Leyes chinas de protección de datos y privacidad: Actualización 2025: Lo que las empresas globales deben saber.

El panorama de la protección de datos en China evoluciona más rápido que en casi cualquier otra jurisdicción. Desde nuestro último análisis exhaustivo en 2023, Pekín ha endurecido los controles de transferencia transfronteriza, ampliado la definición de "datos importantes" e intensificado la aplicación de la ley con multas multimillonarias. A continuación, analizamos cada cambio que las organizaciones globales deben conocer en 2025, con base en los textos regulatorios más recientes, las estadísticas de cumplimiento y los análisis de Shufti.

1. Marco de protección de datos de China en 2025: Un breve repaso

Antes de sumergirnos en las novedades, recapitulemos brevemente los pilares del régimen de gobernanza de datos de China, que evoluciona rápidamente, y por qué cada estatuto y sus refinamientos de 2025 son importantes para las multinacionales que recopilan, almacenan o simplemente contacto Información personal china en la actualidad.

• Ley de Ciberseguridad (LCS) – Funciones básicas de seguridad y operador de red.
• Ley de Seguridad de Datos (DSL) – Clasificación de datos “esenciales” frente a datos “importantes”; obligaciones de seguridad basadas en el riesgo.
• Ley de Protección de Datos Personales (PIPL) – La ley de privacidad china al estilo del RGPD.
• Ley revisada sobre secretos de Estado (en vigor a partir del 1 de mayo de 2024) – Un alcance más amplio y nuevos “secretos de trabajo”, lo que aumenta las obligaciones de divulgación. https://www.reuters.com/legal/legalindustry/chinas-revised-more-stringent-state-secrets-law-takes-effect-2024-05-07/
• Normas sectoriales – por ejemplo, las directrices sobre datos financieros (PBOC, 17 de abril de 2025) con una lista blanca explícita para los flujos transfronterizos. https://www.reuters.com/world/china/china-releases-guidelines-facilitate-cross-border-flows-financial-data-2025-04-17/

2. Principales novedades regulatorias desde 2023

Desde nuestro artículo de 2023, Pekín ha emitido con frecuencia preguntas y respuestas, directrices sectoriales y notificaciones de cumplimiento. La cronología que aparece a continuación resume los cambios más importantes y destaca a quiénes afectan más y por qué.

2.1 Qué significan estos cambios para usted

• Umbrales más bajos, pero mayor escrutinio. Incluso las empresas que no superen el límite de 1 millón de registros deben presentar Contratos Estándar u obtener Certificaciones.
• Las exenciones específicas para cada sector son una realidad. Las empresas de servicios financieros pueden hacer uso de la lista blanca de abril de 2025, pero solo si cuentan con controles de cifrado y localización.
• Los períodos de gracia se están reduciendo. Los reguladores ahora esperan que la remediación se complete en dos meses, en lugar de seis.

3. Aplicación de la normativa y tendencias del sector

Las cifras brutas solo cuentan una parte de la historia. Al combinar los datos de multas de los reguladores con los análisis de incorporación de Shufti, se revela cómo las prioridades políticas están transformando el comportamiento del mercado, los tipos de fraude y los plazos de cumplimiento.

El seguimiento de riesgos de Shufti para 2025 muestra lo siguiente:

• aumento del 43 por ciento en las solicitudes de los clientes para módulos de detección PIPL entre el tercer trimestre de 2024 y el segundo trimestre de 2025.
• Tiempo para aprobar Incorporación digital en China continental bajó a 7.4 segundos (‑12 % interanual) utilizando el motor híbrido OCR y biométrico de Shufti.
• Tasa de intentos de fraude en plataformas de intercambio de criptomonedas chinas bajó un 28 por ciento tras adoptar la detección de vitalidad de Shufti, se revela el enfoque de los reguladores en cripto KYC.

Fuente: Shufti Global Identity Verification Benchmark H1 2025.

4. Lista de verificación de cumplimiento para 2025

Considere la siguiente lista de verificación como una hoja de ruta práctica: si se marcan todas las casillas, su organización debería estar perfectamente alineada con las expectativas de la CAC para 2025 y lista para demostrar dicho cumplimiento cuando se le solicite.

1. Flujos de datos de mapas Identificar importante vs centro datos por DSL.
2. Realizar análisis de brechas en relación con las preguntas y respuestas de la CAC de abril y junio de 2025.
3. Ejecutar contratos estándar (o Certificación) para cualquier PI saliente.
4. Localizar conjuntos de datos sensibles En territorio de la República Popular China, utilice "nodos aprobados" para la recuperación ante desastres.
5. Actualizar los avisos de privacidad para reflejar el requisito de consentimiento explícito (mayo de 2025).
6. Probar los planes de respuesta ante incidentes informar infracciones dentro 8 horas a la CAC y al regulador del sector.
7. Aproveche los proveedores de confianza. como Shufti para comprobaciones de identidad y vitalidad en tiempo real que ya cumplen con los principios de minimización de datos del artículo 40 de la PIPL.

5. Preguntas frecuentes (FAQ)

P1: ¿El umbral de 1 millón de registros incluye los datos de los empleados?
A: Sí. Las preguntas y respuestas de la CAC de abril de 2025 confirman que las lesiones personales de los empleados cuentan para el límite máximo. https://www.china-briefing.com/news/china-clarifies-cross-border-data-transfer-rules-official-qa/

P2: ¿Los acuerdos contractuales tipo (SCC) siguen siendo válidos si se firmaron antes de 2025?
A: Solo si la documentación presentada cumple con las directrices de junio de 2025; de lo contrario, será necesario volver a presentarla. https://natlawreview.com/article/china-releases-updated-guidance-application-security-assessment-cross-border-data

P3: ¿Siempre se requiere el consentimiento para las transferencias transfronterizas?
A: La PIPL contempla ciertas excepciones legales (por ejemplo, intereses vitales), pero la mayoría de las transferencias de empresas exigen el consentimiento explícito después de mayo de 2025.

P4: ¿Cómo deberían abordar las PYMES las evaluaciones de seguridad?
A: Las pymes que no superen los umbrales de CAC pueden optar por la "Certificación" para simplificar el cumplimiento; Shufti se asocia con certificadores externos para agilizar la aprobación.

P5: ¿Qué sanciones se aplicarán por incumplimiento en 2025?
A: Multas de hasta 50 millones de yenes o el 5 % de los ingresos anuales, además de posibles órdenes de suspensión de la actividad comercial y responsabilidad personal para los DPO.

Conclusión

Las vertiginosas actualizaciones regulatorias de China ponen de relieve un tema: Los datos transfronterizos son ahora un privilegio, no un derecho.Las organizaciones que trataron la PIPL como un ejercicio único en 2021 deben actualizar sus controles para sobrevivir al ciclo de aplicación más estricto de 2025. Al incorporar la privacidad desde el diseño, asociándose con proveedores con experiencia comprobada en cumplimiento como ShuftiY manteniéndose atentas a las directrices de la CAC, las empresas pueden convertir la fricción regulatoria en una ventaja competitiva.

¿Necesitas ayuda para comprender las últimas directrices de la CAC? Ponte en contacto con el equipo de cumplimiento normativo de Shufti para obtener una evaluación de riesgos personalizada.