A finales de la primavera, la regulación GDPR entró en vigor en la UE. Hace un mes, Estados Unidos
firmó un proyecto de ley que obliga a las empresas a informar a los clientes y autoridades sobre las "filtraciones" de datos a más tardar un mes después del incidente.
Este año, nuevos proyectos de ley relacionados con la EP también aparecieron en Bielorrusia. Primero en abril de este año, los parlamentarios
aprobaron enmiendas a la ley de medios que requieren que los usuarios se autentiquen antes de dejar comentarios en los foros. Y ahora las autoridades han presentado un
proyecto de ley "sobre datos personales".
Debajo del gato, hablamos sobre su esencia y la reacción de la comunidad.
/ Pxhere / PDLa esencia de la factura.
El proyecto de ley fue propuesto en el Centro Nacional de Legislación e Investigación Legal de la República de Bielorrusia (
NZPPI ). En junio, una delegación del Centro
viajó a París para reunirse con miembros de la Comisión Francesa de Protección de Datos (
CNIL ) para aprender de la experiencia de colegas europeos y ponerla en práctica de inmediato.
Un proyecto de ley fue
presentado a principios de julio. Tiene seis capítulos y veintidós artículos que describen las reglas para trabajar con DP en Bielorrusia. La discusión del proyecto de ley durará hasta el 11 de agosto de este año.
Los principales actores en el documento son el sujeto y el operador de los datos personales. Un sujeto PD es una persona cuyos datos se recopilan, almacenan o procesan. Un operador de PD es una empresa o empresario individual que procesa PD en Bielorrusia. Directamente por datos personales, el regulador comprende cualquier información sobre la base de la cual se puede identificar a una persona. Esta información, incluida,
puede ser biométrica (huellas digitales) e indicadores genéticos (ADN).
Puede encontrar estas y otras definiciones en el
primer artículo en las páginas 1 y 2 del documento técnico .
De acuerdo con el texto del proyecto de ley, el sujeto de PD tiene el derecho:
- Dar su consentimiento para el procesamiento de PD y revocarlo;
- Exija cambios a la PD, así como elimine o deje de procesarlos;
- Recibir información de que su PD ha sido transferida a un tercero;
- Quejarse al controlador con el operador.
El operador de PD, a su vez, está obligado a obtener el consentimiento del sujeto para procesar la PD, explicar con qué fines se utilizan estos datos y protegerlos de compromisos.
El artículo 17 (
en las páginas 16-17 del documento ) enumera las medidas necesarias para ello. Entre ellos: la creación de políticas de seguridad, el establecimiento de acceso a DP, la introducción de protección técnica y criptográfica de la información y otros. También se señala que para esto, las empresas deberán guiarse por las disposiciones del Centro Operativo y Analítico bajo el Presidente de la República de Bielorrusia (
OAC No. 62 ): este es un organismo estatal de Bielorrusia que regula las actividades de protección de la información.
La lista de requisitos para crear un sistema de seguridad de la información establecida por la OAC es bastante complicada e incluye más de 50 puntos. Y la organización de los mecanismos de seguridad necesarios requiere tiempo y dinero. En base a esto, se puede suponer que será difícil para las pequeñas y medianas empresas cumplir independientemente todas las condiciones.
Sin embargo, la nueva ley establece que el operador puede confiar la recolección, el procesamiento y la distribución de DP a un tercero, es decir, transferirlo a la subcontratación. Este tercero puede ser, por ejemplo, un proveedor de la nube que supervisará el cumplimiento de los requisitos de seguridad de datos personales.
"Si el equipo del proveedor de la nube está ubicado en grandes centros de datos con un estricto control de acceso y sistemas de respaldo, esto cierra automáticamente parte de los requisitos de la regulación relacionada con la protección de datos físicos, garantizando la seguridad de la infraestructura virtual y realizando auditorías", dice Sergey Belkin, jefe del departamento de desarrollo 1cloud .
Por ejemplo, recientemente
colocamos nuestro equipo en 1 nube en el centro de datos de beCloud ubicado en los suburbios de Minsk. Este centro de datos está certificado según el estándar Tier III, que garantiza la seguridad y la accesibilidad de los sistemas de datos e información de acuerdo con la legislación de la República de Bielorrusia.
Inicialmente, nuestra decisión de colocar nuestro hardware en el centro de datos bielorruso no estaba relacionada con la nueva factura; los clientes de Bielorrusia nos preguntaron sobre esto antes. El hecho es que de acuerdo con el Decreto del Presidente de la República de Bielorrusia
No. 60 y el Decreto del Consejo de Ministros de la República de Bielorrusia
No. 644 , los sitios comerciales en la República de Bielorrusia deben ubicarse en equipos ubicados en el país. Sin embargo, ahora estos requisitos se han complementado con tareas de procesamiento de PD, algunas de las cuales se pueden "delegar" al proveedor local de la nube:
"Al trasladar parte de las tareas a los hombros del proveedor, la empresa ahorra tiempo y recursos, teniendo la oportunidad de concentrarse en mejorar los procesos comerciales", señala Sergey. "Sin embargo, es importante recordar que además de la seguridad física, también debe prestar atención a las características de infraestructura del centro de datos del proveedor de la nube: las capacidades de las unidades de refrigeración, la duplicación de sistemas críticos y la disponibilidad de componentes de respaldo; todo esto afecta la tolerancia a fallas de los sistemas del centro de datos".
Multas y sanciones
Tenga en cuenta que los operadores no necesitan registrarse en ningún registro. No es necesario almacenar los datos de los bielorrusos localmente (de acuerdo con el nuevo proyecto de ley), sin embargo, es importante tener en cuenta los requisitos del mismo Decreto No. 60 y Resolución No. 644,
independientemente del dominio, todos los sitios de entidades legales o empresarios individuales en Bielorrusia deben cambiar a hosting bielorruso. Además, las empresas
deberán designar a una persona responsable de proteger la EP (como en el GDPR), que será responsable de organizar el trabajo con datos personales (esto puede ser un empleado individual o un departamento completo).
El tamaño de las multas "por inconsistencia con la letra de la ley" aún no se ha explicado, sin embargo, se sabe que los infractores serán responsables en virtud de los actos legislativos y reembolsarán a los sujetos de DP por daños morales y materiales (
artículos 20, págs .
18-19 ).
Si se roban los datos del usuario, el operador está obligado a informar al regulador de la "fuga" dentro de los tres días posteriores a la aparición del incidente. Sin embargo, si el incidente fue menor y no daña los derechos del sujeto del PD, entonces no será necesario denunciarlo. En este caso, el regulador es el organismo autorizado para la protección de los derechos de los sujetos con EP. Según el
artículo 18 en las páginas 17-18, protegerá los derechos de los propietarios de datos personales, considerará sus quejas y supervisará el cumplimiento de la ley por parte de los operadores (por ejemplo, eliminar o bloquear datos inexactos).
Excepciones
La ley afectará a todas las organizaciones que trabajan con DP (IP, entidades legales, propietarios de sitios web y otros): deberán crear políticas para trabajar con PD, designar un DPO, implementar medidas de protección, etc.
Los requisitos de la ley se aplicarán tanto al procesamiento de datos automatizado como al no automatizado cuando la información se recopile en catálogos y archivadores.
Sin embargo, la ley establece una serie de excepciones. Por ejemplo, no es necesario obtener el consentimiento para el procesamiento de DP si la vida y la salud del sujeto están en peligro. La excepción también se aplica a los periodistas cuando realizan sus actividades profesionales legítimas, y a los científicos que realizan investigaciones estadísticas (con la despersonalización obligatoria de los datos). Se puede encontrar una lista completa de excepciones
en los artículos 6, 9 del documento oficial.
/ Flickr / Catálogo de libros / CCOpiniones sobre el proyecto de ley
Las personas que
participaron en una discusión pública sobre la ley presentada notan que parte de la redacción del proyecto de ley es "poco convincente". Un usuario, por ejemplo, se quejó de la redundancia de los términos para las operaciones con PD. No está completamente claro por qué cada vez señalar conceptos como "recolección, procesamiento y almacenamiento", cuando solo se puede usar el término "procesamiento", como se hace en el GDPR o la
ley de la Federación Rusa .
Otro usuario del Foro Legal de Bielorrusia señaló una discrepancia en los requisitos para la protección de la EP en los
párrafos 3 y 5 del artículo 17 . El tercer párrafo requiere que la organización de la protección técnica y criptográfica se guíe por el orden de la OAC; sin embargo, el quinto párrafo dice que la clasificación (y, en consecuencia, el grado de protección) de los sistemas de información será determinada por otra agencia estatal.
Los usuarios también consideraron que la definición de un operador PD no da una idea de quién es o qué hace. También señalaron que el proyecto de ley carece de normas legales que establezcan los poderes del Presidente y el Consejo de Ministros de la República de Bielorrusia en esta área, y esperaban que en el futuro se hicieran adiciones, aclaraciones y cambios apropiados en el texto.
El momento
La discusión del proyecto de ley durará hasta el 11 de agosto. Después de eso, si se adopta la ley, los operadores tendrán un año para prepararse para su entrada en vigor.
¿Qué más estamos escribiendo en el blog corporativo de 1cloud:
Publicaciones de nuestro blog en Yandex.Zen: