ProHoster > blog > amministrazione > Fuga di dati in Ucraina. Parallelismi con la legislazione UE

Fuga di dati in Ucraina. Parallelismi con la legislazione UE

Fuga di dati in Ucraina. Parallelismi con la legislazione UE

Lo scandalo con la fuga dei dati della patente di guida tramite un bot di Telegram ha tuonato in tutta l'Ucraina. Inizialmente i sospetti sono caduti sull’applicazione dei servizi governativi “DIYA”, ma il coinvolgimento dell’applicazione in questo incidente è stato rapidamente smentito. Le domande della serie "chi ha diffuso i dati e come" saranno affidate allo Stato rappresentato dalla polizia ucraina, dalla SBU e da esperti informatici e tecnici, ma la questione della conformità della nostra legislazione sulla protezione dei dati personali con la realtà dell'era digitale ha parlato l'autore della pubblicazione, Vyacheslav Ustimenko, consulente dello studio legale Icon Partners.

L'Ucraina sta cercando di aderire all'UE, e ciò implica l'adozione di standard europei per la protezione dei dati personali.

Simuliamo un caso e immaginiamo che un'organizzazione no-profit dell'UE abbia divulgato la stessa quantità di dati sulla patente di guida e questo fatto sia stato determinato dalle forze dell'ordine locali.

Nell'UE, a differenza dell'Ucraina, esiste un regolamento sulla protezione dei dati personali - GDPR.

La fuga di notizie indica violazioni dei principi descritti in:

  • Articolo 25 GDPR Protezione dei dati personali fin dalla progettazione e per impostazione predefinita;
  • Articolo 32 GDPR. Sicurezza del trattamento;
  • Articolo 5 comma 1.f GDPR. Principio di integrità e riservatezza.

Nella UE le sanzioni per violazione del GDPR vengono calcolate individualmente, in pratica verrebbero multate fino a 200,000+ euro.

Cosa dovrebbe essere cambiato in Ucraina

La pratica acquisita nel processo di supporto dell’IT e delle imprese online sia in Ucraina che all’estero ha mostrato i problemi e i risultati del GDPR.

Di seguito sono elencate le sei modifiche che dovrebbero essere introdotte nella legislazione ucraina.

#Adeguare il quadro legislativo all'era digitale

Dalla firma dell’accordo di associazione con l’UE, l’Ucraina ha sviluppato una nuova legislazione sulla protezione dei dati e il GDPR è diventato un faro guida.

Approvare una legge sulla protezione dei dati personali non è stato così facile. Sembra che esista uno “scheletro” sotto forma di regolamento GDPR e che occorra solo costruirne la “carne” (adattare le norme), ma sorgono molte questioni controverse, sia dal punto di vista della pratica che della legge .

Per esempio:

  • i dati aperti saranno considerati personali,
  • la legge si applicherà alle forze dell'ordine,
  • qual è la responsabilità per aver violato la legge, l'importo delle multe sarà paragonabile a quelle europee, ecc.

Il punto chiave è che la legislazione deve essere adattata e non copiata dal GDPR. In Ucraina ci sono ancora molti problemi irrisolti che non sono tipici dei paesi dell’UE.

#Unificare la terminologia

Determinare cosa sono i dati personali e le informazioni riservate. La Costituzione dell'Ucraina, all'articolo 32, vieta il trattamento di informazioni riservate. La definizione di informazione riservata è contenuta in almeno venti Leggi.

Citazioni dalla fonte originale in ucraino qui

  • informazioni su nazionalità, istruzione, cultura familiare, cambiamenti religiosi, stato di salute, indirizzi, data e luogo di nascita (parte 2 dell'articolo 11 della legge ucraina “Sull'informazione”);
  • informazioni sul luogo di residenza (parte 8 dell'articolo 6 della legge dell'Ucraina “Sulla libertà di trasferimento e libera scelta della residenza in Ucraina”);
  • informazioni sulle peculiarità della vita delle comunità, ottenute dall'abbrutimento delle comunità (articolo 10 della legge dell'Ucraina “Sulla brutalizzazione delle comunità”);
  • i dati primari rimossi nel processo di svolgimento del censimento della popolazione (articolo 16 della legge ucraina “Sul censimento della popolazione tutta ucraina”);
  • dichiarazioni presentate dal richiedente per il riconoscimento dello status di rifugiato o di protezione speciale, che richiederanno protezione aggiuntiva (parte 10, articolo 7 della legge dell'Ucraina "Sui rifugiati e protezione speciale, che richiederanno protezione aggiuntiva o tempestiva");
  • informazioni sui depositi pensionistici, sui pagamenti delle pensioni e sui redditi da investimenti (eccedenza) assegnati al conto pensionistico individuale di un partecipante al fondo pensione, al conto di deposito pensionistico delle attività fisiche ib, ai contratti di assicurazione della pensione di anzianità (parte 3 dell'articolo 53 del la Legge dell'Ucraina “Sull'assicurazione pensionistica non governativa”);
  • informazioni sullo stato del patrimonio pensionistico investito nel conto pensionistico cumulativo della persona assicurata (parte 1 dell'articolo 98 della legge ucraina “Sull'assicurazione pensionistica statale legale”);
  • informazioni sull'oggetto del contratto per lo sviluppo della ricerca scientifica o della ricerca e sviluppo e dei robot tecnologici, i loro progressi e risultati (articolo 895 del codice civile dell'Ucraina)
  • Informazioni che possono essere utilizzate per identificare la persona di un minorenne o ciò che costituisce il fatto del suicidio del minore (Parte 3 dell'Articolo 62 della Legge dell'Ucraina "Sulle comunicazioni televisive e radiofoniche");
  • Informazioni sul defunto (articolo 7 della legge ucraina “Sui servizi funebri”);
    dichiarazioni sul pagamento del lavoro (articolo 31 della legge ucraina “Sul pagamento del lavoro” Le dichiarazioni sul pagamento del lavoro vengono rilasciate solo in casi legali, ma anche a discrezione del lavoratore);
  • domande e materiali per il rilascio di brevetti (articolo 19 della legge ucraina “Sulla protezione dei diritti su prodotti e modelli”);
  • informazioni che possono essere trovate nei testi delle decisioni dei tribunali e che consentono di identificare una persona fisica, tra cui: nomi (nomi, secondo il padre, soprannome) di persone fisiche; luogo di residenza o di attività fisica da indirizzi designati, numeri di telefono e altri dati di contatto, indirizzi email, numeri identificativi (codici); numeri di immatricolazione dei veicoli da trasporto (articolo 7 della legge ucraina “Decisioni sull'accesso alle navi”).
  • dati relativi a una persona sottoposta a protezione da procedimenti penali (articolo 15 della legge ucraina “Sulla garanzia della sicurezza delle persone che prendono parte a procedimenti penali”);
  • materiali della domanda di una persona fisica o giuridica per la registrazione della varietà Roslin, i risultati dell'esame della varietà Roslin (articolo 23 della legge ucraina "Sulla protezione dei diritti sulle varietà Roslin");
  • dati sull'avvocato presso il tribunale o le forze dell'ordine, presi sotto protezione (articolo 10 della legge dell'Ucraina "Sulla protezione sovrana degli agenti di polizia nei confronti dei tribunali e delle forze dell'ordine");
  • un insieme di informazioni sulle persone che hanno subito violenza (dati personali) che si trova nel Registro, nonché informazioni ad accesso condiviso. (Parte 10, Articolo 16 della Legge dell'Ucraina “Sulla prevenzione e la prevenzione della violenza domestica”);
  • Informazioni relative alla riservatezza delle merci che circolano attraverso il cordone militare dell'Ucraina (parte 1 dell'articolo 263 del Codice militare dell'Ucraina);
  • Informazioni che dovrebbero essere incluse nella domanda di registrazione statale dei medicinali e dei loro integratori (parte 8 dell'articolo 9 della legge ucraina “Sui medicinali”);

#Allontanatevi dai concetti valutativi

Ci sono molti concetti valutativi nel GDPR. I concetti di valutazione in un Paese senza precedenti giuridici (ovvero l’Ucraina) sono più uno spazio per “eludere le responsabilità” che utili per la popolazione e il Paese nel suo complesso.

#Introdurre il concetto di DPO

Il responsabile della protezione dei dati (DPO) è un esperto indipendente di protezione dei dati. La legislazione deve regolamentare in modo chiaro e senza concetti valutativi la necessità della nomina obbligatoria di un esperto per la posizione di DPO. Come lo fanno nell'Unione Europea scritto qui.

#Determinare il livello di responsabilità per le violazioni nel campo dei dati personali, differenziare le sanzioni a seconda delle dimensioni (profitto) dell'azienda.

  • 34 mila grivna

    In Ucraina non esiste ancora una cultura della protezione dei dati personali; l’attuale legge “Sulla protezione dei dati personali” afferma che “una violazione comporta la responsabilità stabilita dalla legge”. La sanzione prevista dal Codice amministrativo per l'accesso illegale ai dati personali e per la violazione dei diritti dei soggetti ammonta fino a 34,000 UAH.

  • 20 milioni di euro

    La multa per violazione del GDPR è la più grande al mondo: fino a 20,000,000 di euro, ovvero fino al 4% del fatturato annuo totale dell’azienda per l’anno finanziario precedente. Google ha ricevuto la prima multa di 50 milioni di euro per violazioni della privacy che hanno coinvolto cittadini francesi.

  • 114 milioni di euro

    Il GDPR ha celebrato il suo secondo anniversario a maggio e ha incassato 2 milioni di euro di multe. Le autorità di regolamentazione spesso prendono di mira le aziende giganti con milioni di dati utente.

    Quest’anno la catena alberghiera Marriott International e British Airways dovranno affrontare multe multimilionarie per violazioni dei dati che, secondo le previsioni, batteranno Google per le multe più alte. Le autorità di regolamentazione del Regno Unito hanno avvertito che intendono penalizzarle per un totale stimato di 366 milioni di dollari.

    Multe con sei zeri vengono inflitte alle aziende globali di cui utilizziamo i servizi ogni giorno. Tuttavia, ciò non significa che le aziende piccole e sconosciute non siano soggette a sanzioni.

    Un'azienda postale austriaca ha ricevuto una multa di 18 milioni di euro per aver creato e venduto profili di 3 milioni di persone che contenevano informazioni su indirizzi, preferenze personali e affiliazioni politiche.

    Un servizio di pagamento in Lituania non ha cancellato i dati personali dei clienti quando non c'era più bisogno di elaborarli e ha ricevuto una multa di 61,000 euro.

    Un'organizzazione no-profit belga ha inviato messaggi di direct email marketing anche dopo che i destinatari avevano rinunciato e avevano ricevuto una multa di 1000 euro.

    1000 euro non sono niente in confronto al danno alla reputazione.

La #felicità non è nelle multe

"Chi vuole sapere informazioni su di me, le troverà comunque, nonostante la legge" - questo purtroppo dicono molti in Ucraina e nei paesi della CSI.

Ma sempre meno persone credono all’idea sbagliata secondo cui “ruberanno una foto del passaporto e chiederanno un prestito a mio nome”, perché anche con l’originale del passaporto di qualcun altro tra le mani è legalmente impossibile farlo.

Le persone sono divise in 2 campi:

  • I “paranoici” che credono nella religione dei dati personali ci pensano prima di spuntare una casella e acconsentire al trattamento dei dati.
  • “quelli a cui non importa”, o le persone che diffondono automaticamente i propri dati personali nella rete, non pensano alle conseguenze. E poi le loro carte di credito vengono rubate, si iscrivono per pagamenti ricorrenti, i loro account di messaggistica vengono rubati, le loro e-mail vengono violate o la criptovaluta viene ritirata dal loro portafoglio.

Libertà e democrazia

La protezione dei dati personali riguarda la libertà di scelta della persona, la cultura della società e la democrazia. È più facile gestire la società con più dati; è possibile prevedere la scelta di una persona e spingerla all’azione desiderata. È difficile per una persona fare ciò che vuole, se viene osservata, la persona si sente a suo agio e, di conseguenza, controllata, cioè la persona inconsciamente non fa come vuole, ma come era convinta di fare.

Il GDPR non è perfetto, ma soddisfa l'idea e l'obiettivo principale dell'UE: gli europei si sono resi conto che una persona indipendente possiede e gestisce autonomamente i propri dati personali.

L’Ucraina è solo all’inizio del suo viaggio, il terreno si sta preparando. Dallo Stato, i residenti riceveranno un nuovo testo di legge, molto probabilmente un organismo di regolamentazione indipendente, ma gli stessi ucraini devono arrivare ai moderni valori europei e alla consapevolezza che la democrazia nel 2020 dovrebbe esistere anche nello spazio digitale.

PS Scrivo sui social. reti di giurisprudenza e di business IT. Mi farà piacere se ti iscrivi a uno dei miei account. Ciò aggiungerà sicuramente motivazione per sviluppare il tuo profilo e lavorare sui contenuti.

Facebook
Instagram

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Scrivere della legislazione della Federazione Russa sui dati personali?

  • 51,4%Sì 19

  • 48,6%meglio scegliere un altro argomento18

37 utenti hanno votato. 19 utenti si sono astenuti.

Fonte: habr.com

Aggiungi un commento