Pubblicazioni

La Russia quest’anno sta varando un’ampia riforma sulla propria legislazione in materia di dati personali. Nell’ambito di tale iniziativa lo scorso 14 luglio 2022 è stata ratificata dal Presidente della Federazione Russa la nuova versione della legge locale sui personal data, ovverosia la Legge federale del 27 luglio 2006 No. 152-FZ “Sui dati personali” (di seguito la “Legge”).

L’importanza della riforma è evidenziata dal fatto che su 25 articoli della già menzionata legge ben 15 hanno subito variazioni.

È previsto che le modifiche legislative entrino in vigore in due fasi: la maggioranza delle novelle normative saranno efficaci a partire già dal 1° settembre 2022, mentre la restante parte dal 1° marzo 2023.

A distanza di poco meno di un mese da questa importante iniziativa legislativa riportiamo qui di seguito le più importanti modifiche alla Legge che a nostro avviso potrebbero avere un significativo impatto sull’operato dei titolari del trattamento. Vengono introdotti due particolari regimi per il trasferimento dei dati a seconda del paese di loro destinazione: il primo regime richiede la predisposizione di un’apposita notifica a Roskomnadzor (Garante russo) per l’invio dei dati verso Paesi che garantiscono adeguata tutela ai dati personali, mentre il secondo impone il previo rilascio di autorizzazione del medesimo organo in caso di trasferimento di dati verso Paesi che non garantiscono adeguata tutela in materia di dati personali.

Il titolare del trattamento “esportatore” dei dati personali dal territorio della Federazione Russa è tenuto a richiedere al titolare del trattamento nel Paese destinatario una serie di informazioni, incluso l’elenco di tutti i destinatari successivi/finali dei dati personali in caso di ulteriore trasferimento transfrontaliero verso altre giurisdizioni.

Sebbene il set di regole relativo al trasferimento transfrontaliero dei dati personali entri in vigore a partire dal 1° marzo 2023, la Legge prevede che gli operatori che hanno effettuato l’invio dei dati all’estero prima dell’entrata in vigore della Legge e continuano a farlo successivamente siano tenuti a presentare a Roskomnadzor una corrispondente notifica entro la summenzionata data. Sia la corrente, che la nuova versione della Legge stabiliscono che i titolari del trattamento (denominati “operatori” nell’ordinamento russo), anteriormente all’avvio di operazioni aventi ad oggetto dati personali, siano tenuti a presentare a Roskomnadzor un’apposita (e separata da quella descritta sopra) notifica sull’intenzione di effettuare il trattamento dei dati personali, azione questa che comporta l’iscrizione del titolare del trattamento nel Registro degli operatori dei dati personali reperibile online. Sono esenti da tale obbligo quegli operatori che trattano i dati nell’ambito di alcune situazioni tassativamente determinate dalla legge.

La novità legislativa consiste nel fatto che tale lista di esclusioni con la riforma in argomento è stata considerevolmente ridotta ed in conseguenza di ciò, praticamente tutti gli enti locali sono assoggettati all’obbligo di presentare la notifica ai fini dell’iscrizione nel Registro degli operatori, in quanto le esenzioni rimanenti riguardano situazioni del tutto residuali.

Occorre inoltre notare che subiscono cambiamenti sia il volume dei dati che l’operatore è tenuto a comunicare al regolatore ai fini dell’iscrizione presso il Registro, sia l’approccio alla loro sistematizzazione, ragion per cui potrebbe rendersi necessario aggiornare quanto prima i dati già iscritti presso il Registro degli operatori dei dati personali. La Legge prevede l’obbligo del titolare del trattamento di garantire l’interazione con il Sistema statale per il rilevamento, la prevenzione e l'eliminazione delle conseguenze degli attacchi informatici alle risorse informatiche della Federazione Russa, conosciuto con l’acronimo di GosSOPKA. Tale interazione, la cui modalità verrà stabilita dal Servizio di sicurezza (FSB), include l’obbligo di informare il GosSOPKA sugli incidenti informatici che hanno comportato il trasferimento illecito dei dati personali.

Sempre nel contesto del trasferimento illecito (o accidentale) dei dati personali (tematica questa particolarmente attuale e oggetto di grande attenzione mediatica in Russia negli ultimi mesi), l’operatore è tenuto entro 24 ore ad informare Roskomnadzor su tale incidente, nonché a presentare sempre allo stesso ente entro le 72 ore successive all’incidente i risultati delle indagini interne. Il responsabile del trattamento è stato investito di nuovi obblighi di garantire la riservatezza dei dati personali, implementare le speciali misure tecniche e organizzative previste dalla Legge, osservare l’obbligo di localizzazione dei dati personali, nonché di notificare il titolare del trattamento sugli eventuali incidenti informatici.

Conseguentemente, il mandato per il trattamento che il titolare conferisce al responsabile dovrà essere redatto e/o corrispondentemente emendato sulla base di tali nuovi obblighi.

La legge ha infine introdotto speciali forme di responsabilità a carico dei responsabili del trattamento stranieri nei confronti dell’interessato. Se il titolare del trattamento russo incarica un soggetto straniero di trattare i dati personali, responsabili nei confronti dell’interessato saranno sia il titolare che il responsabile del trattamento (qualora invece il responsabile del trattamento sia un soggetto russo, rimane invariata la regola generale che riconosce quale responsabile per le azioni di quest’ultimo esclusivamente il titolare del trattamento). La nuova Legge stabilisce espressamente che nei contratti stipulati con gli interessati al trattamento che prevedono l’elaborazione dei dati personali non è possibile includere disposizioni che limitino i diritti e le prerogative dell’interessato o che stabiliscano speciali regole in materia di trattamento dei dati personali dei minori, nonché che prevedano la possibilità di stipulare tale contratto con tacito assenso dell’interessato.

Secondo la nuova disciplina, il consenso al trattamento dei dati personali deve essere non solo specifico, informato e consapevole, ma anche circostanziato e inequivocabile.

Viene espressamente previsto che la messa a disposizione dei dati personali biometrici non sia obbligatoria, salvo laddove previsto dalla Legge ed altra legislazione vigente. Il titolare del trattamento non ha il diritto di rifiutare l’erogazione del proprio servizio se l'interessato si rifiuta di fornire i dati personali biometrici e (o) di prestare consenso al trattamento degli stessi, eccetto il caso in cui l’ottenimento del consenso al trattamento da parte dell’operatore sia obbligatorio.

Il titolare del trattamento sarà inoltre tenuto a valutare i potenziali danni all’interessato al trattamento in conformità alle linee guida che verranno stabilite da Roskomnadzor, nonché a fornire informazioni su richiesta dell’interessato o di Roskomnadzor in tempi più celeri rispetto al passato. La riforma in argomento ha inoltre consacrato il principio di applicazione extraterritoriale già riconosciuto dalla giurisprudenza russa. Sulla base delle nuove disposizioni la Legge trova applicazione al trattamento dei dati personali dei cittadini russi effettuato da soggetti stranieri sulla base di un accordo con il cittadino russo, ovvero sulla base del consenso espresso del cittadino russo al trattamento dei propri dati personali.

SUGGERIMENTI

Ai fini di assicurare massima aderenza alle disposizioni della nuova Legge, è bene tenere in considerazione i seguenti interventi.

Entro il 1° settembre 2022:

• aggiornare i mandati per il trattamento dei dati personali, i contratti con gli interessati ed i modelli di consenso al trattamento da sottoporre all’attenzione di quest’ultimi, nonché la documentazione interna societaria, soprattutto la Politica in materia di trattamento dei dati personali (la quale deve essere peraltro pubblicata sul sito dell’operatore qualora quest’ultimo, come di norma, venga utilizzato per la raccolta dei dati personali);
• presentare la notifica a Roskomnadzor (nonché aggiornare i dati già presentati, in base ai chiarimenti che Roskomnadzor si appresta a pubblicare);
• introdurre la procedura di interazione con GosSOPKA secondo quanto stabilito dal rispettivo atto.

Entro il 1° marzo 2023:

• preparare la notifica sul trasferimento transfrontaliero dei dati personali, aggiornare i contratti con i responsabili al trattamento ed adottare i relativi atti interni;
• effettuare la valutazione prognostica dei potenziali danni all’interessato sulla base dei chiarimenti del Roskomnadzor.