Compreendendo a nova lei "Sobre dados pessoais": riscos imaginários e reais

2024 Autor: Malcolm Clapton | [email protected]. Última modificação: 2023-12-17 04:08

Em 1 de setembro, as alterações à lei "Sobre dados pessoais" entram em vigor. Em um grau ou outro, eles afetarão todos os cidadãos da Rússia. MakRadar contatou vários advogados russos e representantes de empresas de Internet e descobriu todas as nuances desta lei.

As alterações em si são pequenas, ocupam apenas uma página e meia de uma folha A4 padrão e qualquer pessoa pode lê-las diretamente. Duas inovações principais:

• A partir de 1º de setembro, todas as pessoas jurídicas que trabalham com dados pessoais de russos devem armazenar bancos de dados no território da Federação Russa - em servidores próprios ou alugados.
• Está a ser criado o sistema de informação automatizado "Registo de violadores dos direitos dos titulares de dados pessoais".

Dados pessoais - qualquer informação relacionada a um indivíduo específico. Pode ser sobrenome, nome, patronímico, ano, mês, data e local de nascimento, endereço, família, status social, propriedade, escolaridade, dados do passaporte, profissão, renda e outras informações.

Vamos dar uma olhada no que é o "Registro …" mencionado acima, quais riscos a lei representa para representantes da indústria da Internet, quanto "custa" cumprir a lei para empresas e quais responsabilidades os infratores incorrerão.

O que é o "Registro de violadores dos direitos dos sujeitos de dados pessoais"

Este registro incluirá os nomes de sites e páginas na Internet nos quais os dados pessoais são processados em violação da lei. Pode ser absolutamente qualquer site: lojas online, hotéis, companhias aéreas, mídia e outros. “Uma vez que a lei não especifica para quais violações os sites serão incluídos neste registro, pode-se presumir que qualquer violação da lei sobre dados pessoais pode servir como tal violação”, diz Daria Sukhikh, associado sênior da Equipe 29. - O procedimento para manter o registro será determinado pelo Governo da Federação Russa. De referir que um site ou uma página só podem ser inscritos neste registo com base em decisão judicial que tenha entrado em vigor, que tenha registado uma violação da lei no tratamento de dados pessoais.”

Tratamento de dados pessoais - operações com dados pessoais, tais como: recolha, acumulação, armazenamento, esclarecimento, atualização, modificação, utilização, distribuição, transferência, despersonalização, bloqueio e destruição.

Quem se enquadra na lei

Empresas de vendas à distância, transporte, operadoras de turismo e sistemas de reservas, agências de recrutamento, operadoras de telecomunicações, setor bancário e sistemas de pagamento. De acordo com a reunião de julho entre RAEC, Câmara de Comércio Russo-Britânica e Roskomnadzor, mais de 54% das empresas de TI estão prontas para cumprir todos os requisitos da lei, outros 27% disseram que estavam parcialmente prontas, 19% não estavam completamente pronto. Problemas financeiros e falta de capacidade técnica foram identificados como as principais dificuldades na implementação da lei.

Principais riscos para o negócio

“Não vemos riscos significativos para o negócio”, afirma o consultor jurídico sênior do Grupo OZON. Yana Barash … "As disposições sobre transferência transfronteiriça de dados pessoais não são afetadas pelas alterações e, portanto, a transferência de dados pessoais de cidadãos russos para prestadores de serviços estrangeiros continuará a ser possível." Kirill Mityagin, parceira da Nevsky IP Law acredita: “O principal risco é não entender os requisitos da lei para as operadoras e as regras de processamento de dados pessoais. Por exemplo, não envie um aviso de inclusão no registro Roskomnadzor (em 31 de julho de 2015, existem mais de 330 mil operadores no registro), nem cometa violações no processamento de dados pessoais, o que implica o início de civil, responsabilidade administrativa e até criminal."

Ameaças potenciais para usuários comuns da Internet

A principal ameaça para o usuário médio é que seu recurso favorito pode não ser capaz de arcar com os custos de proteção de dados pessoais e será encerrado. “O cumprimento da legislação torna nosso projeto 45% mais caro”, afirma a diretora executiva do serviço. Oleg Gribanov … - São custos inevitáveis se quisermos cumprir a lei e em nenhum caso iremos violá-la. Não sei quanto vamos gastar com compra e aluguel de servidores e treinamento de pessoal para o trabalho, isso é segredo comercial”. “Hoje, os servidores podem ser adquiridos a preços que variam de 40 a 600 mil rublos, mas um produto de mais ou menos alta qualidade certamente custará mais de cem mil, além disso, a escolha dependerá da quantidade de dados armazenados”. explica Alexander Trifonov, especialista chefe do serviço jurídico. - Também existe a possibilidade de alugar um servidor, as ofertas vão de cinco a seis mil rublos, de modo que essa opção de orçamento pode ser adequada para empresas que não estão prontas para gastar imediatamente várias centenas de milhares."

A proteção de dados pessoais é um conjunto de medidas administrativas e métodos de proteção técnica para impedir o uso não autorizado de dados pessoais.

Responsabilidade pelo não cumprimento da lei "Sobre dados pessoais"

O não cumprimento da lei de proteção de dados está sujeito à responsabilidade penal e administrativa. “Para o acesso ilegal a informações de computador legalmente protegidas, vem a responsabilidade sob o art. 272 do Código Penal da Federação Russa, - diz o diretor-gerente da empresa "YurPartner" Anton Tolmachev … “Mas isso é artilharia pesada. Mais frequentemente, uma violação da lei "Sobre dados pessoais" é uma infração administrativa, por exemplo, de acordo com o artigo 13.14 do Código Administrativo da Federação Russa "Divulgação de informações com acesso limitado" ou artigo 13.12 "Violação das regras de proteção de informações. " “Agora, a empresa assume a responsabilidade administrativa por violação do procedimento de processamento de dados pessoais na forma de uma multa de 5 a 10 mil rublos (Artigo 13.11 do Código de Contra-ordenações da Federação Russa) e por violação dos requisitos de proteção de informações - de 10 a 15 mil rublos (Parte 6 do artigo 13.12 do Código Administrativo RF) ", - explica Kirill Mityagin, parceira da Nevsky IP Law.

A Duma Estatal da Federação Russa planeja adotar alterações ao Código Administrativo. A multa mínima será de 50.000 rublos e a máxima - 300.000 rublos.

Experiência de outros países na proteção de dados pessoais

Nos países da UE, a proteção de dados pessoais é regulamentada pela Diretiva 95/46 / CE (1995) e uma série de documentos subsequentes, mas após o caso Snowden tornou-se claro que a legislação no domínio da proteção de dados pessoais exige uma mudança. Os países da UE estão criando um Regulamento geral de proteção de dados. Incluirá conceitos como: processador e destinatário de dados pessoais, identificador pessoal, identificador online. O conceito de "dados sensíveis" será introduzido, o que incluirá dados genéticos e biométricos humanos e muito, muito mais.

Resumo

Quase todos os países do mundo estão agora envolvidos na mudança da legislação no campo da regulamentação do processamento e da proteção de dados pessoais. O fato de a Rússia estar na vanguarda nada mais é do que uma coincidência. No entanto, a peculiaridade da abordagem russa é sempre “a lei do estado”, enquanto nos países ocidentais são os direitos humanos. Daí o temor de que a nova lei tenha sido criada principalmente para controlar as ações dos cidadãos, e não para proteger seus dados pessoais.