Menu fechado

Notícias

Lei de criptografia e cibersegurança chinesa – e seus impactos no mercado da UE

A China é uma economia de incontestável relevância e, portanto, tem feito comércio com diversos países ao redor do globo, inclusive, com os pertencentes à União Europeia. São exemplo da influência econômica chinesa as empresas: Huawei e Xiaomi.

Ocorre que as recentes leis Lei de Criptografia e Cibersegurança Chinesa buscarão atingir o total controle digital. Em 1° de dezembro entrou em vigor uma atualização da lei de cibersegurança e, a partir de primeiro de janeiro de 2020, entrará em vigor a Lei de Criptografia, sendo que, juntas, as normas determinam o acesso integral do governo chinês à integralidade dos dados de todas as empresas que operem dentro das suas fronteiras.

Contextualização da nova realidade legal / tecnológica na China

Sob o argumento de que o estado chinês têm como objetivo incentivar e apoiar a pesquisa e aplicação da ciência e tecnologia em criptografia, a fim de proteger os direitos de propriedade intelectual, a lei destaca o treinamento de talentos nessa área e afirma que aqueles com contribuições destacadas no trabalho de criptografia podem ser premiados, segundo publicação da Xinhua (2019).

Conforme o artigo 6°, a lei subdivide criptografia em: principais e comum (para informações confidenciais de estado), com proteções de encriptação e certificações de segurança, assim como comercial ( para informações não estatais), que será utilizada pelos cidadãos e entidades não governamentais.

O nível mais alto de confidencialidade protegido pela senha principal é extremamente secreto, e o mais alto nível de informações protegidas por senha comum é confidencial, segundo o artigo 7° A, da referida lei.

É suposto que, no caso em que alguém coloque em risco a criptografia de núcleo e comum (estatal), sem medidas de salvaguarda e sem reporte a contento, será punido nos termos da lei.

Impactos na Europa

A grande preocupação das entidades europeias se prende à possiblidade de que as regras revisadas de segurança cibernética da China coloquem as empresas estrangeiras em risco de perder seus segredos.

Outra preocupação tem natureza operacional, no sentido de que aquelas empresas que realizam comércio com a China terem que adaptar seus equipamentos para os critérios chineses, a fim de atender a essas demandas de proteção de dados confidenciais, num modelo diferente do que ocorre com a Regulação de Proteção de Dados da Europa – RGPD.

Entretanto, realizar essas mudanças pode acarretar a exposição de sistemas europeus aos fiscais chineses, sendo que nesse fato residem as maiores polêmicas.

As atualizações da lei de ciberseguraça pregam que todas as empresas que operam uma rede devem informar ao governo qual a sensibilidade dos dados que manipulam e quais estratégias e infraestrutura aprovadas pelo governo que usam para proteção contra ataques cibernéticos.

Logo, uma vez que esse sistema é administrado pelo Ministério da Segurança Pública, as equipes policiais e investigativas terão autoridade para solicitar às empresas o fornecimento de evidências documentadas, bem como poderão se conectar diretamente às redes das entidades para auditá-las.

Para as multinacionais, essa pode ser considerado uma espécie de desenvolvimento obscuro de conformidade, gerador de custos e incertezas, uma vez que, considerando a possibilidade invasiva do governo chines auditar às empresas, se uma entidade europeia utilizar um serviço de nuvem, esse poderá não ser aceitável na posteridade, caso seja fornecido pela China, devido ao excesso de exposição e não aceitação do mercado.

Noutro lado, caso não haja uma decisão de adequação do Data Protection Board, diante dessa nova realidade ou mesmo caso não seja considerado licenciado pelo governo chinês, novos problemas surgirão como a indisponibilidade de uma ferramenta possivelmente fundamental para a operação.

Em especial, no âmbito da saúde, muitos equipamentos biomédicos que recolhem dados pessoais sensíveis têm origem chinesa, fato que gera uma preocupação de alto risco, face ao RGPD, devido à exposição e incertezas.

Conclusão

Nesse sentido, mediante a avaliação de impacto sobre a proteção de dados – AIPD, as entidades europeias, especialmente as multinacionais, devem considerar com cuidado quais os dados que transmitem por seus servidores ou serviços chineses.

 

Fonte: Informações do portal Canaltech (10/12/2019)