RGPD. ¿Es necesario realizarlo en Rusia?

¿Qué es el RGPD?

El 25 de mayo de 2018, entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (GDPR; en adelante, el GDPR, el Reglamento). Muchas personas creen que el RGPD se aplica solo a organizaciones o empresas europeas que procesan datos personales (PD) en la Unión Europea. Pero, de hecho, el Reglamento es extraterritorial y se aplica a organizaciones no ubicadas en la Unión Europea.

Las Reglas, así como la Ley Federal de la Federación de Rusia Nº 152- “Sobre datos personales”, utilizan los conceptos y enfoques formulados en el Convenio para la protección de las personas con respecto al procesamiento automático de datos personales.
El énfasis principal en el Reglamento está en la protección de los derechos y libertades de las personas en el procesamiento de sus datos personales.

Las organizaciones rusas que caen dentro del alcance del GDPR se encuentran "entre dos incendios": están obligadas a cumplir tanto con la legislación rusa como con el nuevo Reglamento europeo. En este artículo, trataremos de revelar quién debe cumplir con los requisitos de GDPR en Rusia, por qué y cuáles podrían ser las consecuencias de no cumplirlos.

¿A quién se aplica el RGPD?

Según el artículo 3 del Reglamento, el RGPD se aplica a:

1. Procesamiento de PD durante las actividades del operador o procesador (la persona a quien el operador ha confiado el procesamiento de PD) en el territorio de la Unión Europea (UE), independientemente de dónde se realice el procesamiento, en el territorio de la UE o fuera de él.

2. Procesamiento PD por un operador o procesador ubicado fuera de la UE, si el procesamiento está asociado con:

a. ofreciendo bienes o servicios (de pago o gratuitos) a sujetos con EP ubicados en la UE;

b. seguimiento de las acciones (comportamiento, actividad) de los sujetos con EP en la UE.

3. Procesamiento de DP por un operador ubicado fuera de la UE, si corresponde a la legislación de un Estado miembro de conformidad con el derecho público internacional.

Si con operadores que obviamente caen bajo la cláusula 1 (debe estar en la UE) y la cláusula 3 (misiones diplomáticas y consulados de los estados miembros de la UE) son más o menos claras, entonces la cláusula 2 plantea muchas preguntas, porque determina la aplicabilidad del GDPR al ruso empresas.

Para encontrar respuestas a estas preguntas, además del texto principal del Reglamento, también vale la pena prestar atención al hecho de que el GDPR tiene un preámbulo que revela lo que guió el legislador al establecer las normas descritas en el GDPR. En particular, en el párrafo 23 del preámbulo, se dice cómo podemos determinar que el operador (o procesador de datos) ofrece bienes o servicios a personas ubicadas en la UE. Los factores que permiten determinar la dirección de la actividad en la UE pueden considerarse el uso en la oferta y venta de bienes o servicios en el idioma o la moneda de un estado miembro de la UE, la mención de clientes o usuarios ubicados en la UE. Y en el párrafo 24 del preámbulo, se dice que monitorear las acciones de un sujeto de DP significa rastrear a los usuarios de Internet, incluida la posible creación posterior de perfiles de individuos, en particular con el objetivo de analizar o predecir preferencias, comportamiento, etc.

Además, el artículo 2 del RGPD establece que el Reglamento no se aplica a actividades que no están sujetas a la legislación de la UE.

De lo anterior, uno puede determinar los siguientes criterios para la aplicabilidad directa de GDPR a una organización rusa:

1. La organización está ubicada en la UE (es una sucursal u oficina de representación de una empresa rusa).
2. La organización no se encuentra en la UE, pero realiza actividades físicas en la UE, y esta actividad incluye el procesamiento de datos personales (por ejemplo, una empresa de transporte con la entrega de mercancías desde Rusia a personas en la UE).
3. La organización ofrece sistemáticamente productos con entrega a la UE con posibilidad de pago en euros (PLN, SEK, etc.).
4. La organización ofrece servicios a personas en uno de los idiomas oficiales de la UE, hay un sitio web en ese idioma. Para pagar los servicios, puede usar la moneda de los países de la UE o no se requiere el pago.
5. La organización recopila y analiza información sobre los visitantes del sitio web de la UE, y utiliza los resultados del análisis por sí sola o vende (transfiere) a otras personas.

Para las organizaciones incluidas en las cláusulas 2-5, el RGPD es válido en la medida en que se procese el procesamiento PD de personas ubicadas en la UE. Por ejemplo, el procesamiento de datos personales como parte de los registros de personal, si todos los empleados de la organización trabajan en Rusia, no cae bajo la regulación de GDPR, y los procesos comerciales especificados en los criterios caen.
Las organizaciones que procesan datos personales en nombre del operador que está sujeto a la regulación GDPR están sujetas a GDPR en una cantidad que depende de qué parte del procesamiento se transfiere en nombre. Si la organización lleva a cabo parte de los procesos de procesamiento (por ejemplo, recopilación de datos personales, análisis de datos personales, etc.), queda bajo la influencia del RGPD. Si la organización proporciona servicios de alojamiento (DPC), solo los requisitos de GDPR que el operador le presentará se le aplicarán directamente.

También queremos señalar que los siguientes casos, que a menudo se encuentran en materiales sobre GDPR, no son criterios para la aplicabilidad del Reglamento:

1. La ciudadanía de los sujetos con EP no afecta la aplicabilidad del GDPR (por ejemplo, la presencia de trabajadores ciudadanos de la UE no significa que la organización se encuentre bajo el GDPR);
2. La disponibilidad del sitio web de la organización en la UE no significa la aplicabilidad automática de GDPR. Si la organización no lleva a cabo la creación de perfiles y las estadísticas recopiladas no están vinculadas a usuarios específicos, su actividad no debe caer bajo el RGPD.
3. Si el servicio se presta fuera de la UE (por ejemplo, una habitación de hotel ubicada en Rusia se puede reservar de forma remota desde la UE), la organización no debe estar sujeta al RGPD, ya que sus actividades no se llevan a cabo en la UE y no están sujetas a la legislación de la UE.

Si aún tiene dudas sobre la aplicabilidad del Reglamento a su organización, puede comunicarse con NIP Informzashita CJSC y lo ayudaremos a determinar cómo y qué requisitos GDPR de su organización deben observarse.

Monitoreo del cumplimiento del RGPD en Rusia y las consecuencias del incumplimiento

Para proteger los derechos de los sujetos con EP en cada país de la UE, se han creado organismos estatales para proteger los derechos de los sujetos con DP (en el texto del Reglamento - Autoridades supervisoras, en la práctica general, dichos organismos se denominan Autoridades de protección de datos (DPA)). Entre otros, DPA está dotado de los siguientes poderes de acuerdo con la Parte 1 del Artículo 58 GDPR:

• solicitar cualquier información sobre el procesamiento de PD;
• realizar auditorías de seguridad de PD;
• recibir del operador y el procesador acceso a todos los PD y a toda la información necesaria para llevar a cabo sus tareas;
• obtener acceso a las instalaciones de cualquier operador y procesador, incluidos los equipos y las instalaciones de procesamiento de datos.

Los procedimientos de control específicos los establecen los países de la UE de forma independiente. En caso de violación de las disposiciones del Reglamento DPA, entre otras cosas, de acuerdo con la Parte 2 del Artículo 58 del RGPD, pueden:

• emitir una advertencia o un comentario al operador o procesador de que el procedimiento actual para procesar PD viola las disposiciones del Reglamento;
• emitir una orden sobre la necesidad de cumplir con la solicitud del sujeto, sobre la necesidad de informar al sujeto sobre una violación de la seguridad PD;
• exigir que el procesamiento de datos personales se ajuste al Reglamento dentro de un período específico;
• imponer una restricción temporal o permanente al procesamiento , incluida una prohibición del procesamiento;
• emitir una orden para eliminar o aclarar PD;
• imponer una multa administrativa junto con otras medidas o en su lugar;
• exigir detener la transferencia de EP a un tercer país o una organización internacional.

El reglamento establece la necesidad de que las organizaciones ubicadas fuera de la UE designen un representante en la UE a través del cual el DPA interactuará con la organización, pero se enfatiza que la responsabilidad del procesamiento de DP no es el representante, sino la organización en sí.

El RGPD no divulga el procedimiento para controlar el cumplimiento del Reglamento por parte de organizaciones ubicadas fuera de la UE y no nombra a un representante, ni cómo las organizaciones ubicadas fuera de la UE serán responsables de las violaciones de las normas para el procesamiento de datos personales.

Llevamos a cabo una serie de entrevistas con el DPA de los países de la UE sobre el monitoreo del cumplimiento del GDPR fuera de la UE. Las respuestas fueron diferentes, pero en general no hubo claridad. Un representante de la DPA hizo una reserva de que dichos casos serían regulados en cooperación con la DPA de los países donde se encuentra el operador o procesador. La situación geopolítica actual y la posición del jefe de Roskomnadzor A. Zharov sobre la necesidad de que las organizaciones rusas cumplan con el RGPD ponen en duda que los intentos de dicha cooperación entre el DPA de la UE y Roskomnadzor serán productivos.

Me gustaría llamar la atención sobre el hecho de que las multas multimillonarias especificadas en el RGPD, que sobre todo son operadores de miedo, son la barra superior. El GDPR dice que las multas (y otras sanciones) impuestas deben ser proporcionales a la violación, efectivas y prevenir violaciones reiteradas. La cantidad específica de multas se determinará individualmente, teniendo en cuenta una gran cantidad de factores. Se puede imponer una multa multimillonaria a una organización si viola consciente y maliciosamente los derechos de los sujetos, ocultándola cuidadosamente y recibiendo grandes ganancias de dicho procesamiento de PD.

La consecuencia más probable (pero no la única) y significativa del incumplimiento del GDPR para las organizaciones rusas que no tienen oficinas de representación o filiales en la UE (así como un representante designado para el procesamiento de PD) no es una multa, sino bloquear el sitio web de la organización en la UE o en estados individuales Miembros de la UE. A pesar de que la posibilidad de bloquear un sitio no está explícitamente establecida en el GDPR, parece ser una forma natural de restringir el procesamiento de PD para evitar violaciones repetidas, especialmente si no hay otras formas de influir en el operador.

¿Por qué las organizaciones rusas deben cumplir con GDPR?

La implementación del GDPR tiene otras ventajas para las organizaciones además de la oportunidad obvia de evitar posibles sanciones por parte de la DPA de la UE.

En primer lugar, se trata de un aumento en el nivel general de seguridad de la información y gestión de datos en la organización. A menudo, en el proceso de cumplir con los requisitos para la protección de datos personales, una organización crea por primera vez un registro de sus procesos comerciales existentes, comprende los flujos de datos existentes, crea un diagrama de red, describe el sistema de protección de información existente. Estas acciones se convierten en la base para proteger no solo la DP, sino también otros tipos de información confidencial, así como para optimizar los procesos comerciales.

Si la organización procesa los datos personales que le transfiere la contraparte que está sujeta al RGPD, la contraparte exigirá que cumpla con los requisitos del RGPD para los procesadores de datos personales. El cumplimiento de GDPR permitirá al proveedor de servicios expandir el mercado accesible para la prestación de servicios en la UE, así como proporcionar servicios a aquellas organizaciones rusas que caen bajo los requisitos de GDPR.

El requisito del cumplimiento obligatorio del GDPR puede provenir de la empresa matriz cuando el GDPR es aplicable a organizaciones de un grupo de empresas con las que la organización rusa intercambia datos personales. Pero en este caso, es aconsejable, en primer lugar, aclarar si los datos personales de las personas ubicadas en la UE se procesan realmente y, en segundo lugar, si se procesan, extender los requisitos del Reglamento a aquellos procesos en los que se procesan dichos datos personales, y no al conjunto organización

El GDPR establece la necesidad de respetar los numerosos derechos de los sujetos con EP y garantizar la transparencia del procesamiento de PD para los sujetos. En comparación con la Ley Federal "sobre datos personales", el GDPR explica con más detalle cómo informar a los sujetos con EP sobre el procesamiento de su PD, así como también cómo pueden ejercer sus derechos en relación con este procesamiento. El reflejo de estos problemas de procesamiento de datos personales en la política de procesamiento de datos personales, así como en la recopilación de información sobre el procesamiento de datos personales, puede aumentar la transparencia de la organización y proporcionar una mayor confianza por parte de todos los sujetos de los datos personales.

Resumen

Si su organización está ubicada en Rusia, esto no significa que el RGPD no le sea aplicable. Puede verificar la aplicabilidad de los requisitos de las Reglas a su organización utilizando los criterios anteriores.

La regulación acaba de entrar en vigencia y, según Symantec, el 80% de las organizaciones en la UE no cumplen con los requisitos de GDPR. Todavía no está claro cómo la UE puede sancionar a la organización de la UE en relación con las violaciones del GDPR, pero no obstante, el Reglamento debe tomarse en serio.

En conclusión, queremos señalar que con una alta probabilidad en el futuro cercano de uniformidad con la legislación europea en la legislación rusa sobre procesamiento de DP, aparecerá una redacción similar a los requisitos de GDPR.

Publicado por Alisa Gorinova, Consultora Senior, Departamento de Consultoría y Auditoría, Informzaschita. Si aún tiene preguntas, estamos listos para hablar con usted. Estamos esperando sus cartas a a.gorinova@infosec.ru.