Leyes de protección de datos (privacidad) en Rusia

Las leyes de protección de datos (privacidad) en Rusia son una rama de la legislación rusa en rápido desarrollo que se promulgó en su mayoría en 2005 y 2006. ^[1] La Ley Federal Rusa sobre Datos Personales (No. 152-FZ), implementada el 27 de julio, 2006, constituye la columna vertebral de las leyes de privacidad rusas y exige que los operadores de datos adopten "todas las medidas organizativas y técnicas necesarias para proteger los datos personales contra el acceso ilegal o accidental". ^[2] La enmienda se firmó el 20 de diciembre de 2020 y entró en vigor el 1 de marzo de 2021. La enmienda requiere que los "datos personales puestos a disposición del público" deben recibir el consentimiento del interesado. ^[3] El Servicio Federal de Supervisión de Comunicaciones, Tecnología de la Información y Medios de Comunicación de Rusia es la agencia gubernamental encargada de supervisar el cumplimiento. ^[4]

Leyes aplicables

• Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales, firmado y ratificado por la Federación de Rusia el 19 de diciembre de 2005; ^[5]
• la Ley de la Federación de Rusia “Sobre Datos Personales” de 27 de julio de 2006 No. 152-FZ, que regula el procesamiento de datos personales mediante equipos de automatización . Es el operador quien está obligado a cumplir con dicha Ley;
• el “Reglamento sobre la seguridad de los datos personales procesados ​​en sistemas de datos personales” promulgado por el Reglamento del Gobierno ruso de 17 de noviembre de 2007 No. 781. El Reglamento contiene normas de seguridad obligatorias que deben cumplirse al procesar y almacenar datos personales;
• la Ley Federal "Sobre Publicidad" de 13.03.2006 No. 38-FZ. Esto regula las comunicaciones de marketing enviadas, entre otros, por medios electrónicos, incluidos correo electrónico, SMS , etc.;
• el Código Ruso sobre Infracciones Administrativas de 30.12.2001 No.195-FZ. Regula las cuestiones de responsabilidad por la comisión de infracciones administrativas en relación con el procesamiento de datos personales o la distribución de comunicaciones comerciales.

Definiciones

• datos personales es cualquier información relacionada con un individuo identificado o identificable sobre la base de dicha información (sujeto de datos personales), incluido apellido, nombre, patronímico , fecha, mes, año y lugar de nacimiento, dirección, familia, estatus social y patrimonial. , educación, profesión, ingresos, otra información; ^[6]
• datos personales sensibles significa datos personales relacionados con:
  • Raza u origen étnico
  • Opiniones politicas
  • Creencias religiosas
  • Estado de salud
  • vida sexual
• procesamiento es cualquier cosa que se pueda hacer con datos personales, incluida la obtención, organización, acumulación, retención, ajuste (actualización, modificación), uso, divulgación (incluida la transferencia), suplantación, bloqueo o destrucción de dichos datos;
• Operador es una entidad que organiza y/o realiza el procesamiento de datos, así como también determina los propósitos y la forma del procesamiento de datos. En la mayoría de los casos, tanto la empresa matriz como la entidad que gestiona la instalación o servicio ofrecido serán operadores;
• Un sistema de datos personales es un sistema de datos que incluye datos personales registrados en la base de datos, así como tecnologías de la información y equipos técnicos que hacen posible el procesamiento de dichos datos.

Normas básicas contenidas en los actos legislativos aplicables.

Se requiere el consentimiento del individuo para el procesamiento de sus datos personales. Esta regla no se aplica cuando dicho procesamiento es necesario para la ejecución del contrato en el que un individuo es parte.

Hay que tener en cuenta que el interesado tiene derecho en cualquier momento a revocar el consentimiento previamente otorgado, lo que obliga al operador a dejar de procesar dichos datos personales y a destruirlos dentro de los tres días hábiles (a menos que se haya acordado otro plazo por parte de el operador y un individuo) después de la fecha de dicha revocación, y notificar al interesado que sus datos personales han sido destruidos.

Más específicamente, el procesamiento de datos personales con fines de marketing directo puede realizarse sujeto al consentimiento previo de los interesados. Se presume la falta de tal consentimiento salvo que el operador pruebe lo contrario. El tratamiento de datos personales para los fines indicados anteriormente deberá cesar inmediatamente a petición del interesado.

En el momento de la obtención de datos personales, el operador está obligado, previa solicitud de un particular, a comunicar a éste la información relativa al operador y al proceso de procesamiento prospectivo.

Si los datos personales no se obtienen directamente de un interesado, el operador antes de procesar dicha información debe proporcionar al individuo la siguiente información:

• nombre y dirección del operador o su representante;
• finalidad y fundamento legal del procesamiento de datos personales;
• usuarios esperados de datos personales; y
• los derechos del individuo de conformidad con la ley federal “Sobre Datos Personales” de 27.07.2006 No. 152-FZ.

En general, está prohibido procesar de cualquier forma datos personales sensibles del individuo, salvo en los casos en que se haya obtenido del individuo antes del procesamiento el consentimiento expreso por escrito, que contenga todas las condiciones previstas por la ley.

Generalmente, para transferir datos personales fuera de la Federación de Rusia, el operador deberá asegurarse, antes de dicha transferencia, de que los derechos de los interesados ​​gozarán de una protección adecuada y suficiente en el país de destino.

Hasta el 1 de septiembre de 2015, la posición del Servicio Federal de Telecomunicaciones, organismo gubernamental responsable de la protección de datos personales, era que solo existe una protección adecuada y suficiente en aquellos estados extranjeros que firmaron y ratificaron el Convenio para la protección de las personas con respecto al procesamiento automático de datos personales . Sin embargo, existen tres excepciones principales que permiten la transferencia de datos personales a países donde se aplica un estándar inferior o nulo de protección de datos personales, a saber:

• Cuando la transferencia es necesaria para la ejecución de un contrato en el que un individuo es parte
• Cuando el interesado haya dado su previo consentimiento por escrito, conteniendo todas las condiciones previstas por la ley, a dicha transferencia
• Cuando la transferencia sea necesaria para que la Federación de Rusia cumpla sus obligaciones en virtud de un acuerdo internacional sobre readmisión

El 1 de septiembre de 2015 entró en vigor un nuevo "Artículo 18 (5)" que limita más estrictamente la exportación de datos. ^[7]

La legislación rusa impone limitaciones estrictas al uso de medios electrónicos de comunicación para marketing directo. Es decir, se debe obtener el consentimiento expreso del individuo antes de enviarle comunicaciones de marketing por correo electrónico o SMS. Se presume la falta de dicho consentimiento previo salvo que el remitente pruebe lo contrario. La ley prevé el cese inmediato del envío de comunicaciones de marketing con poca antelación por parte del individuo. Cabe señalar también que en Rusia está expresamente prohibido enviar correos electrónicos o mensajes SMS mediante marcación automática.

Para enviar comunicaciones de marketing por correo, el operador debe obtener un permiso específico del Servicio Federal de Telecomunicaciones. Lamentablemente aún no se ha establecido el procedimiento para obtener dicho permiso.

Cuando se procesen datos personales, estos deben ser adecuados, pertinentes y no excesivos en relación con el fin o los fines para los que se procesan.

Los datos personales objeto de tratamiento gozarán de régimen de confidencialidad. Implica el empleo por parte del operador de suficientes medios técnicos y organizativos diseñados para evitar el acceso no autorizado de terceros a la información personal procesada. Deben existir procedimientos (incluida la emisión de reglamentos o decretos internos) para regular el proceso de acceso a dicha información confidencial.

Los datos personales deben ser exactos y mantenerse actualizados cuando sea necesario. El operador está obligado a garantizar la accesibilidad de la información personal para su examen por parte de los interesados ​​cuando así lo soliciten. En caso de que dichos sujetos consideren que esta información está desactualizada o es inadecuada, el operador estará obligado a dejar de procesar dicha información hasta que se introduzcan las modificaciones requeridas.

Los datos personales no deben conservarse por más tiempo del necesario para los fines para los cuales son procesados, lo que requiere su destrucción una vez que dichos fines hayan sido cumplidos o en caso de que su cumplimiento ya no sea necesario.

Los datos personales deben procesarse de acuerdo con los derechos de los interesados ​​según la legislación de protección de datos aplicable. Un operador infringe este principio si, entre otras cosas:

• contraviene los derechos de acceso establecidos en la legislación;
• no cumple con una solicitud de cese del procesamiento dentro del plazo previsto por la ley o acordado por las partes.

Deben existir procedimientos para garantizar que los sistemas informáticos estén configurados adecuadamente para permitir un registro preciso de la prestación de consentimientos en todos los casos relevantes, descritos en este documento. También deben existir procedimientos para garantizar que cualquier aviso o solicitud sea respondido y tratado con prontitud.

Se deben tomar medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de datos personales. Los operadores deben considerar medidas apropiadas para garantizar la integridad de los datos (para el procesamiento electrónico), incluida la instalación de software de protección antivirus y cortafuegos, la adopción de cifrado para las transferencias de datos, el uso de tecnologías que mejoren la privacidad y la realización de copias de seguridad periódicas que se almacenen de forma segura. Para el procesamiento manual, se deben considerar medidas de seguridad apropiadas, como el almacenamiento de registros en papel en gabinetes a prueba de fuego y con cerradura.

Las disposiciones pertinentes exigen una protección efectiva de los datos personales. El Servicio Federal de Seguridad (en adelante, el "FSS") está elaborando normas obligatorias sobre la protección de dichos datos que se publicarán en un plazo de dos meses. Por el momento, según información recibida del especialista del FSS durante la consulta telefónica, el FSS cuenta con un borrador preliminar de dicho reglamento que puede ser modificado ya que la versión final de dicho reglamento se publicará dentro de dos meses. El borrador en su versión actual prevé la protección de todos los datos personales que se transfieran fuera de Rusia en forma de cifrado . Vale la pena mencionar que, por el momento, es prácticamente posible utilizar únicamente software y equipos de cifrado rusos para ese fin.

Derechos individuales

La legislación otorga ciertos derechos a los interesados ​​con respecto a los datos personales que se conservan sobre ellos. Éstas incluyen:

• un derecho de acceso a la información relativa al operador y a los datos personales procesados;
• derecho a exigir el cese del tratamiento, el bloqueo o la modificación de los datos personales que hayan sido obtenidos ilegalmente, sean inadecuados o estén desactualizados; y
• derecho a exigir el cese inmediato del procesamiento con fines de marketing directo.

Categorías de datos personales

La legislación describe determinadas categorías de datos personales: ^[8]

• Público: datos personales obtenidos únicamente de fuentes de datos personales disponibles públicamente creadas de conformidad con el art. 8 de la Ley Federal Rusa sobre Datos Personales (Nº 152-FZ)
• Biométrica: información que caracteriza las características fisiológicas y biológicas de una persona a partir de las cuales es posible establecer su personalidad y que son utilizadas por el operador de datos personales para identificar al sujeto de los datos personales.
• Especial: datos personales relacionados con raza, origen étnico, opiniones políticas, creencias religiosas, estado de salud, vida sexual de los interesados.
• Otros: datos personales que no pertenecen a ninguna de las categorías anteriores (públicos, biométricos, especiales).

Notificación

Los operadores a los que se aplica la legislación rusa están obligados a enviar una notificación al organismo territorial del Servicio Federal Ruso de Supervisión de las Comunicaciones Masivas, las Telecomunicaciones y la Preservación del Patrimonio Cultural (en adelante, el "Servicio Federal de Telecomunicaciones") para cada región de Rusia donde posee instalaciones de procesamiento de información personal. Para Moscú será el Departamento de Moscú del servicio federal antes mencionado. Dicha notificación es necesaria para la inclusión del operador en el Registro específico y será realizada por los operadores que han estado procesando información personal antes de la promulgación de la Ley Federal "Sobre Datos Personales" del 27 de julio de 2006 y continúan procesándola después de su promulgación antes al 1 de enero de 2008. Aquellos operadores que no hayan participado en el procesamiento de información personal utilizando equipos propios o de terceros ubicados en Rusia antes de la promulgación de dicha ley deben enviar la notificación antes de comenzar a procesar datos personales. Es importante que dicha notificación contenga la información prevista por la legislación aplicable.

Jurisdicción

Ámbito de aplicación de la legislación rusa en materia de protección de datos: Las leyes rusas se aplican cuando el operador utiliza equipos de procesamiento de datos propios o de terceros ubicados en Rusia. Así como en los casos en que los datos ya hayan sido transferidos fuera de Rusia, pero haya habido una violación de los derechos del interesado antes o durante dicha transferencia. Si los datos se transfieren fuera de Rusia debidamente, serán regulados posteriormente por las leyes del país de destino y las implicaciones de la ley rusa no se aplicarán a los mismos.

En la mayoría de los casos, el Servicio Federal de Telecomunicaciones sólo tiene jurisdicción en relación con los datos conservados o procesados ​​en Rusia. Sin embargo, las implicaciones legales de la legislación rusa sobre protección de datos se aplicarán con respecto a los datos ya transferidos fuera de Rusia en caso de que los derechos de las personas, cuyos datos personales hayan sido recopilados y procesados ​​utilizando equipos ubicados en Rusia, hayan sido violados antes o durante dicha transferencia (por ejemplo, un operador transfirió datos personales a un país donde los datos personales no disfrutan de la protección adecuada sin el consentimiento previo por escrito del interesado). En ese caso el Servicio Federal de Telecomunicaciones podrá interponer demandas contra los operadores para proteger los derechos de los titulares de datos personales e imponer las multas respectivas por violación a la legislación de protección de datos.

Ver también

• Soberanía de datos
• Localización de datos
• Privacidad
• Privacidad de la información (protección de datos)
• Dato de governancia
• Autoridades nacionales de protección de datos

Referencias

1. Arievich, Pavel (1 de junio de 2012). "Protección de datos en la Federación de Rusia: descripción general". Empresa de Derecho Práctico .
2. "Traducción al inglés de la Ley federal rusa sobre protección de datos personales". Asociación Internacional de Profesionales de la Privacidad .
3. "Nuevas regulaciones para el procesamiento de datos personales disponibles públicamente". Oficina de Derecho Internacional . 2021-01-29 . Consultado el 9 de abril de 2021 .
4. Sotto, Lisa J. (agosto de 2008). "Rusia lanza un sitio web de protección de datos" (PDF) . Hunton y Williams .
5. Ver. Ley federal "Sobre la ratificación del Convenio para la protección de las personas en lo que respecta al procesamiento automatizado de datos personales" de 19 de diciembre de 2005 N 160-FZ
6. Ley de la Federación de Rusia "Sobre datos personales" de 27 de julio de 2006 No. 152-FZ, artículo 3
7. Karpukhin, Alexander E.; Sivkova, Daria A. (noviembre de 2017). "Cómo cumplir con los requisitos rusos sobre localización de datos personales". Financiero en todo el mundo .
8. Bessonov, Evgeny (2017). "Ejemplo de categorías de datos personales con infraestructura TI en cumplimiento de la Ley Federal N°152". Nube4Y .

enlaces externos

• Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales
• Base de datos en línea sobre la legislación rusa (en ruso)
• Base de datos alternativa de las leyes rusas - algunas disponibles en inglés
• Enciclopedia del derecho ruso
• archivadores, calendarios de retención de registros rusos
• Libro Blanco sobre la protección de datos personales en Rusia