Publicaciones

Nuestro despacho sigue de cerca la evolución de la reforma de la legislación rusa en materia de datos personales.

En el contexto de la Ley Federal de 27 de julio de 2006 nº 152-FZ "Sobre datos personales" (reseñada en nuestro número anterior de la revista), nos parece útil ofrecer una breve visión general de algunos otros cambios normativos y aspectos relacionados con la aplicación de la legislación sobre datos personales. Como es sabido, la Ley Federal "Sobre Datos Personales" y las aclaraciones correspondientes con respecto a su aplicación establecen que en el caso de la recogida de datos personales (incluso a través de Internet), el responsable del tratamiento está obligado a garantizar que una serie de operaciones (incluyendo el registro, el almacenamiento, la extracción) con los datos personales de los ciudadanos rusos (así como los datos recogidos en el territorio de la Federación Rusa pertenecientes a sujetos de ciudadanía desconocida para el responsable del tratamiento), se realicen utilizando exclusivamente bases de datos situadas en la Federación Rusa, con pocas excepciones.

Esta norma se inspira en el principio de la llamada "localización de datos personales".

Para garantizar el cumplimiento de la norma en cuestión, se han introducido las multas más duras previstas en el Código de Infracciones Administrativas en materia de protección de datos personales.

Según fuentes públicas, en los últimos meses Roskomandzor ha sancionado a grandes empresas internacionales que prestan sus servicios en línea a los ciudadanos rusos. Las medidas de la Autoridad de Protección de Datos rusa en este frente han llevado a la imposición de multas de cantidades considerables a grandes empresas extranjeras (Spotify, Pinterest, Airbnb, Apple, Google, Twitch) por no localizar los datos personales. Roskomnadzor ha distribuido recientemente una carta informativa entre los responsables del tratamiento de datos inscritos en el Registro de Operadores. En esa comunicación, el Supervisor de Protección de Datos local:

• llama la atención sobre el hecho de que, de acuerdo con las disposiciones transitorias de la nueva versión de la Ley Federal "sobre datos personales", las entidades que realicen una transferencia transfronteriza de datos personales antes de la fecha de entrada en vigor de la nueva ley (1 de septiembre de 2022) están obligadas a presentar una notificación relativa a dicha transferencia a más tardar el 1 de marzo de 2023;
• se pide a los responsables del tratamiento de datos respecto de los cuales se especifica actualmente en el Registro de Operadores que realizan la transferencia transfronteriza de datos personales, pero que de hecho ya no lo hacen, que eliminen esa indicación del Registro de Operadores antes del 1 de septiembre de 2022.

En consecuencia, Roskomnadzor ha dado a entender que para determinar quién está obligado a presentar la notificación sobre la transferencia transfronteriza de datos personales antes del 1 de marzo de 2023, se referirá a la información contenida en el Registro de Operadores actualizado a 1 de septiembre de 2022.

A este respecto, cabe señalar que lo descrito anteriormente puede no ser el único criterio útil para determinar los destinatarios de la nueva obligación de notificar a Roskomnadzor la transferencia transfronteriza de datos personales. De hecho, la nueva Ley "de Datos Personales" vincula la citada obligación al mero hecho de la transferencia transfronteriza de datos personales el 1 de septiembre de 2022 (es decir, incluso en ausencia de inscripción en el Registro de Operadores). Cabe señalar que, en el marco de la reforma de la legislación rusa en materia de datos personales, el legislador también ha introducido importantes modificaciones en la Ley de 7 de febrero de 1992, nº 2300-I "Sobre la protección de los derechos de los consumidores", y concretamente en su artículo 16. En virtud de estas modificaciones, no sólo se introduce una lista de cláusulas inadmisibles en los contratos con un consumidor, sino que también se incluye una disposición en virtud de la cual un vendedor no podrá negarse a celebrar, ejecutar, modificar o rescindir un contrato con un consumidor por la negativa de éste último a facilitar sus datos personales, salvo en los casos en que la obligación de facilitar dichos datos esté expresamente exigida por la legislación o esté directamente relacionada con la ejecución del contrato con el consumidor.

De hecho, el legislador ha cristalizado en la legislación el enfoque adoptado por la jurisprudencia local a lo largo de los últimos años.

También se prevé la facultad del consumidor de solicitar al vendedor (ejecutor, propietario del agregador) información sobre las razones específicas y los motivos legales por los que es imposible celebrar, ejecutar, modificar o rescindir un contrato sin proporcionar datos personales. En tal caso, el vendedor (ejecutor, propietario del agregador) está obligado a proporcionar dicha información en un plazo de siete días a partir de la fecha de la solicitud escrita del consumidor e inmediatamente si dicha solicitud se realiza de forma verbal.

Las sanciones administrativas por el incumplimiento de la norma mencionada prevén una multa de entre 30.000 y 50.000 rublos (aproximadamente 500-800 euros) para las personas jurídicas.

Estas modificaciones han entrado en vigor el 1 de septiembre de 2022.

SUGERENCIAS:

Para garantizar al máximo el cumplimiento da la mencionada iniciativa legislativa sobre los derechos de los consumidores, sugerimos las siguientes acciones:

• determinar con precisión los tipos de datos personales que es imprescindible recoger a efectos de la ejecución de los contratos con los consumidores;
• analizar los modelos de los contratos a fin de excluir que se recojan datos personales no esenciales y de asegurar que la forma de recogerlos y tratarlos se ajuste a la legislación sobre privacidad;
• preparar la justificación de la recogida de datos personales que se facilitará a petición del consumidor;
• preparar instrucciones sobre los procedimientos para responder a las solicitudes de los consumidores y formar al personal en este campo.