Las leyes de protección de datos (privacidad) en Rusia son una rama de rápido desarrollo en la legislación rusa que se promulgó principalmente en 2005 y 2006. [1] La Ley Federal de Datos Personales de Rusia (No. 152-FZ), implementada el 27 de julio, 2006, constituye la columna vertebral de las leyes de privacidad rusas y requiere que los operadores de datos tomen "todas las medidas organizativas y técnicas necesarias para proteger los datos personales contra el acceso ilegal o accidental". [2] La enmienda se firmó el 20 de diciembre de 2020 y entró en vigor el 1 de marzo de 2021. La enmienda requiere que "los datos personales se pongan a disposición del público" deben recibir el consentimiento del interesado. [3] RusiaEl Servicio Federal de Supervisión de Comunicaciones, Tecnología de la Información y Medios de Comunicación es la agencia gubernamental encargada de supervisar el cumplimiento. [4]
Leyes aplicables
1.1 Convenio para la protección de las personas con respecto al procesamiento automático de datos personales, firmado y ratificado por la Federación de Rusia el 19 de diciembre de 2005; [5]
1.2 la Ley de la Federación de Rusia “Sobre Datos Personales” de 27.07.2006 No. 152-FZ, que regula el procesamiento de datos personales por medio de equipos de automatización . Es el operador quien está obligado a cumplir con esa Ley;
1.3 el "Reglamento sobre la protección de los datos personales que se procesan en sistemas de datos personales" promulgado por el Reglamento del Gobierno de Rusia a partir del 17.11.2007 No. 781. El Reglamento contiene normas de seguridad obligatorias que deben cumplirse al procesar y almacenar datos personales;
1.4 la ley federal "sobre publicidad" a partir del 13.03.2006 No. 38-FZ. Esto regula las comunicaciones de marketing enviadas, entre otros, por medios electrónicos, incluido el correo electrónico, SMS , etc .;
1.5 el Código Ruso sobre Infracciones Administrativas de fecha 30.12.2001 No 195-FZ. Esto regula las cuestiones de responsabilidad por la comisión de infracciones administrativas en relación con el procesamiento de datos personales o la distribución de comunicaciones de marketing.
Definiciones
2.1 datos personales es cualquier información relacionada con identificados o identificables en base a dicha información individual (sujeto de datos personales), incluyendo su apellido, nombre de pila, patronímico , fecha, mes, año y lugar de nacimiento, dirección, familia, social, estado de la propiedad , educación, profesión, ingresos, otra información; [6]
2.2 datos personales sensibles significa datos personales relacionados con:
- Raza u origen étnico
- Opiniones politicas
- Creencias religiosas
- Estado de salud
- Vida sexual
2.3 procesamiento es cualquier cosa que se pueda hacer con o con datos personales, incluida la obtención, organización, acumulación, retención, ajuste (actualización, modificación), uso, divulgación (incluida la transferencia), suplantación, bloqueo o destrucción de dichos datos;
2.4 operador es una entidad que organiza y / o realiza el procesamiento de datos, así como también determina los propósitos y la forma del procesamiento de datos. En la mayoría de los casos, tanto la empresa matriz como la entidad que gestiona la instalación o el servicio ofrecido serán los operadores;
2.5 sistema de datos personales es un sistema de datos que incluye datos personales registrados en la base de datos, así como tecnologías de la información y equipos técnicos que hacen posible el procesamiento de dichos datos.
Normas básicas contenidas en los actos legislativos aplicables
3.1 Se requiere el consentimiento de la persona para el procesamiento de sus datos personales. Esta regla no se aplica cuando dicho procesamiento es necesario para la ejecución del contrato, en el que una persona es parte.
Se debe tener en cuenta que un interesado tiene derecho en cualquier momento a revocar su consentimiento otorgado previamente, lo que obliga al operador a detener el procesamiento de dichos datos personales y destruirlos dentro de los tres días hábiles (a menos que se acuerde otro período de tiempo el operador y una persona) después de la fecha de dicha revocación, y notificar al interesado el hecho de que sus datos personales han sido destruidos.
3.2 Más específicamente, el procesamiento de datos personales con fines de marketing directo puede realizarse con el consentimiento previo de los interesados. La falta de dicho consentimiento se presume a menos que el operador demuestre lo contrario. El procesamiento de datos personales para los fines indicados anteriormente debe cesar inmediatamente a solicitud del interesado.
3.3 En el momento de la obtención de los datos personales, el operador está obligado, sujeto a solicitud de un individuo, a comunicar a este último la información relacionada con el operador y el proceso de procesamiento prospectivo.
3.4 Si los datos personales no se obtienen directamente de un sujeto de datos personales, el operador antes de procesar dicha información debe proporcionar al individuo la siguiente información:
3.4.1 nombre y dirección del operador o su representante;
3.4.2 propósito y fundamento legal del procesamiento de datos personales;
3.4.3 usuarios previstos de datos personales; y
3.4.4 los derechos del individuo de acuerdo con la ley federal “Sobre Datos Personales” de 27.07.2006 No. 152-FZ.
3.5 En general, está prohibido procesar de cualquier manera datos personales sensibles de la persona, excepto en los casos en que se haya obtenido el consentimiento expreso por escrito, que contiene todas las condiciones previstas por la ley, de la persona antes del procesamiento.
3.6 En general, para transferir datos personales fuera de la Federación de Rusia, el operador deberá asegurarse, antes de dicha transferencia, de que los derechos de los interesados gozarán de una protección adecuada y suficiente en el país de destino.
Hasta el 1 de septiembre de 2015, la posición del Servicio Federal de Telecomunicaciones, el organismo gubernamental responsable de la protección de datos personales, era que solo existe una protección adecuada y suficiente en aquellos estados extranjeros que firmaron y ratificaron el Convenio para la Protección de las Personas con respecto al Procesamiento Automático de Datos Personales . Sin embargo, existen tres excepciones importantes que permiten la transferencia de datos personales a los países donde se aplica un estándar más bajo o nulo de protección de datos personales, a saber:
- Cuando la transferencia es necesaria para la ejecución de un contrato en el que una persona es parte
- Cuando un interesado dio su consentimiento previo por escrito, que contiene todas las condiciones previstas por la ley, para dicha transferencia
- Cuando la transferencia es necesaria para el cumplimiento por parte de la Federación de Rusia de sus obligaciones en virtud del acuerdo internacional sobre readmisión
El 1 de septiembre de 2015 entró en vigor un nuevo "artículo 18 (5)" que limita de forma más estricta la exportación de datos. [7]
3.7 La legislación rusa impone limitaciones estrictas al uso de los medios de comunicación electrónicos para marketing directo. Es decir, se debe obtener el consentimiento expreso de la persona antes de que se le envíen comunicaciones de marketing por correo electrónico o SMS. Se presume la falta de dicho consentimiento previo salvo que el remitente acredite lo contrario. La ley establece el cese inmediato de enviar comunicaciones de marketing con poca antelación a la persona. También debe tenerse en cuenta que en Rusia está expresamente prohibido enviar correos electrónicos o mensajes SMS mediante el marcado automático.
Para enviar comunicaciones de marketing por correo, el operador debe obtener un permiso específico del Servicio Federal de Telecomunicaciones. Lamentablemente, aún no se ha establecido el procedimiento para obtener dicho permiso.
3.8 Cuando se procesan datos personales, estos deben ser adecuados, pertinentes y no excesivos en relación con el propósito o fines para los que se procesan.
3.9 Los datos personales en tratamiento gozarán de un régimen de confidencialidad. Implica el empleo por parte del operador de medios técnicos y organizativos suficientes destinados a evitar el acceso no autorizado de terceros a la información personal procesada. Deben existir procedimientos (incluida la emisión de reglamentos o decretos internos) para regular el proceso de acceso a dicha información confidencial.
3.10 Los datos personales deben ser precisos y mantenerse actualizados cuando sea necesario. El operador está obligado a garantizar la accesibilidad de la información personal para que los interesados los examinen cuando lo soliciten. En caso de que dichos sujetos encuentren que esta información está desactualizada o es inadecuada, el operador estará obligado a detener el procesamiento de dicha información hasta que se introduzcan las modificaciones requeridas.
3.11 Los datos personales no deben conservarse más tiempo del necesario para los fines para los que son procesados, lo que requiere su destrucción una vez cumplidos dichos fines o en caso de que su cumplimiento ya no sea requerido.
3.12 Los datos personales deben procesarse de acuerdo con los derechos de los interesados según la legislación de protección de datos aplicable. Un operador infringirá este principio si, entre otras cosas, él:
3.12.1 contraviene las disposiciones sobre derechos de acceso establecidos en la legislación;
3.12.2 no cumple con una solicitud de cese de procesamiento dentro del límite de tiempo especificado por la ley o acordado por las partes.
Deben existir procedimientos para garantizar que los sistemas informáticos estén configurados adecuadamente para permitir un registro preciso de la concesión de consentimientos en todos los casos relevantes, descritos en este documento. También deben existir procedimientos para asegurar que cualquier aviso o solicitud sea respondido y tratado con prontitud.
3.13 Se deben tomar las medidas técnicas y organizativas apropiadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental de, o daño a, datos personales. Los operadores deben considerar las medidas adecuadas para garantizar la integridad de los datos (para el procesamiento electrónico), incluida la instalación de software de protección antivirus y cortafuegos, la adopción de cifrado para transferencias de datos, el uso de tecnologías que mejoran la privacidad y la realización de copias de seguridad periódicas que se almacenan de forma segura. Para el procesamiento manual, se deben considerar las medidas de seguridad apropiadas, como el almacenamiento de registros en papel en gabinetes a prueba de fuego con cerradura.
3.14 Las disposiciones pertinentes exigen una protección eficaz de los datos personales. Actualmente , el Servicio Federal de Seguridad (en adelante, el "FSS") está desarrollando regulaciones obligatorias sobre la protección de dichos datos que se emitirán en un plazo de dos meses. Por el momento, de acuerdo con la información recibida del especialista del FSS durante la consulta telefónica, el FSS cuenta con un anteproyecto de dicho reglamento que puede ser modificado ya que la versión final de dicho reglamento se emitirá dentro de dos meses. El borrador en su versión actual prevé la protección de todos los datos personales que se transfieren fuera de Rusia en forma de cifrado . Vale la pena mencionar que, por el momento, es prácticamente posible utilizar solo software y equipo de cifrado ruso para ese propósito.
Derechos individuales
La legislación otorga ciertos derechos a los interesados con respecto a los datos personales que se tienen sobre ellos. Éstas incluyen:
4.1 un derecho de acceso a la información relacionada con el operador y a los datos personales procesados;
4.2 derecho a exigir el cese del procesamiento, bloqueo o modificación de los datos personales que se hayan obtenido ilegalmente, sean inadecuados o estén desactualizados; y
4.3 derecho a exigir el cese inmediato del procesamiento con fines de marketing directo.
Categorías de datos personales
La legislación describe determinadas categorías de datos personales: [8]
5.1 Público: datos personales obtenidos solo de fuentes de datos personales disponibles públicamente creadas de acuerdo con el art. 8 de la Ley Federal de Rusia sobre Datos Personales (No. 152-FZ)
5.2 Biométrico - información que caracteriza las características fisiológicas y biológicas de una persona sobre la base de la cual es posible establecer su personalidad y que son utilizadas por el operador de datos personales para identificar al sujeto de los datos personales.
5.3 Especial: datos personales relacionados con raza, origen étnico, opiniones políticas, creencias religiosas, estado de salud, vida sexual de los interesados.
5.4 Otros: datos personales que no pertenecen a ninguna de las categorías anteriores (público, biométrico, especial).
Notificación
Los operadores a los que se aplica la legislación rusa deben enviar una notificación al organismo territorial del Servicio Federal Ruso de Supervisión de las Comunicaciones Masivas, Telecomunicaciones y Preservación del Patrimonio Cultural (en adelante, el "Servicio Federal de Telecomunicaciones") para cada región de Rusia donde posee instalaciones de procesamiento de información personal. Para Moscú será el Departamento de Moscú del servicio federal mencionado anteriormente. Dicha notificación es necesaria para la inclusión del operador en un Registro específico y deberá ser realizada por los operadores que hayan estado procesando información personal antes de la promulgación de la Ley Federal "Sobre Datos Personales" de fecha 27.07.2006 y continúen procesándola después de su promulgación antes de al 1 de enero de 2008. Aquellos operadores que no hayan estado involucrados en el procesamiento de información personal utilizando equipos propios o de terceros ubicados en Rusia antes de la promulgación de dicha ley deben enviar la notificación antes de comenzar a procesar datos personales. Es importante que dicha notificación contenga la información prevista por la legislación aplicable.
Jurisdicción
Ámbito de aplicación de la legislación rusa sobre protección de datos: las leyes rusas se aplican cuando el operador utiliza equipos de procesamiento de datos propios o de terceros ubicados en Rusia. Así como en los casos en los que los datos ya se han transferido fuera de Rusia, pero ha habido una violación de los derechos del interesado antes o durante dicha transferencia. Si los datos se transfieren fuera de Rusia debidamente, serán posteriormente regulados por las leyes del país de destino y no se aplicarán las implicaciones de la ley rusa.
En la mayoría de los casos, el Servicio Federal de Telecomunicaciones solo tiene jurisdicción en relación con los datos almacenados o procesados en Rusia. Sin embargo, las implicaciones legales de la legislación rusa sobre protección de datos se aplicarán con respecto a los datos ya transferidos fuera de Rusia en caso de que los derechos de las personas, cuyos datos personales hayan sido recopilados y procesados utilizando equipos ubicados en Rusia, hayan sido violados antes o durante dicha transferencia (por ejemplo, un operador transfirió datos personales a un país donde los datos personales no gozan de la protección adecuada sin el consentimiento previo por escrito de un interesado). En ese caso, el Servicio Federal de Telecomunicaciones podrá entablar demandas contra los operadores para proteger los derechos de los interesados e imponer las respectivas multas por violación de la legislación de protección de datos.
Ver también
Referencias
- ^ Arievich, Pavel (1 de junio de 2012). "Protección de datos en la Federación de Rusia: descripción general" . Sociedad de Derecho Práctico .
- ^ "Traducción al inglés de la Ley Federal de Protección de Datos Personales de Rusia" . Asociación Internacional de Profesionales de la Privacidad .
- ^ "Nueva normativa para el tratamiento de datos personales disponibles públicamente" . Oficina de Derecho Internacional . 2021-01-29 . Consultado el 9 de abril de 2021 .
- ^ Sotto, Lisa J. (agosto de 2008). "Rusia lanza un sitio web de protección de datos" (PDF) . Hunton y Williams .
- ^ Ver. la ley federal "Sobre la ratificación del Convenio para la protección de las personas con respecto al procesamiento automático de datos personales" a partir del 19.12.2005 N 160-FZ
- ^ Ley de la Federación de Rusia "sobre datos personales" a partir del 27.07.2006 No. 152-FZ, artículo 3
- ^ Karpukhin, Alexander E .; Sivkova, Daria A. (noviembre de 2017). "Cómo cumplir con los requisitos rusos sobre localización de datos personales" . Financier Worldwide .
- ^ Bessonov, Evgeny (2017). "Categorías de datos personales con ejemplo de infraestructura de TI en cumplimiento de la Ley Federal N ° 152" . Cloud4Y .
enlaces externos
- Convenio para la Protección de las Personas con respecto al Tratamiento Automático de Datos Personales
- Base de datos en línea de la legislación rusa (en ruso)
- Base de datos alternativa de las leyes rusas - algunas disponibles en inglés
- Enciclopedia del derecho ruso
- archivadores, programas de conservación de registros rusos