Comparação de abordagens e práticas para proteger dados pessoais na Rússia e na UE
Na verdade, com qualquer ação realizada por um usuário na Internet, ocorre alguma forma de manipulação dos dados pessoais do usuário.
Não pagamos por muitos dos serviços que recebemos na Internet: pela procura de informação, pelo email, pelo armazenamento dos nossos dados na nuvem, pela comunicação nas redes sociais, etc. No entanto, estes serviços são apenas condicionalmente gratuitos: pagamos para eles com nossos dados, que essas empresas transformam em dinheiro, principalmente por meio de publicidade.
Atualmente, dados sobre sexo, idade e local de residência, histórico de pesquisa -
a base para uma indústria de publicidade online que vale milhares de milhões de dólares e euros. Ou seja, do ponto de vista jurídico, os dados pessoais são materiais para a realização de negócios. Consequentemente, as empresas fazem enormes esforços e gastam dinheiro considerável para obter e processar dados pessoais. Pesquisas realizadas em 2018 mostram que os usuários, entendendo o valor dos seus dados pessoais, estão cada vez mais insatisfeitos com a forma como as empresas tratam os seus dados pessoais.
A regulamentação no segmento de utilização de dados de usuários ainda não tomou forma e está atrasada no desenvolvimento da tecnologia não só na Rússia, mas em todo o mundo, portanto, o equilíbrio de interesses de consumidores e empresas no “dinheiro - serviço - dados - dinheiro” está sendo construído hoje tanto pelos Reguladores quanto por acordos tácitos entre sociedade e empresas. Os reguladores estão a limitar as capacidades das empresas de TI e a expandir os direitos dos utilizadores: introduzindo novas leis que dão aos utilizadores mais controlo sobre a informação que fornecem.
É interessante comparar as abordagens dos reguladores dos países europeus e da Rússia. Na Rússia, os principais regulamentos que regem o tratamento de dados pessoais são a Lei Federal sobre a Proteção de Dados Pessoais (152-FZ) mais o Código de Contra-ordenações, que estabelece diretamente o valor específico das multas por violação do procedimento de tratamento de dados pessoais. . As multas administrativas aumentaram significativamente desde 1º de julho de 2017. Paralelamente, foram estabelecidas novas multas em função do tipo de infração cometida. Assim, os funcionários podem ser multados no valor de 3000 a 20 rublos, empreendedores individuais - no valor de 000 a 5000 rublos, organizações - no valor de 20 a 000 rublos. Além disso, eles podem ser responsabilizados por diversos crimes. Conseqüentemente, uma empresa pode estar sujeita a diversas multas diferentes por diferentes violações. Mas a responsabilidade é prevista especificamente pelo não cumprimento dos requisitos formais, por exemplo, se faltarem os documentos necessários. Isso nem sempre está diretamente relacionado à proteção real da informação. Por exemplo, um vazamento em si não é motivo para penalidades, a menos que outras leis sejam violadas. Curiosamente, um número significativo de violações identificadas no domínio do tratamento de dados pessoais contém o conteúdo previsto no artigo 15 do Código de Ofensas Administrativas da Federação Russa: “Falha na submissão ou submissão intempestiva a um órgão estatal (Roskomnadzor) - informação (informações), cuja apresentação está prevista em lei e é necessária à execução deste órgão de suas atividades jurídicas...” É interessante que uma responsabilidade muito maior seja prevista não por violação do procedimento de tratamento de dados pessoais (conforme indicado acima, isso é em média 000-75 mil rublos), mas especificamente por falha no fornecimento (atraso, envio incompleto) de informações sobre o o procedimento de tratamento de dados pessoais em Roskomnadzor está sujeito a multa de até 000 rublos. Aqueles. na legislação russa e na prática da sua aplicação, a tendência predominante é “o principal é que o processo se encaixe” e as necessidades do Estado sejam satisfeitas. autoridades em vários relatórios. Os direitos reais dos utilizadores e a segurança dos seus dados pessoais na Internet estão mal protegidos. O mesmo valor de multas não se correlaciona de forma alguma com o valor dos benefícios recebidos por algumas empresas quando violam o tratamento de dados pessoais na Internet e não incentiva o cumprimento destas regras.
Na UE o quadro é um pouco diferente. Desde maio de 2018, na Europa, o trabalho com dados pessoais é regulado pelas regras de tratamento de dados pessoais estabelecidas pelo Regulamento Geral de Proteção de Dados (Regulamento CE 2016/679 datado de 27 de abril de 2016 ou GDPR – Regulamento Geral de Proteção de Dados). O regulamento tem efeito direto em todos os 28 países da UE. O regulamento dá aos residentes da UE controlo total sobre os seus dados pessoais. Ao abrigo do RGPD, os cidadãos e residentes da UE têm direitos muito amplos para controlar os seus dados pessoais. Os utilizadores europeus têm o direito de solicitar a confirmação do facto de os seus dados estarem a ser tratados, do local e da finalidade do tratamento, das categorias de dados pessoais tratados, dos terceiros a quem os dados pessoais são divulgados, do período durante o qual os dados serão processados, bem como esclarecer a origem da recepção dos dados pessoais pela organização e solicitar a sua correção. Além disso, o utilizador tem o direito de exigir a cessação do tratamento dos seus dados.
Desde maio de 2018, a responsabilidade sob a forma de multas por violação das regras de tratamento de dados pessoais: segundo o RGPD, a multa chega a 20 milhões de euros (cerca de 1,5 mil milhões de rublos) ou 4% da receita global anual da empresa.
O mais importante é que tudo isso funcione, as empresas que violam os direitos dos usuários sejam responsabilizadas e com muita seriedade. Por exemplo, em 21 de janeiro de 2019, a Comissão Nacional Francesa de Informática e Direitos Civis (CNIL) decidiu multar a empresa americana GOOGLE LLC em 50 milhões de euros por violação do GDPR. O valor da multa é muito grande. Isto mostra claramente os riscos de não conformidade com os requisitos do GDPR. Por que você foi punido? A Comissão Francesa determinou que durante a configuração inicial de um dispositivo móvel com sistema operativo Android (Google), o utilizador não recebe informações completas sobre o que o Google está a fazer com os seus dados pessoais. A empresa não cumpriu as suas obrigações de garantir a transparência no tratamento dos dados pessoais e de informar os titulares (artigos 12.º e 13.º do RGPD). Os períodos de armazenamento dos dados do usuário não são estritamente regulamentados. A empresa não dispunha da base jurídica necessária para o tratamento de dados realizado (artigo 6.º do RGPD). O Google também foi acusado de obter indevidamente o consentimento do usuário para processar seus dados para personalizar publicidade.
Outros exemplos: multa do regulador alemão LfDI à aplicação de chat por namorar Knuddels - 20.000 mil euros; o hospital português Hospital do Barreiro foi acusado de gerir indevidamente o acesso a dados pessoais críticos (multa de 300 mil euros) e de violar a segurança e integridade de dados (mais 100 mil euros). As autoridades do Reino Unido emitiram um alerta a uma empresa canadiana envolvida em investigação analítica. A empresa foi condenada a interromper o tratamento de dados pessoais dos cidadãos, sob pena de multa de 20 milhões de euros. A empresa canadense de marketing digital e desenvolvimento de software AggregateIQ foi multada em £ 17000000. Um café na Áustria foi multado em 5280 euros por videovigilância ilegal (a câmara capturou parte da calçada). Aqueles. qualquer organização sujeita ao RGPD não deve limitar-se, segundo a tradição nacional, apenas ao desenvolvimento de documentação regulamentar.
A propósito, a peculiaridade do GDPR é que ele se aplica a todas as empresas que processam dados pessoais de residentes e cidadãos da UE, independentemente da localização de tal empresa, portanto, as empresas russas devem considerar cuidadosamente este Regulamento se os seus serviços estiverem focados em o mercado europeu
Fonte: habr.com