La IP ve amenazas en ley de ciberseguridad china

Las multinacionales elevarán sus costos, serán vulnerables al espionaje y estarán en desventaja frente a las firmas locales: expertos.
La empresa de comercio electrónico Alibaba ha creado centros de datos en varios países.
La empresa de comercio electrónico Alibaba ha creado centros de datos en varios países. (Chance Chan/Reuters)

Pekín

La primera ley de seguridad cibernética de China aumentará los costos de las multinacionales, las dejará vulnerables al espionaje industrial y le dará una ventaja desleal a las compañías chinas, advirtieron representantes comerciales y analistas.

Aspectos de la medida, que entra en vigor este jueves, fueron ampliamente bien recibidos como un hito en la introducción de la tan necesitada privacidad de datos. Pero los analistas expresaron su temor de que podría ayudar a que Pekín robe secretos comerciales o propiedad intelectual a las empresas extranjeras.

“La ley es extremadamente vaga así como excepcionalmente amplia en alcance, lo que potencialmente pone en riesgo a las empresas a cumplir con normas que no se relacionan con la seguridad cibernética”, dijo Carly Ramsey, directora asociada de Control Risks, una consultora de gestión de riesgos.

Las empresas extranjeras solicitaron a Pekín retrasar la legislación. “Es de vital importancia que estas medidas sean proporcionales, consistentes, no discriminatorias y que se formulen de la manera más transparente. Desafortunadamente, este no es el caso”, dijo Michael Chang, vicepresidente de la Cámara de Comercio Europea en Pekín. La ley es parte de una iniciativa para proteger los datos de los chinos de los ojos de los gobiernos extranjeros, después de que Edward Snowden, el informante estadunidense, reveló que EU espía las comunicaciones de las multinacionales, dicen analistas.

“El mensaje es claro de que el gobierno fomentará un mayor desarrollo de tecnología a nivel nacional, y que ahora considera la privacidad y la seguridad cibernética como preocupaciones nacionales vitales”, dijo Xun Yang, abogado de Simmons & Simmons en Shanghái.

Bajo la nueva ley, las empresas deben introducir medidas de protección de datos —una novedad para muchas empresas chinas— y los datos relacionados con los ciudadanos del país o la seguridad nacional deben mantenerse en servidores chinos. Las compañías tendrán que someterse a una revisión con los reguladores antes de transferir grandes cantidades de datos personales al extranjero. Sin embargo, las empresas “críticas”, una definición muy amplia que abarca entidades sensibles como empresas de electricidad o bancos, pero también cualquier empresa que tenga datos que, si se filtran, pueden “perjudicar los medios de vida de las personas”, tendrán que almacenar todos los datos que se recopilan en China dentro del país.

Estas compañías, y cualquier servicio que se compre por medio de ellos, deben pasar por una “revisión de seguridad nacional” para garantizar que ellos y sus sistemas de datos son “seguros y controlables”.

La medida permite que Pekín solicite el código fuente del programa informático, que normalmente solo conocen los desarrolladores del software. Las revisiones de seguridad nacional probablemente permitan que Pekín hurgue en la propiedad intelectual de las empresas, advierten los analistas. Incluso las empresas de entrega de comida rápida pueden llegar a considerarse de infraestructura crítica, según dictaminaron los reguladores de Shanghái durante la prueba piloto para la ley; es posible, sugieren los analistas, porque tienen información de millones de usuarios.

Las multinacionales serán a las que más van a afectar, ya que las medidas de localización de datos impiden que agrupen datos de clientes en las bases de almacenamiento en la nube en todo el mundo. La necesidad de almacenar información en los servidores que se encuentran en China y el resto en otras partes aumentará la fragmentación y el costo. “Para las empresas extranjeras es un trabajo enorme reestructurar sus operaciones”, dijo Yang. Las compañías de almacenamiento en la nube también se verán afectadas. Un abogado dijo que sus clientes extranjeros cambian los datos de Amazon Web Services en Singapur a los servidores del servicio en la nube de Alibaba en China.

Las propias compañías chinas de tecnología se verán afectadas. La mayor parte del comercio electrónico de Alibaba se lleva a cabo en China, pero cada vez más crea centros de datos en la nube en todo el mundo. “Cumplimos con las leyes aplicables en las jurisdicciones donde operamos”, dijo Alibaba. Mientras que la nueva ley causa angustia en las salas de consejo de las empresas extranjeras, las disposiciones para la privacidad de datos personales están en línea con lo que se practica a escala mundial, dijo Scott Thiel, socio de la firma de abogados DLA Piper en Hong Kong. Por ejemplo, va de acuerdo con la Regulación General de Protección de Datos de Europa, dijo. Sin embargo, los analistas sospechan que su aplicación en China puede llegar a mancharse con objetivos políticos.

Una propuesta de ley complementaria sobre la encriptación, que se publicó en abril, le permite al gobierno exigir “apoyo para la decodificación” por motivos de seguridad nacional.

De manera efectiva, esto significa que el gobierno puede obligar a las empresas a decodificar los datos encriptados. “En Estados Unidos, Apple se negó a abrir el iPhone del asesino de San Bernardino para el FBI. No puedo imaginar que eso pueda ocurrir en China”, dijo un abogado.

Aunque la ley no hace distinción entre las empresas locales y las extranjeras, las compañías chinas tienen menos preocupaciones, dicen los abogados. Son menos propensas a utilizar servicios en la nube y su presencia en el extranjero es menor, y las que tienen operaciones en el exterior suelen enviar sus datos de regreso a la sede china en lugar de sacarlos del país.

Las empresas nacionales también tienen menos preocupaciones por la vaguedad legal, dijo Yang. Las compañías extranjeras toman las leyes literalmente, mientras que sus contrapartes chinas suelen determinar su mensaje general, en este caso, que se debe tomar con seriedad la seguridad cibernética, y esperan a que el regulador de la industria les entregue las guías específicas. Pero también saben que la ley no se diseñó para causar problemas a las empresas locales.

 

Información adicional de Louise Lucas en Hong Kong.