Sobre datos personales. ¿O cómo son y qué somos nosotros?

Contenido

1. Introducción
2. Lo que dice la ley
   Tienen USA y Europa
   Tenemos rusia
3. Datos personales y aplicación de la ley
   Tienen USA y Europa
   Tenemos rusia
4. Conclusión

Introducción

La nota de Eldar de que las leyes europeas prohíben tomar fotos de personas en las calles provocó una seria controversia en los comentarios. Propongo averiguar qué tipo de animal son estos 'datos personales', cómo se almacenan y utilizan en la Unión Europea, EE. UU. Y Rusia, si se pueden transferir a alguien o en otro lugar, por ejemplo, a otro país. No quiero que tengamos una reunión del círculo de amantes del derecho comparado, así que intentaré explicarlo todo de manera accesible, como dicen, en mis dedos, y deliberadamente simplificaré algunas cosas.

Las actividades humanas en Internet dejan muchas huellas. Las 'empresas astutas' los recogen, acumulan, analizan y luego los venden a todo el mundo de forma impersonal. ¿Son estos datos personales? Vamos a averiguarlo.

Lo que dice la ley

Para empezar, definamos que la ley / leyes distingue entre el procesamiento general de datos personales y tal, pero realizado por las autoridades competentes en interés de la seguridad (de hecho, hay un nombre más largo y más preciso, sugiero a los interesados ​​que busquen, por ejemplo, la directiva de la UE 2016/680).

Sugiero comenzar con el procesamiento general de datos personales.

Tienen USA y Europa

En EE. UU., Todo es simple y complejo al mismo tiempo. No existe una ley única que regule el procesamiento de datos personales, no existe una definición única de datos personales, etc. Cada área tiene su propio acto normativo y su propia definición. Por supuesto, hay muchos matices en ellos, simplemente no puedes resolverlo. Por ejemplo, la Ley de Privacidad de 1974 prohíbe a los empleados federales divulgar información sobre ciudadanos privados sin su consentimiento por escrito. La Ley Gramm-Leach-Bliley de 1999 regula, entre otras cosas, la protección de la “información personal privada” por parte de bancos, seguros y otras compañías financieras. Para simplificar, podemos decir que el principio fundamental de trabajar con datos personales es la inadmisibilidad de su uso para discriminación en base a criterios de raza, género, religión, edad, etc.

Se permite la transferencia transfronteriza de datos personales, es decir, su transferencia a otro país con un acuerdo adecuado. Para cada solicitud del extranjero, se toma una decisión separada de transferir (o rechazar la transferencia). Estados Unidos tiene un acuerdo de este tipo, por ejemplo, con la Unión Europea, pero por alguna razón se aplica principalmente en la dirección opuesta, de la UE a los Estados Unidos.

En la Unión Europea, en todo su territorio, está vigente el GDPR (Reglamento general de protección de datos 2016/679) mencionado por Eldar. Sus requisitos se aplican solo a las personas jurídicas. Estableció reglas uniformes que rigen el procesamiento de datos personales en todos los países de la UE.

En este reglamento se entiende por dato personal cualquier información que permita identificar directa o indirectamente a un individuo. La normativa detalla el procedimiento de tratamiento de los datos personales, la organización de este trabajo, etc. Nosotros, en teoría, no deberíamos ser ni fríos ni calientes con él, porque estos son requisitos para quienes viven y trabajan en Europa. Pero el efecto de este acto legal se extiende fuera de la Unión Europea si el tratamiento de datos personales está asociado a la oferta de bienes y servicios a los residentes de la UE o al seguimiento de sus acciones / comportamientos. Es decir, cualquier tienda online que trabaje para europeos o empresas que ofrezcan, por ejemplo, publicidad personalizada en la UE, deben cuidar de alinear sus actividades con estos estándares y, por tanto, incurrir en ciertos costes.

Según la nueva regulación, las empresas que procesan datos personales deberán denunciar los casos de acceso ilegal a los datos. Además, introduce una responsabilidad grave (multas con muchos ceros o como porcentaje de los ingresos del ejercicio anterior) por incumplimiento de los requisitos de este reglamento.

Probablemente haya notado que recientemente muchos servicios han actualizado sus políticas de seguridad, que incluyen las condiciones para el procesamiento de datos personales. Por ejemplo, desde mediados de mayo, este tipo de cartas han estado frecuentando mi buzón. Estas empresas se estaban preparando para la entrada en vigor del reglamento UE GDPR a partir del 25 de mayo de 2018, y también recibieron el consentimiento obligatorio para el procesamiento de datos personales.

En Europa, como mencioné anteriormente, se permiten las transferencias transfronterizas de datos personales. En este caso, este término significa su transferencia fuera de las fronteras de la UE, ya que el principio de libre circulación de datos personales opera dentro de la UE. Los criterios son muy similares a los de los Estados Unidos: la existencia de un acuerdo, el cumplimiento de ciertos requisitos y una decisión caso por caso.

Tenemos rusia

En Rusia, está en vigor la Ley Federal del 27 de julio de 2006 No. 152-FZ 'Sobre Datos Personales' (enmendada y complementada). Sus requisitos se aplican a las entidades legales y las personas de la Federación de Rusia que procesan datos personales de ciudadanos de nuestro país (es decir, ciudadanos de Rusia y no habitantes de la Tierra). Los datos personales se definen de la misma manera que en la UE: cualquier información relacionada directa o indirectamente con una persona física específica o identificable.

Las multas no son tan elevadas como en Europa y ascienden a un máximo de varias decenas de miles de rublos. Pero la legislación rusa tiene su propia peculiaridad llamada localización de datos personales. Esto significa que los datos personales (por así decirlo, sus originales) deben almacenarse en el territorio de nuestro país, y una copia de trabajo puede estar en cualquier lugar.

Se permite la transferencia transfronteriza de datos personales, pero las condiciones no son tan estrictas. No se requiere ningún acuerdo especial, solo se deben cumplir ciertas condiciones. La decisión sobre la transferencia la toma la persona que procesa los datos personales.

Datos personales y aplicación de la ley

Tienen USA y Europa

Ahora propongo considerar las características del acceso a los datos personales y su transferencia por parte de las autoridades competentes en aras de la seguridad.

En Europa, como ya he mencionado, la directiva 2016/680 está en vigor desde el 6 de mayo de 2018. Introduce requisitos para la protección de datos personales en esta área que son uniformes para todos los países miembros. La UE espera que la unificación reduzca significativamente los costos de material y tiempo del procesamiento de la información. Las nuevas reglas se aplicarán al intercambio de datos personales a nivel nacional, transfronterizo e internacional. La transferencia de dicha información al extranjero solo puede llevarse a cabo sobre la base de una decisión de la Comisión Europea sobre la “adecuación del nivel de protección de los datos personales” en un tercer país o una organización internacional, o en presencia de un acuerdo entre los países.

La “adecuación” del nivel de protección de los datos personales será determinada por la Comisión Europea. De hecho, se trata de un control del cumplimiento de las normas de un tercer país con la práctica legislativa y administrativa de la Unión Europea. El momento más difícil en la implementación de la directiva fue la adaptación de los sistemas informáticos para realizar las funciones de registro y almacenamiento de credenciales sobre los hechos de acceso a datos personales. La mayoría de los países miembros ya han declarado que solo podrán completar la instalación del equipo relevante para 2026.

Estados Unidos ha ido más lejos. En marzo de 2018, aprobaron una ley que aclara la legalidad del uso de datos almacenados en el extranjero, la denominada CLOUD Act (Aclaración del uso legal de datos en el extranjero), que elimina efectivamente los mecanismos existentes para proteger los datos almacenados en el extranjero.

Qué significa eso? La ley permite que las agencias de aplicación de la ley de los EE. UU. Soliciten a las empresas de TI de EE. UU. Los datos de ciudadanos de EE. UU. Almacenados por ellas, independientemente de dónde se encuentre físicamente esta información, y los proveedores de servicios de comunicaciones electrónicas deben transferir estos datos a las agencias autorizadas. Dado que muchas empresas de TI globales están bajo la jurisdicción de los Estados Unidos, las autoridades estadounidenses obtienen acceso a correspondencia, metadatos y cuentas de usuario en todo el mundo.

Por ejemplo, la policía de EE. UU. Puede obligar a Google o Facebook a proporcionar información personal de los usuarios, incluso si está almacenada en Europa. Anteriormente, las agencias de aplicación de la ley solo podían solicitar datos de empresas ubicadas en los Estados Unidos.

Si era necesario obtener información de otro país, entraba en vigencia el sistema de acuerdos de asistencia legal mutua (Tratados de Asistencia Legal Mutua, MLAT). Es bastante engorroso y complejo. El mecanismo de transferencia de datos se rige por la legislación nacional de cada país. El tiempo de procesamiento de una solicitud es de 10 meses en promedio. La mayoría de las veces, cuando se recibe información de otro estado, se vuelve irrelevante.

La razón inmediata para el desarrollo de la nueva ley fue la demanda Microsoft contra el gobierno de Estados Unidos.

En 2013, durante una investigación sobre un esquema de tráfico de drogas, el FBI emitió Microsoft una orden judicial para ver la correspondencia de uno de los usuarios. Era ciudadano estadounidense, pero la correspondencia se almacenaba en servidores en Irlanda. Este usuario especificó Irlanda como su ubicación, y la política Microsoft era mantener la información lo más cerca posible de la ubicación del usuario. El FBI se negó a divulgar los datos, citando el hecho de que estaba en contra de las leyes de Irlanda. Por lo tanto, los representantes de la empresa sugirieron que el FBI solicite permiso a las autoridades irlandesas.

Fue en este momento cuando se publicaron las revelaciones de E. Snowden. Los ciudadanos empezaron a sospechar que el gobierno de Estados Unidos los estaba espiando a través de empresas de Internet. Esta pregunta preocupó especialmente a los usuarios extranjeros. Por lo tanto, Microsoft permitió a los clientes gubernamentales y corporativos elegir en qué país les gustaría almacenar su información.

El caso ya llegó a la Corte Suprema de Estados Unidos, pero luego de la adopción de la Ley CLOUD, las partes acordaron que las autoridades reformularan sus requisitos bajo la nueva ley y recibieran prontamente los datos necesarios, y la empresa retira todas las protestas. Todos estaban contentos (especialmente los jueces de la Corte Suprema, porque no tenían que resolver este incomprensible caso).

Tenemos rusia

¿Y Rusia? En nuestro país, la recepción de información del exterior se rige por acuerdos de asistencia judicial recíproca u otros acuerdos intergubernamentales similares. Existe en la ley de datos personales el requisito ya mencionado para su localización, existe una ley que prohíbe la colocación de sistemas de TI estatales fuera del país, así como el famoso 'paquete Yarovaya'. Estos actos legales reglamentarios permiten garantizar la seguridad de los datos personales, su procesamiento en el territorio de Rusia y, si es necesario, proporcionar acceso a ellos a las autoridades competentes rusas.

En cuanto al acceso a datos personales en aras de la seguridad, estas decisiones estaban justificadas. Creo que puede imaginarse cómo responden las empresas extranjeras a las solicitudes de las fuerzas del orden rusas para proporcionar los datos necesarios. Por ejemplo, según las estadísticas del servicio postal Gmail de enero a junio de 2017, las autoridades de EE. UU. Solicitaron a Google que divulgara los datos del usuario 16823 veces y recibieron los datos más de 13500 veces (81% de los casos). Durante el mismo período, Rusia contactó a Gmail 318 veces y recibió algunos datos solo un poco más de 30 veces (10% de los casos).

Conclusión

Breve resumen:

• Los datos personales en muchos países del mundo están cuidadosamente protegidos por la ley. Pero estas medidas, lamentablemente, no reducen el número de 'filtraciones' / 'filtraciones' de bases de datos personales;
• los requisitos para garantizar la seguridad de los datos personales son una herramienta eficaz para aumentar el gasto en el sector de las tecnologías de la información;
• si vive en Rusia y su actividad no está relacionada con ofrecer bienes y servicios a residentes de la UE o monitorear sus acciones / comportamiento en Internet, entonces los requisitos del GDPR no se aplicarán en su caso;
• La implementación del paquete Yarovaya puede generar ciertos problemas legales para los operadores de telecomunicaciones rusos, porque el conjunto de información almacenada de alguna manera obtendrá información sobre los residentes de la UE, sin su consentimiento explícito. Esto, a su vez, es una violación de la regulación GDPR y puede dar lugar a multas graves;
• En aras de la seguridad, Estados Unidos vuelve a hacer lo que les conviene con respecto al acceso a los datos personales, sin preocuparse en absoluto por el resto del mundo. El efecto extraterritorial de la ley estadounidense puede ultrajar incluso a los aliados tradicionales;
• Bueno, y lo más importante, ¿qué debería hacer una persona común? Si es un ciudadano respetuoso de la ley, lo más probable es que no tenga nada que ocultar. En este caso, todas las leyes descritas no afectan sus actividades diarias. Si necesitas ocultar algo, creo que sabes sin mi consejo qué hacer y cómo hacerlo. Por si acaso, permítame recordarle las cosas básicas. Es aconsejable almacenar toda la información necesaria en una computadora autónoma, que nunca, bajo ninguna circunstancia, ni siquiera indirectamente ha estado y no estará conectada a Internet, y en las actividades cotidianas utilizar no un teléfono inteligente, sino un simple teléfono de botón y un cuaderno de papel. Todos los demás que se encuentran entre estos dos extremos solo deben conocer y tener en cuenta los matices mencionados del procesamiento de datos personales. Además, le recomiendo encarecidamente que lea atentamente los acuerdos de protección de datos con los que siempre está de acuerdo (marque esta casilla) durante el proceso de registro para un servicio en particular.
• obviamente, con el tiempo, Europa seguirá el camino de los Estados Unidos, y las fuerzas del orden de la UE también recibirán un acceso simplificado a los datos personales. A su vez, para aquellas personas que tengan algo que esconder, se ampliarán propuestas para cambiar sus datos personales, su 'autonomización', etc. Por ejemplo, ya existen servicios que, imperceptiblemente para el ojo humano, intercambian uno o dos píxeles en determinados bloques de una foto para que el reconocimiento automático no pueda identificar a una persona.

PD Este tema es importante porque necesita comprender cómo y quién puede utilizar sus datos personales. Espero que el artículo haya sido útil.

Escribe en los comentarios si temes por la seguridad de tus datos personales y ¿lees los acuerdos sobre su protección al registrarte en servicios online o en organizaciones offline (bancos, centros médicos, compañías de seguros)?

Ivan Alexandrov

Volver al contenido >>>