RGPD vs. PIPL: Comparação entre as Leis de Dados da UE e da China (2026)
O RGPD e a PIPL da China compartilham uma estrutura semelhante, mas divergem em vários pontos de relevância operacional: o Artigo 13 da PIPL não prevê o legítimo interesse como base legal, exige consentimento específico separado para o compartilhamento com terceiros e para transferências internacionais, determina a localização de dados para operadores de grande volume e impõe responsabilidade pessoal aos indivíduos responsáveis.
O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE e a Lei de Proteção de Informações Pessoais da China (PIPL), em vigor desde 1º de novembro de 2021, representam duas filosofias fundamentalmente distintas de proteção de dados. Ambas as leis conferem aos indivíduos direitos sobre suas informações pessoais, mas a PIPL reflete a ênfase particular da China na autoridade estatal e na soberania de dados. Para organizações que operam nas duas jurisdições, as diferenças quanto a bases legais, exigências de consentimento, regras de transferência internacional e estrutura de supervisão criam uma complexidade de conformidade relevante.
Este artigo compara os dois marcos lado a lado, incluindo os desenvolvimentos regulatórios de 2025-2026 em ambos os regimes.
Informações verificadas pela última vez em 19-05-2026. Este artigo ainda não foi revisado por um advogado licenciado.
Escopo de jurisdição: Este artigo trata do Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD, aplicável nos 30 Estados-membros do EEE) e da Lei de Proteção de Informações Pessoais da China (PIPL, em vigor desde 1º de novembro de 2021), além da Lei de Cibersegurança da China (conforme emendada, em vigor desde 1º de janeiro de 2026) e da Lei de Segurança de Dados (em vigor desde 1º de setembro de 2021). Não aborda as leis estaduais de privacidade dos EUA (para isso, veja leis de privacidade de dados dos EUA) nem outros regimes nacionais de privacidade. Para o contexto completo da PIPL dentro do arcabouço jurídico mais amplo da China, veja nosso guia sobre as leis de privacidade de dados da China.
RGPD vs. PIPL: Panorama Geral
A tabela abaixo reúne os pontos de comparação de maior relevância. A análise detalhada segue em cada seção.
| Característica | RGPD | PIPL |
|---|---|---|
| Jurisdição | 30 Estados-membros do EEE | China (República Popular) |
| Data de vigência | 25 de maio de 2018 | 1º de novembro de 2021 |
| Alcance extraterritorial | Sim (Art. 3) | Sim (Art. 3) |
| Bases legais | 6, incluindo legítimo interesse | 7, mas SEM legítimo interesse |
| Consentimento separado exigido para compartilhamento com terceiros | Não | Sim (Art. 23) |
| Localização de dados | Não exigida | Exigida para CIIOs e operadores de grande volume |
| Mecanismos de transferência internacional | Adequação, cláusulas-padrão, normas corporativas vinculantes, certificação, derrogações | Avaliação de segurança, contrato-padrão (registrado na CAC), certificação |
| Multa máxima (organização) | 20 milhões de euros ou 4% da receita global | RMB 50 milhões ou 5% da receita do ano anterior |
| Responsabilidade pessoal (indivíduos) | Normalmente não imposta | Sim: até RMB 1 milhão; proibição de atuação profissional |
| Órgão de supervisão | Autoridades nacionais + CEPD | CAC (líder) + MIIT, Ministério da Segurança Pública, SAMR, reguladores financeiros |
| Prazo de resposta para solicitações de direitos | 1 mês (prorrogável) | "Em tempo hábil" (sem prazo fixo) |
| Direitos para familiares de pessoa falecida | Não | Sim (Art. 49) |
| Auditorias de conformidade obrigatórias | Não exigidas | Sim: a cada 2 anos para operadores com mais de 10 milhões de indivíduos (em vigor desde 1º de maio de 2025) |
Histórico e Contexto Legislativo
O RGPD surgiu da tradição europeia de privacidade como direito fundamental, codificado no Artigo 8 da Carta dos Direitos Fundamentais da UE. Substituiu a Diretiva de Proteção de Dados de 1995 e harmonizou a proteção de dados em 30 países do EEE a partir de 25 de maio de 2018.
A PIPL da China é um dos três pilares que regem a cibersegurança, a segurança de dados e as informações pessoais na China. Os outros dois são a Lei de Cibersegurança (CSL) e a Lei de Segurança de Dados (DSL, em vigor desde 1º de setembro de 2021). Juntas, essas três leis formam um arcabouço abrangente para os fluxos de informação que entram e saem da China. A PIPL foi adotada pelo Comitê Permanente do Congresso Nacional do Povo em 20 de agosto de 2021 e entrou em vigor em 1º de novembro de 2021.
A PIPL compartilha semelhanças estruturais com o RGPD: os reguladores chineses estudaram o modelo europeu durante sua elaboração. No entanto, a PIPL também foi moldada pelos objetivos de política distintos da China em torno da soberania de dados, da segurança nacional e da regulação de grandes plataformas de tecnologia. O resultado é uma lei que parece familiar em estrutura, mas diverge fortemente em alguns dos detalhes mais relevantes na prática.
Escopo e Aplicação Territorial
Ambas as leis se aplicam extraterritorialmente, mas por mecanismos diferentes.
O RGPD se aplica, nos termos do Artigo 3, a organizações estabelecidas no EEE e a organizações fora do EEE que ofereçam bens ou serviços a indivíduos no EEE ou monitorem seu comportamento. Organizações não pertencentes à UE que se enquadrem no escopo devem nomear um representante na UE nos termos do Artigo 27.
A PIPL se aplica, nos termos do Artigo 3, a todo tratamento de informações pessoais realizado dentro da China, e também se aplica fora da China quando a finalidade for fornecer produtos ou serviços a indivíduos na China, analisar ou avaliar o comportamento de indivíduos na China, ou em outras circunstâncias especificadas em lei. Organizações fora da China que se enquadrem no escopo devem estabelecer uma entidade dedicada ou nomear um representante na China para questões de proteção de informações pessoais (Art. 53 da PIPL).
O poder prático de fiscalização difere. A UE se apoia em sanções, proibições de tratamento e, para transferências da UE a terceiros países, no mecanismo de adequação. A China pode restringir diretamente o acesso ao mercado para organizações estrangeiras não conformes, o que dá à PIPL um alcance de fiscalização que o RGPD não tem.
O Tribunal da Internet de Guangzhou proferiu a primeira decisão publicada sobre a extraterritorialidade da PIPL no outono de 2024. Um hóspede chinês de hotel processou um grupo hoteleiro francês não identificado, depois que o grupo transferiu suas informações pessoais a terceiros sem obter o consentimento separado exigido pelo Artigo 23 da PIPL. O tribunal considerou o grupo hoteleiro responsável. O caso confirma que os tribunais chineses aplicarão os padrões da PIPL ao tratamento, por organizações estrangeiras, de dados de residentes chineses.
Definições e Dados Protegidos
| Termo | RGPD | PIPL |
|---|---|---|
| Indivíduo protegido | Titular dos dados | Indivíduo (titular de informações pessoais) |
| Dado protegido | Dados pessoais | Informações pessoais |
| Dados sensíveis | Categorias especiais (Art. 9) | Informações pessoais sensíveis (Art. 28) |
| Coletor de dados | Controlador | Operador de informações pessoais |
| Agente de tratamento | Operador | Parte confiada |
| Responsável pela privacidade | Encarregado de Proteção de Dados (DPO) | Pessoa responsável pela proteção de informações pessoais |
A PIPL define informações pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável, registrada por meios eletrônicos ou outros, excluindo informações anonimizadas. A definição de dados pessoais do RGPD é substancialmente equivalente.
A categoria de informações pessoais sensíveis da PIPL (Art. 28) inclui dados biométricos, convicções religiosas, informações de identidade específica, informações médicas e de saúde, contas financeiras, rastreamento de localização e informações pessoais de menores de 14 anos. As categorias especiais do RGPD (Art. 9) cobrem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados de saúde, vida sexual e orientação sexual. A PIPL acrescenta os dados de menores e os dados de contas financeiras à categoria sensível; o RGPD acrescenta opiniões políticas, filiação sindical e orientação sexual.
Bases Legais para o Tratamento
O RGPD prevê seis bases legais nos termos do Artigo 6: consentimento, execução de contrato, obrigação legal, interesses vitais, exercício de função pública e legítimo interesse.
O Artigo 13 da PIPL prevê sete circunstâncias sob as quais os operadores de informações pessoais podem tratar informações pessoais. A omissão crítica é o legítimo interesse.
| Base Legal | RGPD | PIPL |
|---|---|---|
| Consentimento | Sim (Art. 6(1)(a)) | Sim (Art. 13(1)) |
| Execução de contrato | Sim (Art. 6(1)(b)) | Sim (Art. 13(2)) |
| Obrigação legal | Sim (Art. 6(1)(c)) | Sim (Art. 13(3): deveres estatutários) |
| Interesses vitais | Sim (Art. 6(1)(d)) | Parcialmente, via disposições de emergência |
| Interesse público | Sim (Art. 6(1)(e)) | Sim (Art. 13(5): reportagem jornalística, fiscalização pública) |
| Legítimo interesse | Sim (Art. 6(1)(f)) | Não disponível |
| Emergência de saúde pública | Coberto pelos interesses vitais | Sim (Art. 13(4)) |
| Dados publicamente disponíveis | Ainda precisa de base legal | Sim (Art. 13(6): dentro de escopo razoável) |
| Outras disposições legais | N/A | Sim (Art. 13(7)) |
A ausência de uma base de legítimo interesse na PIPL é uma das diferenças práticas mais significativas para organizações multinacionais. Sob o RGPD, o legítimo interesse é a base legal mais comumente usada para marketing direto, prevenção de fraude, segurança de rede e de informação, compartilhamento intragrupo de dados e análise de dados. Sob a PIPL, as organizações geralmente devem obter consentimento para essas atividades ou reestruturá-las para se enquadrarem em outra base enumerada.
Exigências de Consentimento: Separado e Granular
As exigências de consentimento da PIPL são mais granulares que as do RGPD. Ambas as leis exigem que o consentimento seja livre, específico, informado e passível de revogação com a mesma facilidade com que foi concedido.
A PIPL vai além, exigindo consentimento separado (um padrão mais elevado que o consentimento comum) em cinco situações específicas:
- Fornecimento de informações pessoais a terceiros (Art. 23)
- Divulgação pública de informações pessoais (Art. 25)
- Tratamento de informações pessoais sensíveis (Art. 29)
- Transferência de informações pessoais para fora da China (Art. 39)
- Uso de imagens ou identificação pessoal coletadas por equipamentos de vigilância pública para fins que não sejam de segurança pública (Art. 26)
O RGPD exige consentimento explícito apenas para categorias especiais de dados pessoais, nos termos do Artigo 9, e como derrogação para transferências internacionais, nos termos do Artigo 49. As exigências de consentimento separado da PIPL para compartilhamento com terceiros e divulgação pública vão além do que o RGPD exige.
| Elemento do Consentimento | RGPD | PIPL |
|---|---|---|
| Consentimento padrão | Livre, específico, informado, inequívoco (Art. 7) | Voluntário, explícito, plenamente informado (Art. 14) |
| Dados sensíveis / categorias especiais | Consentimento explícito exigido (Art. 9) | Consentimento separado exigido (Art. 29) |
| Transferência internacional | Não exigido se outros mecanismos forem usados (Art. 46) | Consentimento separado exigido independentemente do mecanismo (Art. 39) |
| Compartilhamento com terceiros | Consentimento padrão é suficiente | Consentimento separado exigido (Art. 23) |
| Divulgação pública | Consentimento padrão é suficiente | Consentimento separado exigido (Art. 25) |
| Dados de crianças | Consentimento dos pais abaixo de 16 anos (Estados-membros podem reduzir para 13) | Consentimento dos pais ou responsáveis abaixo de 14 anos (Art. 31) |
| Revogação | Deve ser tão fácil quanto conceder o consentimento (Art. 7(3)) | Mesmo princípio (Art. 15) |
| Consentimento agrupado | Deve ser específico; agrupar para finalidades não relacionadas é inválido | Consentimento agrupado proibido (Art. 17) |
Direitos dos Titulares: Artigos 44-50 da PIPL versus Capítulo 3 do RGPD
Ambas as leis conferem aos indivíduos direitos substanciais sobre suas informações pessoais, com a PIPL seguindo, em grande medida, a estrutura do Capítulo 3 do RGPD, mas diferindo em prazos e escopo.
Os direitos previstos nos Artigos 44 a 50 da PIPL são:
- Direito de saber e decidir (Art. 44): os indivíduos podem restringir ou recusar o tratamento de suas informações pessoais. Corresponde ao direito de oposição (Art. 21) e ao direito de limitação do tratamento (Art. 18) do RGPD.
- Direito de acesso (Art. 45): os indivíduos podem acessar uma cópia de suas informações pessoais mantidas por uma organização. O equivalente no RGPD é o Artigo 15.
- Direito de correção (Art. 46): os indivíduos podem solicitar a correção de informações pessoais imprecisas. O equivalente no RGPD é o Artigo 16.
- Direito de exclusão (Art. 47): as organizações devem excluir informações pessoais quando a finalidade do tratamento tiver sido alcançada, o prazo de retenção tiver expirado, o consentimento tiver sido revogado, o tratamento tiver sido ilícito, ou outros fundamentos se aplicarem. O equivalente no RGPD é o Artigo 17.
- Direito à portabilidade de dados (Art. 45): os indivíduos podem solicitar a transferência de informações pessoais para outro operador, mas apenas quando as condições especificadas pela CAC forem atendidas. O direito de portabilidade do Artigo 20 do RGPD se aplica de forma mais ampla ao tratamento baseado em consentimento e em contrato.
- Direito relativo a decisões automatizadas (Art. 24): quando a tomada de decisão automatizada tiver efeito significativo sobre os direitos e interesses de um indivíduo, este pode solicitar explicação e recusar-se a aceitar decisões tomadas exclusivamente por meios automatizados. O Artigo 22 do RGPD cobre a tomada de decisão individual automatizada com escopo semelhante.
- Direitos para familiares de pessoa falecida (Art. 49): familiares de um indivíduo falecido podem exercer os direitos de acesso, correção e exclusão em seus interesses legítimos. O RGPD não tem disposição equivalente.
| Direito | RGPD | PIPL |
|---|---|---|
| Direito à informação | Arts. 13-14 (no momento da coleta) | Art. 17 (aviso exigido na coleta) |
| Acesso | Art. 15 (1 mês para responder) | Art. 45 (resposta "em tempo hábil") |
| Retificação | Art. 16 | Art. 46 |
| Exclusão | Art. 17 | Art. 47 |
| Limitação do tratamento | Art. 18 | Art. 44 (restringir ou recusar) |
| Portabilidade de dados | Art. 20 (amplo) | Art. 45 (condições da CAC se aplicam) |
| Oposição ao tratamento | Art. 21 | Art. 44 |
| Decisões automatizadas | Art. 22 | Art. 24 |
| Prazo de resposta | 1 mês, prorrogável para 3 (Art. 12) | "Em tempo hábil", sem prazo legal fixo |
| Familiares de pessoa falecida | Não previsto | Art. 49 |
A ausência de um prazo fixo de resposta na PIPL cria uma assimetria de fiscalização. As organizações na China não podem planejar sua infraestrutura de resposta a solicitações em torno de um prazo legal específico, e os indivíduos que exercem seus direitos têm menos certeza sobre quando esperar uma resposta.
Estrutura de Supervisão: CEPD/APDs versus CAC e o Modelo Multirregulador
Os dois marcos utilizam arquiteturas de supervisão fundamentalmente diferentes.
Sob o RGPD, cada Estado-membro da UE designa uma ou mais autoridades nacionais de supervisão (APDs). Essas APDs devem ser plenamente independentes e exercer seus poderes com imparcialidade (Art. 52). Para organizações que operam em vários Estados-membros da UE, o mecanismo de balcão único (Art. 56) permite que a APD do Estado-membro em que se localiza o estabelecimento principal da organização atue como autoridade líder para o tratamento transfronteiriço. O Comitê Europeu para a Proteção de Dados (CEPD) coordena a consistência entre as APDs nacionais, emite decisões vinculantes em disputas transfronteiriças e publica diretrizes, recomendações e pareceres que orientam a forma como as APDs fiscalizam o RGPD em todo o EEE.
A PIPL da China utiliza um modelo multirregulador, previsto no Artigo 60. Nenhuma autoridade única tem jurisdição equivalente a uma APD nacional. A Administração do Ciberespaço da China (CAC) assume o papel de liderança e coordenação. Outros reguladores exercem autoridade dentro de seus setores designados:
- MIIT (Ministério da Indústria e Tecnologia da Informação): aplicativos, telecomunicações, serviços de internet, software
- Ministério da Segurança Pública: tratamento de informações pessoais relacionadas à segurança, vigilância, reconhecimento facial
- SAMR (Administração Estatal de Regulação do Mercado): produtos e serviços voltados ao consumidor, comércio eletrônico
- Reguladores do setor financeiro (Banco Popular da China, CBIRC, CSRC): dados financeiros tratados por instituições sob sua supervisão
- Reguladores de saúde: dados de saúde e médicos
- Contrapartidas locais de cada ministério: fiscalização em nível provincial e municipal
Em 2025, a CAC liderou ações de fiscalização multidepartamentais, ao lado do MIIT e de agências de segurança pública, mirando seis áreas de alta incidência: aplicativos e mini-programas, kits de desenvolvimento de software (SDKs), terminais inteligentes, reconhecimento facial em locais públicos, cenários de consumo presencial e atividades criminosas relacionadas a dados.
Para organizações sujeitas aos dois marcos, a diferença prática é significativa. Sob o RGPD, uma empresa pode identificar sua APD líder com base em seu estabelecimento principal na UE e interagir principalmente com essa autoridade. Sob a PIPL, a responsabilidade é distribuída entre reguladores setoriais, e várias agências podem ter jurisdição concorrente sobre as atividades de uma mesma organização.
Acesso do Governo a Dados Pessoais
Esta é a área de maior divergência filosófica entre os dois marcos.
O RGPD limita o acesso governamental a dados pessoais por meio dos princípios da necessidade e da proporcionalidade (Art. 23). O direito da UE exige que a vigilância governamental esteja sujeita a supervisão judicial ou independente. O Tribunal de Justiça da União Europeia (TJUE) já invalidou mecanismos de transferência internacional com base em que o acesso por governos estrangeiros era insuficientemente limitado, incluindo o Privacy Shield UE-EUA em 2020 (Schrems II).
O arcabouço chinês exige ampla cooperação com as autoridades governamentais. O Artigo 7 da Lei de Inteligência Nacional (2017) exige que todas as organizações e cidadãos "apoiem, auxiliem e cooperem com o trabalho de inteligência nacional". A Lei de Contraespionagem, substancialmente emendada em 2023, ampliou as categorias de informação que não podem ser transmitidas ao exterior. O Artigo 35 da PIPL determina que os órgãos governamentais que tratam informações pessoais no exercício de seus deveres estatutários devem cumprir as exigências da PIPL, mas a Lei de Inteligência Nacional, a Lei de Segurança de Dados (que rege os "dados importantes" de interesse nacional) e a CSL emendada, em conjunto, criam amplas obrigações de acesso estatal.
O CEPD já identificou os regimes de acesso governamental em terceiros países como um fator que as organizações devem ponderar em suas avaliações de impacto de transferência. A ausência de uma decisão de adequação da UE para a China reflete, em parte, preocupações com essas disposições. Até maio de 2026, nenhuma negociação de adequação entre a UE e a China estava em andamento.
Transferências Internacionais de Dados
As regras de transferência internacional representam uma das diferenças operacionais mais marcantes entre os dois marcos.
O RGPD permite transferências por meio de: decisões de adequação (Art. 45), Cláusulas Contratuais-Padrão (SCCs, Art. 46), Normas Corporativas Vinculantes (BCRs, Art. 47), códigos de conduta e certificação (Arts. 40-42), ou derrogações para situações específicas (Art. 49). As organizações têm múltiplos caminhos com flexibilidade significativa, e nenhum mecanismo de transferência exige registro prévio junto a um órgão governamental.
O Artigo 38 da PIPL estabelece três mecanismos de transferência, com envolvimento governamental obrigatório em dois dos três:
| Mecanismo de Transferência | RGPD | PIPL |
|---|---|---|
| Decisão de adequação | Sim (Art. 45) | Não disponível |
| Cláusulas contratuais-padrão | Sim (Art. 46); sem registro governamental | Sim (Art. 38(3)); deve ser registrado na CAC |
| Avaliação de segurança pela CAC | Não exigida | Exigida para CIIOs e operadores de grande volume |
| Certificação por instituição | Sim (Art. 42) | Sim (Art. 38(2)); instituição designada pela CAC; medidas conjuntas CAC/SAMR em vigor desde 2026 |
| Normas corporativas vinculantes | Sim (Art. 47) | Não explicitamente disponível |
| Consentimento do titular | Apenas como derrogação (Art. 49) | Exigido separadamente para TODAS as transferências (Art. 39) |
A avaliação de segurança pela CAC é obrigatória para Operadores de Infraestrutura Crítica de Informação (CIIOs) e para organizações não CIIO que, no ano anterior, tenham tratado informações pessoais de 100 mil ou mais indivíduos, tratado informações pessoais sensíveis de 10 mil ou mais indivíduos, ou transferido cumulativamente ao exterior informações pessoais de 1 milhão ou mais indivíduos. Organizações abaixo desses limiares podem usar a via do contrato-padrão (com registro na CAC) ou a via de certificação.
A via de certificação foi formalizada quando a CAC e a SAMR emitiram conjuntamente as Medidas para Certificação de Transferências Internacionais de Informações Pessoais, em 2025-2026. As instituições certificadoras devem se registrar na CAC em até 10 dias úteis após a aprovação da SAMR. Isso completou o arcabouço de transferência em três vias que a PIPL já previa desde sua promulgação.
Independentemente do mecanismo utilizado, o Artigo 39 da PIPL exige que a organização informe separadamente o titular dos dados e obtenha seu consentimento separado antes de cada transferência internacional. Essa exigência não tem equivalente no RGPD.
Localização de Dados
A PIPL, em conjunto com a CSL e a DSL, impõe exigências de localização de dados que não têm paralelo no RGPD.
Os CIIOs devem armazenar dentro da China as informações pessoais coletadas e geradas em território chinês (Art. 40 da PIPL; Art. 37 da CSL). Operadores de informações pessoais não CIIO que ultrapassem os limiares de avaliação de segurança também devem armazenar dados localmente e só podem transferi-los ao exterior após aprovação na avaliação de segurança da CAC. A CSL emendada (em vigor desde 1º de janeiro de 2026) ampliou o escopo dos operadores de rede sujeitos a obrigações relacionadas à localização e alinhou a estrutura de penalidades por violação com as multas escalonadas da PIPL.
O RGPD não contém qualquer exigência de localização de dados. Os dados fluem livremente dentro do EEE, e as transferências transfronteiriças para fora do EEE são permitidas por meio dos mecanismos descritos acima. Não há exigência de manter uma cópia dos dados pessoais em território da UE.
Essa divergência cria um problema estrutural de conformidade para organizações que operam sistemas de dados integrados entre UE e China. Manter silos de dados separados para as operações chinesas e europeias é a solução mais comum, mas isso implica custo contínuo de infraestrutura e limita os benefícios operacionais da centralização de dados.
Fiscalização e Penalidades
Ambos os marcos preveem penalidades significativas, mas as disposições de responsabilidade pessoal da PIPL a tornam particularmente severa para dirigentes individuais.
| Aspecto de Fiscalização | RGPD | PIPL |
|---|---|---|
| Principal autoridade fiscalizadora | APDs nacionais (mais de 30), coordenadas pelo CEPD | CAC (líder) + MIIT, Ministério da Segurança Pública, SAMR, reguladores financeiros |
| Multa administrativa padrão | Até 10 milhões de euros ou 2% da receita global anual (Art. 83(4)) | Até RMB 1 milhão para a organização |
| Multa administrativa severa | Até 20 milhões de euros ou 4% da receita global anual (Art. 83(5)) | Até RMB 50 milhões ou 5% da receita do ano anterior |
| Responsabilidade pessoal de indivíduos | Normalmente não imposta | Multas de RMB 100 mil a 1 milhão para os indivíduos responsáveis |
| Inabilitação profissional | Normalmente não imposta | Proibição de atuar como diretor, conselheiro fiscal ou membro da alta administração |
| Suspensão de serviço | Proibições de tratamento possíveis | As autoridades podem determinar a cessação de serviços ou a revogação de licenças |
| Registro em cadastro de crédito social | N/A | Infrações registradas nos cadastros de crédito da organização e dos indivíduos responsáveis (Art. 67) |
| Notificação de incidente | 72 horas ao regulador (Art. 33) | "Imediatamente" ao regulador (Art. 57) |
A fiscalização do RGPD tem se intensificado: o total de multas aplicadas desde maio de 2018 ultrapassou 5,65 bilhões de euros no início de 2025. Ações de destaque em 2024 incluem LinkedIn Irlanda (310 milhões de euros, DPC irlandesa, publicidade comportamental), Uber (290 milhões de euros, autoridade holandesa, salvaguardas inadequadas para transferências UE-EUA) e Meta (251 milhões de euros, DPC irlandesa, violação de dados de 2018). A DPC irlandesa já aplicou mais de 3,5 bilhões de euros em multas desde 2018, principalmente contra grandes empresas de tecnologia americanas com estabelecimento principal na UE na Irlanda.
A fiscalização da PIPL também tem se expandido. Em 2024, a CAC entrevistou 11.159 plataformas, multou ou advertiu 4.046 e encerrou 10.946 sites. Casos de destaque incluem a subsidiária de Xangai da Dior (setembro de 2025, penalizada por transferências internacionais não autorizadas de dados, consentimento inadequado e medidas de segurança insuficientes) e a primeira decisão do Tribunal da Internet de Guangzhou sobre a extraterritorialidade da PIPL (outono de 2024, responsabilizando um grupo hoteleiro francês por transferir dados de hóspedes sem consentimento separado).
O Panorama Mais Amplo do Direito de Dados Chinês: CSL, DSL e PIPL
Organizações que fazem negócios na China enfrentam três leis interligadas que interagem com a PIPL.
Lei de Cibersegurança (CSL, emendada, em vigor desde 1º de janeiro de 2026). Originalmente promulgada em 2017, a CSL rege os operadores de rede e os Operadores de Infraestrutura Crítica de Informação. O Comitê Permanente do Congresso Nacional do Povo aprovou emendas em 28 de outubro de 2025, e a CSL revisada entrou em vigor em 1º de janeiro de 2026. As principais mudanças na CSL emendada incluem:
- Estrutura de penalidades escalonadas: multas de até RMB 10 milhões para empresas e RMB 1 milhão para indivíduos, em casos de infrações particularmente graves (contra tetos anteriores mais baixos)
- Primeiras disposições estatutárias de governança de IA: o Artigo 20 promove a pesquisa e o desenvolvimento de IA e o desenvolvimento de dados de treinamento, ao mesmo tempo em que determina padrões éticos, monitoramento de risco e medidas de segurança contra ameaças habilitadas por IA
- Escopo extraterritorial ampliado: a lei emendada agora cobre qualquer organização ou indivíduo estrangeiro cujas atividades "coloquem em risco a cibersegurança da China", mais amplo que o foco anterior em atividades que prejudicassem infraestrutura crítica de informação
- Obrigações de cadeia de suprimentos: operadores de infraestrutura crítica de informação enfrentam multas de 1 a 10 vezes o valor da aquisição por usarem produtos de rede não autorizados; tanto compradores quanto fornecedores agora têm obrigações legais diretas
- Circunstâncias atenuantes: o novo Artigo 73 permite penalidades reduzidas para violações prontamente corrigidas, divulgadas proativamente ou de consequência menor, com cooperação plena
Lei de Segurança de Dados (DSL, em vigor desde 1º de setembro de 2021). A DSL rege dados diferentes de informações pessoais, especificamente os "dados importantes" e os "dados centrais" de interesse nacional. Exige que as organizações classifiquem os dados por nível de importância, implementem medidas de segurança proporcionais à classificação e obtenham aprovação governamental antes de transferir dados importantes ou centrais ao exterior. A DSL se aplica às atividades de tratamento de dados na China e, nos termos do Artigo 2, a atividades fora da China que prejudiquem a segurança nacional, os interesses públicos, ou os direitos e interesses legítimos de cidadãos ou organizações chinesas.
PIPL. Rege especificamente as informações pessoais, sobrepondo-se às exigências de segurança de dados da DSL. Um único conjunto de dados (por exemplo, um banco de dados de consumidores chineses) pode acionar obrigações sob as três leis simultaneamente.
Para organizações fora da China, o escopo extraterritorial ampliado da CSL emendada significa que atividades relacionadas à cibersegurança que afetem redes chinesas, e não apenas o tratamento de informações pessoais, agora podem expor diretamente organizações estrangeiras à jurisdição regulatória chinesa.
Desenvolvimentos Recentes (2025-2026)
Medidas de Gestão de Auditoria de Conformidade da PIPL (em vigor desde 1º de maio de 2025). A CAC promulgou essas medidas em 14 de fevereiro de 2025. Organizações que tratam informações pessoais de mais de 10 milhões de indivíduos devem realizar auditorias de conformidade por iniciativa própria, pelo menos a cada dois anos. Os reguladores também podem determinar auditorias obrigatórias para qualquer organização quando as atividades de tratamento envolverem risco significativo, impacto generalizado sobre os direitos dos indivíduos, ou um incidente de segurança relevante que afete 1 milhão ou mais indivíduos. Os elementos da auditoria incluem: bases legais, aviso e consentimento, conformidade de transferência internacional, tomada de decisão automatizada, tratamento de dados sensíveis, retenção e exclusão, procedimentos de solicitação do titular e resposta a incidentes. Auditores terceirizados não podem auditar a mesma organização mais de três vezes.
Medidas de Certificação para Transferências Internacionais (em vigor desde 2026). A CAC e a SAMR emitiram conjuntamente as Medidas para Certificação de Transferências Internacionais de Informações Pessoais, completando o arcabouço de transferência em três vias previsto pelo Artigo 38 da PIPL. A via de certificação está disponível para organizações não CIIO que transferem entre 100 mil e 1 milhão de registros de informações pessoais (ou menos de 10 mil registros sensíveis) anualmente. As instituições certificadoras devem se registrar na CAC em até 10 dias úteis após a aprovação da SAMR.
Lei de Cibersegurança Emendada (em vigor desde 1º de janeiro de 2026). Como descrito acima, a CSL emendada introduziu multas escalonadas, governança de IA, escopo extraterritorial ampliado e novas obrigações de cadeia de suprimentos. Para organizações já sujeitas à PIPL, a CSL emendada acrescenta uma camada adicional de conformidade para obrigações de rede e cibersegurança.
Trajetória de fiscalização do RGPD (2024-2025). As multas do RGPD ultrapassaram 1,2 bilhão de euros somente em 2024, com a fiscalização se expandindo para além das grandes empresas de tecnologia, alcançando os setores financeiro e de energia. O uso ampliado, pelo CEPD, dos procedimentos de urgência do Artigo 65 acelerou a resolução de casos transfronteiriços.
Orientações para Conformidade Dupla
Organizações sujeitas tanto ao RGPD quanto à PIPL enfrentam conflitos em diversas áreas-chave. A lista a seguir mapeia as divergências com maior probabilidade de exigir decisões estruturais de conformidade.
| Questão | Exigência do RGPD | Exigência da PIPL | Estratégia de Conformidade |
|---|---|---|---|
| Base legal para marketing | Legítimo interesse ou consentimento | Consentimento (sem legítimo interesse) | Obter consentimento para a China; legítimo interesse aceitável para a UE se o teste de ponderação for atendido |
| Compartilhamento de dados com terceiros | Consentimento padrão ou outra base legal | Consentimento separado | Implementar experiência de consentimento granular, captando consentimento separado para compartilhamento |
| Transferência internacional a partir da China | N/A (dados que chegam à UE só precisam de base do RGPD) | Avaliação de segurança, contrato-padrão ou certificação; consentimento separado | Usar SCC + registro na CAC para abaixo do limiar; avaliação de segurança para CIIOs e grande volume; sempre obter consentimento separado |
| Localização de dados (China) | Não exigida | Exigida para CIIOs e operadores acima do limiar | Manter infraestrutura de dados chinesa separada; minimizar transferências internacionais |
| Resposta a acesso governamental | Deve avaliar necessidade e proporcionalidade; representantes da UE devem escalar | Deve cooperar com agências de inteligência e segurança | Entidades legais na China têm obrigação direta; entidades da UE que recebem solicitações de acesso da China devem consultar o direito da UE |
| Encarregado / responsável pela privacidade | Encarregado exigido para órgãos públicos, monitoramento em larga escala, dados sensíveis | Pessoa responsável pela proteção de IP exigida acima do limiar da CAC (atualmente 1 milhão ou mais indivíduos tratados) | Nomear encarregado na UE; nomear responsável na China; os papéis podem se sobrepor, mas as responsabilidades são distintas |
| Prazo de resposta a solicitações | Responder em até 1 mês | Responder "em tempo hábil" | Buscar resposta em 30 dias para todas as solicitações, para satisfazer o RGPD; documentar o tempo de resposta para a PIPL |
| Notificação de incidente | 72 horas à APD; sem demora indevida aos indivíduos em caso de alto risco | "Imediatamente" ao regulador; em tempo hábil aos indivíduos | O plano de resposta a incidentes deve visar notificação no mesmo dia ao regulador para satisfazer a PIPL; 72 horas cobre o RGPD |
| Auditoria de conformidade | Não exigida pelo RGPD; recomendada como medida de responsabilização | Obrigatória a cada 2 anos para operadores com mais de 10 milhões de indivíduos | Incorporar o ciclo de auditoria ao calendário de conformidade; alinhar com a documentação de responsabilização do RGPD |
Muitas organizações multinacionais lidam com os conflitos entre RGPD e PIPL operando ambientes separados de tratamento de dados para as operações chinesas e europeias, minimizando a necessidade de transferências internacionais entre as duas jurisdições e mantendo registros de consentimento independentes para cada regime.
Para mais detalhes sobre o marco do RGPD, veja nosso guia completo sobre as leis de privacidade de dados da UE. Para o arcabouço completo de privacidade da China, veja nosso guia sobre as leis de privacidade de dados da China.
Aviso Legal
Este artigo apresenta informações jurídicas de caráter geral sobre o Regulamento Geral sobre a Proteção de Dados da UE e a Lei de Proteção de Informações Pessoais da China. Não constitui consultoria jurídica. As informações refletem a legislação vigente em 19 de maio de 2026. Ambos os marcos continuam evoluindo por meio de regulamentações de implementação, orientações regulatórias e ações de fiscalização. Organizações sujeitas ao RGPD ou à PIPL devem consultar um advogado licenciado na jurisdição relevante para orientação específica à sua situação.
Fontes Citadas
- Lei de Proteção de Informações Pessoais da República Popular da China (PIPL), adotada em 20 de agosto de 2021, em vigor desde 1º de novembro de 2021. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados), Arts. 3, 6, 7, 9, 12-22, 27, 33-34, 37-39, 45-49, 52, 56, 83. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Lei de Cibersegurança da República Popular da China (CSL), originalmente em vigor desde 1º de junho de 2017; versão emendada em vigor desde 1º de janeiro de 2026. http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- Lei de Segurança de Dados da República Popular da China (DSL), em vigor desde 1º de setembro de 2021. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- Lei de Inteligência Nacional da República Popular da China, Art. 7 (2017). Disponível via China Law Translate: https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- Administração do Ciberespaço da China (CAC). Medidas Administrativas para Auditorias de Conformidade de Proteção de Informações Pessoais, promulgadas em 14 de fevereiro de 2025, em vigor desde 1º de maio de 2025. https://www.cac.gov.cn/
- Comitê Europeu para a Proteção de Dados (CEPD). Diretrizes, recomendações e pareceres. https://edpb.europa.eu/edpb_en
- Comissão Europeia. Decisões de Adequação. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters. China: Auditorias Obrigatórias de Proteção de Dados a partir de 1º de maio de 2025 (fevereiro de 2025). https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters. China: Publicado Projeto de Regulamentação sobre Certificação para Transferências Internacionais de Dados (janeiro de 2025). https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights. As Emendas de 2025 à Lei de Cibersegurança da China: Penalidades Reforçadas, Aplicação Extraterritorial Ampliada e Governança de IA. https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP. Análise da PIPL da China e sua Comparação com o RGPD da UE. https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP. Primeiro Caso sobre o Alcance Extraterritorial da PIPL Destaca Prioridades de Conformidade. https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP. Um Estudo de Caso em Operações de Privacidade na China: O Alerta da Dior. https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub. Reguladores, Prioridades de Fiscalização e Penalidades: China. https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- Pesquisa da DLA Piper sobre Multas do RGPD e Violações de Dados: janeiro de 2025. https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
Última atualização: 19-05-2026. As leis citadas refletem suas versões em vigor até 19-05-2026.
Frequently Asked Questions
A PIPL é mais rigorosa que o RGPD?
Em vários aspectos, sim. A PIPL impõe multas máximas mais altas (5% da receita contra 4%), responsabilidade pessoal para os indivíduos responsáveis (até RMB 1 milhão, além de proibições profissionais), localização obrigatória de dados para CIIOs e operadores de grande volume, avaliações governamentais de segurança para transferências internacionais e exigências de consentimento separado para compartilhamento com terceiros e divulgação pública. O RGPD é mais rigoroso em outros aspectos: prevê exigências mais detalhadas de independência para o encarregado, exige respostas a solicitações de direitos dentro de um prazo fixo de um mês (contra o padrão 'em tempo hábil' da PIPL) e limita o acesso governamental a dados pessoais por meio de exigências mais fortes de supervisão judicial.
A PIPL se aplica a empresas fora da China?
Sim. O Artigo 3 da PIPL se aplica extraterritorialmente a organizações fora da China que tratam informações pessoais para fornecer produtos ou serviços a indivíduos na China, ou para analisar e avaliar o comportamento de indivíduos na China. Essas organizações devem estabelecer uma entidade dedicada ou nomear um representante na China, nos termos do Artigo 53. A decisão do Tribunal da Internet de Guangzhou, no outono de 2024, confirmou que os tribunais chineses aplicarão os padrões da PIPL a organizações estrangeiras que tratam dados de residentes chineses, a primeira decisão publicada sobre a extraterritorialidade da PIPL.
Quais são as três vias de transferência internacional sob a PIPL da China?
O Artigo 38 da PIPL prevê três vias: (1) uma avaliação de segurança pela CAC, obrigatória para Operadores de Infraestrutura Crítica de Informação e organizações que, no ano anterior, tenham tratado informações pessoais de 100 mil ou mais indivíduos, tratado informações pessoais sensíveis de 10 mil ou mais indivíduos, ou transferido cumulativamente dados de 1 milhão ou mais indivíduos; (2) um contrato-padrão registrado na CAC; e (3) certificação por instituição designada pela CAC, uma via formalizada pelas medidas conjuntas de certificação CAC/SAMR, em vigor desde 2026. O consentimento separado do titular é exigido para todas as transferências internacionais, independentemente da via utilizada (Art. 39).
Por que a PIPL não inclui o legítimo interesse como base legal?
A omissão do legítimo interesse na PIPL reflete uma opção de política para limitar a discricionariedade das organizações ao determinar quando o tratamento é lícito sem consentimento. Sob o RGPD, o legítimo interesse permite que as organizações tratem dados com base em sua própria avaliação de ponderação entre seus interesses e os direitos dos indivíduos. A abordagem da China, refletida no Artigo 13 da PIPL, exige que o tratamento se enquadre em uma das sete bases enumeradas, dando aos reguladores autoridade mais previsível sobre o que é permitido. Organizações que usam o legítimo interesse sob o RGPD para marketing, análise de dados ou prevenção de fraude devem obter consentimento ou encontrar outra base do Artigo 13 para as mesmas atividades na China.
A China tem uma decisão de adequação da UE?
Não. Até maio de 2026, a Comissão Europeia não concedeu à China uma decisão de adequação, e nenhuma negociação de adequação está em andamento. As preocupações se concentram no regime de acesso governamental da China, particularmente a exigência do Artigo 7 da Lei de Inteligência Nacional de que as organizações cooperem com o trabalho de inteligência, e as restrições da Lei de Contraespionagem sobre a saída de dados da China. Essas disposições dificultam que a Comissão Europeia conclua que a China oferece um nível de proteção 'essencialmente equivalente' ao do RGPD. As transferências da UE para a China devem usar Cláusulas Contratuais-Padrão ou outro mecanismo do Artigo 46, complementado por uma avaliação de impacto de transferência.
O que são as Medidas de Auditoria de Conformidade da PIPL?
As Medidas Administrativas para Auditorias de Conformidade de Proteção de Informações Pessoais da CAC, em vigor desde 1º de maio de 2025, exigem que organizações que tratam informações pessoais de mais de 10 milhões de indivíduos na China realizem auditorias de conformidade por iniciativa própria, pelo menos a cada dois anos. As auditorias devem cobrir as bases legais de tratamento, procedimentos de consentimento, conformidade de transferência internacional, tomada de decisão automatizada, tratamento de dados sensíveis, retenção e exclusão, processamento de solicitações do titular e resposta a incidentes. Os reguladores também podem determinar auditorias obrigatórias para qualquer organização considerada de risco significativo ou após um incidente relevante. Auditores terceirizados não podem auditar a mesma organização mais de três vezes.
O que mudou na Lei de Cibersegurança da China em 2026?
O Comitê Permanente do Congresso Nacional do Povo aprovou emendas à Lei de Cibersegurança em 28 de outubro de 2025, em vigor desde 1º de janeiro de 2026. As principais mudanças incluem: penalidades escalonadas (até RMB 10 milhões para empresas e RMB 1 milhão para indivíduos, em infrações particularmente graves); as primeiras disposições estatutárias de governança de IA (apoiando o desenvolvimento de IA e, ao mesmo tempo, determinando padrões éticos e monitoramento de risco); escopo extraterritorial ampliado (agora cobrindo qualquer organização estrangeira cujas atividades ameacem a segurança de rede da China, não apenas atividades relacionadas à infraestrutura crítica); obrigações reforçadas de segurança na cadeia de suprimentos; e novas circunstâncias atenuantes para correção pronta. A CSL emendada se integra à DSL e à PIPL como parte do arcabouço chinês de governança de dados em três leis.
Quais direitos individuais a PIPL concede em comparação ao RGPD?
Os Artigos 44 a 50 da PIPL concedem direitos amplamente paralelos ao Capítulo 3 do RGPD: direito de saber e decidir (semelhante ao direito de oposição e de limitação do RGPD), direito de acesso, direito de correção, direito de exclusão, direito à portabilidade de dados (com condições da CAC) e o direito à explicação de decisões automatizadas. Uma disposição exclusiva da PIPL é o Artigo 49, que permite que familiares de um indivíduo falecido exerçam os direitos de acesso, correção e exclusão em seus interesses legítimos, algo sem equivalente no RGPD. Uma diferença fundamental está nos prazos de resposta: o RGPD exige resposta em um mês (Art. 12); a PIPL exige apenas resposta 'em tempo hábil', sem prazo legal fixo.
Como o modelo multirregulador da China difere do sistema de APDs da UE?
Sob o RGPD, cada Estado-membro da UE tem uma ou mais APDs independentes, coordenadas pelo Comitê Europeu para a Proteção de Dados (CEPD) por meio do mecanismo de balcão único. Uma empresa com estabelecimento principal na UE localizado na Irlanda lida principalmente com a DPC irlandesa para casos transfronteiriços. A PIPL da China utiliza um modelo multirregulador, previsto no Artigo 60: a CAC assume o papel de liderança, mas o MIIT, o Ministério da Segurança Pública, a SAMR e os reguladores do setor financeiro fiscalizam a PIPL cada um dentro de seu setor. As contrapartidas locais também têm autoridade de fiscalização. Várias agências podem ter jurisdição concorrente sobre as atividades de uma mesma organização, sem equivalente ao balcão único.
O que é o 'consentimento separado' sob a PIPL da China?
A PIPL exige 'consentimento separado' para cinco atividades específicas: fornecimento de informações pessoais a terceiros (Art. 23), divulgação pública de informações pessoais (Art. 25), tratamento de informações pessoais sensíveis (Art. 29), transferência de informações pessoais para fora da China (Art. 39) e uso de imagens coletadas por equipamentos de vigilância pública para fins que não sejam de segurança (Art. 26). O consentimento separado é um padrão mais elevado que o consentimento comum: não pode ser agrupado com termos e condições gerais ou com o consentimento para outras atividades de tratamento. A organização deve obter um consentimento distinto e específico para cada uma dessas atividades, mesmo que o indivíduo já tenha fornecido consentimento geral para o tratamento realizado pela organização.
Sources and References
- Texto Integral da PIPL (Lei de Proteção de Informações Pessoais da RPC)(npc.gov.cn).gov
- Texto Integral do RGPD (Regulamento (UE) 2016/679)(eur-lex.europa.eu).gov
- Lei de Cibersegurança da China (2017, emendada, em vigor desde 1º de janeiro de 2026)(npc.gov.cn).gov
- Lei de Segurança de Dados da China (DSL, em vigor desde 1º de setembro de 2021)(npc.gov.cn).gov
- Lei de Inteligência Nacional da RPC, Art. 7 (China Law Translate)(chinalawtranslate.com)
- Administração do Ciberespaço da China (CAC)(cac.gov.cn).gov
- Comitê Europeu para a Proteção de Dados (CEPD)(edpb.europa.eu).gov
- Decisões de Adequação da Comissão Europeia(commission.europa.eu).gov
- DLA Piper: China - Auditorias Obrigatórias de Proteção de Dados a partir de 1º de maio de 2025(privacymatters.dlapiper.com)
- DLA Piper: China - Projeto de Regulamentação sobre Certificação para Transferências Internacionais de Dados (janeiro de 2025)(privacymatters.dlapiper.com)
- Linklaters: As Emendas de 2025 à Lei de Cibersegurança da China(techinsights.linklaters.com)
- IAPP: Análise da PIPL da China e sua Comparação com o RGPD da UE(iapp.org)
- IAPP: Primeiro Caso sobre o Alcance Extraterritorial da PIPL(iapp.org)
- IAPP: Operações de Privacidade na China - O Alerta da Dior(iapp.org)
- Baker McKenzie: Reguladores, Prioridades de Fiscalização e Penalidades na China(resourcehub.bakermckenzie.com)
- Pesquisa da DLA Piper sobre Multas do RGPD e Violações de Dados: janeiro de 2025(dlapiper.com)