PIPL introduziu definições e termos fundamentais para a sua aplicação, com implicações práticas significativas para a conformidade. Vejamos os principais abaixo:

Termos e Definições da PIPL

Dados Pessoais: refere-se a todas as informações relacionadas a um indivíduo identificado ou identificável, registradas por meios eletrônicos ou outros. Isso inclui, mas não se limita a nome, número de telefone, endereço, identificadores online (endereços IP, IDs de cookies), dados de localização e informações biométricas. É crucial notar que a PIPL exclui informações anonimizadas, nas quais o indivíduo não pode ser identificado e os dados não podem ser reconstituídos para identificar uma pessoa específica. Pseudonimização, no entanto, ainda é considerada dados pessoais.

Dados Pessoais Sensíveis: são dados pessoais que, se vazados ou utilizados ilegalmente, podem resultar em discriminação pessoal ou graves danos à segurança de indivíduos e propriedades. Esta categoria exige um nível de proteção muito mais elevado e consentimento explícito e separado. Exemplos incluem:

 Dados biométricos (impressões digitais, reconhecimento facial, voz).

 Crenças religiosas e filosóficas.

 Estado de saúde e histórico médico.

 Transações financeiras e contas bancárias.

 Informações de localização e rastreamento.

 Orientação sexual.

 Informações pessoais de menores de 14 anos, sob consentimento dos pais.

O tratamento de dados sensíveis requer uma base legal mais robusta e uma Avaliação de Impacto na Proteção de Dados (DPIA – Data Protection Impact Assessment) obrigatória.

Tratamento de Dados: abrange uma ampla gama de atividades, incluindo a coleta, armazenamento, uso, processamento, transmissão, fornecimento, a publicação e a eliminação de dados pessoais. Essencialmente, qualquer operação realizada sobre dados pessoais, seja por meios automatizados ou não.

Controlador de Dados: refere-se a qualquer organização ou indivíduo que, de forma independente, determina o propósito e os meios do tratamento de dados pessoais. Este é o principal responsável pela conformidade com a PIPL.

Processador de Dados (Operador de Dados): embora a PIPL não defina explicitamente “processador” como a GDPR, ela se refere a partes que tratam dados em nome de um controlador (por exemplo, provedores de serviços de nuvem, empresas de marketing etc.). O controlador é responsável por supervisionar o processador e garantir que este cumpra as obrigações da PIPL através de contratos claros.

2. Alcance Extraterritorial

A PIPL possui um escopo extraterritorial notável, similar à GDPR e à LGPD do Brasil, o que a torna relevante para empresas em todo o mundo, independentemente de sua localização física. Com efeito, podemos conceituar o alcance da PIPL da seguinte forma:

Empresas Chinesas

Empresas Estrangeiras

Qualquer organização ou indivíduo que trate dados pessoais dentro do território da China continental está sujeito à PIPL. Isso inclui empresas com sede na China, filiais de empresas estrangeiras e até mesmo indivíduos que tratam dados pessoais para fins não domésticos.

A lei se aplica a organizações e indivíduos fora da China que tratem dados pessoais de residentes na China, se tal tratamento tiver um dos seguintes propósitos:

Fornecer produtos ou serviços a indivíduos dentro da China: por exemplo, uma plataforma de e-commerce estrangeira que venda produtos para consumidores chineses ou um serviço de streaming que ofereça conteúdo para usuários na China.

Analisar ou avaliar atividades de indivíduos dentro da China: isso pode incluir monitoramento de comportamento online, análise de mercado ou pesquisa de usuários chineses para fins de personalização de produtos ou publicidade direcionada.

Qualquer outra circunstância prevista em leis ou regulamentos administrativos: esta cláusula “catch-all” oferece flexibilidade às autoridades chinesas para expandir o escopo da PIPL conforme necessário, dependendo de futuras regulamentações ou interpretações.

Um aspecto importante e que não deve ser menosprezado é que, para empresas estrangeiras sem presença física na China, a PIPL exige a designação de um representante ou estabelecimento dedicado no país para lidar com assuntos relacionados à proteção de dados. Este representante atua como um ponto de contato para as autoridades chinesas e para os titulares de dados, e é responsável por registrar as informações da empresa junto aos órgãos reguladores. A falha em designar tal entidade pode resultar em penalidades significativas.

3. Princípios Fundamentais

A PIPL estabelece princípios rigorosos para o tratamento de dados, exigindo que os controladores e os processadores de dados operem com base em fundamentos legais e transparência, promovendo uma cultura de “privacidade por design” (privacy by design) e “privacidade por padrão” (privacy by default), dependendo da situação. Vejamos os princípios aduzidos pela PIPL abaixo:

Princípios da PIPL

Princípio da Legalidade e Legitimidade: o tratamento de dados deve ter uma base legal um propósito legítimo. Isso significa que a coleta e o uso de dados devem ser justificados por uma razão válida, como o cumprimento de um contrato ou uma obrigação legal.

Princípio da Necessidade Mínima: controladores e processadores de dados só devem coletar a quantidade mínima de informações pessoais necessárias para alcançar o propósito estabelecido. Isso evita a coleta excessiva e desnecessária de dados.

Princípio do Consentimento: a PIPL exige o consentimento explícito e voluntário do titular para o tratamento dos seus dados pessoais. O consentimento deve ser obtido de forma clara e compreensível. No entanto, o consentimento não é a única base legal, as quais são discutidas abaixo.

Princípio da Transparência e da Notificação: os controladores e processadores de dados são obrigados a informar claramente os titulares de dados sobre a finalidade, o método e o tipo de dados que estão coletados. O titular de dados deve saber o que acontece com seus dados e ter o direito de acessá-los e corrigi-los, se necessário.

Princípio da Qualidade e Precisão: dados pessoais devem ser precisos e mantidos atualizados. Controladores e processadores de dados precisam tomar medidas razoáveis para garantir que a qualidade dos dados seja mantida, permitindo que os titulares de dados corrijam quando estiverem incorretos.

Princípio da Responsabilidade: a PIPL exige que os controladores e processadores de dados sejam responsáveis pela segurança dos dados que tratam. Desse modo, devem implementar medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, divulgação alteração ou perda. Em caso de violação de dados, a empresa deve notificar as autoridades os titulares de dados afetados.

Princípio da Limitação de Armazenamento: os dados pessoais devem ser mantidos apenas pelo tempo necessário para cumprir o propósito para o qual foram coletados. Uma vez que o propósito seja atingido, os dados devem ser excluídos ou anonimizados.

Princípio da Segurança Integrada: este princípio, embora não seja denominado de “privacidade por design” de forma explícita, está presente na PIPL. A lei exige que a segurança e a proteção de dados sejam incorporadas desde a fase de design de produtos e serviços, não devendo ser considerada apenas posteriormente, mas sendo parte fundamental da atividade para a qual haverá o seu tratamento.

4. Bases Legais

A PIPL, assim como a GDPR e a LGPD, estabelece as seguintes bases legais para o tratamento legítimo de dados pessoais de um indivíduo. Portanto, dados pessoais podem ser tratados quando:

Bases Legais da PIPL

Obtidos o consentimento do indivíduo em causa.

Necessários para a celebração ou execução de contrato do qual o interessado seja parte, ou para implementar a gestão de recursos humanos de acordo com as normas e regulamentos trabalhistas formulados de acordo com a lei e os contratos coletivos celebrados de acordo com a lei.

Necessários para cumprir deveres ou obrigações legais.

Necessários para lidar com emergências de saúde pública ou para a proteção da vida, da saúde e da segurança patrimonial de um indivíduo.

Atos como a cobertura de notícias e a supervisão da opinião pública forem realizados no interesse público e o processamento de informações pessoais estiver dentro de um escopo razoável.

As informações pessoais divulgadas pelos próprios indivíduos ou outras informações pessoais legalmente divulgadas forem processadas dentro de um escopo razoável, de acordo com as disposições desta Lei.

Houver outras circunstâncias previstas em leis e regulamentos administrativos.

5. Direitos dos Titulares de Dados

A PIPL confere aos titulares uma série de direitos sobre seus dados pessoais, capacitando-os a controlar como suas informações são usadas e exigindo que os controladores e os processadores estabeleçam mecanismos para facilitar o exercício desses direitos:

Direitos dos Titulares de Dados na PIPL

Direito de Acesso e Cópia: os indivíduos têm o direito de acessar e obter cópias de seus dados pessoais mantidos por um controlador ou processador. Os controladores e os processadores devem fornecer esses dados de forma oportuna e em um formato legível.

Direito de Correção e Retificação: podem solicitar a correção de dados imprecisos ou incompletos. Os controladores e os processadores devem corrigir os dados sem demora indevida.

Direito de Exclusão: podem solicitar a exclusão de seus dados em certas circunstâncias, como quando os dados não são mais necessários para o propósito original, quando o consentimento é retirado, ou quando o tratamento é ilegal. Os controladores e os processadores devem atender a essas solicitações, a menos que haja uma base legal para reter os dados (por exemplo, obrigação legal).

Direito de Retirar o Consentimento: os indivíduos podem retirar seu consentimento para o tratamento de seus dados a qualquer momento, e os controladores devem interromper o tratamento baseado nesse consentimento. A retirada do consentimento não afeta a legalidade do tratamento realizado antes da retirada.

Direito de Portabilidade de Dados: podem solicitar a transferência de seus dados para outro controlador. A PIPL exige que os controladores forneçam um caminho para a portabilidade, embora os detalhes técnicos e os formatos padrão ainda estejam em desenvolvimento.

Direito de Limitação e Recusa: os indivíduos têm o direito de limitar o tratamento de seus dados ou recusar o tratamento para fins de marketing direto, perfilagem ou tomada de decisões automatizadas que afetem significativamente seus direitos e interesses.

Direito a uma Explicação: este é um direito particularmente importante na PIPL, especialmente no contexto de algoritmos e inteligência artificial. Os indivíduos podem solicitar explicações sobre as regras de tratamento de dados de seus controladores, incluindo as lógicas e regras de tomada de decisão automatizada (por exemplo, sistemas de recomendação, avaliação de crédito). Isso visa aumentar a transparência e a responsabilidade de sistemas algorítmicos.

6. Principais Obrigações para Controladores e Processadores

A PIPL impõe responsabilidades significativas a controladores e processadores de dados para garantir a conformidade e a segurança, exigindo uma abordagem proativa e sistemática à proteção de dados. Essas responsabilidades são:

Principais Obrigações para Controladores e Processadores na PIPL

Nomeação de Representante ou Encarregado de Proteção de Dados (DPO – Data Protection Officer): empresas que tratam uma grande quantidade de dados pessoais (ainda não há um limite numérico exato definido, mas geralmente implica em volumes comerciais significativos) devem nomear uma pessoa responsável pela proteção de dados ou estabelecer uma equipe de proteção de dados. Para empresas estrangeiras sem presença física na China, é exigido um representante ou estabelecimento no país, cujo nome e informações de contato devem ser registrados junto às autoridades. O DPO é responsável por supervisionar a conformidade, atuar como ponto de contato com as autoridades e aconselhar a organização.

Realização de DIPAs: obrigatório antes de iniciar atividades de tratamento de dados que apresentem alto risco aos direitos e interesses dos indivíduos. Exemplos incluem:

– Tratar dados pessoais sensíveis.

– Realizar transferência transfronteiriça de dados.

– Realizar tratamento automatizado de dados pessoais para tomada de decisões que afetem os direitos e interesses dos indivíduos.

– Tratar um grande volume de dados pessoais.

– Qualquer outra atividade de tratamento de dados que possa ter um impacto significativo nos direitos e interesses dos indivíduos. Uma DPIA deve identificar os riscos, avaliar a necessidade e legalidade do tratamento, e propor medidas de segurança para mitigar os riscos.

Implementação de Medidas de Segurança Adequadas: os controladores devem adotar medidas técnicas e organizacionais eficazes para proteger os dados pessoais contra acesso não autorizado, vazamento, alteração ou destruição. Isso inclui:

– Medidas Técnicas: criptografia de dados em trânsito e em repouso, anonimização e pseudonimização, controle de acesso baseado em função (RBAC – Role-Based Access Control), auditorias de segurança regulares, monitoramento de rede, sistemas de detecção de intrusão (IDS/IPS), e planos de recuperação de desastres.

– Medidas Organizacionais: políticas internas de proteção de dados, treinamento regular de funcionários, acordos de confidencialidade, gerenciamento de fornecedores (due diligence e contratos com processadores), e planos de resposta a incidentes.

Resposta a Incidentes de Segurança: em caso de violação de dados (por exemplo, vazamento, alteração, perda), os controladores e processadores devem notificar prontamente as autoridades reguladoras (principalmente a Administração do Ciberespaço da China (CAC – Cyberspace Administration of China)) e os indivíduos afetados. A notificação deve incluir a causa do incidente, as categorias de dados afetadas, as medidas corretivas tomadas e as ações que os indivíduos podem tomar para mitigar os danos.

Manutenção de Registros de Tratamento: é exigido o registro das atividades de tratamento de dados pessoais, incluindo os tipos de dados, propósitos, bases legais, destinatários (internos e externos), e medidas de segurança. Esses registros devem ser mantidos por pelo menos três anos e estar disponíveis para inspeção pelas autoridades.

7. Transferência Transfonteiriça (Internacional) de Dados

A PIPL impõe regras estritas para a transferência de dados pessoais para fora da China, visando garantir que os dados de residentes chineses sejam protegidos mesmo quando processados no exterior. Esta é uma das áreas mais desafiadoras para empresas multinacionais. Uma das seguintes condições deve ser atendida para legitimar a transferência transfonteiriça de dados:

Condições para Legitimar a Transferência Transfronteiriça de Dados na PIPL

Avaliação de Segurança (Security Assessment): conduzida pelas CAC. É obrigatória para:

– Operadores de Infraestrutura de Informação Crítica.

– Controladores e processadores que tratam um grande volume de dados pessoais (ainda não há um limite numérico exato, mas geralmente acima de 1 milhão de indivíduos).

– Controladores e processadores que transferem dados pessoais sensíveis em grande volume.

– Outras circunstâncias que as autoridades considerem que possam afetar a segurança nacional ou o interesse público. O processo de avaliação de segurança é rigoroso e pode ser demorado, exigindo uma análise detalhada da segurança dos dados no exterior e da conformidade do destinatário.

Certificação de Proteção de Informações Pessoais: obtenção de uma certificação emitida por uma instituição profissional designada pela CAC. Este é um mecanismo de conformidade voluntário, que pode agilizar o processo para algumas empresas.

Contrato Padrão: assinatura de um contrato padrão com o destinatário estrangeiro, seguindo um modelo publicado segundo cláusulas contratuais padrão. Este é um caminho mais comum para empresas que não se enquadram nos requisitos da avaliação de segurança. O contrato padrão impõe obrigações ao destinatário estrangeiro para proteger os dados de acordo com os padrões da PIPL.

Outras Condições: outras condições previstas em leis, regulamentos administrativos ou disposições da Autoridade de Proteção de Dados. Esta cláusula permite flexibilidade para futuras regulamentações.

Além disso, independentemente do mecanismo de transferência escolhido, os controladores devem informar os titulares dos dados sobre o nome ou contato do destinatário estrangeiro, o propósito e os métodos de tratamento, os tipos de dados e os direitos dos titulares, e obter consentimento separado para a transferência transfronteiriça. É crucial que as empresas realizem uma DPIA antes de qualquer transferência transfronteiriça para avaliar os riscos e garantir a conformidade.

8. Fiscalização e Penalidades

A PIPL é fiscalizada principalmente pela CAC e outros departamentos competentes, como o Ministério da Indústria e Tecnologia da Informação (MIIT) e a Administração Estatal para Regulação do Mercado (SAMR). As penalidades por não conformidade são severas e visam deter violações:

Penalidades na PIPL

Advertências e Ordens de Correção: para infrações menores ou primeiras violações, as autoridades podem emitir advertências, ordenar a correção de práticas ou confiscar ganhos ilegais.

Multas Administrativas:

– Para violações gerais ou menos graves: multas de até 1 milhão de yuans (aprox. USD 140.000).

– Para violações graves (por exemplo, tratamento ilegal de dados sensíveis, recusa em corrigir violações após advertência, causar grandes danos): multas de até 50 milhões de yuans (aprox. USD 7 milhões) ou 5% do faturamento anual do ano anterior (o que for maior). Esta última é uma das maiores multas percentuais do mundo.

Suspensão de Atividades: a suspensão de negócios relacionados ao tratamento de dados pessoais, ou a suspensão de aplicativos móveis.

Revogação de Licenças: a revogação de licenças de negócios, o que pode efetivamente impedir a empresa de operar na China.

Responsabilidade Pessoal: indivíduos diretamente responsáveis pelas violações (por exemplo, executivos, DPOs) podem ser multados em até 1 milhão de yuans e proibidos de atuar como DPOs ou em funções de gestão de dados em empresas.

Ações Judiciais: os titulares de dados podem mover ações judiciais por danos causados por violações da PIPL. Além disso, as procuradorias podem iniciar ações de interesse público contra controladores e processadores que violam os direitos de um grande número de indivíduos.

9. Desafios Atuais Enfrentados pelas Empresas

Certamente, a conformidade com leis de privacidade, em qualquer país do mundo, enseja diversos desafios às empresas para se adaptarem às regulações. No caso da PIPL não é diferente e assim listamos os principais desafios que vislumbramos para as empresas que precisam se adaptar à legislação:

Principais Desafios para as Empresas

Ambiguidade em Certas Disposições: embora abrangente, algumas áreas da lei, como os detalhes exatos dos requisitos de avaliação de segurança para transferência transfronteiriça, os limites exatos para “grande volume” de dados, e a interpretação de “dados importantes” (que se relaciona com a Lei de Segurança de Dados), ainda precisam de maior clareza através de regulamentos de implementação e diretrizes práticas.

Complexidade da Conformidade: para empresas multinacionais, harmonizar a conformidade com a PIPL com outras leis de privacidade (como GDPR, CCPA) pode ser complexo devido a diferenças nas exigências, terminologia e abordagens regulatórias. Por exemplo, a PIPL tem uma forte ênfase na segurança nacional e no controle governamental sobre dados.

Custos de Conformidade: a implementação de medidas de segurança robustas, a realização de DPIAs, a adaptação de processos de consentimento, a reengenharia de fluxos de dados e a contratação de especialistas exigem investimentos significativos em tecnologia, pessoal e consultoria jurídica.

Interpretação e Execução: a forma como a CAC e outras autoridades interpretarão e aplicarão a lei na prática, e a frequência das fiscalizações e penalidades, continua a ser um ponto de atenção, já que existe um receio de que a aplicação da lei possa ser influenciada por prioridades políticas e econômicas.

Localização de Dados: embora a PIPL não exija explicitamente a localização de todos os dados, os requisitos rigorosos de transferência transfronteiriça, especialmente para dados importantes e grandes volumes, podem levar muitas empresas a optarem por armazenar dados dentro da China para simplificar a conformidade.

10. Visão Geral

A Lei de Proteção de Dados Pessoais da China é uma legislação abrangente e sofisticada que estabeleceu um novo padrão para a proteção de dados pessoais no país. Ela reflete a crescente conscientização global sobre a importância da privacidade e alinha a China a outras jurisdições com leis robustas de proteção de dados, ao mesmo tempo em que incorpora elementos únicos de sua estrutura regulatória e prioridades nacionais.

Para empresas que operam na China ou processam dados de cidadãos chineses, a PIPL não é apenas uma diretriz, mas uma exigência legal com penalidades significativas em caso de não conformidade. A adaptação eficaz à PIPL exige uma compreensão profunda de suas definições, requisitos e obrigações, bem como a implementação de medidas técnicas e organizacionais robustas e uma governança de dados proativa.

A PIPL representou indubitavelmente um passo crucial para a China em direção a uma governança de dados mais madura e responsável, com implicações profundas para a forma como os dados pessoais são tratados em um dos maiores mercados digitais do mundo. Empresas devem considerar a conformidade com a PIPL como uma prioridade estratégica, não apenas para evitar penalidades, mas para construir confiança com os consumidores, garantir a continuidade das operações e assegurar um crescimento sustentável a longo prazo em um ambiente regulatório em constante evolução.

Related
No items found.

ABOUT US

Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.

Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

ABOUT US

Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

QUEM SOMOS

O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.

Follow Us on Social Media

Offices

Rio de Janeiro

Av. Oscar Niemeyer, 2000
9th floor, Aqwa Corporate
Rio de Janeiro RJ - Brazil
20220-297
Phone: +55 21 3550 3700
Fax: +55 21 3956 9444
info@lickslegal.com

Sao Paulo

Av. Nações Unidas, 12.901
North Tower - 15th floor
Sao Paulo/SP Brazil
04578-910
Phone: +55 11 3033 3700
info@lickslegal.com

Brasilia

SH/Sul Zone 06, Unit A,
Complexo Brasil 21, Block E,
Rooms 515 and 516 – Asa Sul
Brasilia DF - Brazil
70316-902
Phone: + 55 61 3772 3700
info@lickslegal.com

Curitiba

Curitiba PR – Brazil
Phone: + 55 41 2391 0680
info@lickslegal.com

Tokyo

Chiyoda Kaikan Bldg, 6F, 1-6-17
Kudan Minami Chiyoda-Ku
Tokyo - Japan
102-0074
Phone:+81 3 6256 8972
Fax:+81 (03) 6740 1453
japan@lickslegal.com

© Copyright 2025 Licks Advogados

Selo COVID-19 FIRJAN e Albert Einstein
Covid-19 Safe Certified Office