Lei de Proteção de Dados Pessoais (PIPL) da China

2025 09 07 – A Lei de Proteção de Dados Pessoais (PIPL – Personal Information Protection Law) da República Popular da China, em vigor desde 1º de novembro de 2021, representou um marco significativo no cenário global de privacidade de dados. Considerada a legislação de privacidade de dados mais abrangente da China em toda a sua história, a PIPL estabelece um conjunto rigoroso de regras para o tratamento de dados pessoais, alinhando-se a padrões globais como a GDPR da União Europeia, mas com características e nuances próprias do contexto chinês, refletindo a soberania cibernética e a segurança nacional como pilares fundamentais.

Antes da PIPL, o cenário regulatório chinês para a proteção de dados era fragmentado, composto por diversas leis e regulamentos, como a Lei de Segurança Cibernética (CSL – Cybersecurity Law) de 2017, a Lei de Segurança de Dados (DSL – Data Security Law) de 2021 e os Padrões Nacionais de Segurança da Informação (Information Security Technology – Personal Information Security Specification) de 2020. Embora essas leis estabelecessem princípios básicos e requisitos técnicos, faltava uma estrutura legal unificada e abrangente dedicada exclusivamente à proteção de dados pessoais e aos direitos dos titulares.

O rápido crescimento da economia digital, o aumento das preocupações com a coleta e o uso indevido de dados pessoais por empresas e órgãos governamentais, e a necessidade de harmonizar a regulamentação interna com as tendências globais de privacidade impulsionaram a promulgação da PIPL. Os principais objetivos da PIPL são:

Principais Objetivos da PIPL
Proteger os direitos e interesses dos indivíduos: Assegurar que os dados pessoais sejam tratados de forma justa, transparente e legal, e que os indivíduos tenham controle significativo sobre suas informações. Isso inclui o direito de acesso, correção, exclusão e portabilidade.
Regulamentar o tratamento de dados pessoais: Estabelecer regras claras e princípios para a coleta, armazenamento, uso, processamento, transmissão, disponibilização, exclusão e outras operações de dados, garantindo a legalidade e a minimização.
Promover o uso legítimo e ordenado de dados pessoais: Facilitar o desenvolvimento da economia digital e a inovação tecnológica, garantindo que o tratamento de dados ocorra de maneira segura, ética e em conformidade com a lei, sem inibir o fluxo de dados necessário para o comércio e serviços.
Garantir a segurança nacional e o interesse público: Equilibrar a proteção de dados com as necessidades de segurança e desenvolvimento do país, especialmente em setores críticos e para dados considerados “importantes” ou “essenciais”.

A PIPL introduziu definições e termos fundamentais para a sua aplicação, com implicações práticas significativas para a conformidade. Vejamos os principais abaixo:

Termos e Definições da PIPL
Dados Pessoais: Refere-se a todas as informações relacionadas a um indivíduo identificado ou identificável, registradas por meios eletrônicos ou outros. Isso inclui, mas não se limita a, nome, número de telefone, endereço, identificadores online (endereços IP, IDs de cookies), dados de localização e informações biométricas. É crucial notar que a PIPL exclui informações anonimizadas, onde o indivíduo não pode ser identificado e os dados não podem ser reconstituídos para identificar uma pessoa específica. Pseudonimização, no entanto, ainda é considerada dados pessoais.
Dados Pessoais Sensíveis: São dados pessoais que, se vazados ou utilizados ilegalmente, podem resultar em discriminação pessoal ou graves danos à segurança de indivíduos e propriedades. Esta categoria exige um nível de proteção muito mais elevado e consentimento explícito e separado. Exemplos incluem: Dados biométricos (impressões digitais, reconhecimento facial, voz). Crenças religiosas e filosóficas. Estado de saúde e histórico médico. Transações financeiras e contas bancárias. Informações de localização e rastreamento. Orientação sexual. Informações pessoais de menores de 14 anos, sob consentimento dos pais. O tratamento de dados sensíveis requer uma base legal mais robusta e uma avaliação de impacto na proteção de dados (DPIA) obrigatória.
Tratamento de Dados: Abrange uma ampla gama de atividades, incluindo a coleta, armazenamento, uso, processamento, transmissão, fornecimento, a publicação e a eliminação de dados pessoais. Essencialmente, qualquer operação realizada sobre dados pessoais, seja por meios automatizados ou não.
Controlador de Dados: Refere-se a qualquer organização ou indivíduo que, de forma independente, determina o propósito e os meios do tratamento de dados pessoais. Este é o principal responsável pela conformidade com a PIPL.
Processador de Dados (Operador de Dados): Embora a PIPL não defina explicitamente “processador” como a GDPR, ela se refere a partes que tratam dados em nome de um controlador (e.g., provedores de serviços de nuvem, empresas de marketing, etc.). O controlador é responsável por supervisionar o processador e garantir que este cumpra as obrigações da PIPL através de contratos claros.

A PIPL possui um escopo extraterritorial notável, similar à GDPR (europeia) e à LGPD (brasileira), o que a torna relevante para empresas em todo o mundo, independentemente de sua localização física.

Com efeito, podemos conceituar o alcance da PIPL da seguinte forma:

Empresas Chinesas

Empresas Estrangeiras

Qualquer organização ou indivíduo que trate dados pessoais dentro do território da China continental está sujeito à PIPL. Isso inclui empresas com sede na China, filiais de empresas estrangeiras e até mesmo indivíduos que tratam dados pessoais para fins não domésticos.

A lei se aplica a organizações e indivíduos fora da China que tratem dados pessoais de residentes na China, se tal tratamento tiver um dos seguintes propósitos: Fornecer produtos ou serviços a indivíduos dentro da China: Por exemplo, uma plataforma de e-commerce estrangeira que vende para consumidores chineses ou um serviço de streaming que oferece conteúdo para usuários na China. Analisar ou avaliar atividades de indivíduos dentro da China: Isso pode incluir monitoramento de comportamento online, análise de mercado, ou pesquisa de usuários chineses para fins de personalização de produtos ou publicidade direcionada. Qualquer outra circunstância prevista em leis ou regulamentos administrativos: Esta cláusula de “catch-all” oferece flexibilidade às autoridades chinesas para expandir o escopo da PIPL conforme necessário, dependendo de futuras regulamentações ou interpretações.

Um aspecto importante e que não deve ser menosprezado é que para empresas estrangeiras sem presença física na China, a PIPL exige a designação de um representante ou estabelecimento dedicado na China para lidar com assuntos relacionados à proteção de dados. Este representante atua como um ponto de contato para as autoridades chinesas e para os titulares de dados, e é responsável por registrar as informações da empresa junto aos órgãos reguladores. A falha em designar tal entidade pode resultar em penalidades significativas.

A PIPL estabelece princípios rigorosos para o tratamento de dados, exigindo que os controladores e os processadores de dados operem com base em fundamentos legais e transparência, promovendo uma cultura de “privacidade por design” (privacy by design) e “privacidade por padrão” (privacy by default), dependendo da situação. Vejamos os princípios aduzidos pela PIPL abaixo:

Princípios da PIPL
Princípio da Legalidade e Legitimidade: O tratamento de dados deve ter uma base legal um propósito legítimo. Isso significa que a coleta e o uso de dados devem ser justificados por uma razão válida, como o cumprimento de um contrato ou uma obrigação legal.
Princípio da Necessidade Mínima: Os controladores e processadores de dados só devem coletar a quantidade mínima de informações pessoais necessárias para alcançar o propósito estabelecido. Isso evita a coleta excessiva e desnecessária de dados.
Princípio do Consentimento: A PIPL exige o consentimento explícito e voluntário do titular para o tratamento dos seus dados pessoais. O consentimento deve ser obtido de forma clara e compreensível. No entanto, o consentimento não é a única base legal, sendo que discorreremos sobre as mesmas abaixo.
Princípio da Transparência e da Notificação: Os controladores e processadores de dados são obrigados a informar claramente os titulares de dados sobre a finalidade, o método e o tipo de dados que estão coletados. O titular de dados deve saber o que acontece com seus dados e ter o direito de acessá-los e corrigi-los, se necessário.
Princípio da Qualidade e Precisão: Os dados pessoais devem ser precisos e mantidos atualizados. Os controladores e processadores de dados precisam tomar medidas razoáveis para garantir que a qualidade dos dados seja mantida, permitindo que os titulares de dados corrijam quando estiverem incorretos.
Princípio da Responsabilidade: A PIPL exige que os controladores e processadores de dados sejam responsáveis pela segurança dos dados que tratam. Desse modo, devem implementar medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, divulgação alteração ou perda. Em caso de violação de dados, a empresa deve notificar as autoridades os titulares de dados afetados.
Princípio da Limitação de Armazenamento: Os dados pessoais devem ser mantidos apenas pelo tempo necessário para cumprir o propósito para o qual foram coletados. Uma vez que o propósito seja atingido, os dados devem ser excluídos ou anonimizados.
Princípio da Segurança Integrada: Este princípio, embora não seja denominado de “privacidade by design” de forma explícita, está presente na PIPL. A lei exige que a segurança e a proteção de dados sejam incorporadas desde a fase de design de produtos e serviços, não devendo ser considerada apenas posteriormente, mas sendo parte fundamental da atividade para a qual haverá o seu tratamento.

A PIPL, assim como a GDPR e a LGPD, estabelece as seguintes bases legais para o tratamento legítimo de dados pessoais de um indivíduo, podendo, assim, o dado pessoal ser tratado:

Bases Legais da PIPL
Quando for obtido o consentimento do indivíduo em causa.
Quando for necessário para a celebração ou execução de contrato do qual o interessado seja parte, ou para implementar a gestão de recursos humanos de acordo com as normas e regulamentos trabalhistas formulados de acordo com a lei e os contratos coletivos celebrados de acordo com a lei.
Quando for necessário para o cumprimento de deveres ou obrigações legais.
Quando for necessário para fazer face a emergências de saúde pública ou para a proteção da vida, da saúde e da segurança patrimonial de um indivíduo.
Quando atos como a cobertura de notícias e a supervisão da opinião pública forem realizados no interesse público e o processamento de informações pessoais estiver dentro de um escopo razoável.
Quando as informações pessoais divulgadas pelos próprios indivíduos ou outras informações pessoais legalmente divulgadas forem processadas dentro de um escopo razoável, de acordo com as disposições desta Lei.
Quando houver outras circunstâncias previstas em leis e regulamentos administrativos.

A PIPL confere aos titulares uma série de direitos sobre seus dados pessoais, capacitando-os a controlar como suas informações são usadas e exigindo que os controladores e os processadores estabeleçam mecanismos para facilitar o exercício desses direitos:

Direitos dos Titulares de Dados na PIPL
Direito de Acesso e Cópia: Os indivíduos têm o direito de acessar e obter cópias de seus dados pessoais mantidos por um controlador ou processador. Os controladores e os processadores devem fornecer esses dados de forma oportuna e em um formato legível.
Direito de Correção e Retificação: Podem solicitar a correção de dados imprecisos ou incompletos. Os controladores e os processadores devem corrigir os dados sem demora indevida.
Direito de Exclusão: Podem solicitar a exclusão de seus dados em certas circunstâncias, como quando os dados não são mais necessários para o propósito original, quando o consentimento é retirado, ou quando o tratamento é ilegal. Os controladores e os processadores devem atender a essas solicitações, a menos que haja uma base legal para reter os dados (e.g., obrigação legal).
Direito de Retirar o Consentimento: Os indivíduos podem retirar seu consentimento para o tratamento de seus dados a qualquer momento, e os controladores devem interromper o tratamento baseado nesse consentimento. A retirada do consentimento não afeta a legalidade do tratamento realizado antes da retirada.
Direito de Portabilidade de Dados: Podem solicitar a transferência de seus dados para outro controlador. A PIPL exige que os controladores forneçam um caminho para a portabilidade, embora os detalhes técnicos e os formatos padrão ainda estejam em desenvolvimento.
Direito de Limitação e Recusa: Os indivíduos têm o direito de limitar o tratamento de seus dados ou recusar o tratamento para fins de marketing direto, perfilagem ou tomada de decisões automatizadas que afetem significativamente seus direitos e interesses.
Direito a uma Explicação: Este é um direito particularmente importante na PIPL, especialmente no contexto de algoritmos e inteligência artificial. Os indivíduos podem solicitar explicações sobre as regras de tratamento de dados de seus controladores, incluindo as lógicas e regras de tomada de decisão automatizada (e.g., sistemas de recomendação, avaliação de crédito). Isso visa aumentar a transparência e a responsabilidade de sistemas algorítmicos.

A PIPL impõe responsabilidades significativas aos controladores e processadores de dados para garantir a conformidade e a segurança, exigindo uma abordagem proativa e sistemática à proteção de dados:

Principais Obrigações para Controladores e Processadores na PIPL
Nomeação de Representante ou Encarregado de Proteção de Dados (DPO – Data Protection Officer): Empresas que tratam uma grande quantidade de dados pessoais (ainda não há um limite numérico exato definido, mas geralmente implica em volumes comerciais significativos) devem nomear uma pessoa responsável pela proteção de dados ou estabelecer uma equipe de proteção de dados. Para empresas estrangeiras sem presença física na China, é exigido um representante ou estabelecimento na China, cujo nome e informações de contato devem ser registrados junto às autoridades. O DPO é responsável por supervisionar a conformidade, atuar como ponto de contato com as autoridades e aconselhar a organização.
Realização de Avaliações de Impacto na Proteção de Dados (DPIA – Data Protection Impact Assessments): Obrigatório antes de iniciar atividades de tratamento de dados que apresentem alto risco aos direitos e interesses dos indivíduos. Exemplos incluem: – Tratar dados pessoais sensíveis. – Realizar transferência transfronteiriça de dados. – Realizar tratamento automatizado de dados pessoais para tomada de decisões que afetem os direitos e interesses dos indivíduos. – Tratar um grande volume de dados pessoais. – Qualquer outra atividade de tratamento de dados que possa ter um impacto significativo nos direitos e interesses dos indivíduos. Uma DPIA deve identificar os riscos, avaliar a necessidade e legalidade do tratamento, e propor medidas de segurança para mitigar os riscos.
Implementação de Medidas de Segurança Adequadas: Os controladores devem adotar medidas técnicas e organizacionais eficazes para proteger os dados pessoais contra acesso não autorizado, vazamento, alteração ou destruição. Isso inclui: – Medidas Técnicas: Criptografia de dados em trânsito e em repouso, anonimização e pseudonimização, controle de acesso baseado em função (Role-Based Access Control – RBAC), auditorias de segurança regulares, monitoramento de rede, sistemas de detecção de intrusão (IDS/IPS), e planos de recuperação de desastres. – Medidas Organizacionais: Políticas internas de proteção de dados, treinamento regular de funcionários, acordos de confidencialidade, gerenciamento de fornecedores (due diligence e contratos com processadores), e planos de resposta a incidentes.
Resposta a Incidentes de Segurança: Em caso de violação de dados (e.g., vazamento, alteração, perda), os controladores e processadores devem notificar prontamente as autoridades reguladoras (principalmente a CAC) e os indivíduos afetados. A notificação deve incluir a causa do incidente, as categorias de dados afetadas, as medidas corretivas tomadas e as ações que os indivíduos podem tomar para mitigar os danos.
Manutenção de Registros de Tratamento: É exigido o registro das atividades de tratamento de dados pessoais, incluindo os tipos de dados, propósitos, bases legais, destinatários (internos e externos), e medidas de segurança. Esses registros devem ser mantidos por pelo menos três anos e estar disponíveis para inspeção pelas autoridades.

A PIPL impõe regras estritas para a transferência de dados pessoais para fora da China, visando garantir que os dados de residentes chineses sejam protegidos mesmo quando processados no exterior. Esta é uma das áreas mais desafiadoras para empresas multinacionais. Uma das seguintes condições deve ser atendida para legitimar a transferência transfonteiriça de dados:

Condições para Legitimar a Transferência Transfronteiriça de Dados na PIPL
Avaliação de Segurança (Security Assessment): Conduzida pelas autoridades de segurança cibernética da China (CAC). É obrigatória para: – Operadores de Infraestrutura de Informação Crítica. – Controladores e processadores que tratam um grande volume de dados pessoais (ainda não há um limite numérico exato, mas geralmente acima de 1 milhão de indivíduos). – Controladores e processadores que transferem dados pessoais sensíveis em grande volume. – Outras circunstâncias que as autoridades considerem que possam afetar a segurança nacional ou o interesse público. O processo de avaliação de segurança é rigoroso e pode ser demorado, exigindo uma análise detalhada da segurança dos dados no exterior e da conformidade do destinatário.
Certificação de Proteção de Informações Pessoais: Obtenção de uma certificação emitida por uma instituição profissional designada pela Administração do Cyberespaço da China (CAC). Este é um mecanismo de conformidade voluntário, que pode agilizar o processo para algumas empresas.
Contrato Padrão: Assinatura de um contrato padrão com o destinatário estrangeiro, seguindo um modelo publicado segundo cláusulas contratuais padrão. Este é um caminho mais comum para empresas que não se enquadram nos requisitos da avaliação de segurança. O contrato padrão impõe obrigações ao destinatário estrangeiro para proteger os dados de acordo com os padrões da PIPL.
Outras Condições: Outras condições previstas em leis, regulamentos administrativos ou disposições da Autoridade de Proteção de Dados. Esta cláusula permite flexibilidade para futuras regulamentações.

Além disso, independentemente do mecanismo de transferência escolhido, os controladores devem informar os titulares dos dados sobre o nome ou contato do destinatário estrangeiro, o propósito e os métodos de tratamento, os tipos de dados e os direitos dos titulares, e obter consentimento separado para a transferência transfronteiriça. É crucial que as empresas realizem uma DPIA (data protection impact assessment) antes de qualquer transferência transfronteiriça para avaliar os riscos e garantir a conformidade.

A PIPL é fiscalizada principalmente pela Administração do Ciberespaço da China (CAC – Cyberspace Administration of China) e outros departamentos competentes, como o Ministério da Indústria e Tecnologia da Informação (MIIT) e a Administração Estatal para Regulação do Mercado (SAMR). As penalidades por não conformidade são severas e visam deter violações:

Penalidades na PIPL
Advertências e Ordens de Correção: Para infrações menores ou primeiras violações, as autoridades podem emitir advertências, ordenar a correção de práticas, ou confiscar ganhos ilegais.
Multas Administrativas: – Para violações gerais ou menos graves: multas de até 1 milhão de yuans (aprox. USD 140.000). – Para violações graves (e.g., tratamento ilegal de dados sensíveis, recusa em corrigir violações após advertência, causar grandes danos): multas de até 50 milhões de yuans (aprox. USD 7 milhões) ou 5% do faturamento anual do ano anterior (o que for maior). Esta última é uma das maiores multas percentuais do mundo.
Suspensão de Atividades: A suspensão de negócios relacionados ao tratamento de dados pessoais, ou a suspensão de aplicativos móveis.
Revogação de Licenças: A revogação de licenças de negócios, o que pode efetivamente impedir a empresa de operar na China.
Responsabilidade Pessoal: Indivíduos diretamente responsáveis pelas violações (e.g., executivos, DPOs) podem ser multados em até 1 milhão de yuans e proibidos de atuar como DPOs ou em funções de gestão de dados em empresas.
Ações Judiciais: Os titulares de dados podem mover ações judiciais por danos causados por violações da PIPL. Além disso, as procuradorias podem iniciar ações de interesse público contra controladores e processadores que violam os direitos de um grande número de indivíduos.

Certamente, a conformidade com leis de privacidade, em qualquer país do mundo, ensejam diversos desafios às empresas para se adaptarem à nova regulação. No caso da PIPL não é diferente e assim listamos os principais desafios que vislumbramos para as empresas que precisam se adaptar a mesma:

Principais Desafios para as Empresas
Ambiguidade em Certas Disposições: Embora abrangente, algumas áreas da lei, como os detalhes exatos dos requisitos de avaliação de segurança para transferência transfronteiriça, os limites exatos para “grande volume” de dados, e a interpretação de “dados importantes” (que se relaciona com a Lei de Segurança de Dados), ainda precisam de maior clareza através de regulamentos de implementação e diretrizes práticas.
Complexidade da Conformidade: Para empresas multinacionais, harmonizar a conformidade com a PIPL com outras leis de privacidade (como GDPR, CCPA) pode ser complexo devido a diferenças nas exigências, terminologia e abordagens regulatórias. Por exemplo, a PIPL tem uma forte ênfase na segurança nacional e no controle governamental sobre dados.
Custos de Conformidade: A implementação de medidas de segurança robustas, a realização de DPIAs, a adaptação de processos de consentimento, a reengenharia de fluxos de dados e a contratação de especialistas exigem investimentos significativos em tecnologia, pessoal e consultoria jurídica.
Interpretação e Execução: A forma como a Administração do Ciberespaço da China (CAC) e outras autoridades interpretarão e aplicarão a lei na prática, e a frequência das fiscalizações e penalidades, continua a ser um ponto de atenção, já que existe um receio de que a aplicação da lei possa ser influenciada por prioridades políticas e econômicas.
Localização de Dados: Embora a PIPL não exija explicitamente a localização de todos os dados, os requisitos rigorosos de transferência transfronteiriça, especialmente para dados importantes e grandes volumes, podem levar muitas empresas a optar por armazenar dados dentro da China para simplificar a conformidade.

A Lei de Proteção de Dados Pessoais (PIPL) da China é uma legislação abrangente e sofisticada que estabeleceu um novo padrão para a proteção de dados pessoais no país. Ela reflete a crescente conscientização global sobre a importância da privacidade e alinha a China a outras jurisdições com leis robustas de proteção de dados, ao mesmo tempo em que incorpora elementos únicos de sua estrutura regulatória e prioridades nacionais.

Para empresas que operam na China ou processam dados de cidadãos chineses, a PIPL não é apenas uma diretriz, mas uma exigência legal com penalidades significativas em caso de não conformidade. A adaptação eficaz à PIPL exige uma compreensão profunda de suas definições, requisitos e obrigações, bem como a implementação de medidas técnicas e organizacionais robustas e uma governança de dados proativa.

A PIPL representou indubitavelmente um passo crucial para a China em direção a uma governança de dados mais madura e responsável, com implicações profundas para a forma como os dados pessoais são tratados em um dos maiores mercados digitais do mundo. Empresas devem considerar a conformidade com a PIPL como uma prioridade estratégica, não apenas para evitar penalidades, mas para construir confiança com os consumidores, garantir a continuidade das operações e assegurar um crescimento sustentável a longo prazo em um ambiente regulatório em constante evolução.