Hola, soy el profesor Liu, de Jiaxi Finanzas e Impuestos. Llevo más de una década ayudando a empresas extranjeras a establecerse y operar en China, y créanme, el tema de la seguridad de redes es uno de los que más dolores de cabeza ha causado en los últimos años. No es solo un asunto de tecnología, es una cuestión de supervivencia legal. Si estás pensando en montar un negocio aquí, o ya tienes uno y quieres evitar multazos, este artículo te va a interesar. Hoy vamos a desglosar los requisitos legales de gestión de seguridad de redes para empresas extranjeras, pero no como un manual jurídico aburrido, sino con la experiencia de quien ha visto de todo en las trincheras.
Registro y protección de datos
Empecemos por algo básico pero que muchos pasan por alto: el registro y la protección de los datos personales. Recuerdo el caso de una consultora europea que llegó a Shanghai con toda la ilusión. Habían montado su oficina, contratado a una decena de empleados locales, y empezaron a usar un software de gestión de proyectos que guardaba los nombres, direcciones y hasta los DNI de sus clientes en un servidor en Alemania. Craso error. La Ley de Seguridad de Redes de China exige que los datos personales de ciudadanos chinos se almacenen en servidores ubicados dentro del territorio nacional. La sanción les llegó al año siguiente: una multa considerable y, lo peor, la suspensión temporal de sus operaciones.
¿Qué implica esto para una empresa extranjera? Que no solo debes saber qué datos recoges (que ya es bastante), sino también dónde los guardas y cómo los tratas. La ley clasifica los datos en generales, importantes y personales, y para cada categoría hay reglas distintas. Por ejemplo, si manejas datos de salud o de ubicación geográfica de un gran número de personas, estás en el punto de mira. La recomendación que siempre doy es contratar a un asesor legal local que revise tu flujo de datos desde el día cero. No vale con copiar y pegar el contrato de tu sede en Europa o Estados Unidos. Aquí la cosa es más fina, y lo barato a veces sale caro.
La parte más engorrosa, les confieso, es cuando tienes que negociar con tu casa matriz. Ellos quieren tener todo centralizado, y tú tienes que explicarles que, por ley, no puedes. Una solución práctica que hemos implementado en Jiaxi es crear una filial china con su propia infraestructura de almacenamiento local, y luego sincronizar solo datos anonimizados con la sede global. Esto no es sencillo, pero es lo que pide la normativa. Y ojo, no es solo la Ley de Seguridad de Redes, sino que también entra en juego la reciente Ley de Protección de Información Personal. Ambas se complementan y te ponen una camisa de fuerza que debes conocer al detalle.
Evaluación de impacto de seguridad
Otro requisito que suena a chino para muchos es la Evaluación de Impacto de Seguridad. No te asustes, que no es un examen de matemáticas. Básicamente, consiste en que, antes de lanzar un nuevo producto o servicio que maneje datos personales, debes hacer un análisis interno de los riesgos. Te explico con otro caso real: una empresa fintech japonesa que quería ofrecer préstamos rápidos a través de una app. Ellos pensaron que con tener un buen firewall era suficiente. Cuando llegaron a la fase de registro, la autoridad reguladora les pidió una evaluación de impacto. No la tenían, y el proceso se retrasó seis meses. Seis meses en los que perdieron mercado y dinero.
La evaluación debe cubrir, entre otras cosas: ¿qué datos vas a recoger? ¿Son necesarios para el servicio? ¿Quién tendrá acceso a ellos? ¿Cómo los vas a cifrar? ¿Qué pasa si hay una fuga de datos? Esto no es un puro trámite; la ley exige que documentes todo y que tengas un plan de respuesta a incidentes. Y no vale con hacerlo una vez y olvidarte: cada vez que cambies el producto o añadas una funcionalidad nueva, toca repetir el proceso.
Desde mi experiencia, lo más complicado es que muchas empresas extranjeras subestiman la profundidad de este análisis. Piensan que con llenar un formulario ya está. Pero los reguladores chinos son muy minuciosos. He visto casos donde pidieron aclaraciones sobre el algoritmo de recomendación de contenido de una red social. Literalmente, tuvieron que explicar las fórmulas matemáticas que usaban para sugerir videos. Esto requiere que tecnólogos y abogados trabajen codo con codo, algo que no siempre es fácil en culturas corporativas donde los departamentos van por separado. Mi consejo es que formes un grupo de trabajo interdisciplinario desde el principio.-
Nombramiento de responsable de seguridad
Aquí viene otro punto clave: el nombramiento de un responsable de seguridad. Según la ley, las empresas deben designar a una persona o un equipo encargado de la seguridad de la red y la protección de datos. Suena sencillo, pero en la práctica es un dolor de muelas. Una cliente americana, una cadena de tiendas de ropa, tenía su responsable de seguridad en la sede de Nueva York. Intentaron justificar que eso era suficiente. Pero la normativa china especifica que el responsable debe estar radicado en China y ser accesible a las autoridades locales. Al final, tuvieron que contratar a un gerente local de seguridad de la información.
¿Qué cualidades debe tener este responsable? No solo debe saber de firewalls y antivirus. También debe entender el contexto legal chino, sabe cómo comunicarse con los reguladores, y tener capacidad para entrenar al personal. Estoy hablando de un perfil bastante completo, que no se encuentra fácilmente. Muchas empresas extranjeras, para ahorrar, ponen a un administrativo con un curso de ciberseguridad. Eso es un error garrafal. He visto multas de más de un millón de yuanes por no tener un plan de respuesta a incidentes adecuado, precisamente porque el responsable no sabía cómo activar los protocolos necesarios.
Otro detalle: el responsable de seguridad debe reportar directamente a la alta dirección. No puede ser una figura decorativa. En las empresas que asesoramos, insistimos mucho en que esta persona tenga acceso al CEO local y, si es necesario, al consejo directivo global. Además, la ley exige que se guarde un registro de todas las actividades de seguridad, desde los informes de vulnerabilidad hasta las formaciones realizadas. Esto es algo que a menudo se descuida, y durante una inspección, si no tienes los papeles en orden, es casi como si no hubieras hecho nada.
Obligaciones de notificación de incidentes
¿Qué haces si un hacker se cuela en tu sistema y roba datos de clientes? Pues no te lo guardes. La ley china es muy clara: debes notificar el incidente a las autoridades competentes (normalmente la Oficina de Ciberseguridad) en un plazo de 24 horas si es un incidente grave, y en cualquier caso, dentro de las 72 horas posteriores a la confirmación. Además, si los datos afectados son de usuarios, tienes que informarles también.
Recuerdo un caso de una empresa de logística coreana. Sufrieron un ataque de ransomware y pensaron que podían resolverlo internamente. Durante tres días no dijeron nada. Cuando el regulador se enteró (porque algunos clientes se quejaron de que sus datos habían sido filtrados en la dark web), le cayó una sanción ejemplar. No solo por el incidente en sí, sino por no haber notificado a tiempo. La multa fue el 1% de sus ingresos anuales en China, una cantidad astronómica.
Para evitar esto, es crucial tener un protocolo de respuesta a incidentes. Yo les digo siempre a mis clientes: "Prepara el procedimiento antes de que ocurra el desastre". El protocolo debe incluir a quién contactar (abogados, aseguradora, técnicos forenses), cómo contener la brecha, y cómo comunicar la noticia. Y ojo, la notificación debe ser detallada: qué datos se han visto comprometidos, cuántos usuarios afectados, qué medidas se están tomando. No vale con un simple correo diciendo "hemos tenido un problema". La transparencia es clave para que la sanción sea menor. Además, la ley te obliga a cooperar plenamente con la investigación oficial, así que más te vale tener todo bien documentado.
Evaluación periódica de seguridad
No basta con hacer una evaluación de impacto al principio. La ley exige que realices evaluaciones periódicas de tu sistema de seguridad. Esto no es un capricho: las amenazas evolucionan, y tu empresa también. Si añades un nuevo departamento, o cambias de proveedor de cloud, toca revisar el tinglado. Una empresa alemana de automatización industrial lo aprendió a la fuerza. Tenían un sistema de seguridad anticuado, aprobado hacía tres años. Llegó una inspección aleatoria y descubrieron que no habían actualizado los parches de seguridad en meses. La multa fue el 0.5% de su facturación global en China.
Estas evaluaciones deben ser realizadas por una entidad externa acreditada o por un equipo interno independiente. La frecuencia recomendada es anual, pero si manejas muchos datos personales, quizá tengas que hacerla cada seis meses. En Jiaxi, recomendamos a nuestros clientes que pacten con un auditor de ciberseguridad local antes de firmar cualquier contrato. Así, cuando toque la revisión, no andan buscando con urgencia.
El resultado de estas evaluaciones debe ser presentado a la junta directiva y, si lo solicitan, a los reguladores. No es solo un documento para guardar en un cajón. La idea es que sirva para mejorar. Por ejemplo, si detectas que tu empleados usan contraseñas débiles, tienes que implementar un sistema de autenticación multifactor. Si ves que el cifrado de datos en tránsito no es robusto, tienes que cambiarlo. Esto parece de sentido común, pero te sorprendería cuántas empresas prefieren ignorar las recomendaciones hasta que les llueve una inspección.
Uso de tecnología de cifrado y VPN
Aquí entramos en terreno pantanoso. Muchas empresas extranjeras están acostumbradas a usar VPN para que sus empleados accedan a recursos corporativos desde casa o desde viajes. En China, el uso de VPN está regulado. No puedes instalar una VPN privada sin autorización. La ley solo permite el uso de VPN aprobadas por el gobierno, y generalmente solo para fines comerciales legítimos. He visto a varias startups tecnológicas recibir una advertencia severa por tener un servidor VPN no declarado.
¿Qué tipo de tecnología de cifrado puedes usar? La ley recomienda, pero no exige, que uses algoritmos de cifrado nacionales, como SM2, SM3 y SM4. Aunque no es obligatorio para todas las empresas, si trabajas con datos del gobierno o de industrias críticas (como energía o finanzas), te van a pedir que los implementes. Además, el cifrado debe ser lo suficientemente fuerte para proteger los datos, pero sin violar la seguridad nacional. Esto último es un poco ambiguo, y por eso siempre aconsejo a mis clientes que no intenten esconder datos sensibles usando métodos de cifrado muy opacos, porque el regulador tiene herramientas para solicitar el descifrado.
La práctica común en las empresas que asesoramos es usar una VPN corporativa registrada y autorizada por el Ministerio de Industria y Tecnología de la Información (MIIT). Además, es importante capacitar a los empleados sobre qué está permitido y qué no. Por ejemplo, no se puede conectar a una VPN no autorizada en una red pública. Esto implica contratar un servicio profesional de gestión de acceso remoto, y tener un registro de todos los accesos. Un cliente nuestro, una empresa de juegos, tenía a varios desarrolladores trabajando desde China con una VPN personal para acceder a repositorios en GitHub. Tuvieron que parar el proyecto dos semanas para migrar todo a una solución legal. Es una de esas cosas que se pasan por alto y luego dan disgustos.
Vamos cerrando este análisis. No nos engañemos, las exigencias son muchas y a veces parecen un laberinto burocrático. Pero si ves el vaso medio lleno, son una oportunidad para construir una base sólida de confianza con tus clientes y con las autoridades locales. La clave está en la planificación anticipada y en la asesoría especializada. No dejes para mañana lo que puedes hacer hoy, porque un incidente de seguridad puede costarte mucho más que el tiempo invertido en cumplir la ley. En mi experiencia, las empresas que peor lo pasan son las que intentan atajar o evitar el tema. Las que invierten desde el principio en seguridad de redes, terminan operando con más tranquilidad y, a menudo, con menos sorpresas financieras.
Pensando en el futuro, creo que veremos un endurecimiento aún mayor de estas normas. China está tomando la ciberseguridad como un pilar de su soberanía digital. Así que, si tienes planes de expansión, te recomiendo que no escatimes en recursos para el cumplimiento normativo. No es un gasto, es una inversión en tu continuidad de negocio. Y si necesitas un empujón o una guía, en Jiaxi estamos encantados de ayudarte a navegar por estas aguas, que son revueltas pero no imposibles de cruzar.
En Jiaxi Finanzas e Impuestos, hemos acompañado a cientos de empresas extranjeras en su camino hacia el cumplimiento de la seguridad de redes en China. Sabemos que la normativa puede ser abrumadora, pero también sabemos que con la estrategia adecuada, se puede convertir en una ventaja competitiva. Nuestro equipo de expertos, con más de 14 años de experiencia en registros y asesoría legal, te ofrece un servicio integral que abarca desde la evaluación inicial de riesgos hasta la implementación de protocolos de respuesta a incidentes. Creemos firmemente que invertir en cumplimiento es invertir en confianza, tanto con tus clientes como con el mercado chino. Si te enfrentas a desafíos similares, no dudes en contactarnos. Te ayudaremos a desentrañar los requisitos legales y a construir un sistema de seguridad robusto y a medida para tu operación.
