Protección o Privacidad de Datos en Rusia
Este elemento es una ampliación de las guías y los cursos de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]
Orientación sobre Privacidad de Datos en el Derecho Ruso
El 31 de julio de 2017, la autoridad rusa de protección de datos, Roskomnadzor, emitió una orientación para los operadores de datos sobre la redacción de políticas de privacidad para cumplir con la ley rusa de protección de datos. La ley de privacidad 2006 de Rusia – ley federal no. 152-FZ de 27 de julio de 2006 “sobre datos personales” (Ley de datos personales) – requiere, entre otras cosas, que los operadores de datos rusos deban adoptar una política de privacidad que describa cómo procesan los datos personales. Este requisito de aviso es similar al enfoque en Europa.
Otros Elementos
Además, los operadores de datos publicarán dicha política en línea cuando los datos personales se recojan en línea o proporcionen acceso irrestricto a la política cuando los datos personales se recojan sin conexión. (Tal vez sea de interés más investigación sobre el concepto). La orientación – aunque no vinculante y carácter en la naturaleza – enfatiza las expectativas de cumplimiento del regulador y, por lo tanto, debe tenerse en cuenta por las organizaciones que actúan como operadores de datos en Rusia. Roskomnadzor generalmente considera importante para que los operadores de datos adopten una política de procesamiento de datos relativamente detallada para que los sujetos de datos sean conscientes de todas las posibles acciones que deben tomarse con sus datos personales, tales como los propósitos para el procesamiento y los destinatarios de sus datos personales. Roskomnadzor espera que las compañías controlen proactivamente el procesamiento de sus datos personales para cumplir con el aviso de procesamiento de datos.
La orientación establece que la política debe contener, en general, la información que:
- objetivo principal de la política y las definiciones utilizadas en la política (por ejemplo, datos personales, procesamiento, etc.);
- principales derechos y obligaciones del operador de datos y de los sujetos de datos;
- propósitos para el tratamiento de datos personales;
- fundamentos jurídicos para el tratamiento de datos personales (es decir, leyes, consentimientos, acuerdos concertados con sujetos de datos, etc.);
- volumen y categorías de datos personales procesados. Para cada categoría de sujetos de datos, Roskomnadzor recomienda que una empresa Enumere todos los datos personales que recopile y procese vinculados a fines específicos e indique todos los casos de procesamiento de categorías especiales de datos personales o datos biométricos);
- procedimientos y condiciones para el tratamiento de datos personales (es decir, acciones que deben emprenderse con respecto a los datos personales, información sobre la transferencia de datos personales, motivos para cesar el procesamiento de datos personales, condiciones de almacenamiento e información sobre el cumplimiento del requisito de localización de datos de la ley; véase más abajo);
- procedimientos para actualizar, corregir, eliminar o destruir datos personales; y
- procedimientos para responder a las solicitudes de los sujetos de datos.
La orientación también indica que, en caso de que sea necesario compartir datos personales con terceros (por ejemplo, proveedores de servicios o socios comerciales), los operadores de datos deben explicar las medidas que adopten para proteger los datos personales.Entre las Líneas En concreto, la política de un operador de datos debe explicar que el operador de datos entra en contratos con terceros destinatarios para proteger los datos personales. La política también debería enumerar los propósitos de dicho reparto (véase qué es, su definición, o concepto, y su significado como “distribution” o “sharing” en el contexto anglosajón, en inglés), el volumen de datos personales que se transferirán, las restricciones de uso de datos (incluidas las obligaciones de confidencialidad) y las medidas de seguridad (incluidas las medidas específicas de organización y técnicas).
Detalles
Por último, la política debe establecer el nombre y las direcciones de los destinatarios de terceros de los datos personales.
Aunque estas recomendaciones están en general en consonancia con los principios estipulados en la ley de datos personales, y generalmente se entendían por el mercado como mejores prácticas antes de que se publicara la orientación, algunas de las recomendaciones de la guía requerirían más atención y esfuerzos por parte de los operadores de datos (por ejemplo, recomendaciones sobre la lista de todos los terceros que reciben datos personales junto con detalles sobre los datos transferidos).
Desde su aplicación del 1 de julio de 2017, existe una responsabilidad administrativa separada por el incumplimiento de las obligaciones de publicar la política de privacidad y de proporcionar acceso irrestricto a dicha política. Las violaciones de estas disposiciones pueden dar como resultado una advertencia o una multa de hasta frotar 30.000 (aprox. USD 500) para las personas jurídicas. Esta nueva responsabilidad administrativa se adoptó como parte de un conjunto de multas administrativas más diversificadas e incrementadas disponibles para las obligaciones de protección de datos, que hemos cubierto en un post anterior aquí.
Aunque la orientación es no vinculante y de naturaleza carácter, es probable que Roskomnadzor, al realizar investigaciones de cumplimiento, considere si los operadores de datos están siguiendo la guía.
Una Conclusión
Por lo tanto, los operadores de datos deben tener en cuenta estas recomendaciones al desarrollar políticas de privacidad para cumplir con la ley de datos personales.
Autor: Williams
Localización de datos
El 3 de agosto de 2015 el Ministerio ruso de comunicaciones, la agencia que supervisa la autoridad rusa de protección de datos que hará cumplir la ley de localización de datos de Rusia, publicó aclaraciones oficiosas sobre su sitio web que proporcionan una visión de cómo el Ministerio cree que las organizaciones deben cumplir con la ley. Si bien estas aclaraciones no son vinculantes, constituyen la única Guía reglamentaria escrita que se ha publicado hasta la fecha sobre la ley, que entra en vigor el 1º de septiembre y requiere que las organizaciones que recojan datos personales de individuos ubicados en Rusia para almacenar esos datos dentro del territorio ruso. El sitio web del Ministerio también proporciona un mecanismo para hacer más preguntas en línea.
Resumimos las principales cuestiones planteadas en las aclaraciones publicadas, y el posible impacto en las empresas globales que buscan cumplir con la ley.
Aplicabilidad de la ley
Bajo normas jurisdiccionales rusas estándar, las leyes solo se aplican en el territorio de Rusia. Por lo tanto, las aclaraciones indican que, por regla general, la ley de localización de datos no debe aplicarse a los no residentes de Rusia, incluidos los negocios extranjeros. La orientación, sin embargo, afirma además que, debido a la naturaleza transfronteriza de Internet, se puede considerar que ciertas actividades de Internet se llevan a cabo en el territorio de Rusia y, por lo tanto, están sujetas a los requisitos de localización. (Tal vez sea de interés más investigación sobre el concepto). Por ejemplo, un sitio web puede ser considerado sujeto a la ley si incluye una opción de idioma ruso (excepto cuando el sitio web se traduce con la ayuda de un traductor automático en línea) o utiliza un dominio ruso de nivel superior como. ru,. su,. Moscow, o similar.
La orientación también aclara que la ley se aplica a todos los “operadores de datos”, a pesar de que recojan datos personales en línea o offline.
Esta guía establece dos tipos de organizaciones que son objetivos probable de la observancia, lo que refleja las realidades prácticas de la jurisdicción: (1) organizaciones con presencia física en Rusia (que pueden estar sujetas a auditorías in situ), y (2) organizaciones que dirigen la actividad de Internet a los usuarios rusos (cuyos sitios web pueden ser bloqueados por el regulador). Por otra parte, las empresas extranjeras con menos conexión física a Rusia, o sin un sitio web específicamente dirigido a los usuarios rusos, parecen ser menos probables objetivos de aplicación bajo la guía del Ministerio. Dicho esto, los tribunales rusos tienen la última opinión sobre el alcance de la jurisdicción de la ley, por lo que, si bien la orientación del Ministerio es útil para determinar los objetivos probables de aplicación, no exime definitivamente a ninguna organización de los requisitos de localización hasta que la ley es probada en los tribunales.
Carácter retrospectivo de la ley
La ley solo se aplica a las actividades de procesamiento de datos que se llevan a cabo después de su fecha de vigencia.
Una Conclusión
Por lo tanto, la orientación indica que los datos personales recolectados y almacenados en el extranjero antes del 1 de septiembre de 2015 no necesitan ser almacenados en Rusia.
Puntualización
Sin embargo, esta interpretación no puede ofrecer mucho de un indulto, ya que esa interpretación solo se aplica si no se aplican cambios adicionales a los datos. A partir del 2015 de septiembre, cualquier tratamiento de los datos personales de los ciudadanos rusos (a saber, la grabación, sistematización, acumulación, almacenamiento, actualización, cambio o recuperación de datos personales) debe realizarse de acuerdo con la nueva localización de datos requisito, incluso si se recoge y se almacena en el extranjero antes de la fecha de vigencia.
Recopilación de datos personales
La ley de localización de datos establece que “al recoger datos personales,” un operador de datos debe procesar los datos personales de los ciudadanos rusos dentro de Rusia. La ley por lo tanto conecta la obligación de la localización con la colección de datos personales, un requisito previo para que la ley aplique.
De acuerdo con la guía, “Collection” es el proceso de recibir datos personales directamente del sujeto de datos individuales o a través de terceros específicamente comprometidos.
Una Conclusión
Por lo tanto, una organización que incidentalmente recibe datos personales no está sujeta a la ley porque no recogerá los datos a propósito.
Las aclaraciones indican además que la recolección no se produce cuando una persona jurídica recibe datos personales de otra persona jurídica en el contexto de actividades empresariales habituales, como la transmisión de información de contacto de los empleados y otros Representantes.
Puntualización
Sin embargo, hay una excepción notable cuando una organización utiliza “poderes computacionales” (es decir, procesamiento automático) para reunir a propósito datos personales de terceros, en cuyo caso la organización debe cumplir con la localización de datos Requisitos.
El resultado final bajo la guía es que cuando una organización recopila intencionalmente información personal directamente de los ciudadanos rusos, o utiliza a un tercero para hacerlo en su nombre, o recopila intencionalmente datos personales de personas de terceros más allá actividades empresariales de rutina, esa colección está sujeta a la ley de localización de datos. Sin embargo, si una organización recibe solo incidentalmente datos personales (por ejemplo, a través del correo electrónico), o no recopila intencionalmente datos personales de terceros (por ejemplo, cuando un operador de datos solo recibe datos personales de otra persona jurídica para negocios de rutina actividades), la ley de localización de datos no se aplicará.
Transferencia transfronteriza
La guía deja claro que la ley de localización de datos no prohíbe la transferencia de datos personales fuera de Rusia.
Una Conclusión
Por lo tanto, es posible entrar y procesar los datos personales recogidos de los ciudadanos rusos en una base de datos ubicada en Rusia (“base de datos primaria”), y luego transferir esos datos a las bases ubicadas en el extranjero y administradas por otras personas (“secundaria base de datos “), siempre y cuando la transferencia cumpla con los requisitos de transferencia transfronteriza rusa.
Informaciones
Los datos personales transferidos al extranjero pueden ser procesados por el operador extranjero de la base de datos secundaria en las leyes aplicables a dicho operador.
Sin embargo, la orientación establece que cualquier cambio en los datos personales recogidos y localizados en Rusia debe hacerse primero en la base de datos primaria ubicada en Rusia y transferida al extranjero a la base de datos secundaria, si es necesario.
Ciudadanía
La ley solo se aplica a los datos personales recabados de “ciudadanos rusos”, y la ley no especifica cómo una organización debe determinar quién es un ciudadano ruso. La orientación indica que los operadores de datos pueden hacer una determinación razonable de qué sujetos de datos son ciudadanos rusos, teniendo en cuenta las especificidades de sus negocios.Entre las Líneas En el caso de que un operador de datos no pueda hacer una determinación razonable, la guía indica que el requisito de localización debe aplicarse a todos los datos personales recabados del territorio de Rusia.
Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
Líneas aéreas
El requisito de localización no se aplica a la recolección y tratamiento de datos personales por las compañías aéreas rusas y extranjeras para la reserva, procesamiento y emisión de boletos aéreos, boletos de equipaje y otros documentos de transporte. Según la orientación, esto se debe a que la ley exime el tratamiento de datos personales con el fin de perseguir objetivos previstos por un tratado internacional de la Federación de Rusia, y los viajes aéreos comerciales se rigen por dichos tratados internacionales. El Ministerio nombró varios de esos tratados internacionales, entre ellos el Convenio de Chicago de 7 de diciembre de 1944, el Convenio de Varsovia de 12 de octubre de 1929, y el Convenio de Guadalajara de 18 de septiembre de 1961.
Datos relacionados con los empleados
De forma similar a la exención del Tratado Internacional, la ley de localización de datos proporciona una exención para los datos personales procesados con el fin de perseguir los objetivos previstos por la legislación rusa. Los contornos de esta exención no son claros, y muchos han pedido al Ministerio de comunicaciones que aclare si exime a las organizaciones de aplicar los requisitos de localización a los datos personales de sus empleados, cuya tramitación está sujeta a ciertos requisitos legales.
La orientación es vaga sobre esta cuestión, simplemente afirmando que cada empresa debe evaluar por sí misma si su manejo de los datos personales de los empleados está sujeto a esta exención, cuya corrección será evaluada más adelante en el curso de las inspecciones regulatorias. Esta posición da un poco más de margen de maniobra que la posición anterior (pero no oficial) de Roskomnadzor — la autoridad rusa de protección de datos que llevará a cabo las inspecciones, y que está sujeta a la autoridad del Ministerio de comunicaciones — que anteriormente dijo que el procesamiento de los datos de los empleados estará sujeto a la ley de localización de datos.
Dicho esto, todavía no existe ninguna declaración oficial que exima expresamente de cualquier tratamiento particular de los datos de los empleados del requisito de localización. (Tal vez sea de interés más investigación sobre el concepto). La orientación es a propósito vaga en este punto, lo que indica que el regulador probablemente todavía está considerando su posición final sobre la cuestión. (Tal vez sea de interés más investigación sobre el concepto). Dada esta incertidumbre, el enfoque más seguro es que las empresas traten el tratamiento rutinario de los datos de los empleados como sujetos a la ley, aunque todavía existe la posibilidad de clarificaciones futuras una vez que los tribunales o el Ministerio de comunicaciones hayan tenido la oportunidad para considerar más plenamente el problema.
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.Datos personales
Los datos personales se definen como cualquier información relacionada con una persona directa o indirectamente identificada o identificable. La guía declina definir los datos personales con más detalle o proporcionar una lista de datos que se consideren personalmente identificables.
Otros procesos
La ley de localización de datos se aplica cuando un operador de datos se compromete en uno de los siete tipos de procesamiento de datos con respecto a los datos personales recabados de los ciudadanos rusos: la grabación, sistematización, acumulación, almacenamiento, actualización, cambio o recuperación de tales Datos.
Pormenores
Las aclaraciones indican que otros tipos de procesamiento de datos se pueden hacer en bases no localizadas.Entre las Líneas En concreto, la guía proporciona el ejemplo de uso, transferencia, desidentificación, eliminación y destrucción de datos personales. La clave para tomar esta guía es que los datos personales de los ciudadanos rusos pueden ser utilizados (revisados, usados para fines comerciales, etc.) desde cualquier parte del mundo, mientras que cambiar, actualizar o modificar de otra manera los datos personales se debe hacer primero en la primaria bases de datos ubicadas en Rusia.
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.
Hay muy poca información sobre Privacidad de Datos en el Derecho Ruso, suerte que ustedes han publicado un artículo sobre este tema de la Privacidad de Datos en el Derecho Ruso, o quizas debería decir protección de datos.