Hace dos semanas se descubrieron en los foros bases de datos de 600 mil clientes de los servicios Avito y Yula, entre los que se encontraban direcciones y números de teléfono reales. Las bases de datos todavía están disponibles gratuitamente y cualquiera puede descargarlas. Imagínese cuántas personas ya han descargado la base de datos con la intención de enviar spam o, peor aún, para extraer datos de las tarjetas de pago de los usuarios. La administración del foro no elimina bases de datos, ya que No ven ningún problema en esta situación, ni mucho menos una violación, y dicen que no se trata de un robo de datos personales, sino de una recopilación de datos abiertos.
Las noticias sobre filtraciones de datos ya no sorprenderán a nadie.
Julio y agosto de 2020 estuvieron llenos de noticias sobre el bloqueo de TikTok por recopilación de datos no autorizada. Y mi tarea no es sorprender, sino comprender el problema y cumplir la promesa que le hice a uno de los lectores de Habr. Por cierto, mi nombre es Vyacheslav Ustimenko, escribí el artículo junto con Bella Farzalieva, abogada informática del bufete de abogados internacional Icon Partners.
¿Por qué es esto importante?
La cuestión de la protección y el tratamiento de datos personales cobra cada año mayor impulso. La protección de datos personales tiene que ver con la libertad de elección de una persona, la cultura de la sociedad y la democracia. Una persona independiente es difícil de manejar, difícil de engañar e imposible de copiar. Esta idea la transmiten las conocidas normas de protección de datos en la UE (GDPR) y EE. UU. (CCPA). En personal Tras realizar una encuesta, incluso los abogados (el 90% de mis suscriptores) aún no conocen bien los temas de protección de datos.
La pregunta era: “¿Cuál de los siguientes son datos personales?”
Adjunto una captura de pantalla de los resultados de la encuesta.
Alrededor del 20% de los votantes eligió la respuesta correcta.
PD: El hecho de que soy de Ucrania y el artículo sobre las leyes de la Federación de Rusia no debería confundirlos, queridos lectores, ya que la experiencia de un abogado de TI no puede limitarse a un solo país.
¿Qué son los datos personales en la Federación de Rusia?
La definición de datos personales según la ley federal no difiere mucho de la europea o ucraniana, sobre la cual .
Datos personales: cualquier información relacionada directa o indirectamente con una persona física identificada o identificable, estamos hablando de cualquier dato mediante el cual se pueda identificar a una persona.
En Rusia, el uso y la protección de datos personales está regulado por muchos documentos, en particular, 152-FZ "Sobre datos personales", 149-FZ "Sobre información, tecnologías de la información y protección de la información", el Código de infracciones administrativas, el Código Penal. Código de la Federación de Rusia, Código del Trabajo de la Federación de Rusia y Código Civil de la Federación de Rusia.
Abrir datos personales. Que clase de animal es este?
#Veamos la situación a través de los ojos del usuario.
Quizás los lectores aún no hayan pensado en cómo se pueden abrir los datos personales, porque lo personal suena a personal y lo abierto suena a público.
Al mismo tiempo, no me abandona la sensación de confianza de que después de otra conversación con un vendedor telefónico, cada uno de nosotros piensa “de dónde sacó mi número” o “¿qué es esta extraña llamada de un extraño que sabe más sobre mí?” de lo necesario”.
Por lo tanto, los usuarios que ponen algo a la venta a través de Avito no se sorprenden de terminar en bases de datos de piratas informáticos, recibir correos electrónicos no deseados o una llamada incomprensible de estafadores o "vendedores en frío".
En tal situación, solo puedes culparte a ti mismo, porque el desconocimiento de las leyes no te exime de responsabilidad.
Todo lo que el propio usuario ha publicado sobre sí mismo para consideración pública, es decir, en Internet, pasa a estar disponible públicamente, es decir, a datos abiertos y puede almacenarse, distribuirse y utilizarse sin el consentimiento del usuario.
Confirmación de la legislación
Parte 1 del artículo 152.2. Código Civil de la Federación de Rusia.
A menos que la ley establezca expresamente lo contrario, la recopilación, el almacenamiento, la distribución y el uso de cualquier información sobre su vida privada, en particular información sobre su origen, lugar de estancia o residencia, vida personal y familiar, no está permitido sin el consentimiento de un ciudadano. .
La recopilación, almacenamiento, distribución y uso de información sobre la vida privada de un ciudadano en interés estatal, público u otros intereses públicos, así como en los casos en que la información sobre la vida privada de un ciudadano anteriormente estuvo disponible públicamente o fue revelada por él mismo, no constituye una violación de las normas establecidas en el primer párrafo de este párrafo por el ciudadano o por su voluntad.
Otra confirmación
Cláusula 4 del artículo 7 de la Ley Federal de la Federación de Rusia Nº 149-FZ "Sobre la información, las tecnologías de la información y la protección de la información".
La información publicada por sus propietarios en Internet en un formato que permite el procesamiento automatizado sin cambios humanos previos con el fin de su reutilización es información disponible públicamente publicada en forma de datos abiertos.
#Conclusión
La administración de Avito afirma con razón que la base de datos en los foros de piratas informáticos se compone enteramente de información pública que está disponible en su sitio web y que puede recopilarse mediante análisis (recopilación automática de información mediante programas especiales), es decir, no se habla de ninguna fuga de datos. Si los datos se utilizan con fines legales es otra pregunta que definitivamente no debería plantearse a Avito.
Si no desea que nadie recopile, evalúe o utilice su perfil de consumidor, deje menos información sobre usted en los recursos públicos.
A continuación se muestra un comentario divertido (pero no exacto) del foro.
#Miremos la situación a través de los ojos de las empresas.
Tomemos el mismo Avito como ejemplo y consideremos las preguntas:
- ¿Es el sitio un operador de datos personales?
- ¿Necesita obtener el consentimiento para el procesamiento de datos y declararse ante Roskomnadzor para estar incluido en el registro de operadores?
- ¿Avito realmente quedará impune?
En una situación de filtración de datos, Avito realmente no tiene nada que ver. Se puede imaginar que Avito es una valla en la que el usuario escribió “VENDE GARAJE” e indicó su nombre, número de teléfono u otros datos de comunicación, y luego comenzó a indignarse por el hecho de que todos los que pasaban por la valla conocían, copiaban o usaban los datos. .
Confirmación de la legislación
Artículo 10 de la Ley N° 152-FZ.
Empresa o particular una persona que ha recibido el consentimiento por escrito del cliente para procesar datos se convierte en un operador de datos personales disponibles públicamente, pero la legislación impone requisitos mínimos para la protección de datos personales disponibles públicamente o, más simplemente, datos abiertos, en comparación con otras categorías.
Otra confirmación
Cláusula 4, parte 2, artículo 22 “Sobre datos personales”.
El operador tiene derecho a procesar los datos personales puestos a disposición del público por el interesado sin notificarlo al organismo autorizado para la protección de los derechos de los interesados.
#Conclusión
Avito es el operador de datos personales. En cuanto a la notificación de Roskomnadzor, existen excepciones en la ley, pero no se aplican a Avito, ya que este sitio recopila y procesa no solo datos disponibles públicamente. Pero si el sitio funciona sólo con datos abiertos, no sería necesario notificarlo ni registrarse en Roskomnadzor. Avito es inocente y por tanto no habrá castigo.
Los datos pueden filtrarse u obtenerse legalmente no solo de plataformas comerciales, sino también de cualquier sitio web o de operadores móviles, de redes sociales, bancos, registros, pueden extraerse de la secuencia de transacciones móviles en una tarjeta bancaria o utilizando funciones ocultas de aplicaciones para teléfonos inteligentes, hay un millón de opciones.
Por cierto, todo el mundo sabe que Habr no es un foro, pero existe la posibilidad de comentar, y el objetivo del artículo no es sorprender, sino comprender el tema.
pregunta
En la realidad de 2020, hay que tener cuidado con la publicación de datos personales en Internet y actuar como en el divertido comentario anterior, o introducir nueva legislación, o tal vez acaba de llegar una nueva era y vale la pena aceptar la disponibilidad general. de datos abiertos?
Fuente: habr.com