Comparação de abordagens e práticas para a proteção de dados pessoais na Rússia e na UE
De fato, com qualquer ação cometida pelo usuário na Internet, existe, de uma maneira ou de outra, a manipulação dos dados pessoais do usuário.
Não pagamos por muitos serviços que recebemos na Internet: pela busca de informações, por e-mail, pelo armazenamento de dados na nuvem, pela comunicação nas redes sociais, etc. No entanto, esses serviços são apenas condicionalmente gratuitos: pagamos por eles com nossos dados que essas empresas se transformam em dinheiro, principalmente por meio de publicidade.
Atualmente, dados sobre sexo, idade e local de residência, histórico de pesquisa -
A base para o setor de publicidade on-line, que equivale a bilhões de dólares e euros. Ou seja, do ponto de vista jurídico, os dados pessoais são materiais para fazer negócios. Consequentemente, as empresas estão fazendo grandes esforços e gastando fundos consideráveis para obter e processar dados pessoais. Pesquisas realizadas em 2018 mostram que os usuários, percebendo o valor de seus dados pessoais, estão cada vez mais insatisfeitos com a forma como as empresas lidam com seus dados pessoais.
A regulamentação no segmento de uso de dados do usuário ainda não tomou forma e está atrasada em relação ao desenvolvimento de tecnologias não apenas na Rússia, mas em todo o mundo; portanto, o equilíbrio de interesses de consumidores e empresas no modelo "dinheiro - serviço - dados - dinheiro" é construído hoje por reguladores e acordos tácitos entre sociedade e empresas. Os reguladores restringem os recursos das empresas de TI e expandem os direitos dos usuários: eles introduzem novas leis que dão aos usuários mais controle sobre as informações que fornecem.
É interessante comparar as abordagens dos reguladores nos países europeus e na Rússia. Na Rússia, os principais atos regulamentares que regem o tratamento de dados pessoais são a Lei Federal de Proteção de Dados Pessoais (152-FZ) mais o Código de Infrações Administrativas, que estabelece diretamente a quantidade específica de multas por violar o procedimento de tratamento de dados pessoais. As multas administrativas de 1 de julho de 2017 aumentaram significativamente. Ao mesmo tempo, novas multas foram estabelecidas, dependendo do tipo de ofensa cometida. Assim, os funcionários podem ser multados em 3.000 a 20.000 rublos, empresários individuais - em 5.000 a 20.000 rublos, organizações - em 15.000 a 75.000 rublos. Além disso, eles podem ser responsabilizados por vários crimes. Por conseguinte, as diferentes violações de uma empresa podem impor várias multas diferentes. Mas a responsabilidade é fornecida especificamente pelo não cumprimento de requisitos formais, por exemplo, se os documentos necessários estiverem ausentes. Com a proteção real das informações, isso nem sempre está diretamente relacionado. Por exemplo, um vazamento em si não é base para penalidades, a menos que outras leis sejam violadas. Curiosamente, um número significativo de violações identificadas no campo de tratamento de dados pessoais contém a composição prevista no Artigo 19.7 do Código de Ofensas Administrativas da Federação Russa: “Falha em enviar ou enviar atempadamente ao órgão estadual (Roskomnadzor) - informação (informação), cuja disposição é prescrita por lei e é necessária para implementação por este órgão. suas atividades legítimas .. ". É interessante notar que uma responsabilidade muito maior é fornecida não pela violação do procedimento de manipulação de dados pessoais (como mencionado acima, essa é uma média de 30 a 50 mil rublos), mas pela falha em fornecer (atraso, apresentação incompleta) informações sobre o procedimento de manipulação de dados pessoais em Roskomnadzor depende de uma multa de até 200.000 rublos. I.e. na legislação da Rússia e na prática de sua aplicação, a tendência predominante é “a principal coisa que o processo se encaixaria” e as necessidades do Estado órgãos em vários relatórios. Os direitos reais dos usuários e a segurança de seus dados pessoais na Internet são mal protegidos. A mesma quantidade de multas não se correlaciona com a quantidade de benefícios recebidos por algumas empresas em caso de violação do tratamento de dados pessoais na Internet e não estimula o cumprimento dessas regras.
A UE tem uma imagem um pouco diferente. Desde maio de 2018, na Europa, o trabalho com dados pessoais é regulamentado pelas regras de processamento de dados pessoais estabelecidas pelo Regulamento Geral de Proteção de Dados ( Regulamento da UE 2016/679 de 27 de abril de 2016 ou pelo GDPR - Regulamento Geral de Proteção de Dados). O regulamento tem efeito direto em todos os 28 países da UE. O regulamento oferece aos residentes da UE a oportunidade de ter controle completo sobre seus dados pessoais. De acordo com o RGPD, significativamente os cidadãos e residentes da UE têm direitos muito amplos para controlar seus dados pessoais. Os usuários europeus têm o direito de solicitar a confirmação do fato de que seus dados foram processados, o local e a finalidade do processamento, as categorias de dados pessoais que estão sendo processadas, para os quais dados pessoais de terceiros são divulgados, o período durante o qual os dados serão processados, assim como especificar a fonte de dados pessoais recebidos pela organização e exigir sua correção. Além disso, o usuário tem o direito de exigir o término do processamento de seus dados.
Desde maio de 2018, a Responsabilidade sob a forma de multas por violação das regras de processamento de dados pessoais: de acordo com o GDPR, as multas atingem 20 milhões de euros (cerca de 1,5 bilhão de rublos) ou 4% da receita global anual da empresa.
O mais importante é que tudo funciona, as empresas que violam os direitos do usuário são responsabilizadas e muito sérias. Por exemplo, em 21 de janeiro de 2019, a Comissão Nacional de Informática e Direitos Civis da França (CNIL) decidiu multar a empresa americana GOOGLE LLC por 50 milhões de euros por violar o RGPD. A quantidade da multa é muito grande. Isso ilustra claramente a ameaça de não conformidade com os requisitos do GDPR. Para que foi punido? A comissão francesa determinou que, durante a configuração inicial de um dispositivo móvel usando o sistema operacional Android (Google), o usuário não recebe informações completas sobre o que o Google faz com seus dados pessoais. A empresa não cumpriu sua obrigação de garantir a transparência no processamento de dados pessoais e nas entidades de informação (artigos 12 e 13 do RGPD). Os períodos de armazenamento de dados do usuário não são regulados com precisão. A empresa não possuía a base legal necessária para o processamento de dados (artigo 6 do GDPR). O Google também foi acusado de obter indevidamente o consentimento do usuário para processar seus dados para personalizar anúncios.
Outros exemplos: uma multa do regulador alemão do LfDI, o aplicativo de bate-papo para encontros Knuddels - 20.000 euros, o Hospital Português do Barreiro foi acusado de gerenciar indevidamente o acesso a dados pessoais críticos (multa de 300 mil euros) e violação da segurança e integridade dos dados (outros 100 mil euros ) As autoridades do Reino Unido emitiram um aviso para uma empresa de pesquisa analítica canadense. A empresa foi obrigada a parar de processar dados pessoais dos cidadãos, caso contrário, enfrentaria uma multa de 20 milhões de euros. A empresa canadense AggregateIQ, envolvida em marketing digital e desenvolvimento de software, recebeu uma multa de 17.000.000 libras. Cafés na Áustria foram multados em 5.280 euros por vigilância ilegal de vídeo (a câmera apreendeu parte da calçada). I.e. qualquer organização coberta pelo RGPD não deve se limitar, de acordo com a tradição russa, ao desenvolvimento de documentação regulatória.
A propósito, a peculiaridade do RGPD é que seu efeito é aplicado a todas as empresas que processam dados pessoais de residentes e cidadãos da UE, independentemente da localização de uma empresa, portanto, as empresas russas devem considerar cuidadosamente esses regulamentos se seus serviços estiverem focados no mercado europeu