Ley rusa de datos personales, Ley de privacidad mejorada

La Ley de Datos Personales de Rusia es una ley de privacidad de datos que se modificó recientemente en marzo de 2021. La Ley de Datos Personales se modificó para ofrecer a los ciudadanos rusos mayores derechos en materia de seguridad de los datos. Para ilustrar mejor este punto, la anterior Ley de Datos Personales no exigía que los operadores de datos (es decir, los responsables del tratamiento) obtuvieran el consentimiento de los interesados antes de recopilar su información, permitiendo que “los datos se pusieran a disposición de un número ilimitado de personas (es decir, se publicaran) por el respectivo interesado o por instrucción del interesado”. En efecto, esto significaba que una vez publicados los datos personales de un interesado, dichos datos podían compartirse con otras partes sin el consentimiento del interesado. Por ello, la modificación de la Ley de Datos Personales en 2021 pretendía modernizarla y mejorarla.

¿Cuál es el alcance y la aplicabilidad de la Ley de Datos Personales de Rusia?

En virtud de la Ley de Datos Personales, cualquier organización, entidad empresarial o particular que publique datos personales inicialmente, así como los que recojan y difundan posteriormente datos personales en la esfera pública, o compartan datos personales que se hayan distribuido sobre la base del consentimiento, incluidas las redes sociales, los blogs o cualquier otra fuente, deben cumplir la Ley de Datos Personales en todo momento. Es más, según las nuevas enmiendas, hacer que los datos personales sean accesibles al público y utilizarlos después de la publicación original sólo está permitido si el interesado en cuestión consiente la difusión posterior de sus datos personales.

Además, la ley también introduce una nueva categoría de datos personales, los “datos personales puestos a disposición del público”. Con arreglo a la Ley de Datos Personales, los datos personales puestos a disposición del público se definen como datos personales a los que puede tener acceso un número ilimitado de personas sobre la base del consentimiento específico del interesado para la difusión de los datos (“consentimiento de difusión”). Gracias a esta definición mejorada y a la ampliación del ámbito de aplicación de la ley, se han resuelto los problemas relacionados con el consentimiento que afectaban a la versión anterior de la Ley de Datos Personales.

¿Cuáles son los requisitos de la Ley de Datos Personales para los operadores de datos?

En virtud de la Ley de Datos Personales rusa, los operadores de datos deben cumplir una serie de obligaciones en relación con los datos personales que recogen, a los que acceden y, en última instancia, difunden en nombre de los interesados. Algunas de estas obligaciones son

• Se prohíbe a los operadores de datos difundir públicamente datos personales relativos a los interesados sin su consentimiento.
• Los operadores de datos están obligados a publicar información relativa a las condiciones y restricciones de tratamiento aplicables, a través de una plataforma que esté disponible tanto para lectores en línea como fuera de línea, en un plazo de 3 días a partir de la recepción del consentimiento de difusión de los interesados.
• Los operadores de datos están obligados a cumplir los requisitos relativos a los formularios de consentimiento de difusión estándar que deben proporcionarse a los interesados. De conformidad con la ley, los formularios de consentimiento deben detallar el nombre completo y los datos de contacto del interesado, el nombre completo y la dirección, el número de registro y el NIF del operador de datos, los detalles relativos al sitio web en el que se difundirán o tratarán de otro modo los datos personales de un determinado interesado, los fines previstos del tratamiento de datos, las categorías de datos personales que se van a tratar, las categorías de datos personales a las que un interesado puede imponer ciertas restricciones, así como una lista de dichas restricciones, y las condiciones de los datos personales a través del sitio web del operador de datos, la red corporativa u otra prohibición de transferencia de datos personales, así como las condiciones del consentimiento.
• Los operadores de datos están obligados a designar a un responsable de la protección de datos o RPD con el fin de proteger y salvaguardar los datos personales de los interesados.
• Los operadores de datos son responsables de aplicar una política de protección de datos. Esta política de protección de datos debe publicarse en el sitio web del operador de datos, y todos los empleados de dichos operadores de datos son también responsables de familiarizarse con esta política de protección de datos, así como de confirmar por escrito que han leído y entendido la política.
• Los operadores de datos están obligados a notificar a los interesados afectados y al Servicio Federal de Supervisión de las Comunicaciones, las Tecnologías de la Información y los Medios de Comunicación, también conocido como Roskomnadzor, en caso de que se produzca una violación de los datos o de la seguridad.
• Los operadores de datos son responsables de cumplir las restricciones relacionadas con las transferencias de datos a terceros países, asegurándose de que las jurisdicciones extranjeras a las que se transfieren los datos personales de ciudadanos rusos proporcionan la protección adecuada para proteger los derechos de los interesados.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Datos Personales?

Dado que la versión anterior de la Ley de Datos Personales de Rusia proporcionaba a los interesados un nivel de protección algo ambiguo en lo que respecta a sus derechos de privacidad de datos, una de las principales razones de la reciente modificación de la ley fue proporcionar una mayor protección de la privacidad a los interesados. Algunos de los derechos que se conceden a los interesados en virtud de la Ley de Datos Personales modificada son los siguientes:

• El derecho a acceder a la información– Los interesados tienen derecho a acceder a cualquier información personal que un operador de datos posea en relación con ellos mediante la presentación de una solicitud de “información de acceso del sujeto” por escrito a dicho operador de datos.
• Derecho al olvido: en determinadas circunstancias, los interesados tienen derecho a solicitar que un operador de datos suprima, bloquee o rectifique sus datos personales. Además, los interesados también tienen derecho a oponerse a las decisiones que se tomen en relación con sus datos personales únicamente sobre la base de un tratamiento automatizado.
• Derecho a oponerse a la mercadotecnia directa y la elaboración de perfiles: los interesados tienen derecho a oponerse al tratamiento de sus datos personales con fines de mercadotecnia directa o elaboración de perfiles, a menos que den su consentimiento a dicho tratamiento.
• Derecho a oponerse al tratamiento de datos: los interesados tienen derecho a oponerse al tratamiento de sus datos personales con fines de marketing directo o elaboración de perfiles.
• El derecho a la restricción- Los interesados mantienen el derecho a establecer ciertas restricciones o condiciones relacionadas con el tratamiento de sus datos personales que se ponen a disposición del público, a su discreción.
• Derecho a ser indemnizado por daños y perjuicios– Los interesados tienen derecho a ser indemnizados cuando se demuestre que se han vulnerado sus derechos con arreglo a la ley.
• Derecho a revocar el consentimiento– Los interesados tienen derecho a revocar su consentimiento en relación con el tratamiento de sus datos personales en cualquier momento del proceso.

En cuanto a las sanciones que pueden imponerse a los responsables del tratamiento que violen los derechos de los interesados, la Ley de Datos Personales modificada contiene varias sanciones y castigos a los que están sujetos los responsables del tratamiento que incumplan la normativa. Estos castigos incluyen multas monetarias que oscilan entre 6 millones de rublos (,483) y 18 millones de rublos (7.320) para los responsables del tratamiento de datos que sean declarados infractores de la ley, así como multas que oscilan entre 100.000 rublos (,374) y 200.000 rublos (48) para los responsables de la protección de datos que no cumplan los requisitos de la ley en materia de violación de datos. Además, el “Roskomnadzor tiene derecho a solicitar una orden judicial que bloquee el acceso a un sitio web a través del cual la persona en cuestión procese datos personales infringiendo la legislación rusa sobre protección de datos”.

Dado que Rusia es uno de los países más grandes del mundo y se encuentra en la intersección de los continentes europeo y asiático, era muy necesario modificar la Ley de Datos Personales del país. Como ocurre en muchos países de todo el mundo, la anterior Ley de Datos Personales de Rusia contenía disposiciones y requisitos muy desfasados con respecto a las normas de protección de datos necesarias para proteger los derechos de privacidad de los interesados en la actual era digital. Como tal, la enmienda de 2021 a la Ley de Datos Personales pone la regulación a la par con otras leyes de datos recientemente aprobadas en todo el mundo, como el Reglamento General de Protección de Datos de la UE o GDPR.