RGPD vs. PIPL: Comparación entre las Leyes de Privacidad de Datos de la UE y China (2026)
El RGPD y la PIPL de China comparten una estructura similar, pero divergen en varios puntos operativamente críticos: el artículo 13 de la PIPL omite el interés legítimo como base jurídica, exige un consentimiento independiente para el intercambio con terceros y las transferencias transfronterizas, impone la localización de datos para los tratantes de gran volumen, e impone responsabilidad personal a los individuos responsables.
El Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Protección de Información Personal (PIPL) de China, vigente desde el 1 de noviembre de 2021, representan dos filosofías fundamentalmente distintas de protección de datos. Ambas leyes otorgan a las personas derechos sobre su información personal, pero la PIPL refleja el énfasis particular de China en la autoridad estatal y la soberanía de los datos. Para las organizaciones que operan en ambas jurisdicciones, las diferencias en las bases jurídicas, los requisitos de consentimiento, las normas de transferencia transfronteriza y la estructura de supervisión generan una complejidad de cumplimiento considerable.
Este artículo compara ambos marcos en paralelo, incluidos los avances regulatorios de 2025-2026 en ambos regímenes.
Información verificada por última vez el 19 de mayo de 2026. Este artículo aún no ha sido revisado por un abogado con licencia.
Alcance jurisdiccional: este artículo aborda el Reglamento General de Protección de Datos de la Unión Europea (RGPD, aplicable en los 30 Estados miembros del EEE) y la Ley de Protección de Información Personal de China (PIPL, vigente desde el 1 de noviembre de 2021), junto con la Ley de Ciberseguridad de China (enmendada, vigente desde el 1 de enero de 2026) y la Ley de Seguridad de Datos (vigente desde el 1 de septiembre de 2021). No aborda las leyes estatales de privacidad de EE. UU. (para ello, consulte leyes de privacidad de datos de EE. UU.) ni otros regímenes nacionales de privacidad. Para conocer el contexto completo de la PIPL dentro del marco jurídico más amplio de China, consulte nuestra guía sobre las leyes de privacidad de datos de China.
RGPD vs. PIPL: de un Vistazo
La siguiente tabla recoge los puntos de comparación de mayor relevancia. El análisis detallado sigue en cada sección.
| Característica | RGPD | PIPL |
|---|---|---|
| Jurisdicción | 30 Estados miembros del EEE | China (República Popular) |
| Fecha de entrada en vigor | 25 de mayo de 2018 | 1 de noviembre de 2021 |
| Alcance extraterritorial | Sí (art. 3) | Sí (art. 3) |
| Bases jurídicas | 6, incluido el interés legítimo | 7, pero SIN interés legítimo |
| Consentimiento independiente para el intercambio con terceros | No | Sí (art. 23) |
| Localización de datos | No se exige | Se exige para los OICI y los tratantes de gran volumen |
| Mecanismos de transferencia transfronteriza | Adecuación, SCC, BCR, certificación, excepciones | Evaluación de seguridad, contrato estándar (presentado ante la CAC), certificación |
| Multa máxima (organización) | 20 millones de euros o el 4% de los ingresos globales | 50 millones de yuanes o el 5% de los ingresos del año anterior |
| Responsabilidad personal (individuos) | No se impone habitualmente | Sí: hasta 1 millón de yuanes; prohibición profesional |
| Organismo de supervisión | APD nacionales + CEPD | CAC (principal) + MIIT, MPS, SAMR, reguladores financieros |
| Plazo de respuesta a solicitudes de derechos | 1 mes (prorrogable) | "Oportuno" (sin plazo fijo) |
| Derechos para familiares de personas fallecidas | No | Sí (art. 49) |
| Auditorías de cumplimiento obligatorias | No se exigen | Sí: cada 2 años para tratantes de más de 10 millones de personas (vigente desde el 1 de mayo de 2025) |
Antecedentes y Contexto Legislativo
El RGPD surgió de la tradición europea de la privacidad como derecho fundamental, codificado en el artículo 8 de la Carta de los Derechos Fundamentales de la UE. Reemplazó a la Directiva de Protección de Datos de 1995 y armonizó la protección de datos en los 30 países del EEE a partir del 25 de mayo de 2018.
La PIPL de China es uno de los tres pilares que regulan la ciberseguridad, la seguridad de datos y la información personal en China. Los otros dos son la Ley de Ciberseguridad (CSL) y la Ley de Seguridad de Datos (DSL, vigente desde el 1 de septiembre de 2021). Juntas, estas tres leyes conforman un marco integral para los flujos de información dentro y fuera de China. La PIPL fue adoptada por el Comité Permanente del Congreso Nacional del Pueblo el 20 de agosto de 2021 y entró en vigor el 1 de noviembre de 2021.
La PIPL comparte similitudes estructurales con el RGPD; los reguladores chinos estudiaron el modelo europeo durante su redacción. Sin embargo, la PIPL también fue moldeada por los objetivos de política distintivos de China en torno a la soberanía de los datos, la seguridad nacional y la regulación de las grandes plataformas tecnológicas. El resultado es una ley que luce estructuralmente familiar, pero que diverge marcadamente en algunos de los detalles operativamente más importantes.
Ámbito de Aplicación Territorial
Ambas leyes se aplican de manera extraterritorial, aunque a través de mecanismos distintos.
El RGPD se aplica, conforme al artículo 3, a las organizaciones establecidas en el EEE y a las organizaciones fuera del EEE que ofrezcan bienes o servicios a personas en el EEE o que monitoreen su comportamiento. Las organizaciones no pertenecientes a la UE que estén dentro de este ámbito deben designar un representante en la UE conforme al artículo 27.
La PIPL se aplica, conforme a su artículo 3, a todo tratamiento de información personal dentro de China, y también se aplica fuera de China cuando la finalidad sea proporcionar productos o servicios a personas en China, analizar o evaluar el comportamiento de personas en China, u otras circunstancias especificadas por la ley. Las organizaciones fuera de China que estén dentro de este ámbito deben establecer una entidad dedicada o designar un representante en China para las cuestiones relativas a la protección de la información personal (artículo 53 de la PIPL).
El alcance práctico de la aplicación difiere. La UE se basa en sanciones, prohibiciones de tratamiento y, para las transferencias de la UE a terceros países, el mecanismo de adecuación. China puede restringir directamente el acceso al mercado de las organizaciones extranjeras que incumplan, lo que otorga a la PIPL un alcance de aplicación que el RGPD no tiene.
El Tribunal de Internet de Guangzhou emitió el primer fallo publicado sobre la extraterritorialidad de la PIPL en el otoño de 2024. Un huésped de hotel chino demandó a un grupo hotelero francés no identificado después de que el grupo transfiriera su información personal a terceros sin obtener el consentimiento independiente exigido por el artículo 23 de la PIPL. El tribunal determinó que el grupo hotelero era responsable. El caso confirma que los tribunales chinos aplicarán los estándares de la PIPL al tratamiento que hagan organizaciones extranjeras de los datos de residentes chinos.
Definiciones y Datos Protegidos
| Término | RGPD | PIPL |
|---|---|---|
| Persona protegida | Titular de los datos | Individuo (titular de la información personal) |
| Datos protegidos | Datos personales | Información personal |
| Datos sensibles | Categorías especiales (art. 9) | Información personal sensible (art. 28) |
| Recopilador de datos | Responsable del tratamiento | Tratante de información personal |
| Agente de tratamiento | Encargado del tratamiento | Parte encomendada |
| Encargado de privacidad | Delegado de Protección de Datos (DPD) | Persona responsable de la protección de la información personal |
La PIPL define la información personal como cualquier información relacionada con una persona física identificada o identificable, registrada por medios electrónicos o de otro tipo, excluida la información anonimizada. La definición de datos personales del RGPD es sustancialmente equivalente.
La categoría de información personal sensible de la PIPL (art. 28) incluye datos biométricos, creencias religiosas, información de identidad específica, información médica y de salud, cuentas financieras, seguimiento de ubicación e información personal de menores de 14 años. Las categorías especiales del RGPD (art. 9) cubren el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos de salud, la vida sexual y los datos sobre orientación sexual. La PIPL agrega los datos de menores y los datos de cuentas financieras a la categoría sensible; el RGPD agrega las opiniones políticas, la afiliación sindical y la orientación sexual.
Bases Jurídicas para el Tratamiento
El RGPD prevé seis bases jurídicas en su artículo 6: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el ejercicio de poderes públicos y el interés legítimo.
El artículo 13 de la PIPL prevé siete circunstancias bajo las cuales los tratantes de información personal pueden tratar dicha información. La omisión crítica es el interés legítimo.
| Base Jurídica | RGPD | PIPL |
|---|---|---|
| Consentimiento | Sí (art. 6.1.a) | Sí (art. 13.1) |
| Ejecución de un contrato | Sí (art. 6.1.b) | Sí (art. 13.2) |
| Obligación legal | Sí (art. 6.1.c) | Sí (art. 13.3: deberes legales) |
| Intereses vitales | Sí (art. 6.1.d) | Parcialmente, mediante disposiciones de emergencia |
| Interés público | Sí (art. 6.1.e) | Sí (art. 13.5: reportaje periodístico, supervisión pública) |
| Interés legítimo | Sí (art. 6.1.f) | No disponible |
| Emergencia de salud pública | Cubierto por intereses vitales | Sí (art. 13.4) |
| Datos disponibles al público | Debe seguir teniendo una base jurídica | Sí (art. 13.6: dentro de un alcance razonable) |
| Otras disposiciones legales | N/A | Sí (art. 13.7) |
La ausencia de una base de interés legítimo en la PIPL es una de las diferencias prácticas más significativas para las organizaciones multinacionales. En virtud del RGPD, el interés legítimo es la base jurídica más comúnmente utilizada para el marketing directo, la prevención de fraude, la seguridad de redes e información, el intercambio de datos intragrupo y el análisis. En virtud de la PIPL, las organizaciones normalmente deben obtener el consentimiento para estas actividades o reestructurarlas para que encajen en otra base enumerada.
Requisitos de Consentimiento: Independiente y Granular
Los requisitos de consentimiento de la PIPL son más granulares que los del RGPD. Ambas leyes exigen que el consentimiento sea libre, específico, informado y que pueda revocarse con la misma facilidad con la que se otorgó.
La PIPL va más allá al exigir un consentimiento independiente (un estándar más elevado que el consentimiento estándar) en cinco situaciones específicas:
- Proporcionar información personal a terceros (art. 23)
- Divulgar públicamente información personal (art. 25)
- Tratar información personal sensible (art. 29)
- Transferir información personal fuera de China (art. 39)
- Usar imágenes o datos de identificación personal recopilados por equipos de vigilancia pública con fines distintos a la seguridad pública (art. 26)
El RGPD exige consentimiento explícito solo para las categorías especiales de datos personales conforme al artículo 9 y como excepción para las transferencias internacionales conforme al artículo 49. Los requisitos de consentimiento independiente de la PIPL para el intercambio con terceros y la divulgación pública van más allá de lo que exige el RGPD.
| Característica del Consentimiento | RGPD | PIPL |
|---|---|---|
| Consentimiento estándar | Libre, específico, informado, inequívoco (art. 7) | Voluntario, explícito, plenamente informado (art. 14) |
| Datos sensibles/categorías especiales | Se requiere consentimiento explícito (art. 9) | Se requiere consentimiento independiente (art. 29) |
| Transferencia transfronteriza | No se requiere si se usan otros mecanismos (art. 46) | Se requiere consentimiento independiente sin importar el mecanismo (art. 39) |
| Intercambio con terceros | Basta el consentimiento estándar | Se requiere consentimiento independiente (art. 23) |
| Divulgación pública | Basta el consentimiento estándar | Se requiere consentimiento independiente (art. 25) |
| Datos de menores | Consentimiento parental por debajo de 16 años (los Estados miembros pueden reducirlo a 13) | Se requiere consentimiento parental o del tutor por debajo de 14 años (art. 31) |
| Revocación | Debe ser tan fácil como otorgar el consentimiento (art. 7.3) | Mismo principio (art. 15) |
| Consentimiento combinado | Debe ser específico; combinarlo para fines no relacionados es inválido | Prohibido el consentimiento combinado (art. 17) |
Derechos Individuales: Artículos 44-50 de la PIPL vs. Capítulo 3 del RGPD
Ambas leyes otorgan a las personas derechos sustanciales sobre su información personal, con la PIPL siguiendo en gran medida la estructura del Capítulo 3 del RGPD, aunque difieren en los plazos y el alcance.
Los derechos bajo los artículos 44-50 de la PIPL son los siguientes:
- Derecho a saber y decidir (art. 44): las personas pueden restringir o rechazar el tratamiento de su información personal. Corresponde al derecho de oposición (art. 21) y al derecho a limitar el tratamiento (art. 18) del RGPD.
- Derecho de acceso (art. 45): las personas pueden acceder a una copia de su información personal en poder de una organización. El equivalente del RGPD es el artículo 15.
- Derecho a la corrección (art. 46): las personas pueden solicitar la corrección de información personal inexacta. El equivalente del RGPD es el artículo 16.
- Derecho a la eliminación (art. 47): las organizaciones deben eliminar la información personal cuando se haya logrado la finalidad del tratamiento, haya expirado el período de retención, se haya revocado el consentimiento, el tratamiento haya sido ilícito, u otros motivos apliquen. El equivalente del RGPD es el artículo 17.
- Derecho a la portabilidad de los datos (art. 45): las personas pueden solicitar la transferencia de su información personal a otro tratante, pero solo cuando se cumplan las condiciones especificadas por la CAC. El derecho de portabilidad del artículo 20 del RGPD se aplica de manera más amplia al tratamiento basado en el consentimiento y en contratos.
- Derecho relativo a las decisiones automatizadas (art. 24): cuando la toma de decisiones automatizada tenga un efecto significativo sobre los derechos e intereses de una persona, esta puede solicitar una explicación y rechazar decisiones tomadas exclusivamente por medios automatizados. El artículo 22 del RGPD cubre la toma de decisiones individual automatizada con un alcance similar.
- Derechos para los familiares de personas fallecidas (art. 49): los familiares de una persona fallecida pueden ejercer los derechos de acceso, corrección y eliminación en función de sus intereses legítimos. El RGPD no tiene una disposición equivalente.
| Derecho | RGPD | PIPL |
|---|---|---|
| A ser informado | Arts. 13-14 (al momento de la recopilación) | Art. 17 (aviso exigido al momento de la recopilación) |
| Acceso | Art. 15 (1 mes para responder) | Art. 45 (respuesta "oportuna") |
| Rectificación | Art. 16 | Art. 46 |
| Eliminación | Art. 17 | Art. 47 |
| Limitar el tratamiento | Art. 18 | Art. 44 (restringir o rechazar) |
| Portabilidad de los datos | Art. 20 (amplia) | Art. 45 (se aplican las condiciones de la CAC) |
| Oposición al tratamiento | Art. 21 | Art. 44 |
| Decisiones automatizadas | Art. 22 | Art. 24 |
| Plazo de respuesta | 1 mes, prorrogable a 3 (art. 12) | "Oportuno", sin plazo legal fijo |
| Familiares de personas fallecidas | No previsto | Art. 49 |
La ausencia de un plazo de respuesta fijo en la PIPL genera una asimetría en la aplicación. Las organizaciones en China no pueden planificar su infraestructura de respuesta a solicitudes en torno a un plazo legal específico, y las personas que ejercen sus derechos tienen menos certeza sobre cuándo esperar una respuesta.
Estructura de Supervisión: CEPD/APD frente a la CAC y el Modelo Multirregulador
Ambos marcos utilizan arquitecturas de supervisión fundamentalmente distintas.
En virtud del RGPD, cada Estado miembro de la UE designa una o más autoridades supervisoras nacionales (APD). Estas APD deben ser plenamente independientes y ejercer sus facultades con imparcialidad (art. 52). Para las organizaciones que operan en varios Estados miembros de la UE, el mecanismo de ventanilla única (art. 56) permite que la APD del Estado miembro donde se encuentra el establecimiento principal de la organización actúe como autoridad supervisora principal para el tratamiento transfronterizo. El Comité Europeo de Protección de Datos (CEPD) coordina la coherencia entre las APD nacionales, emite decisiones vinculantes en disputas transfronterizas y publica directrices, recomendaciones y dictámenes que moldean cómo las APD aplican el RGPD en todo el EEE.
La PIPL de China utiliza un modelo multirregulador establecido en su artículo 60. Ninguna autoridad única tiene una jurisdicción equivalente a la de una APD nacional. La Administración del Ciberespacio de China (CAC) asume el papel principal y coordinador. Otros reguladores ejercen su autoridad dentro de sus sectores designados:
- MIIT (Ministerio de Industria y Tecnología de la Información): aplicaciones, telecomunicaciones, servicios de internet, software
- Ministerio de Seguridad Pública: tratamiento de información personal relacionado con la seguridad, vigilancia, reconocimiento facial
- SAMR (Administración Estatal de Regulación del Mercado): productos y servicios orientados al consumidor, comercio electrónico
- Reguladores del sector financiero (Banco Popular de China, CBIRC, CSRC): datos financieros tratados por instituciones bajo su supervisión
- Reguladores de salud: datos de salud y médicos
- Contrapartes locales de cada ministerio: aplicación a nivel provincial y municipal
En 2025, la CAC lideró acciones de aplicación multidepartamentales junto con el MIIT y las agencias de seguridad pública, dirigidas a seis áreas de alta incidencia: aplicaciones y miniprogramas, kits de desarrollo de software (SDK), terminales inteligentes, reconocimiento facial en espacios públicos, escenarios de consumo fuera de línea y actividad criminal relacionada con datos.
Para las organizaciones sujetas a ambos marcos, la diferencia práctica es significativa. En virtud del RGPD, una empresa puede identificar su APD principal en función de su establecimiento principal en la UE y relacionarse principalmente con esa autoridad. En virtud de la PIPL, la responsabilidad se distribuye entre reguladores sectoriales, y múltiples agencias pueden tener jurisdicción concurrente sobre las actividades de una misma organización.
Acceso Gubernamental a los Datos Personales
Esta es el área de mayor divergencia filosófica entre ambos marcos.
El RGPD limita el acceso gubernamental a los datos personales mediante los principios de necesidad y proporcionalidad (art. 23). El derecho de la UE exige que la vigilancia gubernamental esté sujeta a supervisión judicial o independiente. El Tribunal de Justicia de la UE (TJUE) ha anulado mecanismos de transferencia internacional por considerar que el acceso de gobiernos extranjeros no estaba suficientemente limitado, incluido el Privacy Shield UE-EE. UU. en 2020 (Schrems II).
El marco chino exige una amplia cooperación con las autoridades gubernamentales. El artículo 7 de la Ley de Inteligencia Nacional (2017) exige que todas las organizaciones y ciudadanos "apoyen, asistan y cooperen con el trabajo de inteligencia nacional". La Ley Contra el Espionaje, sustancialmente enmendada en 2023, amplió las categorías de información que no pueden transmitirse al extranjero. El artículo 35 de la PIPL establece que las agencias gubernamentales que traten información personal para el cumplimiento de deberes legales deben cumplir con los requisitos de la PIPL, pero la Ley de Inteligencia Nacional, la Ley de Seguridad de Datos (que regula los "datos importantes" en el interés nacional) y la CSL enmendada crean en conjunto amplias obligaciones de acceso estatal.
El CEPD ha identificado los regímenes de acceso gubernamental en terceros países como un factor que las organizaciones deben ponderar en las evaluaciones de impacto de la transferencia. La ausencia de una decisión de adecuación de la UE para China refleja, en parte, las preocupaciones sobre estas disposiciones. Hasta mayo de 2026, no había ninguna negociación de adecuación en curso entre la UE y China.
Transferencias Transfronterizas de Datos
Las normas de transferencia transfronteriza representan una de las diferencias operativas más marcadas entre ambos marcos.
El RGPD permite las transferencias a través de: decisiones de adecuación (art. 45), Cláusulas Contractuales Tipo (SCC, art. 46), Normas Corporativas Vinculantes (BCR, art. 47), códigos de conducta y certificación (arts. 40-42), o excepciones para situaciones específicas (art. 49). Las organizaciones cuentan con múltiples vías con considerable flexibilidad, y ningún mecanismo de transferencia requiere una presentación previa ante un regulador gubernamental.
El artículo 38 de la PIPL establece tres mecanismos de transferencia con participación gubernamental obligatoria en dos de los tres:
| Mecanismo de Transferencia | RGPD | PIPL |
|---|---|---|
| Decisión de adecuación | Sí (art. 45) | No disponible |
| Cláusulas contractuales tipo | Sí (art. 46); sin presentación ante el gobierno | Sí (art. 38.3); debe presentarse ante la CAC |
| Evaluación de seguridad por la CAC | No se exige | Se exige para los OICI y los tratantes de gran volumen |
| Certificación por una institución | Sí (art. 42) | Sí (art. 38.2); institución designada por la CAC; medidas conjuntas CAC/SAMR vigentes desde 2026 |
| Normas corporativas vinculantes | Sí (art. 47) | No disponible explícitamente |
| Consentimiento del titular de los datos | Solo como excepción (art. 49) | Se exige de manera independiente para TODAS las transferencias (art. 39) |
La evaluación de seguridad por parte de la CAC es obligatoria para los Operadores de Infraestructura Crítica de la Información (OICI) y para las organizaciones que no sean OICI que, en el año anterior, hayan tratado la información personal de 100 000 o más personas, hayan tratado la información personal sensible de 10 000 o más personas, o hayan transferido acumulativamente al extranjero la información personal de 1 millón o más personas. Las organizaciones por debajo de estos umbrales pueden usar la vía del contrato estándar (con presentación ante la CAC) o la vía de certificación.
La vía de certificación se formalizó cuando la CAC y la SAMR emitieron conjuntamente las Medidas de Certificación para las Transferencias Transfronterizas de Información Personal en 2025-2026. Las instituciones de certificación deben registrarse ante la CAC dentro de los 10 días hábiles posteriores a recibir la aprobación de la SAMR. Esto completó el marco de transferencia de tres vías que la PIPL había contemplado desde su promulgación.
Independientemente del mecanismo utilizado, el artículo 39 de la PIPL exige que la organización informe por separado al titular de los datos y obtenga su consentimiento independiente antes de cada transferencia transfronteriza. Este requisito no tiene equivalente en el RGPD.
Localización de Datos
La PIPL, en conjunto con la CSL y la DSL, impone requisitos de localización de datos que no tienen paralelo en el RGPD.
Los OICI deben almacenar dentro de China la información personal recopilada y generada en el país (art. 40 de la PIPL; art. 37 de la CSL). Los tratantes de información personal que no sean OICI, pero que superen los umbrales de evaluación de seguridad, también deben almacenar los datos localmente y solo pueden transferirlos al extranjero después de superar la evaluación de seguridad de la CAC. La CSL enmendada (vigente desde el 1 de enero de 2026) amplió el alcance de los operadores de redes sujetos a obligaciones vinculadas a la localización y alineó la estructura sancionadora por infracciones con las multas escalonadas de la PIPL.
El RGPD no contiene ningún requisito de localización de datos. Los datos fluyen libremente dentro del EEE, y las transferencias transfronterizas fuera del EEE están permitidas a través de los mecanismos descritos anteriormente. No existe la obligación de mantener una copia de los datos personales dentro del territorio de la UE.
Esta divergencia crea un problema de cumplimiento estructural para las organizaciones que operan sistemas de datos integrados entre la UE y China. Mantener silos de datos separados para las operaciones chinas y europeas es la solución más común, pero conlleva un costo de infraestructura continuo y limita los beneficios operativos de la centralización de datos.
Aplicación y Sanciones
Ambos marcos conllevan sanciones significativas, pero las disposiciones de responsabilidad personal de la PIPL la hacen singularmente severa para los funcionarios individuales.
| Aspecto de la Aplicación | RGPD | PIPL |
|---|---|---|
| Autoridad de aplicación principal | APD nacionales (más de 30) coordinadas por el CEPD | CAC (principal) + MIIT, MPS, SAMR, reguladores financieros |
| Multa administrativa estándar | Hasta 10 millones de euros o el 2% de los ingresos anuales globales (art. 83.4) | Hasta 1 millón de yuanes para la organización |
| Multa administrativa severa | Hasta 20 millones de euros o el 4% de los ingresos anuales globales (art. 83.5) | Hasta 50 millones de yuanes o el 5% de los ingresos del año anterior |
| Responsabilidad personal para individuos | No se impone habitualmente | Multas de 100 000 a 1 000 000 de yuanes a los individuos responsables |
| Inhabilitación profesional | No se impone habitualmente | Prohibición de ejercer como director, supervisor o alto directivo |
| Suspensión de servicios | Posibles prohibiciones de tratamiento | Las autoridades pueden ordenar el cese de servicios o revocar licencias |
| Registro en el sistema de crédito social | N/A | Las infracciones se registran en los expedientes crediticios de la organización y de los individuos responsables (art. 67) |
| Notificación de vulneraciones | 72 horas al regulador (art. 33) | "De inmediato" al regulador (art. 57) |
La aplicación del RGPD se ha acelerado: el total de multas emitidas desde mayo de 2018 superó los 5650 millones de euros a comienzos de 2025. Entre las medidas de aplicación destacadas de 2024 se encuentran LinkedIn Ireland (310 millones de euros, DPC de Irlanda, publicidad conductual), Uber (290 millones de euros, APD de los Países Bajos, salvaguardas inadecuadas para las transferencias UE-EE. UU.) y Meta (251 millones de euros, DPC de Irlanda, vulneración de datos de 2018). La DPC de Irlanda ha impuesto más de 3500 millones de euros en multas desde 2018, principalmente contra grandes empresas tecnológicas estadounidenses con establecimiento principal en la UE en Irlanda.
La aplicación de la PIPL se ha expandido de manera similar. En 2024, la CAC entrevistó a 11 159 plataformas, multó o advirtió a 4046 y cerró 10 946 sitios web. Entre los casos destacados se encuentran la subsidiaria de Dior en Shanghái (septiembre de 2025, sancionada por transferencias transfronterizas de datos no autorizadas, consentimiento inadecuado y medidas de seguridad insuficientes) y el primer fallo del Tribunal de Internet de Guangzhou sobre la extraterritorialidad de la PIPL (otoño de 2024, que determinó la responsabilidad de un grupo hotelero francés por transferir datos de huéspedes sin consentimiento independiente).
El Marco Legal de Datos Chino más Amplio: CSL, DSL y PIPL
Las organizaciones que operan en China enfrentan tres estatutos interrelacionados que interactúan con la PIPL.
Ley de Ciberseguridad (CSL, enmendada, vigente desde el 1 de enero de 2026). Originalmente promulgada en 2017, la CSL regula a los operadores de redes y a los Operadores de Infraestructura Crítica de la Información. El Comité Permanente del Congreso Nacional del Pueblo aprobó enmiendas el 28 de octubre de 2025, y la CSL revisada entró en vigor el 1 de enero de 2026. Los cambios clave en la CSL enmendada incluyen:
- Una estructura de sanciones escalonada: multas de hasta 10 millones de yuanes para las empresas y 1 millón de yuanes para los individuos por infracciones particularmente graves (frente a topes anteriores más bajos)
- Las primeras disposiciones de gobernanza de IA: el artículo 20 promueve la investigación, el desarrollo y el desarrollo de datos de entrenamiento de IA, a la vez que exige estándares éticos de IA, monitoreo de riesgos y medidas de seguridad frente a amenazas habilitadas por IA
- Ampliación del alcance extraterritorial: la ley enmendada cubre a cualquier organización o individuo extranjero cuyas actividades "pongan en peligro la ciberseguridad de China", un alcance más amplio que el enfoque anterior en las actividades que dañan la infraestructura crítica de la información
- Obligaciones en la cadena de suministro: los operadores de IIC enfrentan multas de entre 1 y 10 veces el valor de adquisición por usar productos de red no autorizados; tanto compradores como proveedores tienen ahora obligaciones legales directas
- Circunstancias atenuantes: el nuevo artículo 73 permite sanciones reducidas para las infracciones corregidas de manera oportuna, divulgadas proactivamente o de consecuencia menor con plena cooperación
Ley de Seguridad de Datos (DSL, vigente desde el 1 de septiembre de 2021). La DSL regula datos distintos de la información personal, específicamente los "datos importantes" y los "datos centrales" en el interés nacional. Exige que las organizaciones clasifiquen los datos por nivel de importancia, implementen medidas de seguridad proporcionales a dicha clasificación y obtengan la aprobación del gobierno antes de transferir al extranjero datos importantes o centrales. La DSL se aplica al tratamiento de datos en China y, conforme a su artículo 2, a las actividades fuera de China que dañen la seguridad nacional, los intereses públicos o los derechos e intereses legítimos de ciudadanos u organizaciones de China.
PIPL. Regula específicamente la información personal, superponiéndose a los requisitos de seguridad de datos de la DSL. Un único conjunto de datos (por ejemplo, una base de datos de consumidores chinos) puede generar obligaciones bajo las tres leyes simultáneamente.
Para las organizaciones fuera de China, el alcance extraterritorial ampliado de la CSL enmendada implica que las actividades relacionadas con la ciberseguridad que afecten a las redes chinas (no solo el tratamiento de información personal) pueden ahora exponer directamente a las organizaciones extranjeras a la jurisdicción regulatoria china.
Avances Recientes (2025-2026)
Medidas de Gestión de Auditorías de Cumplimiento de la PIPL (vigentes desde el 1 de mayo de 2025). La CAC promulgó estas medidas el 14 de febrero de 2025. Las organizaciones que traten información personal de más de 10 millones de personas deben realizar auditorías de cumplimiento autoiniciadas al menos cada dos años. Los reguladores también pueden ordenar auditorías obligatorias para cualquier organización cuando las actividades de tratamiento impliquen un riesgo significativo, un impacto generalizado en los derechos de las personas, o un incidente de seguridad importante que afecte a 1 millón o más de personas. Los elementos de la auditoría incluyen: bases jurídicas, aviso y consentimiento, cumplimiento de las transferencias transfronterizas, toma de decisiones automatizada, tratamiento de datos sensibles, retención y eliminación, procedimientos de solicitud de los titulares de datos y respuesta ante incidentes. Los auditores externos no pueden auditar a la misma organización más de tres veces.
Medidas de Certificación Transfronteriza (vigentes desde 2026). La CAC y la SAMR emitieron conjuntamente las Medidas de Certificación para las Transferencias Transfronterizas de Información Personal, completando el marco de transferencia de tres vías contemplado por el artículo 38 de la PIPL. La vía de certificación está disponible para las organizaciones que no sean OICI y que transfieran entre 100 000 y 1 millón de registros de información personal (o menos de 10 000 registros sensibles) anualmente. Las instituciones de certificación deben registrarse ante la CAC dentro de los 10 días hábiles posteriores a la aprobación de la SAMR.
Ley de Ciberseguridad enmendada (vigente desde el 1 de enero de 2026). Como se describió anteriormente, la CSL enmendada introdujo sanciones escalonadas, gobernanza de IA, un alcance extraterritorial ampliado y nuevas obligaciones en la cadena de suministro. Para las organizaciones ya sujetas a la PIPL, la CSL enmendada agrega una capa adicional de cumplimiento en materia de obligaciones de red y ciberseguridad.
Trayectoria de aplicación del RGPD (2024-2025). Las multas del RGPD superaron los 1200 millones de euros solo en 2024, con una aplicación que se expande más allá de las grandes empresas tecnológicas hacia los sectores financiero y energético. El uso ampliado del procedimiento de urgencia del artículo 65 por parte del CEPD ha acelerado la resolución de casos transfronterizos.
Orientación para el Cumplimiento Dual
Las organizaciones sujetas tanto al RGPD como a la PIPL enfrentan conflictos en varias áreas clave. La siguiente lista de verificación identifica las divergencias con mayor probabilidad de requerir decisiones estructurales de cumplimiento.
| Cuestión | Requisito del RGPD | Requisito de la PIPL | Estrategia de Cumplimiento |
|---|---|---|---|
| Base jurídica para marketing | Interés legítimo o consentimiento | Consentimiento (sin interés legítimo) | Obtener consentimiento para China; el interés legítimo es aceptable para la UE si se cumple la prueba de ponderación |
| Intercambio de datos con terceros | Consentimiento estándar u otra base jurídica | Consentimiento independiente | Implementar una experiencia de consentimiento granular que capture el consentimiento independiente para el intercambio |
| Transferencia transfronteriza desde China | N/A (los datos que llegan a la UE solo necesitan una base del RGPD) | Evaluación de seguridad, contrato estándar o certificación; consentimiento independiente | Usar SCC + presentación ante la CAC para casos por debajo del umbral; evaluación de seguridad para OICI y tratantes de gran volumen; obtener siempre el consentimiento independiente |
| Localización de datos (China) | No se exige | Se exige para los OICI y los tratantes por encima del umbral | Mantener infraestructura de datos china separada; minimizar las transferencias transfronterizas |
| Respuesta al acceso gubernamental | Debe evaluarse la necesidad y proporcionalidad; los representantes en la UE deben escalar | Debe cooperarse con las agencias de inteligencia y seguridad | Las entidades legales en China tienen una obligación directa; las entidades de la UE que reciban solicitudes de acceso desde China deben consultar el derecho de la UE |
| DPD / encargado de privacidad | Se exige un DPD para organismos públicos, monitoreo a gran escala, datos sensibles | Se exige una persona responsable de la protección de IP por encima del umbral de la CAC (actualmente 1 millón o más de personas tratadas) | Designar un DPD en la UE; designar una persona responsable en China; los roles pueden superponerse, pero las responsabilidades son distintas |
| Plazo de respuesta a solicitudes | Responder dentro de 1 mes | Responder de manera "oportuna" | Apuntar a una respuesta de 30 días para todas las solicitudes a fin de satisfacer el RGPD; documentar el tiempo de respuesta para la PIPL |
| Notificación de vulneraciones | 72 horas a la APD; sin dilación indebida a las personas para riesgo alto | "De inmediato" al regulador; oportuna a las personas | El plan de respuesta ante incidentes debe apuntar a la notificación al regulador el mismo día para satisfacer la PIPL; 72 horas cubre el RGPD |
| Auditoría de cumplimiento | No exigida por el RGPD; recomendada como medida de responsabilidad proactiva | Obligatoria cada 2 años para tratantes de 10 millones o más de personas | Incorporar el ciclo de auditoría al calendario de cumplimiento; alinearlo con la documentación de responsabilidad proactiva del RGPD |
Muchas organizaciones multinacionales abordan los conflictos entre el RGPD y la PIPL operando entornos de tratamiento de datos separados para las operaciones chinas y europeas, minimizando la necesidad de transferencias transfronterizas entre ambas jurisdicciones y manteniendo registros de consentimiento independientes para cada régimen.
Para más detalles sobre el marco del RGPD, consulte nuestra guía completa sobre las leyes de privacidad de datos de la UE. Para el marco completo de privacidad de China, consulte nuestra guía sobre las leyes de privacidad de datos de China.
Descargo de Responsabilidad
Este artículo presenta información jurídica general sobre el Reglamento General de Protección de Datos de la UE y la Ley de Protección de Información Personal de China. No constituye asesoramiento legal. La información refleja el estado de las leyes al 19 de mayo de 2026. Ambos marcos continúan evolucionando a través de normas de implementación, orientación regulatoria y decisiones de aplicación. Las organizaciones sujetas al RGPD o a la PIPL deben consultar a un abogado con licencia en la jurisdicción correspondiente para recibir asesoramiento específico para su situación.
Autoridades Citadas
- Ley de Protección de Información Personal de la República Popular China (PIPL), adoptada el 20 de agosto de 2021, vigente desde el 1 de noviembre de 2021. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), arts. 3, 6, 7, 9, 12-22, 27, 33-34, 37-39, 45-49, 52, 56, 83. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Ley de Ciberseguridad de la República Popular China (CSL), vigente originalmente desde el 1 de junio de 2017; versión enmendada vigente desde el 1 de enero de 2026. http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- Ley de Seguridad de Datos de la República Popular China (DSL), vigente desde el 1 de septiembre de 2021. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- Ley de Inteligencia Nacional de la República Popular China, art. 7 (2017). Disponible a través de China Law Translate: https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- Administración del Ciberespacio de China (CAC). Medidas Administrativas para las Auditorías de Cumplimiento de Protección de Información Personal, promulgadas el 14 de febrero de 2025, vigentes desde el 1 de mayo de 2025. https://www.cac.gov.cn/
- Comité Europeo de Protección de Datos (CEPD). Directrices, recomendaciones y dictámenes. https://edpb.europa.eu/edpb_en
- Comisión Europea. Decisiones de Adecuación. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters. China: Auditorías Obligatorias de Protección de Datos desde el 1 de Mayo de 2025 (febrero de 2025). https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters. China: Publicación del Proyecto de Reglamento sobre Certificación para Transferencias Transfronterizas de Datos (enero de 2025). https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights. Las Enmiendas de 2025 a la Ley de Ciberseguridad de China: Sanciones Reforzadas, Aplicación Extraterritorial Ampliada y Gobernanza de IA. https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP. Análisis de la PIPL de China y su Comparación con el RGPD de la UE. https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP. El Primer Caso sobre el Alcance Extraterritorial de la PIPL Destaca Prioridades Clave de Cumplimiento. https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP. Un Caso de Estudio sobre las Operaciones de Privacidad en China: la Llamada de Atención de Dior. https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub. Reguladores, Prioridades de Aplicación y Sanciones: China. https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- Encuesta de DLA Piper sobre Multas del RGPD y Vulneraciones de Datos: Enero de 2025. https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
Última actualización: 19 de mayo de 2026. Las leyes citadas reflejan sus versiones vigentes al 19 de mayo de 2026.
Preguntas frecuentes
¿Es la PIPL más estricta que el RGPD?
En varias áreas, sí. La PIPL impone multas máximas más altas (5% de los ingresos frente al 4%), responsabilidad personal para los individuos responsables (hasta 1 millón de yuanes más inhabilitaciones profesionales), localización obligatoria de datos para los OICI y los tratantes de gran volumen, evaluaciones de seguridad gubernamentales para las transferencias transfronterizas, y requisitos de consentimiento independiente para el intercambio con terceros y la divulgación pública. El RGPD es más estricto en otros aspectos: ofrece requisitos de independencia del DPD más detallados, exige respuestas a las solicitudes de derechos dentro de un plazo fijo de un mes (frente al estándar 'oportuno' de la PIPL), y limita el acceso gubernamental a los datos personales mediante requisitos de supervisión judicial más sólidos.
¿Se aplica la PIPL a empresas fuera de China?
Sí. El artículo 3 de la PIPL se aplica de manera extraterritorial a las organizaciones fuera de China que traten información personal para proporcionar productos o servicios a personas en China, o para analizar y evaluar el comportamiento de personas en China. Dichas organizaciones deben establecer una entidad dedicada o designar un representante en China conforme al artículo 53. El fallo del Tribunal de Internet de Guangzhou del otoño de 2024 confirmó que los tribunales chinos aplicarán los estándares de la PIPL al tratamiento que hagan organizaciones extranjeras de los datos de residentes chinos, el primer fallo publicado sobre la extraterritorialidad de la PIPL.
¿Cuáles son las tres vías de transferencia transfronteriza bajo la PIPL de China?
El artículo 38 de la PIPL prevé tres vías: (1) una evaluación de seguridad de la CAC, obligatoria para los Operadores de Infraestructura Crítica de la Información y para las organizaciones que en el año anterior hayan tratado la información personal de 100 000 o más personas, hayan tratado información personal sensible de 10 000 o más personas, o hayan transferido acumulativamente los datos de 1 millón o más personas; (2) un contrato estándar presentado ante la CAC; y (3) la certificación por una institución designada por la CAC, una vía formalizada por las medidas conjuntas de certificación de la CAC y la SAMR vigentes desde 2026. Se requiere el consentimiento independiente del titular de los datos para todas las transferencias transfronterizas, sin importar la vía utilizada (art. 39).
¿Por qué la PIPL no incluye el interés legítimo como base jurídica?
La omisión del interés legítimo por parte de la PIPL refleja una decisión de política orientada a limitar la discrecionalidad de las organizaciones al determinar cuándo el tratamiento es lícito sin consentimiento. En virtud del RGPD, el interés legítimo permite a las organizaciones tratar datos con base en su propia evaluación de ponderación entre sus intereses y los derechos de las personas. El enfoque de China, reflejado en el artículo 13 de la PIPL, exige que el tratamiento encaje en una de siete bases enumeradas, otorgando a los reguladores una autoridad más predecible sobre qué tratamientos son permisibles. Las organizaciones que usan el interés legítimo bajo el RGPD para marketing, análisis o prevención de fraude deben obtener el consentimiento o encontrar otra base del artículo 13 para las mismas actividades en China.
¿Tiene China una decisión de adecuación de la UE?
No. Hasta mayo de 2026, la Comisión Europea no ha otorgado a China una decisión de adecuación, y no hay ninguna negociación de adecuación en curso. Las preocupaciones se centran en el régimen de acceso gubernamental de China, en particular el requisito del artículo 7 de la Ley de Inteligencia Nacional de que las organizaciones cooperen con el trabajo de inteligencia, y las restricciones de la Ley Contra el Espionaje sobre la salida de datos de China. Estas disposiciones dificultan que la Comisión Europea determine que China ofrece un nivel de protección 'esencialmente equivalente' al RGPD. Las transferencias de la UE a China deben usar Cláusulas Contractuales Tipo u otro mecanismo del artículo 46, complementado con una evaluación de impacto de la transferencia.
¿Qué son las Medidas de Auditoría de Cumplimiento de la PIPL?
Las Medidas Administrativas para las Auditorías de Cumplimiento de Protección de Información Personal de la CAC, vigentes desde el 1 de mayo de 2025, exigen que las organizaciones que traten la información personal de más de 10 millones de personas en China realicen auditorías de cumplimiento autoiniciadas al menos cada dos años. Las auditorías deben cubrir las bases jurídicas del tratamiento, los procedimientos de consentimiento, el cumplimiento de las transferencias transfronterizas, la toma de decisiones automatizada, el tratamiento de datos sensibles, la retención y eliminación, el procesamiento de solicitudes de los titulares de datos y la respuesta ante incidentes. Los reguladores también pueden ordenar auditorías obligatorias para cualquier organización que presente riesgos significativos o tras un incidente importante. Los auditores externos no pueden auditar a la misma organización más de tres veces.
¿Qué cambió con la Ley de Ciberseguridad de China en 2026?
El Comité Permanente del Congreso Nacional del Pueblo aprobó enmiendas a la Ley de Ciberseguridad el 28 de octubre de 2025, vigentes desde el 1 de enero de 2026. Los cambios clave incluyen: sanciones escalonadas (hasta 10 millones de yuanes para las empresas y 1 millón de yuanes para los individuos por infracciones particularmente graves); las primeras disposiciones legales de gobernanza de IA (que apoyan el desarrollo de la IA a la vez que exigen estándares éticos y monitoreo de riesgos); un alcance extraterritorial ampliado (que ahora cubre a cualquier organización extranjera cuyas actividades pongan en peligro la seguridad de red de China, no solo las actividades relacionadas con infraestructura crítica); obligaciones de seguridad reforzadas en la cadena de suministro; y nuevas circunstancias atenuantes para la corrección oportuna. La CSL enmendada se integra con la DSL y la PIPL como parte del marco chino de gobernanza de datos de tres leyes.
¿Qué derechos individuales otorga la PIPL en comparación con el RGPD?
Los artículos 44-50 de la PIPL otorgan derechos ampliamente paralelos al Capítulo 3 del RGPD: el derecho a saber y decidir (similar al derecho de oposición y limitación del RGPD), el derecho de acceso, el derecho a la corrección, el derecho a la eliminación, el derecho a la portabilidad de los datos (con las condiciones de la CAC) y el derecho a una explicación de las decisiones automatizadas. Una disposición exclusiva de la PIPL es el artículo 49, que permite a los familiares de una persona fallecida ejercer los derechos de acceso, corrección y eliminación en función de sus intereses legítimos; el RGPD no tiene un equivalente. Una diferencia clave son los plazos de respuesta: el RGPD exige respuestas dentro de un mes (art. 12); la PIPL exige solo una respuesta 'oportuna' sin plazo legal fijo.
¿En qué se diferencia el modelo multirregulador de China del sistema de APD de la UE?
En virtud del RGPD, cada Estado miembro de la UE cuenta con una o más APD independientes, coordinadas por el Comité Europeo de Protección de Datos (CEPD) a través del mecanismo de ventanilla única. Una empresa con su establecimiento principal en la UE en Irlanda trata principalmente con la DPC irlandesa para los casos transfronterizos. La PIPL de China utiliza un modelo multirregulador conforme a su artículo 60: la CAC asume el papel principal, pero el MIIT, el Ministerio de Seguridad Pública, la SAMR y los reguladores del sector financiero aplican cada uno la PIPL dentro de sus sectores. Las contrapartes locales también tienen autoridad de aplicación. Múltiples agencias pueden tener jurisdicción concurrente sobre las actividades de una misma organización, sin un equivalente de ventanilla única.
¿Qué es el 'consentimiento independiente' bajo la PIPL de China?
La PIPL exige un 'consentimiento independiente' para cinco actividades específicas: proporcionar información personal a terceros (art. 23), divulgar públicamente información personal (art. 25), tratar información personal sensible (art. 29), transferir información personal fuera de China (art. 39), y usar imágenes recopiladas por equipos de vigilancia pública con fines distintos a la seguridad (art. 26). El consentimiento independiente es un estándar más elevado que el consentimiento estándar: no puede combinarse con los términos y condiciones generales ni con el consentimiento para otras actividades de tratamiento. Una organización debe obtener un consentimiento distinto y específico para cada una de estas actividades, incluso si la persona ya ha otorgado un consentimiento general al tratamiento que realiza la organización.
Fuentes y referencias
- Texto Completo de la PIPL (Ley de Protección de Información Personal de la RPC)(npc.gov.cn).gov
- Texto Completo del RGPD (Reglamento (UE) 2016/679)(eur-lex.europa.eu).gov
- Ley de Ciberseguridad de China (2017, enmendada, vigente desde el 1 de enero de 2026)(npc.gov.cn).gov
- Ley de Seguridad de Datos de China (DSL, vigente desde el 1 de septiembre de 2021)(npc.gov.cn).gov
- Ley de Inteligencia Nacional de la RPC, art. 7 (China Law Translate)(chinalawtranslate.com)
- Administración del Ciberespacio de China (CAC)(cac.gov.cn).gov
- Comité Europeo de Protección de Datos (CEPD)(edpb.europa.eu).gov
- Decisiones de Adecuación de la Comisión Europea(commission.europa.eu).gov
- DLA Piper: Auditorías Obligatorias de Protección de Datos en China desde el 1 de Mayo de 2025(privacymatters.dlapiper.com)
- DLA Piper: Proyecto de Reglamento de China sobre Certificación para Transferencias Transfronterizas de Datos (enero de 2025)(privacymatters.dlapiper.com)
- Linklaters: Las Enmiendas de 2025 a la Ley de Ciberseguridad de China(techinsights.linklaters.com)
- IAPP: Análisis de la PIPL de China y su Comparación con el RGPD de la UE(iapp.org)
- IAPP: El Primer Caso sobre el Alcance Extraterritorial de la PIPL(iapp.org)
- IAPP: Operaciones de Privacidad en China, la Llamada de Atención de Dior(iapp.org)
- Baker McKenzie: Reguladores, Prioridades de Aplicación y Sanciones en China(resourcehub.bakermckenzie.com)
- Encuesta de DLA Piper sobre Multas del RGPD y Vulneraciones de Datos: Enero de 2025(dlapiper.com)