Geekly articles weekly

Protección de datos personales de 3.000 millones de personas: similitudes y diferencias en la legislación de los países BRICS



El Consejo de Seguridad de Rusia, en una reunión el 26 de octubre de 2017, instruyó al Ministerio de Comunicaciones y al Ministerio de Relaciones Exteriores de Rusia a iniciar, en el marco de los BRICS (Brasil, Rusia, India, China y Sudáfrica), antes del 1 de agosto de 2018, la discusión sobre la creación de su propio "sistema de raíz duplicada". "servidores de nombres de dominio (DNS), independientes del control de [las organizaciones internacionales] ICANN, IANA y VeriSign, y capaces de atender las solicitudes de los usuarios de estos países en caso de fallas o impactos específicos".

A la luz de estos eventos, nos gustaría considerar la cuestión de la coherencia de las leyes de los países BRICS en cuestiones de protección de datos. Además, nos centraremos en la protección de datos personales: sobre la base de qué leyes se basan en la protección y cuáles son las principales desventajas.

Una pequeña digresión en lo básico.

BRICS es un grupo de cinco países: Brasil, Rusia, India, China y la República de Sudáfrica.

El 9 de julio de 2015, en la VII Cumbre BRICS, celebrada en Ufa, se adoptó la Declaración de Ufa. La declaración es voluminosa, toca muchos temas de actualidad a nivel mundial, pero abordaremos solo un punto en el que se declaran las relaciones con las tecnologías de la información y la comunicación. Entonces, el párrafo 33 de la Declaración de Ufa señala:

  • La necesidad de fortalecer la cooperación en el campo de las TIC, incluido Internet
  • La decisión de crear dentro del grupo de trabajo BRICS sobre cooperación en el campo de las TIC
  • la necesidad de formar un sistema
  • para garantizar la confidencialidad y protección de la información personal del usuario

"Reiteramos la inadmisibilidad de usar las TIC e Internet para violar los derechos humanos y las libertades fundamentales, incluido el derecho a la privacidad, y reafirmamos que los derechos que una persona tiene fuera de Internet también deben protegerse en él".

El texto completo de la declaración se puede encontrar aquí .



Aspectos destacados de la protección de datos personales en los países BRICS


Protección contra la EP en la Federación de Rusia


Hasta la fecha, la Federación de Rusia entre los países BRIC ha avanzado más en este sentido, observamos los puntos principales que se han hecho en el marco de la cuestión de la defensa de la EP.

Se ha formado legislación en el campo de la protección contra la EP, que incluye:

  • normas de la Constitución (artículos 23 y 24);
  • ley especial - Ley Federal de la Federación de Rusia del 27 de julio de 2006 No. 152- “Sobre datos personales”;
  • normas de leyes industriales;
  • estatutos.

Además, se ha creado un organismo autorizado especial, cuya actividad garantiza:

  • el funcionamiento efectivo de un sistema centralizado de control y supervisión sobre la implementación de los requisitos legales;
  • consideración de apelaciones de sujetos de datos personales;
  • mantener un registro de operadores PD;
  • trabajo de información con ciudadanos y operadores de DP.

También se debe tener en cuenta que se está formando gradualmente una práctica uniforme de aplicación de la ley. Por el momento, existe un sistema de protección PD que cumple con los estándares internacionales en Rusia y está en funcionamiento.

Si no tiene suficiente claridad con respecto al procesamiento de datos personales de acuerdo con los actos legales reglamentarios de la Federación de Rusia y desea tener una comprensión más completa de la ley, le recomendamos que se familiarice con nuestro Libro Blanco sobre la Ley Federal No. 152 .

Protección contra la EP en China


Aquí todo es complicado. No existe una ley general especial sobre la protección de la EP. Sin embargo, echemos un vistazo a los puntos principales.

La Constitución de la República Popular China garantiza la protección de la dignidad del individuo y el secreto de la correspondencia. Las disposiciones para la protección de la EP están contenidas en actos legales separados, ahora las revisaremos brevemente.

El 5 de noviembre de 2012, se adoptaron las "Directrices para la Protección de la Información Personal en el Sistema de Información para la Prestación de Servicios Públicos y Comerciales", en las cuales se dio la siguiente definición:

Datos personales: cualquier información sobre un individuo específico, que por sí sola o en combinación con otra información le permite ser identificada

La gerencia establece la obligación del operador de PD de obtener el consentimiento del sujeto de PD para el procesamiento y de informarle sobre el propósito del procesamiento, el período de almacenamiento, las medidas para proteger el PD, etc.

En cuanto a la localización de la EP, en el Artículo 5.4.5 se nos informa al respecto:

En ausencia del consentimiento expreso del sujeto de la DP, el permiso regulatorio o el consentimiento de los organismos autorizados, el operador de la DP no debe transferir la PD a ninguna persona que esté en el extranjero, incluidas las personas que viven en el extranjero, ni a las organizaciones y empresas registradas en el extranjero.

Además, los datos personales también se mencionan en la ley de protección al consumidor adoptada el 25 de octubre de 2013:

Artículo 29. Al recopilar y utilizar datos personales de personas, los empresarios deben seguir los principios de legalidad, validez y necesidad, informar explícitamente sobre el propósito, los métodos y los límites de la recopilación y el uso de la información y obtener el consentimiento del consumidor.

Los empresarios deben tomar medidas técnicas y otras medidas necesarias para garantizar la seguridad de la información y evitar la divulgación o la fuga de la DP del consumidor.

Se otorga una multa administrativa grave por incumplimiento de la ley.

Además, hay una serie de actos legales que de una forma u otra afectan la protección de los sujetos con EP.

  • La Ley de responsabilidad civil de responsabilidad civil de 2009 de China, que protege el derecho a la privacidad y, en particular, establece la responsabilidad de una institución médica para la distribución de EP sin el consentimiento del sujeto de la EP.
  • "La decisión de fortalecer la protección de la información en Internet", adoptada por el Parlamento de China el 28/12/2012.
  • "Reglamento sobre telecomunicaciones y protección de la información personal de los usuarios de Internet", adoptado el 19 de julio de 2013
  • El 15 de marzo de 2015, entró en vigencia "Responsabilidades por violar los derechos e intereses de los consumidores", desarrollado y adoptado por la Administración Estatal de Industria y Comercio de China (SAIC).

El último acto mencionado es de particular interés con respecto a la definición de datos personales en el contexto de la protección del consumidor. Según las Medidas, los siguientes datos están relacionados con la DP del consumidor:

  1. nombre
  2. género
  3. profesión
  4. fecha de nacimiento
  5. número de pasaporte
  6. Dirección
  7. información de contacto;
  8. información sobre ingresos y propiedades;
  9. información de salud;
  10. hábitos de consumo.

El 1 de junio de 2017, entró en vigencia la Ley de Ciberseguridad. La Ley de Ciberseguridad es la primera ley consolidada que regula casi todos los problemas en esta área en China. Incluyendo, por supuesto, se aplica a PD.

El almacenamiento de datos personales y otros datos importantes debe proporcionarse exclusivamente en el territorio de la RPC (artículo 37).

La Ley de Ciberseguridad confirma las obligaciones de los operadores de red con respecto a la protección de la información personal, que están determinadas por la legislación vigente y los requisitos reglamentarios, incluido el derecho a controlar el cumplimiento del principio de legalidad, la necesidad y la relevancia de la recopilación y el uso de datos personales, así como el derecho a controlar la implementación de los "requisitos de información y recepción" consentimiento ”(artículo 41) sobre el uso de datos personales solo para aquellos fines para los cuales la persona relevante ha dado su consentimiento (artículo 41), el derecho a tomar medidas para proteger la seguridad de los datos personales (artículo 42) y proteger el derecho individual de evaluar y corregir la información personal (artículo 43).

Además, la Ley de Ciberseguridad también incluye algunas reglas nuevas con respecto a la protección de datos personales, incluidos los requisitos para la notificación de violación de la protección de datos (artículo 42), el anonimato de datos como una excepción a los requisitos para informar y obtener el consentimiento (artículo 42), así como el derecho del individuo a exigir a los operadores de red que modifiquen o eliminen sus datos personales en caso de que la información sobre él sea errónea o se utilice para fines incompatibles con él (artículo 43).

Los principales problemas de la protección contra la EP en China incluyen los siguientes:

  • falta de un organismo autorizado para la protección de la EP;
  • falta de una sola ley especial sobre EP;
  • falta de un marco conceptual único (bueno, esto tampoco nos va bien);
  • las reglas básicas para proteger la EP están contenidas en actos legales de naturaleza consultiva (por ejemplo, la Guía);
  • falta de notificación sobre el procesamiento de PD y el registro de operadores involucrados en el procesamiento de PD.

Protección contra la EP en Brasil


La Constitución brasileña protege la dignidad humana, la privacidad y la privacidad de la correspondencia. Al igual que en China, no existe una ley general sobre la protección de la EP y las disposiciones sobre la protección de la EP están contenidas en actos legales separados.

Ley de Internet de Brasil (Marco Civil da Internet) del 23/04/2014.:

  • Establece los principios generales de uso de Internet, los derechos y garantías de los usuarios, las obligaciones de los proveedores y las normas para la prestación de servicios en Internet.
  • La ley contiene una gran cantidad de reglas con respecto a la protección de la privacidad y los datos personales.
  • Para procesar AP en Internet, debe obtener el consentimiento voluntario e informado del usuario.
  • El procesamiento de PD solo se permite para un propósito específico, que se indica en el acuerdo del usuario o en las reglas para usar los servicios de Internet

En cuanto a la localización de la EP. Inicialmente, el proyecto de ley contenía requisitos para el almacenamiento de DP de ciudadanos brasileños en el estado. En ediciones posteriores, se excluyó la disposición, pero se introdujo el derecho del Presidente a emitir decretos sobre este tema. En la versión final aprobada de la ley, no se plantea la cuestión de la localización de datos. La exclusión de este requisito de la ley fue el resultado del cabildeo de las corporaciones internacionales y los Estados Unidos.

De particular interés es la decisión en la Ley sobre el tema de la jurisdicción (Artículo 11). La regla general es la siguiente:

Se requiere que los proveedores de Internet y los proveedores de aplicaciones de Internet cumplan con la ley brasileña, incluida la protección de la EP, si al menos una de la recolección, almacenamiento o procesamiento de la DP se lleva a cabo dentro del estado brasileño.

Pero hay condiciones adicionales:

  1. La regla general se aplica a la PD recopilada en Brasil y al contenido de las comunicaciones si al menos uno de los terminales está ubicado en Brasil
  2. La regla general se aplica incluso cuando dichas actividades sean realizadas por una entidad legal extranjera, siempre que:
a) una entidad legal extranjera presta servicios a un número ilimitado de personas en Brasil;
cualquiera
b) al menos una de las personas que pertenecen al grupo de empresas extranjeras está establecida en Brasil.

Protección de la EP en Brasil, los principales problemas:

  • falta de un organismo autorizado para la protección de la EP;
  • falta de una sola ley especial sobre EP;
  • falta de una definición unificada de datos personales;
  • falta de definición de categorías especiales de EP (datos personales sensibles);
  • falta de protección de la EP en ciertas industrias y campos, con la excepción de Internet;
  • falta de notificación sobre el procesamiento de PD y el registro de operadores involucrados en el procesamiento de PD.

Protección contra la EP en la India


El artículo 21 de la Constitución de la India garantiza a todos el derecho a la vida y la libertad personal.

No existe una ley general especial sobre la protección de la EP en la India.

La Ley de Tecnología de la Información de 2000 contiene un artículo especial sobre la protección de categorías especiales de datos personales (artículo 43A). El operador de la PD está obligado a aplicar las medidas necesarias para proteger la PD y es responsable de los daños causados ​​por la fuga de datos.

En 2011 se adoptaron "Reglas sobre la práctica y el procedimiento para garantizar la seguridad de categorías especiales de datos e información personal". Según ellos:

Datos personales: cualquier información relacionada con un individuo y que, en combinación con otra información en poder del operador de datos personales, puede identificar a este individuo.

Las categorías especiales de PD incluyen (párrafo 3 de las Reglas):

  • contraseñas
  • información financiera (incluidos detalles de cuenta bancaria y tarjeta de crédito);
  • datos de salud;
  • orientación sexual
  • datos biométricos

Localización de categorías especiales de EP. De acuerdo con la regla 7, la transferencia transfronteriza de PD de ciudadanos indios solo se puede permitir cuando sea necesario para cumplir el contrato entre la entidad legal y el sujeto de PD o cuando el sujeto haya dado su consentimiento para la transferencia de datos.

Las reglas para proteger la confidencialidad y los datos personales están contenidas en varias leyes de la industria en India, incluidas las leyes bancarias y de seguros.

Los principales problemas de la protección de la EP en la India:

  • falta de un organismo autorizado para la protección de la EP;
  • falta de una sola ley especial sobre EP;
  • falta de notificación sobre el procesamiento de PD y el registro de operadores involucrados en el procesamiento de PD.

Conclusiones


A diferencia de la Federación de Rusia, tanto la legislación como la práctica de proteger la EP de otros países BRICS están rezagadas. Al mismo tiempo, en los últimos años en todos los países BRICS se ha observado:

  • interés en el desarrollo del sistema de protección PD en relación con las nuevas amenazas de información de la era digital
  • adopción de nuevas regulaciones
  • Introducción o plan para establecer un organismo autorizado especial para la protección de los sujetos con EP
  • esforzarse por implementar las mejores prácticas y los principios y estándares internacionales

Esperamos que Rusia continúe mejorando el sistema de legislación, introduciendo mejores prácticas y evitando medidas prohibitivas innecesarias.

Source: https://habr.com/ru/post/es412737/

More articles:


All Articles