En septiembre del año pasado, el gobierno de China introdujo un par de leyes que están empezando a afectar a las operaciones de la cadena de suministro. Éstas se refieren a la forma en que las empresas recogen, almacenan y acceden a los datos dentro y fuera de China, informó Ti.

En un documento publicado por el bufete de abogados estadounidense Skadden, Arps, Slate, Meagher & Flom, se resume que: "En otoño de 2021 entraron en vigor dos nuevas leyes chinas relativas a la seguridad y la privacidad de los datos que probablemente tendrán un impacto en muchas empresas multinacionales que operan en China o cuyas operaciones tocan China. Estas dos leyes -la Ley de Seguridad de Datos y la Ley de Protección de la Información Personal- proporcionan más especificidad sobre la localización de datos, la exportación de datos y los requisitos de protección de datos que aparecieron por primera vez en la Ley de Ciberseguridad de China en 2017".

Una de las consecuencias más evidentes se vio en el sector marítimo a partir del pasado mes de diciembre (2021), cuando los proveedores de datos AIS chinos desactivaron el acceso a los datos utilizados por las navieras para identificar y rastrear la posición de sus propios buques y de otros.

El enorme número de buques que navegan por las aguas litorales chinas requiere un seguimiento detallado para que sus operadores puedan planificar, programar y luego notificar a los expedidores cuándo es probable que arriben o zarpen las cargas. La mayoría de los buques no dejan de emitir, por lo que algunos de los datos del AIS pueden captarse por satélite, pero la gran mayoría de las señales recogidas lo hacen a través de una red de estaciones receptoras costeras. Los operadores de éstas, mientras recogían los datos del AIS, decidieron entonces dejar de compartirlos con los socios internacionales.

En aquel momento, la prensa especializada se hizo eco de las preocupaciones y del probable impacto en la fidelidad de los movimientos del tráfico marítimo. A muchas compañías les preocupaba que esto repercutiera directamente en el cumplimiento de sus cronogramas.

De este modo, los sistemas utilizados para llevar a cabo estas operaciones tendrán ahora que cumplir y ser "autorizados" por el gobierno chino para seguir almacenando y compartiendo datos tal y como se define en la legislación. Las leyes se aplican a todos los datos que entran en una definición muy amplia de la seguridad nacional y económica china, el bienestar de los ciudadanos y el interés público.

Sobre las prohibiciones

Los Operadores de Infraestructuras Críticas de Información (CIIO), empresas que manejan redes de datos e infraestructuras de información (por ejemplo, operadores de servicios en la nube) deben garantizar que todos los datos creados en China se almacenan y se hacen seguros en China y sólo pueden enviarse al extranjero después de que se haya aplicado un procedimiento de autoevaluación de la seguridad y haya sido acordado por las autoridades.

En definitiva, se prohíbe expresamente compartir cualquier dato almacenado en China para ponerlo a disposición de cualquier gobierno o fuerzas de orden extranjeros "bajo cualquier circunstancia", sin la aprobación previa del gobierno chino.

Las empresas que infrinjan esta norma serán multadas, sus operaciones cerradas y los directores se enfrentarán a sanciones penales. Además, cualquier tercero que participe en servicios de intermediación que impliquen el manejo de datos hacia y desde China debe proporcionar total transparencia sobre las fuentes de los datos y su uso. Todas las partes que accedan a los datos deben ser verificadas por los responsables del tratamiento de datos y sus identidades deben estar disponibles si se les solicita.

¿El problema?

Los anteriores son sólo los puntos principales, pero las implicaciones son claras. Toda cadena de suministro u operación logística que entre en contacto con China estará sujeta a esta legislación.

La buena noticia es que muchos de los principales proveedores de servicios en la nube (por ejemplo, Microsoft, AWS, Google, etc.) eran conscientes de estas nuevas leyes y habían ubicado grandes centros de datos dentro de China para dar servicio a sus clientes allí. Lamentablemente, operan como nodos separados fuera de los servicios en la nube interconectados globalmente de esas empresas.

Cabe mencionar que este paquete legislativo de China tiene su origen en 2018 como respuesta a la ley estadounidense "CLOUD", que permitía a las agencias policiales estadounidenses exigir el acceso a los datos sin importar dónde estuvieran almacenados en todo el mundo. Estas demandas extraterritoriales han tenido como consecuencia involuntaria un enorme aumento de los costos de cumplimiento para las grandes empresas y la incertidumbre y el riesgo para las organizaciones más pequeñas.