"Los datos son el aceite de la economía digital" es una expresión que ya se ha convertido en un aforismo. De hecho, en el mundo actual, los datos de los usuarios se han convertido en uno de los recursos más valiosos y buscados. Entonces, según PwC, en 2018, los ingresos mundiales por el uso de datos de usuarios alcanzarán los $ 300 mil millones. En cuanto a Rusia, según la revista RBC en 2017, la facturación del mercado para la venta y compra de datos personales en Rusia ascendió a al menos 3.3 mil millones de rublos. Además, los expertos predicen un mayor crecimiento intensivo de este mercado.
Sin embargo, el uso de datos personales en las empresas aún no tiene una regulación legal adecuada. La legislación actual deja abierta la cuestión de la rotación de datos y la posibilidad de su monetización. Además, en la práctica judicial, todavía no se han formado criterios universales que permitan encontrar un equilibrio entre la necesidad de proteger la privacidad de los usuarios y las necesidades de la comunidad empresarial en una economía digital.
Datos: ¿Personal, grande o grande personalizado?La piedra angular para entender el término "datos del usuario" es el concepto normativo de "datos personales" (en adelante, PD). El concepto de DP es de naturaleza "de goma", lo que no nos permite determinar inequívocamente qué datos específicos se refieren a datos personales. Al mismo tiempo, la tendencia general ahora es un enfoque extremadamente amplio del concepto de EP: cualquier información relacionada con una persona identificada o identificable. Puede ser una dirección IP, ID, número de teléfono móvil o número de tarjeta de crédito.
Al mismo tiempo, no es un secreto para nadie que dicha información se procese activamente en la World Wide Web y se convierta en la base del éxito de muchos proyectos empresariales (publicidad, marketing, puntuación). Y no hay criterios inequívocos que permitan trazar una línea entre PD y Big Data.
A su vez, el concepto de "big data" (Big data) es aún más discutible por naturaleza y generalmente se revela a través de sus características:
- gran volumen (Volumen);
- amplia variedad (variedad);
- alta velocidad de acumulación y procesamiento (velocidad);
- precisión (veracidad);
- variabilidad (variabilidad);
- valor
- visualización
- vitalidad (viabilidad).
El famoso abogado y profesor A. I. Savelyev
escribe que "los grandes datos pueden definirse como una matriz de información que cambia dinámicamente, lo cual es valioso debido a sus grandes volúmenes y la posibilidad de un procesamiento eficiente y rápido por medios automatizados, lo que, a su vez, brinda la posibilidad de uso para análisis, previsión y automatización de procesos comerciales ".
Sarkis Darbinyan, socio gerente del Centro de Derechos Digitales, hablando en el foro
BIG DATA 2018 , explica su naturaleza: "Big data es un flujo voluminoso de información de datos heterogéneos que constantemente generan los usuarios de dispositivos electrónicos y servicios en línea o dispositivos técnicos, y también se procesan en el modo en tiempo real ".
Hasta el momento, en Rusia no existe un único entendimiento y enfoque para la regulación de Big Data. Además, continúan las discusiones sobre quién debería ser el propietario de Big Data y cómo, al usarlos, no violar los derechos de varias categorías de datos protegidos por la ley (DP, secreto comercial, información confidencial, derechos de autor de la base de datos).
La "intersección" de PD y Big Data a veces se denomina Big User Data. Este término no tiene una fijación legal, sin embargo, el jefe de Roskomnadzor Alexander Zharov
definió Big User Data como "todos los datos de usuario recopilados por sistemas y dispositivos de información, perfiles de usuario en recursos de Internet, datos de geolocalización, datos sobre el comportamiento del usuario en los sitios".
Litigios de proyectos empresariales sobre datos personales.Los proyectos empresariales que utilizan datos de grandes usuarios inevitablemente enfrentan el problema del cumplimiento de la legislación sobre protección de datos personales. Entonces, los siguientes casos judiciales son ejemplos vívidos:
Roskomnadzor vs. NBCH ,
Roskomnadzor vs. MGTS ,
"HeadHunter" vs. Robot Vera ,
HeadHunter vs. FriendWork y
VKontakte vs. "Datos dobles" .
Todavía no se ha desarrollado un enfoque único para el uso de los datos de Big user, incluido el publicado por los usuarios en las redes sociales, y las posiciones de varios tribunales siguen siendo caóticas. Además, las partes no siempre operan sobre la legislación sobre protección de datos personales, sino que se refieren a los derechos intelectuales de la base de datos. Por ejemplo, las reglas sobre la protección de los derechos de propiedad intelectual de la base de datos se utilizaron en los casos de las reclamaciones de la empresa HeadHunter, así como en el caso resonante de VKontakte contra Double Data.
La compañía Double Data recopiló y utilizó con fines comerciales datos de usuarios publicados en una red social (apellidos, nombres, lugares de trabajo y estudios). La compañía no ha recibido ningún permiso adicional. Vkontakte mantiene la posición de que tales acciones violan el derecho vecino exclusivo a la base de datos que surgió en Vkontakte como el fabricante de dicha base de datos con datos de usuario. Double Data, por otro lado, insiste en la apertura de los datos, la incapacidad de prohibir la reutilización de la información y la falta de los derechos de Vkontakte a la base de datos creada por los propios usuarios. Hasta la fecha (octubre de 2018), el caso ha llegado a SIP (instancia de casación). SIP estuvo de acuerdo con la conclusión del tribunal de apelaciones de que "los materiales del caso muestran tanto la existencia de un objeto de derechos relacionados (una base de datos de usuarios de una red social) como la existencia del derecho exclusivo de la sociedad Vkontakte a este objeto". El argumento de los demandados sobre la base de datos como un "subproducto" de la actividad Vkontakte no fue reconocido por el tribunal como razonable. Sin embargo, el SIP envió el caso para un nuevo juicio al tribunal de primera instancia (la fecha de la reunión es el 19 de diciembre de 2018) y, por lo tanto, la batalla entre VKontakte y Double Data aún está en curso. Parece que después de la resolución final de este caso será práctico y será un hito decisivo para el desarrollo de los negocios sobre datos de usuarios en Rusia.
Además, el caso Roskomnadzor vs. es importante para el futuro destino de los proyectos empresariales en los datos del usuario. MGTS, en el que el tribunal trató de encontrar un equilibrio entre el derecho de los usuarios y los intereses de las empresas. El tribunal llevó a MGTS a la responsabilidad administrativa, habiendo establecido que las transacciones para la "reventa" de datos sobre suscriptores sin su consentimiento violan el derecho a la privacidad.
También es interesante el caso de Roskomnadzor vs. NBCH, que, aunque terminó con un acuerdo, pero dentro del marco del cual las Fuerzas Armadas de RF concluyeron que los datos después de ser publicados por los usuarios en una red social no están disponibles públicamente de acuerdo con el significado del Art. 8 Ley Federal "sobre datos personales".
¿Cómo se implementa una empresa basada en datos personales en la práctica?Debido a la falta de enfoques legales claros e inequívocos ("reglas del juego") sobre el uso de big data, desde hace muchos años existen servicios "grises" para la venta de datos personales. Por ejemplo, Dark Web, que vende una variedad de tipos de datos personales: desde datos de pasaportes hasta información médica y contraseñas de tarjetas de crédito. Según los resultados del
estudio "Black Database Market" del centro analítico MFI Soft para 2016, el mercado de bases de datos ilegales en Rusia es de más de 30 millones de rublos. Y esta cifra solo está creciendo.
Sin embargo, no se debe suponer que una empresa basada en datos personales es a priori ilegal. Los proyectos legales destinados a monetizar a los usuarios de PD se están desarrollando rápidamente: Opiria, Handshake, Datacoup, GoodData, Pillar Project, Personal y otros servicios.
Además, en la práctica mundial se conocen ejemplos de proyectos fuera de línea que utilizan datos personales como pago. Por ejemplo, en el café americano Shiru puede pagar la factura con sus datos personales (nombres, números de teléfono, direcciones de correo electrónico, fechas de nacimiento e información sobre intereses).
Sin embargo, muchas compañías están interesadas no tanto en obtener DP de un tema específico como en obtener una serie de datos que reflejen ciertos signos de varios temas. Por lo tanto, el valor obtenido de las bases de datos de otras empresas PD, Big user data.
A menudo, las compañías incluyen cláusulas de transferencia de datos en contratos de servicio o similares. Además, los proyectos de intercambio de PD que se implementan a través de acuerdos entre empresas sobre interacción de información en el campo de la transferencia de datos personales u otro contenido similar se consideran interesantes. Por ejemplo, tales acuerdos son comunes en el campo médico.
Al describir también los proyectos que funcionan con Big User Data, no se puede dejar de mencionar el proyecto Double Data y otros similares (Clever Data, Scorista, Scorto, FICO, Equifax Credit Bureau, National Credit Bureau). Estos proyectos, en su mayor parte, utilizan datos para la reventa posterior, así como para calificar y personalizar anuncios. Se posicionan a sí mismos como trabajando con datos abiertos, defendiendo frente a NBCH y Double Data en la corte sus derechos para procesar datos de usuarios grandes sin permiso adicional de los usuarios y las compañías que procesan PD inicialmente.
Por separado, vale la pena señalar a la infame compañía Cambridge Analytica, que reunió a los usuarios de PD para analizar las preferencias políticas de los votantes sin su consentimiento, incluidos los usuarios de PD de la red social de Facebook. Como resultado de tales acciones, no solo estalló un escándalo político, sino que inevitablemente hubo consecuencias legales tanto para Cambridge Analytica como para Facebook. Cambridge Analytica, Facebook se declaró en bancarrota, y Facebook fue multado con £ 500 mil (alrededor de $ 600 mil) por incumplimiento de los derechos de los interesados: falta de protección adecuada de los datos personales de los usuarios y transparencia insuficiente de su procesamiento.
En general, el escándalo Cambridge Analytica-Facebook tiene consecuencias de gran alcance, incluso para Rusia. Entonces, Facebook comenzó a bloquear el acceso a servicios "sospechosos", cuyas actividades permiten los riesgos de violación de la legislación sobre DP. Por ejemplo, recientemente (a principios de octubre de 2018), Facebook bloqueó más de 66 cuentas, perfiles, páginas y aplicaciones de la startup rusa, Social Data Hub, que solía compararse con Cambridge Analytica, y ahora se posiciona como "especializada en el desarrollo de sistemas de inteligencia artificial" . Sin embargo,
según los informes de los medios, el proyecto también se dedica al análisis comercial de los datos del usuario para el estado.
Curiosamente, en
el sitio web Social Data Hub puede encontrar la respuesta de Roskomnadzor sobre la legalidad de la operación de dicho servicio. Sin embargo, esto no evitó que Facebook viera la violación del acuerdo de usuario de Facebook y signos de uso ilegal de PD en la actividad del Social Data Hub. Facebook eliminó las cuentas de la startup y sus empleados, y también envió una carta con los requisitos:
- Deje de procesar inmediatamente los datos de los usuarios de Facebook y destruya estos datos;
- Proporcionar a Facebook una lista completa de todos los datos utilizados por la empresa y las organizaciones que tienen acceso a ellos;
- Proporcione a los representantes de Facebook acceso a los almacenes de datos para verificar que realmente se hayan eliminado.
El representante de Vkontakte también señaló que la compañía envió una carta de reclamo al Social Data Hub. A su vez, los gerentes de proyecto niegan cualquier violación de la legislación sobre DP,
alegando que están "desarrollando software, no vendiendo datos".
Base legal para hacer negocios con datos personalesDesde un punto de vista legal, los proyectos empresariales basados en datos del usuario se implementan utilizando diversas herramientas legales. En muchos sentidos, este estado de cosas se explica por la falta de regulación regulatoria de los procesos de monetización de los datos del usuario. La ley solo prescribe requisitos y condiciones obligatorios bajo los cuales se puede recopilar y procesar la DP.
La base más común para procesar PD es la presencia del consentimiento del sujeto. La obtención de dicho consentimiento, su "compra", es precisamente la base de la mayoría de los proyectos comerciales legales basados en los datos del usuario. Es importante comprender que la implementación de dicha compra está lejos de la comprensión clásica del derecho civil del contrato de venta. Además de obtener el consentimiento directo para una cierta recompensa de propiedad, el procesamiento de PD es posible en la ejecución de acuerdos concluidos con usuarios que están asociados con la provisión de bienes y servicios (en la mayoría de los casos, proporcionar acceso a contenido en Internet).
Además, los proyectos, incluidos los proyectos ICO, cuyo objetivo principal es garantizar la monetización legal de los datos personales, han ganado popularidad recientemente. Por ejemplo, la plataforma
Opiria . Este proyecto permite a los usuarios dar su consentimiento para el procesamiento de sus datos personales a cambio de tokens PDATA. Según los desarrolladores, esta plataforma es "un mercado global descentralizado donde las empresas pueden comprar datos personales directamente de los consumidores sin intermediarios". Al mismo tiempo, Opiria garantiza a los usuarios la capacidad de controlar y administrar sus datos personales de acuerdo con los requisitos de la legislación sobre datos personales.
Al mismo tiempo, la intermediación en los negocios de datos personales no pierde relevancia. Muchas compañías están tratando de revender PD o hacer su intercambio. Pero dichos proyectos cumplirán con la ley solo cuando se haya obtenido el consentimiento correspondiente para la transferencia de PD a terceros y su posterior procesamiento.
El caso del servicio
DeepMind , que concluyó un acuerdo sobre el intercambio de datos personales con el Servicio Nacional de Salud de Gran Bretaña, es indicativo. Sin embargo, las partes no dieron su consentimiento para la transferencia y el procesamiento de los datos del paciente por parte del servicio DeepMind y, por lo tanto, se encontró una violación de la legislación sobre DP. Aunque este caso se basa en las normas del derecho extranjero, sus conclusiones son aplicables en las realidades rusas. Observamos una posición similar, por ejemplo, en el caso mencionado anteriormente de MGTS que vende datos sobre sus suscriptores.
En general, en Rusia para todos los proyectos empresariales sobre DP es extremadamente importante cumplir con los requisitos generales de la legislación sobre DP. En particular, es necesario:
- para limitar el procesamiento de PD a objetivos específicos predeterminados;
- limitar la cantidad de datos procesados a la cantidad mínima necesaria para la implementación de los objetivos establecidos de su procesamiento;
- no combinar bases de datos que contengan PD, cuyo procesamiento se lleva a cabo para fines incompatibles entre sí;
- Destruir o despersonalizar la DP al alcanzar los objetivos de procesamiento o en caso de pérdida de la necesidad de alcanzar estos objetivos (excepto según lo dispuesto expresamente por la ley);
- determinar la base legal para el procesamiento de datos personales (en la mayoría de los casos, esto será el consentimiento del sujeto de los datos personales, pero también puede haber un contrato, norma legislativa, disponibilidad general de datos personales, otros );
- cumplir con los requisitos del formulario de consentimiento para procesar PD;
- detener el procesamiento o garantizar la finalización del procesamiento por parte de otra persona de datos personales en caso de retiro por el sujeto del consentimiento para el procesamiento de datos personales.
En cuanto a los proyectos en el campo de Big User Data, hay cuestiones legales aún más controvertidas.
- Primero, no existe un enfoque único para comprender Big Data.
- En segundo lugar, la legislación regula el procesamiento de Big Data solo parcialmente.
- En tercer lugar, no se ha desarrollado una posición inequívoca sobre el tema del uso de PD que son de dominio público y PD anonimizadas.
- Cuarto, es difícil determinar el valor real de los datos de Big user.
- En quinto lugar, la agregación de datos de Big user por parte de cualquier empresa puede generar los derechos intelectuales de esta empresa en la base de datos. Como resultado, surge un conflicto de derechos. Y las relaciones comerciales en esta área se vuelven impredecibles como una lotería.
Es posible que la situación en el mercado ruso cambie después de la resolución final de la disputa Vkontakte contra Double data y / o la adopción de cualquiera de las iniciativas que se están discutiendo actualmente (por ejemplo, la
ley sobre la regulación de big data, la
ley sobre el uso y la transferencia a otros de datos personales anónimos, la
iniciativa para crear una plataforma especial para gestionar el consentimiento para el procesamiento de PD).
También hay un
proyecto de
ley en la Duma del Estado que tiene como objetivo determinar las reglas para un tema tan nuevo de los derechos civiles como los derechos digitales. El proyecto de ley propone regular el uso de Big Data en las relaciones contractuales, es decir, fijar en el Código Civil de la Federación de Rusia el diseño del contrato para la prestación de servicios de información (Artículo 783.1). Este acuerdo puede prever la no divulgación de información a terceros durante un período específico. Además, el proyecto de ley propone ampliar el concepto de "base de datos" en función de la necesidad de proteger las bases de datos basadas en Big Data.
, , -, . , , . , — , . , , , :
