ProHoster > Blog > administración > Fuga de datos en Ucrania. Paralelismos con la legislación de la UE

Fuga de datos en Ucrania. Paralelismos con la legislación de la UE

Fuga de datos en Ucrania. Paralelismos con la legislación de la UE

El escándalo por la filtración de datos de permisos de conducir a través de un bot de Telegram retumbó en toda Ucrania. Inicialmente las sospechas recayeron sobre la aplicación de servicios gubernamentales “DIYA”, pero rápidamente se desmintió la participación de la aplicación en este incidente. Las preguntas de la serie "quién filtró los datos y cómo" se confiarán al Estado representado por la policía ucraniana, el SBU y los expertos informáticos y técnicos, pero la cuestión de si nuestra legislación sobre protección de datos personales se ajusta a las realidades de La era digital fue considerada por el autor de la publicación, Vyacheslav Ustimenko, consultor del bufete de abogados Icon Partners.

Ucrania se esfuerza por unirse a la UE, y esto implica la adopción de estándares europeos para la protección de datos personales.

Simulemos un caso e imaginemos que una organización sin fines de lucro de la UE filtró la misma cantidad de datos sobre licencias de conducir y este hecho fue determinado por las fuerzas del orden locales.

En la UE, a diferencia de Ucrania, existe un reglamento sobre la protección de datos personales: GDPR.

La filtración indica violaciones de los principios descritos en:

  • Artículo 25 RGPD Protección de datos personales por diseño y por defecto;
  • Artículo 32 RGPD. Seguridad del procesamiento;
  • Artículo 5 inciso 1.f RGPD. Principio de integridad y confidencialidad.

En la UE, las multas por infracción del RGPD se calculan individualmente; en la práctica, serían multadas con más de 200,000 euros.

¿Qué debería cambiarse en Ucrania?

La práctica adquirida en el proceso de apoyo a las empresas de TI y en línea tanto en Ucrania como en el extranjero ha demostrado los problemas y logros del RGPD.

A continuación se detallan seis cambios que deberían introducirse en la legislación ucraniana.

#Adaptar el marco legislativo a la era digital

Desde la firma del Acuerdo de Asociación con la UE, Ucrania ha estado desarrollando una nueva legislación de protección de datos y el RGPD se ha convertido en una guía.

Aprobar una ley sobre protección de datos personales no fue tan fácil. Parece que hay un "esqueleto" en forma de reglamento GDPR y sólo hay que construir la "carne" (adaptar las normas), pero surgen muchas cuestiones controvertidas, tanto desde el punto de vista de la práctica como de la ley. .

Por ejemplo:

  • ¿Los datos abiertos se considerarán personales?
  • ¿Se aplicará la ley a los organismos encargados de hacer cumplir la ley?
  • cuál es la responsabilidad por violar la ley, el monto de las multas será comparable a las europeas, etc.

El punto clave es que la legislación debe adaptarse y no copiarse del RGPD. En Ucrania todavía quedan muchos problemas sin resolver que no son típicos de los países de la UE.

#Unificar terminología

Determinar qué son datos personales e información confidencial. La Constitución de Ucrania, artículo 32, prohíbe el procesamiento de información confidencial. La definición de información confidencial está contenida en al menos veinte leyes.

Citas de la fuente original en ucraniano aquí.

  • información sobre nacionalidad, educación, cultura familiar, cambios religiosos, estado de salud, direcciones, fecha y lugar de nacimiento (parte 2 del artículo 11 de la Ley de Ucrania "sobre información");
  • información sobre el lugar de residencia (Parte 8 del artículo 6 de la Ley de Ucrania "Sobre la libertad de traslado y la libre elección de residencia en Ucrania");
  • información sobre las peculiaridades de la vida de las comunidades, obtenida a partir de la brutalización de las comunidades (artículo 10 de la Ley de Ucrania "Sobre la brutalización de las comunidades");
  • los datos primarios eliminados en el proceso de realización del censo de población (artículo 16 de la Ley de Ucrania sobre el censo de población de todo Ucrania);
  • declaraciones presentadas por el solicitante para el reconocimiento como refugiado o protección especial, que requerirán protección adicional (Parte 10, artículo 7 de la Ley de Ucrania "Sobre refugiados y protección especial, que requerirán protección adicional u oportuna");
  • información sobre depósitos de pensiones, pagos de pensiones e ingresos de inversiones (excedentes) que se asignan a la cuenta de pensión individual de un participante en un fondo de pensiones, cuenta de depósito de pensiones de activos físicos ib, contratos de seguro de pensión anticipada (parte 3 del artículo 53 de la Ley de Ucrania sobre seguros de pensiones no gubernamentales);
  • información sobre el estado de los activos de pensiones invertidos en la cuenta de pensiones acumulativa del asegurado (Parte 1 del artículo 98 de la Ley de Ucrania "Sobre el seguro de pensiones estatal legal");
  • información sobre el objeto del contrato para el desarrollo de investigación científica o investigación y desarrollo y robots tecnológicos, su progreso y resultados (artículo 895 del Código Civil de Ucrania)
  • Información que puede utilizarse para identificar a la persona de un menor delincuente o lo que constituye el hecho del suicidio del menor (parte 3 del artículo 62 de la Ley de Ucrania sobre comunicaciones por radio y televisión);
  • Información sobre el difunto (artículo 7 de la Ley de Ucrania "sobre servicios funerarios");
    declaraciones sobre el pago del trabajo de un trabajador (artículo 31 de la Ley de Ucrania sobre el pago del trabajo). Las declaraciones sobre el pago del trabajo se emiten sólo en los casos previstos por la legislación, pero también a discreción del trabajador);
  • solicitudes y materiales para la concesión de patentes (artículo 19 de la Ley de Ucrania sobre la protección de los derechos sobre productos y modelos);
  • información que se puede encontrar en los textos de las decisiones judiciales y que permite identificar a una persona física, incluidos: nombres (nombres, según el padre, apodo) de las personas físicas; lugar de residencia o actividad física a partir de direcciones designadas, números de teléfono y otros datos de contacto, direcciones de correo electrónico, números de identificación (códigos); números de matrícula de los vehículos de transporte (artículo 7 de la Ley de Ucrania "Sobre las decisiones de acceso a los buques").
  • datos sobre una persona protegida contra un proceso penal (artículo 15 de la Ley de Ucrania "Sobre la garantía de la seguridad de las personas que participan en un proceso penal");
  • materiales de la solicitud de una persona física o jurídica para el registro de la variedad Roslin, los resultados del examen de la variedad Roslin (artículo 23 de la Ley de Ucrania "Sobre la protección de los derechos sobre las variedades Roslin");
  • datos sobre el abogado ante el tribunal o el organismo encargado de hacer cumplir la ley, tomados bajo protección (artículo 10 de la Ley de Ucrania "Sobre la protección soberana de los agentes de policía ante el tribunal y los organismos encargados de hacer cumplir la ley");
  • un conjunto de registros sobre personas que han sufrido violencia (datos personales) que se ubica en el Registro, así como información de acceso compartido. (Parte 10, artículo 16 de la Ley de Ucrania "Sobre la prevención y la prevención de la violencia doméstica");
  • Información sobre la confidencialidad de las mercancías que circulan a través del cordón militar de Ucrania (Parte 1 del artículo 263 del Código Militar de Ucrania);
  • Información que debe incluirse en la solicitud de registro estatal de medicamentos y sus complementos (parte 8 del artículo 9 de la Ley de Ucrania "Sobre medicamentos");

#Aléjate de los conceptos valorativos

Hay muchos conceptos de evaluación en el RGPD. Los conceptos de valoración en un país sin leyes precedentes (es decir, Ucrania) son más un espacio para "evadir la responsabilidad" que útiles para la población y el país en su conjunto.

#Presentar el concepto de DPO

El delegado de protección de datos (DPO) es un experto independiente en protección de datos. La legislación debe regular de forma clara y sin conceptos valorativos la necesidad del nombramiento obligatorio de un experto para el cargo de DPO. Cómo lo hacen en la Unión Europea escrito aquí.

#Determinar el nivel de responsabilidad por violaciones en materia de datos personales, diferenciar las multas en función del tamaño (beneficio) de la empresa.

  • 34 mil jrivnia

    En Ucrania todavía no existe una cultura de protección de datos personales; la actual Ley "Sobre la Protección de Datos Personales" dice que "una violación implica la responsabilidad establecida por la ley". La multa prevista en el Código Administrativo por acceso ilegal a datos personales y por violación de los derechos de los interesados ​​asciende a 34,000 grivnas.

  • 20 millones de euros

    La multa por violar el RGPD es la mayor del mundo: hasta 20,000,000 de euros, o hasta el 4% de la facturación anual total de la empresa durante el ejercicio anterior. Google recibió su primera multa de 50 millones de euros por violaciones de la privacidad de datos que involucran a ciudadanos franceses.

  • 114 millones de euros

    El RGPD celebró en mayo su segundo aniversario y recaudó 2 millones de euros en multas. Los reguladores suelen apuntar a empresas gigantes con millones de datos de usuarios.

    La cadena hotelera Marriott International y British Airways enfrentan multas multimillonarias este año por violaciones de datos que se espera que superen a Google con las multas más altas. Los reguladores del Reino Unido han advertido que planean penalizarlos por un total estimado de 366 millones de dólares.

    Se imponen multas con seis ceros a empresas globales cuyos servicios utilizamos todos los días. Sin embargo, esto no significa que las empresas pequeñas y desconocidas no estén sujetas a sanciones.

    Una empresa postal austriaca recibió una multa de 18 millones de euros por crear y vender perfiles de 3 millones de personas que contenían información sobre direcciones, preferencias personales y afiliaciones políticas.

    Un servicio de pagos en Lituania no eliminó los datos personales de sus clientes cuando ya no era necesario procesarlos y recibió una multa de 61,000 euros.

    Una organización sin fines de lucro en Bélgica envió marketing directo por correo electrónico incluso después de que los destinatarios optaron por no participar y recibieron una multa de 1000 euros.

    1000 euros no es nada comparado con el daño a la reputación.

#La felicidad no está en las multas

"Quien quiera saber algo sobre mí, lo descubrirá de todos modos, a pesar de la ley": esto es lo que, lamentablemente, dicen muchas personas en Ucrania y en los países de la CEI.

Pero cada vez menos gente cree en la idea errónea de que "robarán una foto de pasaporte y pedirán un préstamo a mi nombre", porque incluso con el original del pasaporte de otra persona en las manos es legalmente imposible hacerlo.

La gente se divide en 2 campos:

  • Los “paranoicos” que creen en la religión de los datos personales piensan antes de marcar una casilla y dar su consentimiento para el procesamiento de datos.
  • “Aquellos a los que no les importa”, o las personas que automáticamente filtran sus datos personales a la red, no piensan en las consecuencias. Y luego les roban sus tarjetas de crédito, se registran para pagos recurrentes, les roban sus cuentas de mensajería, les piratean sus correos electrónicos o les retiran criptomonedas de su billetera.

Libertad y democracia

La protección de datos personales tiene que ver con la libertad de elección de una persona, la cultura de la sociedad y la democracia. Es más fácil gestionar la sociedad con más datos, es posible predecir la elección de una persona y empujarla a realizar la acción deseada. Es difícil para una persona hacer lo que quiere si está siendo observada, la persona se siente cómoda y, como resultado, controlada, es decir, la persona inconscientemente no hace lo que quiere, sino como estaba convencida de hacerlo.

El RGPD no es perfecto, pero cumple la idea y el objetivo principal de la UE: los europeos se han dado cuenta de que una persona independiente posee y gestiona sus datos personales de forma independiente.

Ucrania se encuentra sólo en el comienzo de su viaje, se está preparando el terreno. Del Estado, los residentes recibirán un nuevo texto de ley, probablemente un organismo regulador independiente, pero los propios ucranianos deben llegar a los valores europeos modernos y comprender que la democracia en 2020 también debería existir en el espacio digital.

PD: Estoy escribiendo en las redes sociales. redes sobre jurisprudencia y negocios TI. Estaré encantado de que te suscribas a una de mis cuentas. Sin duda, esto agregará motivación para desarrollar su perfil y trabajar en el contenido.

Facebook
Instagram

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Escribir sobre la legislación de la Federación de Rusia sobre datos personales?

  • 51,4%si 19

  • 48,6%mejor elige otro tema18

37 usuarios votaron. 19 usuarios se abstuvieron.

Fuente: habr.com

Añadir un comentario