Con la legge 1070431-7 dello scorso 23 dicembre 2020, la Duma di Stato della Federazione russa ha adottato alcuni importanti emendamenti alla legge federale sulla privacy.
Le modifiche, che entreranno in vigore il prossimo primo marzo 2021 ad eccezione di alcune prescrizioni, sono finalizzate ad incrementare la protezione dei dati personali dei cittadini russi e includono disposizioni che chiariscono i requisiti per la raccolta di un consenso esplicito degli utenti al trattamento dei dati e rafforzano il diritto alla cancellazione.
Indice degli argomenti
Legge sulla privacy in Russia: consenso esplicito e diritto all’oblio
Una delle modifiche di maggior rilievo introdotte con i nuovi emendamenti riguarda la necessità di ottenere un consenso esplicito: la normativa chiarisce che non è consentito ottenere il consenso alla diffusione dei dati “per impostazione predefinita” e che il silenzio o l’inattività in nessun caso possono essere considerati manifestazione di un valido consenso. Il tutto allo scopo di migliorare la tutela delle persone i cui dati personali sono stati diffusi, ad esempio attraverso Internet o piattaforme di social media.
Viene, altresì, istituito un particolare meccanismo per consentire agli interessati di fornire e revocare il consenso agli operatori che trattano dati personali registrati presso l’autorità: il consenso potrà, infatti, essere prestato direttamente all’operatore oppure per il tramite di un apposito sistema informatico del Roskomnadzor.
La normativa introduce anche un ampio diritto all’oblio: gli interessati hanno il diritto di chiedere la cancellazione dei loro dati personali e di impedire la circolazione pubblica degli stessi, indipendentemente dal fatto che tali dati personali siano stati trattati illegalmente.
Nel suo comunicato stampa, la Duma ha rilevato come l’adozione di queste modifiche garantirà l’equilibrio dei diritti e degli interessi degli individui e degli operatori che trattano dati personali e ha ricapitolato le norme contenenti disposizioni in materia di tutela della privacy del Paese, chiarendone l’ambito di applicazione.
Attualmente esistono due principali leggi federali relative alla protezione dei diritti dei dati personali, insieme a numerose previsioni contenute in diversi testi normativi, tra cui il codice amministrativo e il Codice penale.
La legge federale russa sulla privacy: i dettagli
La legge federale N 152-FZ del 27 luglio 2006 è una norma dedicata alla tutela dei dati personali nella Federazione Russa e riguarda il trattamento, la conservazione e l’accesso ai dati personali, definiti come informazioni che si riferiscono direttamente o indirettamente a una persona fisica specifica o che possono essere utilizzati per verificare l’identità della persona.
Lo scopo di questa legge è garantire la protezione dei diritti e delle libertà degli interessati nel trattamento dei dati personali, inclusa la protezione dei diritti alla privacy, ai segreti personali e familiari.
La legge n. 152-FZ disciplina quasi tutti gli aspetti della protezione dei dati: definisce cos’è un dato personale, quale tipologia di dati è lecito raccogliere e trattare, come e in quali casi i dati possono essere raccolti e trattati, e quali misure tecniche e organizzative devono essere applicate da chi tratta dati personali.
A differenza del diritto UE, la legge sui dati personali non distingue nettamente tra titolari e responsabili del trattamento, pertanto, qualsiasi individuo o organizzazione che tratta dati personali è considerato un “gestore” di dati personali ed è obbligato al rispetto delle regole approntate per la tutela dei dati personali.
Accanto alla legge principale, esistono diverse normative tecniche specifiche che ne chiariscono e integrano le disposizioni; si tratta di regolamenti emessi dal governo, dall’autorità russa per la protezione dei dati (ovvero il Servizio federale per la supervisione nella sfera della comunicazione, dell’informatica e delle comunicazioni di massa) o da varie autorità responsabili della sicurezza, in diversi ambiti[1].
Le principali modifiche alla legge federale russa sulla privacy
La modifica con maggiore impatto alla Legge 152-FZ ha riguardato l’introduzione dell’obbligo per coloro che raccolgono i dati personali dei cittadini russi di archiviare tali dati personali utilizzando database situati in Russia (to secure the recording, systematization, accumulation, storage, updating, extraction of personal data of citizens of the Russian Federation using databases located on the territory of the Russian Federation), effettuata con Federal Law no. 242-FZ (Data Localization Law) del 9 luglio 2014 entrata in vigore il primo settembre 2015.
Le altre norme privacy in Russia
La disciplina in materia di privacy è contenuta anche in altri testi normativi.
La legge n. 149-FZ “Information, Information Technologies and Information Protection” contiene alcune previsioni, tra cui la procedura per limitare l’accesso alle informazioni trattate in violazione della legislazione della Federazione Russa in materia di dati personali.
La normativa fa riferimento alla creazione nella Federazione Russa di un registro di coloro che siano dichiarati colpevoli, sulla base di una sentenza del Tribunale, di violazioni delle norme a protezione dei dati personali.
In particolare, il registro è finalizzato a contenere l’indicazione dei siti web contenenti informazioni trattate in violazione della normativa, in modo da consentire l’identificazione di tali siti web.
Sulla base di detta sentenza, l’interessato può chiedere che siano adottate misure per limitare l’accesso alle informazioni trattate in violazione della legge a protezione dei dati personali.
A tal fine l’art. 15.5 della legge 149 stabilisce una procedura che vede come attori Roskomnadzor, l’autorità federale per la supervisione delle comunicazioni, delle tecnologie dell’informazione e dei mass media, il provider e l’interessato i cui dati siano stati violati, con l’obiettivo di limitare l’accesso al sito web del trasgressore.
La normativa prevede, infatti, un meccanismo di blocco dei siti web che effettuino trattamenti di dati personali in violazione delle disposizioni contenute nella legge 152-FZ.
Inoltre, il codice del lavoro russo contiene disposizioni sulla protezione dei dati personali dei dipendenti.
I soggetti che trattano dati personali possono essere soggetti a responsabilità penale, civile e amministrativa.
Legge sulla privacy in Russia: sanzioni e responsabilità
Le sanzioni e le responsabilità in caso di violazione delle norme a tutela della privacy sono specificate sia nel codice amministrativo che nel Codice penale della Federazione Russa.
Il codice amministrativo contiene, ad esempio, sanzioni fino a un massimo di 18 milioni di rubli, ma la maggior parte delle sanzioni pecuniarie resta al di sotto dei 75.000 rubli. Anche il Codice penale della Federazione Russa prevede sanzioni penali in alcune ipotesi di violazione delle norme sul trattamento dei dati personali.
Le persone i cui dati personali sono stati violati hanno, altresì, diritto di chiedere in sede civile un risarcimento del danno, anche morale, eventualmente patito.
Le misure organizzative
I soggetti che trattano dati personali devono, quindi, adottare diverse misure organizzative e tecniche per garantire il rispetto della legge sui dati personali. Tra queste:
- raccogliere il consenso degli interessati, fatte salve le specifiche circostanze esentate. In alcune specifiche circostanze, è espressamente richiesta la forma scritta (es. in caso di trattamento di dati sensibili o biometrici; in caso di trasferimento transfrontaliero di dati personali qualora lo Stato destinatario non fornisca una protezione adeguata);
- verificare, nel caso in cui sia necessario il trasferimento dei dati, se sia necessaria una specifica autorizzazione, richiesta per i trasferimenti verso determinati Paesi;
- predisporre un accordo di trasferimento di dati per eventuali trasferimenti a terzi;
- disporre di un database primario all’interno del territorio russo, per i dati personali dei cittadini russi;
- effettuare un audit interno periodico per verificare il livello di protezione dei dati;
- adottare un regolamento interno sulla protezione dei dati personali e una privacy policy;
- nominare un responsabile della protezione dei dati;
- gestire adeguatamente le richieste degli interessati per garantire i loro diritti, come il diritto di accesso, di rettifica, di cancellazione;
- analizzare i potenziali rischi per gli interessati;
- gestire eventuali data breach e approntare le adeguate misure di sicurezza a protezione dei dati personali;
- condurre corsi di formazione sulla sicurezza dei dati personali;
- registrarsi presso l’autorità di protezione dei dati (obbligo soggetto ad alcune deroghe).
I controlli sulle violazioni dei dati personali
L’autorità principale che si occupa degli accertamenti delle violazioni dei dati personali è la DPA (Federal Service for Supervision in the Sphere of Communication, Information Technology and Mass Communications).
La DPA ha il diritto di eseguire controlli d’ufficio pianificati e no, oltre a dare seguito alle denunce e segnalazioni che possono essere presentate da soggetti interessati.
A seguito di controllo, l’autorità di protezione dei dati può emettere un ordine per risolvere la violazione o avviare un procedimento amministrativo presso un tribunale locale.
Le sanzioni
Una delle sanzioni più temute è il blocco dell’accesso ai siti internet.
Nel 2016 un tribunale ha ritenuto Linkedin responsabile di una violazione della legge sui dati personali, in particolare delle sue disposizioni che prescrivono che i dati personali dei cittadini russi siano conservati su server situati in Russia e ha ordinato alla DPA di adottare misure per limitare l’accesso a Linkedin.
Il social network era stato, altresì, inserito nel registro dei siti che violano le norme a protezione dei dati personali [2].
Successivamente, il Tribunale distrettuale di Mosca, nel 2018[3], aveva ordinato al Roskomnadzor di bloccare l’accesso a Telegram, per aver rifiutato di fornire al Servizio per la sicurezza federale le chiavi di crittografia richieste dalle autorità[4].
NOTE
- The Privacy, Data Protection and Cybersecurity Law Review – Edition 7, RUSSIA, Vyacheslav Khayryuzov. ↑
- La Russia ha bloccato l’accesso a Linkedin con l’accusa di violazione della legge sulla privacy. A rischio anche Facebook e Twitter, Salvatore Tancovi. ↑
- La Russia blocca Telegram. Il fondatore Durov: “Attacco alla libertà”. ↑
- Russia ‘Unblocks’ Telegram Messenger in Surprise Reversal. ↑