Entender la nueva ley "Sobre datos personales": riesgos imaginarios y reales

2024 Autor: Malcolm Clapton | [email protected]. Última modificación: 2023-12-17 03:53

El 1 de septiembre entran en vigor las modificaciones de la ley "Sobre datos personales". En un grado u otro, afectarán a todos los ciudadanos de Rusia. MakRadar se puso en contacto con varios abogados rusos y representantes de empresas de Internet y descubrió todos los matices de esta ley.

Las enmiendas en sí mismas son pequeñas, solo ocupan una página y media de una hoja A4 estándar, y cualquiera puede leerlas directamente. Dos innovaciones principales:

• A partir del 1 de septiembre, todas las entidades legales que trabajen con datos personales de rusos deben almacenar bases de datos en el territorio de la Federación de Rusia, en sus propios servidores o alquilados.
• Se está creando el sistema de información automatizado "Registro de infractores de los derechos de los titulares de datos personales".

Datos personales: cualquier información relacionada con un individuo específico. Esto puede ser apellido, nombre, patronímico, año, mes, fecha y lugar de nacimiento, dirección, familia, social, situación patrimonial, educación, datos de pasaporte, profesión, ingresos y otra información.

Echemos un vistazo a qué es el "Registro …" mencionado anteriormente, qué riesgos conlleva la ley para los representantes de la industria de Internet, cuánto "cuesta" cumplir con la ley para las empresas y qué responsabilidad incurrirán los infractores..

Que es el "Registro de infractores de los derechos de los titulares de datos personales"

Este registro incluirá los nombres de los sitios y páginas de Internet en los que se procesan datos personales en violación de la ley. Puede ser absolutamente cualquier sitio: tiendas online, hoteles, aerolíneas, medios de comunicación y otros. “Dado que la ley no especifica para qué violaciones se incluirán los sitios en este registro, se puede suponer que cualquier violación de la ley sobre datos personales puede servir como tal violación”, dice Daria Sukhikh, asociado senior del Equipo 29. - El procedimiento para mantener el registro será determinado por el Gobierno de la Federación de Rusia. Es de destacar que un sitio o una página pueden ingresar a este registro solo sobre la base de una decisión judicial que haya entrado en vigencia, que registró una violación de la ley en el procesamiento de datos personales.

Procesamiento de datos personales - operaciones con datos personales, tales como: recolección, acumulación, almacenamiento, aclaración, actualización, modificación, uso, distribución, transferencia, despersonalización, bloqueo y destrucción.

Que cae bajo la ley

Empresas de venta a distancia, transporte, operadores turísticos y sistemas de reservas, agencias de contratación, operadores de telecomunicaciones, sector bancario y sistemas de pago. Según la reunión de julio entre RAEC, la Cámara de Comercio Ruso-Británica y Roskomnadzor, más del 54% de las empresas de TI están listas para cumplir con todos los requisitos de la ley, otro 27% dijo que estaba parcialmente listo, el 19% no lo estaba. completamente listo. Los problemas financieros y la falta de capacidad técnica fueron identificados como las principales dificultades para implementar la ley.

Principales riesgos para el negocio

“No vemos riesgos significativos para el negocio”, dice el asesor legal senior de OZON Group. Yana Barash … "Las disposiciones sobre la transferencia transfronteriza de datos personales no se ven afectadas por las enmiendas y, por lo tanto, la transferencia de datos personales de ciudadanos rusos a proveedores de servicios extranjeros seguirá siendo posible". Kirill Mityagin, socio de Nevsky IP Law cree: “El principal riesgo es no comprender los requisitos de la ley para los operadores y las reglas para el procesamiento de datos personales. Por ejemplo, no envíe un aviso de inclusión en el registro de Roskomnadzor (al 31 de julio de 2015, hay más de 330 mil operadores en el registro), ni cometa violaciones en el procesamiento de datos personales, lo que implica el inicio de, responsabilidad administrativa e incluso penal ".

Amenazas potenciales para los usuarios habituales de Internet

La principal amenaza para el usuario medio es que es posible que su recurso favorito no pueda hacer frente a los costes de proteger los datos personales y se cierre. “El cumplimiento de la ley encarece un 45% nuestro proyecto”, dice el director ejecutivo del servicio. Oleg Gribanov … - Son costos inevitables si queremos cumplir con la ley, y en ningún caso la violaremos. No puedo decir cuánto gastaremos en comprar y alquilar servidores y capacitar al personal para el trabajo, esto es un secreto comercial”. “Hoy en día, los servidores se pueden comprar a precios que oscilan entre 40 y 600 mil rublos, pero un producto de más o menos alta calidad definitivamente costará más de cien mil, además, la elección dependerá de la cantidad de datos almacenados”. explica Alexander Trifonov, experto jefe del servicio legal. - También existe la posibilidad de alquilar un servidor, las ofertas van desde cinco hasta seis mil rublos, por lo que esta opción de presupuesto puede adaptarse a las empresas que no están preparadas para gastar inmediatamente varios cientos de miles.

La protección de datos personales es un conjunto de medidas administrativas y métodos técnicos de protección para contrarrestar el uso no autorizado de datos personales.

Responsabilidad por incumplimiento de la ley "Sobre datos personales"

El incumplimiento de la ley de protección de datos está sujeto a responsabilidad penal y administrativa. “El acceso ilegal a información informática protegida legalmente es responsabilidad según el art. 272 del Código Penal de la Federación de Rusia, - dice el director gerente de la empresa "YurPartner" Anton Tolmachev … “Pero esto es artillería pesada. Más a menudo, una violación de la ley "Sobre datos personales" es una infracción administrativa, por ejemplo, según el artículo 13.14 del Código Administrativo de la Federación de Rusia "Divulgación de información con acceso limitado" o el artículo 13.12 "Violación de las normas de protección de la información. " “Ahora la empresa asume la responsabilidad administrativa por la violación del procedimiento para el procesamiento de datos personales en forma de una multa de 5 a 10 mil rublos (artículo 13.11 del Código de Infracciones Administrativas de la Federación de Rusia) y por la violación de los requisitos de protección de la información - desde 10 a 15 mil rublos (Parte 6 del Artículo 13.12 del Código Administrativo RF) ", - explica Kirill Mityagin, socio de Nevsky IP Law.

La Duma Estatal de la Federación de Rusia tiene previsto adoptar enmiendas al Código Administrativo. La multa mínima será de 50.000 rublos y la máxima de 300.000 rublos.

Experiencia de otros países en la protección de datos personales

En los países de la UE, la protección de datos personales está regulada por la Directiva 95/46 / CE (1995) y una serie de documentos posteriores, pero después del caso Snowden quedó claro que la legislación en el campo de la protección de datos personales requiere una importante cambio. Los países de la UE están creando ahora un Reglamento general de protección de datos. Incluirá conceptos como: procesador y destinatario de datos personales, identificador personal, identificador en línea. Se introducirá el concepto de "datos sensibles", que incluirá datos genéticos y biométricos humanos y mucho, mucho más.

Resumen

Casi todos los países del mundo están ahora involucrados en cambiar la legislación en el campo de la regulación del procesamiento y la protección de datos personales. El hecho de que Rusia esté a la vanguardia no es más que una coincidencia. Sin embargo, la peculiaridad del enfoque ruso es siempre "la ley del estado", mientras que en los países occidentales son los derechos humanos. De ahí los temores de que la nueva ley se creara principalmente para controlar las acciones de los ciudadanos y no para proteger sus datos personales.