Comparación de enfoques y prácticas para la protección de datos personales en Rusia y la UE
De hecho, con cualquier acción realizada por un usuario en Internet se produce algún tipo de manipulación de los datos personales del usuario.
No pagamos por muchos de los servicios que recibimos en Internet: por buscar información, por correo electrónico, por almacenar nuestros datos en la nube, por comunicarnos en las redes sociales, etc. Sin embargo, estos servicios sólo son condicionalmente gratuitos: pagamos para ellos con nuestros datos, que luego estas empresas convierten en dinero, principalmente a través de publicidad.
Actualmente, datos sobre sexo, edad y lugar de residencia, historial de búsqueda -
la base para una industria de la publicidad online valorada en miles de millones de dólares y euros. Es decir, desde un punto de vista legal, los datos personales son materiales para hacer negocios. En consecuencia, las empresas hacen enormes esfuerzos y gastan mucho dinero para obtener y procesar datos personales. Las encuestas realizadas en 2018 muestran que los usuarios, al comprender el valor de sus datos personales, están cada vez más insatisfechos con la forma en que las empresas tratan sus datos personales.
La regulación en el segmento del uso de datos de usuarios aún no ha tomado forma y va a la zaga del desarrollo de la tecnología no solo en Rusia, sino en todo el mundo, por lo que el equilibrio de intereses de los consumidores y las empresas en el sector “dinero - servicio - datos - El modelo “dinero” está siendo construido hoy tanto por los reguladores como por acuerdos tácitos entre la sociedad y las empresas. Los reguladores están limitando las capacidades de las empresas de TI y ampliando los derechos de los usuarios: introduciendo nuevas leyes que dan a los usuarios más control sobre la información que proporcionan.
Es interesante comparar los enfoques de los reguladores de los países europeos y de Rusia. En Rusia, las principales normas que regulan el manejo de datos personales son la Ley Federal de Protección de Datos Personales (152-FZ) más el Código de Infracciones Administrativas, que establece directamente el monto específico de las multas por violar el procedimiento de manejo de datos personales. . Las multas administrativas han aumentado significativamente desde el 1 de julio de 2017. Al mismo tiempo, se establecieron nuevas multas dependiendo del tipo de infracción cometida. Por lo tanto, los funcionarios pueden recibir una multa de 3000 a 20 rublos, los empresarios individuales, de 000 a 5000 rublos, las organizaciones, de 20 a 000 rublos. Además, pueden ser considerados responsables de diversos delitos. En consecuencia, una empresa puede estar sujeta a varias multas diferentes por distintas infracciones. Pero la responsabilidad se establece específicamente en caso de incumplimiento de requisitos formales, por ejemplo, si faltan los documentos necesarios. Esto no siempre está directamente relacionado con la protección de la información real. Por ejemplo, una filtración en sí misma no es motivo de sanciones a menos que se violen otras leyes. Curiosamente, un número significativo de violaciones identificadas en el campo del manejo de datos personales contienen los contenidos previstos en el artículo 15 del Código de Infracciones Administrativas de la Federación de Rusia: “No presentación o presentación fuera de plazo a un organismo estatal (Roskomnadzor) - información (información), cuya presentación está prevista por la ley y es necesaria para el ejercicio de este organismo de sus actividades jurídicas...” Es interesante que se establece una responsabilidad mucho mayor no por la violación del procedimiento para el procesamiento de datos personales (como se indicó anteriormente, esto es en promedio de 000 a 75 mil rublos), sino específicamente por no proporcionar (demora, presentación incompleta) información sobre el El procedimiento para el tratamiento de datos personales en Roskomnadzor está sujeto a una multa de hasta 000 rublos. Aquellos. En la legislación rusa y en la práctica de su aplicación, la tendencia predominante es "lo principal es que el traje le quede bien" y se satisfagan las necesidades del Estado. autoridades en diversos informes. Los derechos reales de los usuarios y la seguridad de sus datos personales en Internet están mal protegidos. El mismo monto de multas no se correlaciona de ninguna manera con el monto de los beneficios que reciben algunas empresas cuando violan el manejo de datos personales en Internet y no incentiva el cumplimiento de estas reglas.
En la UE el panorama es algo diferente. Desde mayo de 2018, en Europa, el trabajo con datos personales está regulado por las normas para el tratamiento de datos personales establecidas por el Reglamento General de Protección de Datos (Regulación ЕС 2016/679 de 27 de abril de 2016 o RGPD - Reglamento General de Protección de Datos). El reglamento tiene efecto directo en los 28 países de la UE. El reglamento otorga a los residentes de la UE control total sobre sus datos personales. Según el RGPD, los ciudadanos y residentes de la UE tienen derechos muy amplios para controlar sus datos personales. Los usuarios europeos tienen derecho a solicitar confirmación del hecho de que se están procesando sus datos, el lugar y el propósito del procesamiento, las categorías de datos personales que se procesan, a qué terceros se revelan los datos personales, el período durante el cual los datos serán tratados, así como aclarar la fuente de recepción de los datos personales por parte de la organización y solicitar su corrección. Además, el usuario tiene derecho a exigir el cese en el tratamiento de sus datos.
Desde mayo de 2018, la responsabilidad en forma de multas por infracción de las normas de tratamiento de datos personales: según el RGPD, la multa alcanza los 20 millones de euros (unos 1,5 millones de rublos) o el 4% de los ingresos globales anuales de la empresa.
Lo más importante es que todo esto funcione, las empresas que violan los derechos de los usuarios deben rendir cuentas y ser muy graves. Por ejemplo, el 21 de enero de 2019, la Comisión Nacional Francesa de Informática y Derechos Civiles (CNIL) decidió multar a la empresa estadounidense GOOGLE LLC con 50 millones de euros por violar el RGPD. El importe de la multa es muy elevado. Esto muestra claramente los riesgos de incumplimiento de los requisitos del RGPD. ¿Por qué fuiste castigado? La Comisión francesa determinó que durante la configuración inicial de un dispositivo móvil con el sistema operativo Android (Google), el usuario no recibe información completa sobre lo que Google está haciendo con sus datos personales. La empresa no cumplió con sus obligaciones de garantizar la transparencia en el procesamiento de datos personales e informar a los interesados (artículos 12 y 13 del RGPD). Los plazos de conservación de los datos de los usuarios no están estrictamente regulados. La empresa no disponía de la base jurídica necesaria para el tratamiento de datos realizado (artículo 6 del RGPD). Google también fue acusada de obtener indebidamente el consentimiento de los usuarios para tratar sus datos con el fin de personalizar la publicidad.
Otros ejemplos: una multa del regulador alemán LfDI a la aplicación de chat para citas Knuddels: 20.000 euros; el hospital portugués Barreiro Hospital fue acusado de gestionar indebidamente el acceso a datos personales críticos (multa de 300 euros) y de violar la seguridad e integridad de datos (otros 100 mil euros). Las autoridades del Reino Unido han emitido una advertencia a una empresa canadiense dedicada a la investigación analítica. La empresa recibió la orden de dejar de procesar datos personales de los ciudadanos; de lo contrario, se enfrenta a una multa de 20 millones de euros. La empresa canadiense de desarrollo de software y marketing digital AggregateIQ recibió una multa de 17000000 de libras esterlinas. Una cafetería en Austria fue multada con 5280 euros por videovigilancia ilegal (la cámara capturó parte de la acera). Aquellos. cualquier organización que esté sujeta al RGPD no debe limitarse, según la tradición nacional, únicamente al desarrollo de documentación regulatoria.
Por cierto, la peculiaridad del RGPD es que se aplica a todas las empresas que procesan datos personales de residentes y ciudadanos de la UE, independientemente de la ubicación de dicha empresa, por lo que las empresas rusas deberían considerar cuidadosamente este Reglamento si sus servicios se centran en el mercado europeo
Fuente: habr.com