Capire la nuova legge "Sui dati personali": rischi immaginari e reali

2024 Autore: Malcolm Clapton | [email protected]. Ultima modifica: 2023-12-17 04:01

Il 1 settembre entrano in vigore le modifiche alla legge "Sui dati personali". In un modo o nell'altro, influenzeranno tutti i cittadini della Russia. MakRadar ha contattato un certo numero di avvocati russi e rappresentanti di società Internet e ha scoperto tutte le sfumature di questa legge.

Gli emendamenti stessi sono piccoli, occupano solo una pagina e mezza di un normale foglio A4 e chiunque può leggerli direttamente. Due le principali novità:

• Dal 1 settembre, tutte le persone giuridiche che lavorano con i dati personali dei russi devono archiviare database sul territorio della Federazione Russa, sui propri server o su server in affitto.
• È in fase di realizzazione il sistema informatico automatizzato “Registro dei trasgressori dei diritti dei soggetti dei dati personali”.

Dati personali: qualsiasi informazione relativa a un individuo specifico. Può essere cognome, nome, patronimico, anno, mese, data e luogo di nascita, indirizzo, famiglia, società, stato patrimoniale, istruzione, dati del passaporto, professione, reddito e altre informazioni.

Diamo un'occhiata a cosa è il suddetto "Registro …", quali rischi comporta la legge per i rappresentanti dell'industria di Internet, quanto "costa" per rispettare la legge per le aziende e quali responsabilità incorreranno i trasgressori.

Cos'è il "Registro dei trasgressori dei diritti dei soggetti dei dati personali"

Tale registro conterrà i nomi di siti e pagine Internet in cui i dati personali sono trattati in violazione di legge. Può essere assolutamente qualsiasi sito: negozi online, hotel, compagnie aeree, media e altri. “Poiché la legge non specifica per quali violazioni i siti saranno inclusi in questo registro, si può presumere che qualsiasi violazione della legge sui dati personali possa costituire una tale violazione”, afferma Daria Sukhikh, socio anziano del Team 29. - La procedura per il mantenimento del registro sarà determinata dal governo della Federazione Russa. È interessante notare che un sito o una pagina possono essere inseriti in questo registro solo sulla base di una decisione giudiziaria entrata in vigore, che ha registrato una violazione della legge nel trattamento dei dati personali.

Trattamento dei dati personali - operazioni con dati personali, quali: raccolta, accumulazione, conservazione, chiarimento, aggiornamento, modifica, utilizzo, distribuzione, trasferimento, depersonalizzazione, blocco e distruzione.

Chi rientra nella legge

Aziende di vendita a distanza, trasporti, tour operator e sistemi di prenotazione, agenzie di reclutamento, operatori di telecomunicazioni, settore bancario e sistemi di pagamento. Secondo l'incontro di luglio tra RAEC, Camera di commercio russo-britannica e Roskomnadzor, oltre il 54% delle aziende IT è pronto a rispettare tutti i requisiti della legge, un altro 27% ha dichiarato di essere parzialmente pronto, il 19% non lo era completamente pronto. I problemi finanziari e la mancanza di capacità tecnica sono stati individuati come le principali difficoltà nell'attuazione della legge.

Principali rischi per le imprese

"Non vediamo rischi significativi per l'azienda", afferma il consulente legale senior di OZON Group. Yana Barash … "Le disposizioni sul trasferimento transfrontaliero dei dati personali non sono interessate dalle modifiche e, pertanto, il trasferimento dei dati personali dei cittadini russi a fornitori di servizi stranieri continuerà ad essere possibile". Kirill Mityagin, partner di Nevsky IP Law ritiene: “Il rischio principale è non comprendere i requisiti di legge per gli operatori e le regole per il trattamento dei dati personali. Ad esempio, non presentare una comunicazione di iscrizione nel registro del Roskomnadzor (al 31 luglio 2015 gli operatori iscritti sono più di 330mila), o commettere violazioni nel trattamento dei dati personali, che comportano l'insorgere di, amministrativa e anche penale”.

Potenziali minacce per i normali utenti di Internet

La principale minaccia per l'utente medio è che la sua risorsa preferita potrebbe non essere in grado di far fronte ai costi della protezione dei dati personali e verrà chiusa. "Il rispetto della legge rende il nostro progetto più costoso del 45%", afferma il direttore esecutivo del servizio. Oleg Gribanov … - Questi sono costi inevitabili se vogliamo rispettare la legge, e in nessun caso la violeremo. Non posso dire quanto spenderemo per l'acquisto e l'affitto dei server e la formazione del personale per il lavoro, questo è un segreto commerciale”. "Oggi i server possono essere acquistati a prezzi che vanno da 40 a 600 mila rubli, ma un prodotto più o meno di alta qualità costerà sicuramente più di centomila, inoltre, la scelta dipenderà dalla quantità di dati archiviati", spiega Alessandro Trifonov, capo esperto del servizio legale. - C'è anche la possibilità di noleggiare un server, le offerte partono da cinque a seimila rubli, quindi una tale opzione di budget può soddisfare le aziende che non sono pronte a spendere immediatamente diverse centinaia di migliaia."

La protezione dei dati personali è un insieme di misure amministrative e metodi di protezione tecnica per contrastare l'uso non autorizzato dei dati personali.

Responsabilità per mancato rispetto della legge "Sui dati personali"

Il mancato rispetto della legge sulla protezione dei dati è soggetto a responsabilità penale e amministrativa. “Per l'accesso illegale a informazioni informatiche legalmente protette rientra la responsabilità ai sensi dell'art. 272 del codice penale della Federazione Russa, - afferma l'amministratore delegato della società "YurPartner" Anton Tolmachev … «Ma questa è artiglieria pesante. Più spesso, una violazione della legge "Sui dati personali" è un reato amministrativo, ad esempio, secondo l'articolo 13.14 del Codice amministrativo della Federazione Russa "Divulgazione di informazioni con accesso limitato" o l'articolo 13.12 "Violazione delle norme sulla protezione delle informazioni." "Ora la società ha la responsabilità amministrativa per la violazione della procedura per il trattamento dei dati personali sotto forma di una multa da 5 a 10 mila rubli (articolo 13.11 del Codice dei reati amministrativi della Federazione Russa) e per la violazione dei requisiti di protezione delle informazioni - da Da 10 a 15 mila rubli (parte 6 dell'articolo 13.12 del codice amministrativo RF) ", - spiega Kirill Mityagin, partner di Nevsky IP Law.

La Duma di Stato della Federazione Russa prevede di adottare emendamenti al Codice amministrativo. La multa minima sarà di 50.000 rubli e la massima - 300.000 rubli.

Esperienza di altri paesi nella protezione dei dati personali

Nei paesi dell'UE la protezione dei dati personali è disciplinata dalla direttiva 95/46/CE (1995) e da una serie di documenti successivi, ma dopo il caso Snowden è apparso chiaro che la normativa in materia di protezione dei dati personali richiede un importante modificare. I paesi dell'UE stanno ora creando un regolamento generale sulla protezione dei dati. Comprenderà concetti quali: responsabile e destinatario dei dati personali, identificatore personale, identificatore online. Verrà introdotto il concetto di "dati sensibili", che includerà dati genetici e biometrici umani e molto, molto altro.

Riepilogo

Quasi tutti i paesi del mondo sono ora coinvolti nella modifica della legislazione nel campo della regolamentazione del trattamento e della protezione dei dati personali. Il fatto che la Russia sia in prima linea non è altro che una coincidenza. Tuttavia, la particolarità dell'approccio russo è sempre "la legge dello stato", mentre nei paesi occidentali sono i diritti umani. Da qui i timori che la nuova legge sia stata creata principalmente per controllare le azioni dei cittadini, e non per proteggere i loro dati personali.