Pubblicazioni

Il Nostro Studio continua a monitorare con attenzione gli sviluppi della riforma della legislazione russa in materia di dati personali.

Nel quadro della Legge federale del 27 luglio 2006 No. 152-FZ “Sui dati personali” (illustrata nel nostro precedente numero della rassegna), riteniamo utile fornire una sintetica panoramica su alcune altre novità normative e aspetti correlati all’implementazione della disciplina in materia di dati personali. Come noto, la Legge Federale “Sui dati personali” e i relativi chiarimenti applicativi prevedono che nel caso di raccolta dei dati personali (anche attraverso la rete Internet) il titolare del trattamento è tenuto a garantire che una serie di operazioni (compresa la registrazione, la conservazione, l’estrazione) con i dati personali dei cittadini russi (nonché i dati raccolti sul territorio della Federazione Russa appartenenti a soggetti di cittadinanza ignota al titolare), siano eseguite utilizzando esclusivamente banche dati situate nella Federazione Russa, salvo poche eccezioni.

La predetta regola si ispira al principio della c.d. “localizzazione dei dati personali”.

A presidio dell’osservanza della norma in argomento sono state introdotte le sanzioni pecuniarie più severe previste dal Codice degli illeciti amministrativi in materia di dati personali.

Dalle fonti pubbliche ricaviamo che negli ultimi mesi Roskomandzor si è dedicato a sanzionare grandi aziende internazionali che forniscono i propri servizi online ai cittadini russi. I provvedimenti del Garante russo su tale fronte hanno portato all’imposizione di ammende per importi considerevoli a carico di grandi imprese estere (Spotify, Pinterest, Airbnb, Apple, Google, Twitch) per la mancata localizzazione dei dati personali. Roskomnadzor ha recentemente fatto circolare una lettera informativa tra i titolari del trattamento iscritti presso il Registro degli operatori. In tale comunicazione il locale Garante della privacy:

• richiama l’attenzione sul fatto che, in base alle disposizioni transitorie della nuova versione della Legge Federale “Sui dati personali”, i soggetti che eseguono il trasferimento transfrontaliero dei dati personali alla data dell’entrata in vigore della nuova legge (1° settembre 2022) sono tenuti a presentare una notifica in merito a tale invio entro e non oltre il 1° marzo 2023;
• quei titolari del trattamento con riferimento ai quali nel Registro degli operatori sia attualmente specificato che essi effettuano il trasferimento transfrontaliero dei dati personali, ma che di fatto non l’effettuino più, sono invitati a rimuovere dal Registro degli operatori tale indicazione entro il 1° settembre 2022.

Conseguentemente, Roskomnadzor ha fatto intendere che per determinare i soggetti obbligati a presentare la notifica sull’invio transfrontaliero dei dati personali entro il 1° marzo 2023 farà riferimento alle informazioni contenute nel Registro degli operatori aggiornate al 1° settembre 2022.

A tal proposito è bene notare che quanto descritto sopra potrebbe non essere l’unico criterio utile per determinare i soggetti destinatari del nuovo obbligo di notificare Roskomnadzor sul trasferimento transfrontaliero dei dati personali. Infatti, la nuova Legge “Sui dati personali” ricollega l’obbligo menzionato al mero fatto dell’effettuazione dell’invio transfrontaliero dei dati personali al 1° settembre 2022 (quindi anche in assenza di alcuna iscrizione presso il Registro degli operatori). Segnaliamo che nell’ambito della riforma della legislazione russa sui dati personali, il legislatore ha introdotto importanti modifiche anche alla Legge del 7 febbraio 1992 No. 2300-I “Sulla tutela dei diritti dei consumatori”, e nello specifico all’articolo 16. Ai sensi di tali emendamenti, viene introdotta non solo una lista di clausole inammissibili nei contratti con un consumatore, ma viene anche inclusa una previsione secondo la quale un venditore non può rifiutarsi di concludere, eseguire, modificare o risolvere un contratto con il consumatore a causa del rifiuto di quest’ultimo di fornire dati personali, salvo i casi in cui l’obbligo di fornire tali dati sia espressamente richiesto dalla legislazione o sia direttamente collegato all’esecuzione del contratto con il consumatore.

Di fatto il legislatore ha cristallizzato a livello normativo l’approccio adottato dalla giurisprudenza locale negli ultimi anni.

Viene altresì prevista la facoltà del consumatore di richiedere al venditore (esecutore, proprietario dell’aggregatore) informazioni sulle ragioni specifiche e sui motivi giuridici che determinano l’impossibilità di concludere, eseguire, modificare o risolvere un contratto senza fornire dati personali. In tal caso, il venditore (esecutore, proprietario dell’aggregatore) è tenuto a fornire tali informazioni entro sette giorni dalla data della richiesta scritta del consumatore, ed in ogni caso immediatamente qualora tale richiesta sia fatta pervenire verbalmente.

Le sanzioni amministrative per la violazione della norma sopra illustrata prevedono a carico delle persone giuridiche un’ammenda per un ammontare variabile da 30.000 a 50.000 RUB (circa 500-800 EUR).

Le novelle in questione entrano in vigore a decorrere dal 1° settembre 2022.

SUGGERIMENTI

Per assicurare massima aderenza all’iniziativa legislativa relativa ai diritti dei consumatori di cui sopra, suggeriamo i seguenti interventi:

• determinare con precisione le tipologie di dati personali che è essenziale raccogliere ai fini dell’esecuzione dei contratti con i consumatori;
• analizzare i modelli dei contratti al fine di escludere che siano raccolti dati personali non essenziali e che la modalità di raccolta e trattamento sia aderente alla normativa in materia di privacy;
• preparare la motivazione per la raccolta dei dati personali da fornire al consumatore su richiesta di quest’ultimo;
• preparare le istruzioni per il personale relativamente alle procedure di riscontro rispetto alle richieste dei consumatori ed effettuare formazione per il personale.