PIPL: A Lei de Proteção de Dados da China e Suas Implicações Globais

A Lei de Proteção de Informações Pessoais (PIPL) da China, em vigor desde novembro de 2021, é uma das legislações de privacidade mais abrangentes do mundo. Ao lado da Lei de Segurança de Dados e da Lei de Cibersegurança, a PIPL forma o tripé regulatório que governa o uso de dados na segunda maior economia do mundo, com implicações profundas para empresas chinesas e estrangeiras.

Estrutura e principais disposições da PIPL

A PIPL estabelece princípios de consentimento, minimização de dados, limitação de finalidade e direitos dos titulares semelhantes ao GDPR europeu. Multas podem alcançar 5% da receita anual da empresa infratora ou 50 milhões de yuans, e dirigentes pessoalmente responsáveis podem ser banidos de ocupar cargos executivos.

A lei exige que dados pessoais de cidadãos chineses coletados por empresas estrangeiras sejam armazenados na China ou passem por avaliação de segurança antes de transferência internacional. Operadores de "infraestrutura crítica de informação" e empresas que processam dados de mais de 1 milhão de pessoas devem manter dados localizados obrigatoriamente.

Impactos para empresas e comparação internacional

A PIPL já resultou em multas bilionárias contra gigantes tecnológicas chinesas como Didi (multada em US$ 1,2 bilhão) e Ant Group. Empresas estrangeiras operando na China precisam designar representantes locais e realizar avaliações de impacto de proteção de dados. A Apple, por exemplo, teve que armazenar dados de usuários chineses em servidores operados por empresas locais.

Comparada ao GDPR europeu e à LGPD brasileira, a PIPL é igualmente rigorosa para o setor privado, mas notavelmente menos restritiva quanto ao acesso governamental a dados pessoais. O Estado chinês mantém amplo acesso a dados de cidadãos para fins de segurança nacional, uma distinção fundamental em relação às legislações ocidentais.

O cenário brasileiro

O Brasil aprovou a LGPD em 2018, criando a Autoridade Nacional de Proteção de Dados (ANPD) como órgão fiscalizador. A LGPD compartilha princípios similares à PIPL e ao GDPR, mas sua implementação e enforcement têm sido mais lentos. As multas aplicadas pela ANPD até 2025 foram significativamente menores que as aplicadas na China e na Europa.

A principal diferença prática é a capacidade de enforcement: enquanto a China aplica multas bilionárias e suspende aplicativos com milhões de usuários (como ocorreu com o Didi), a ANPD brasileira ainda está construindo sua capacidade institucional e operando com recursos limitados.

Lições para o Brasil

A experiência chinesa demonstra que leis de proteção de dados só funcionam com enforcement vigoroso. O Brasil precisa fortalecer a ANPD com mais recursos financeiros e humanos, e demonstrar disposição para aplicar sanções significativas contra violadores, inclusive grandes empresas de tecnologia.

A questão da localização de dados merece atenção especial. A PIPL exige que dados de cidadãos chineses permaneçam na China, protegendo a soberania digital. O Brasil poderia considerar requisitos similares para setores estratégicos (saúde, finanças, governo), garantindo que dados sensíveis de brasileiros não sejam armazenados em jurisdições sem proteção adequada.

Perguntas Frequentes (FAQ)