La protezione dei dati personali in Russia, anche detti personally identifiable information (PII), ricade all’interno della Legge Federale n. 152 “PD law”, adottata nel 2005, a seguito della ratifica della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del Consiglio d’Europa del 1981.
L’approccio della regolamentazione russa è simile a quello adottato dalla disciplina europea in materia di protezione dei dati personali all’interno della precedente Direttiva 95/46/CE e si concentra sull’implementazione di strumenti nazionali ed internazionali a protezione dei dati degli individui interessati. Dall’altro lato, tuttavia, è rilevante notare l’indubbia ispirazione alla disciplina attuale del Regolamento europeo 2016/679 GDPR ed in particolare, l’enfasi sulle misure tecniche (“IT measures”) previste al fine di assicurare un’adeguata protezione dei dati personali.
L’aspetto maggiormente peculiare – che di seguito sarà approfondito – è che la Legge federale non è l’unica disciplina in materia di PII: difatti, la stessa deve essere letta in combinato disposto con quanto stabilito dal set di regolamentazioni emanate dalle Autorità governative e non russe in materia di requisiti tecnici e legali per la protezione dei dati. Tali discipline sono oggetto di continua riforma, a seconda dello stato di avanzamento e sviluppo tecnologico, e ciò comporta un’evoluzione incessante del quadro giuridico in materia di privacy. Le principali Autorità a cui si fa riferimento sono: Federal Service for Communications, Information Technology and Mass Communications Supervision (Roskomnadzor); the Federal Service for Technical and Export Control (FSTEK); e la Federal Security Service (FSS).
L’ambito di applicazione della disciplina russa sulla protezione dei dati
L’ambito di applicazione della PD law è definito dall’art. 1 della Legge: questo esclude espressamente l’applicabilità della disciplina a qualsiasi trattamento di dati connesso alla tenuta dei registri, all’uso di dati personali contenuti nel Fondo archivistico della Federazione russa, ai segreti di Stato, nonché a qualsiasi trattamento relativo alle attività dei tribunali russi.
Inoltre, la PD law non disciplina i trattamenti che vengono posti in essere da persone fisiche esclusivamente per esigenze personali e familiari, a meno che tali azioni violino i diritti di altre persone. In tutti gli altri casi, la legge si applica a tutte le organizzazioni che raccolgono dati personali in Russia, indipendentemente dal loro settore o area di attività. È prassi piuttosto comune adottare delle norme sui trattamenti di dati – anche dette regole “standardizzate” -, in alcuni settori e in conformità con le caratteristiche ed esigenze degli stessi, quali ad esempio il settore bancario o quello delle organizzazioni farmaceutiche.
Difatti – come dapprima anticipato – la protezione dei dati personali è coperta da più discipline specifiche, che ad ogni modo, sono basate sui principi cardine stabiliti dalla PD Law. A titolo esemplificativo, si riportano i settori e le relative regolamentazioni:
- la protezione dei dati dei pazienti (comprese le cartelle cliniche elettroniche) è regolata dalla legge federale n. 323 sui fondamenti di protezione della salute dei cittadini nella Federazione russa (2011);
- il trattamento dei dati personali (comprese le informazioni concernenti il credito degli interessati) da parte delle banche e dei segreti bancari è disciplinato dalla legge federale n. 395-1 sulle banche (1990) e dalla Legge federale n. 218 sulle storie di credito (2004);
- i principi del trattamento dei dati da parte di notai e avvocati sono stabiliti nei Fondamenti della legislazione della Federazione Russa sul notaio (1993) e nella legge federale n. 63-FZ sull’attività degli avvocati nella Federazione Russa (2002);
- il Codice sul lavoro, il Codice sulla famiglia, il Codice della Federazione russa, oltre che la legge federale n. 98-FZ sui segreti commerciali e altre leggi, disciplinano altresì il trattamento di diverse tipologie di dati personali.
I ruoli privacy
Altro aspetto interessante e differente rispetto al GDPR concerne i ruoli privacy e la terminologia utilizzata. Difatti, la PD Law non utilizza i termini “titolari del trattamento dei dati” o “responsabili del trattamento dei dati”. Al contrario, la legge PD distingue tra data operators, traducibile in “gestore di dati” e terzi che agiscono sulla scorta delle istruzioni di un operatore di dati third parties acting on an instruction of a data operator.
Ad esempio, una società è qualificata come gestore di dati se organizza o svolge (da sola o con altri operatori) il trattamento dei dati personali e, soprattutto, nei casi in cui determina la finalità, il contenuto e le modalità del trattamento dei dati personali.
Ai sensi dell’articolo 6 della PD law, il gestore dei dati può assegnare o delegare le operazioni di trattamento dei dati a terzi. Questi agiranno su istruzione dell’operatore e non necessitano l’ottenimento del consenso dell’individuo per trattare i dati, se questi agiscono nello stesso ambito di applicazione consentito dalle istruzioni del gestore.
Il gestore dei dati è colui che deve garantire che siano ottenuti tutti i consensi necessari da parte dei soggetti interessati per le operazioni di trattamento. Per quanto concerne, invece, tutti gli altri requisiti in materia di trattamento dei dati ai sensi della PD Law sono ugualmente senza dubbio applicabili sia ai gestori dei dati sia ai terzi che agiscono secondo le loro istruzioni.
Considerati i ruoli privacy e le loro caratteristiche, si può concludere pertanto che il ruolo del “gestore dei dati” sia paragonabile a quello del titolare del trattamento e quello della “terza parte” al responsabile.
Le Autorità per la protezione dei dati
L’Autorità federale garante per la protezione dei dati è la Roskomnadzor.
Roskomnadzor è l’organo predisposto all’interpretazione e al controllo sul rispetto delle disposizioni della PD law. Il portale in uso si trova all’URL www.pd.rkn.gov.ru., al cui interno sono pubblicati i pareri concernenti le varie procedure per la protezione dei dati, riportanti altresì le violazioni che vengono rilevate durante le ispezioni.
Difatti, il compito principale della Roskomnadzor è quello di ispezionare le attività di trattamento dei dati svolte dai gestori che raccolgono dati personali. Qualora si riscontri una violazione di norme sulla protezione dei dati, l’Autorità ha il potere di ordinare la cessazione della stessa. Le ispezioni della Roskomnadzor possono essere programmate o straordinarie (ad esempio, a seguito della ricezione di un reclamo da parte di un soggetto interessato): nel corso delle stesse, l’Autorità può esaminare e richiedere i documenti di un gestore che descrivono le attività di trattamento dei dati e ispezionare i sistemi di informazione utilizzati per l’elaborazione dei dati. La procedura relativa alle ispezioni è aggiornata al 2019: a seguito dell’ispezione, l’Autorità garante russa trasmette i risultati alle Autorità giudiziarie amministrative, che possono emettere l’irrogazione di sanzioni amministrative per le violazioni.
Per svolgere l’attività di controllo in modo efficiente, Roskomnadzor mantiene due principali registri statali in materia di privacy dei dati: un registro dei gestori di dati e un registro dei gestori di dati che abbiano commesso una violazione in materia di protezione dei dati personali.
Un’altra autorità è la FSTEK. FSTEK è responsabile dell’elaborazione di regolamenti tecnici sul trattamento dei dati, compresi i requisiti per i sistemi informatici utilizzati nel trattamento e le misure necessarie per il legittimo trasferimento dei dati. In alcuni casi, FSTEK è coinvolta nelle ispezioni effettuate dalla Roskomnadzor. L’autorità pubblica sul suo sito web www.fstec.ru documenti di lavoro, pareri e interpretazioni della PD law relativi alla protezione tecnica dei dati personali.
Le violazioni dei dati e le responsabilità derivanti
Da ultimo, è interessante compiere altresì un accenno alla disciplina sulla violazione dei dati personali. Ai sensi dell’articolo 24 della Costituzione russa, è vietato raccogliere, conservare, utilizzare e diffondere informazioni sulla vita privata di qualsiasi persona senza il suo consenso. In linea con il diritto fondamentale costituzionalmente tutelato, la PD law prevede che in caso di violazione, i soggetti responsabili ne risponderanno in sede civile, amministrativa e/o penale.
Difatti, ai sensi dell’art. 13.11. del Codice amministrativo della Federazione russa, un gestore di dati commette violazione nei casi in cui:
- è compiuto un trattamento dei dati senza il consenso scritto dell’interessato;
- non vi sia stata la pubblicazione della privacy policy sul sito web;
- manchi comunicazione delle informazioni relative al trattamento dei propri dati, con multe per un reato fino a 75.000 rubli.
Nel dicembre 2019, l’articolo 13.11 in questione è stato integrato con sanzioni molto più severe: le persone giuridiche possono essere soggette a multe da 6 milioni fino 18 milioni di rubli. Si aggiunge una multa altrettanto elevata nel caso in cui si risponda del mancato o tardivo deposito ad un ente governativo delle informazioni necessarie sulle attività di trattamento dei dati.
Il Codice penale della Federazione russa configura un reato per la raccolta o la diffusione illecita di dati personali che costituiscono un segreto personale o di famiglia senza il consenso di tale persona, nonché per la diffusione pubblica di tali dati. Tali reati sono punibili con multe fino a 200.000 rubli, e nei casi più gravi con la reclusione per un periodo fino a due anni con squalifica fino a tre anni. L’accesso illegittimo a strutture informatiche che contengono dati e dal quale ne deriva la distruzione, il blocco, la modifica o la copia di dati personali è in determinati casi punito non solo con il pagamento di una sanzione pecuniaria, ma altresì fino a sette anni di reclusione.
