Las autoridades de ciberseguridad de China han impuesto una multa a la reconocida marca de lujo Dior. El motivo: transferir datos personales de sus clientes en el país asiático a su sede central en Francia sin contar con la autorización pertinente, en un claro incumplimiento de la legislación local.
El Centro Nacional de Información sobre Ciberseguridad de China confirmó la “multa administrativa” contra la filial de Christian Dior en Shanghái a través de un comunicado en la red social WeChat. Aunque no se ha revelado la cuantía exacta de la sanción, la medida subraya la seriedad con la que el gobierno chino está aplicando su Ley de Protección de Datos Personales.
El motivo de la multa a Dior
La investigación que ha culminado en esta sanción se inició el pasado mes de mayo. En aquel momento, múltiples medios de comunicación informaron sobre una posible filtración de datos que afectaba a la firma. Como consecuencia, los propios clientes de Dior en China comenzaron a recibir mensajes de advertencia de la compañía, lo que activó las alarmas de los reguladores.
Según el organismo chino, la investigación concluyó que Dior incurrió en varias faltas graves:
- No siguió los procesos legales establecidos por la ley china para remitir información personal al extranjero.
- No informó adecuadamente a sus clientes sobre la transferencia de sus datos.
- No implementó medidas de seguridad esenciales, como la encriptación de la información sensible transferida.
¿Qué datos de Dior fueron expuestos?
Tras la filtración de mayo, Dior emitió un comunicado para aclarar la naturaleza de los datos afectados. La compañía aseguró que la información comprometida no incluía datos financieros, como números de tarjetas de crédito o cuentas bancarias.
Los datos expuestos se limitaban a:
- Nombres
- Sexo
- Detalles de contacto (teléfono, email)
- Nivel de gastos y preferencias de compra
En ese momento, la marca recomendó a sus clientes mantenerse alerta ante posibles correos electrónicos o enlaces fraudulentos que pudieran utilizar esta información para suplantar su identidad.
China y su GDPR: una advertencia para las multinacionales
Este caso sirve como una seria advertencia para todas las empresas internacionales que operan en China. La Ley de Protección de Datos Personales (PIPL), que entró en vigor en 2021, es considerada el equivalente a la estricta normativa GDPR de Europa. Afecta a cualquier dato generado en territorio chino y establece reglas muy claras sobre su tratamiento y transferencia.
“Quienes procesen datos personales deberían tomarse este caso como una lección y cumplir con los principios de legalidad, legitimidad, necesidad y buena fe”, advierte el comunicado oficial de las autoridades chinas, dejando claro que la supervisión sobre el manejo de la información de sus ciudadanos será cada vez más rigurosa.