Introduzione
La protezione dei dati personali in Russia è un settore dell’ordinamento relativamente recente, composto di norme per lo più emanate nel corso degli anni 2005 e 2006, successivamente rivisitate.
La legge federale russa sui dati personali (n. 152-FZ), approvata il 27 luglio 2006, costituisce la struttura portante delle leggi in materia ed impone a coloro che trattano i dati personali di adottare “tutte le misure organizzative e tecniche necessarie per proteggere i dati personali da illeciti o accesso accidentale“.
Tutte le persone giuridiche e/o le persone che, indipendentemente o in cooperazione con gli altri, organizzano e/o trattano dati personali di cittadini russi in Russia, nonché ne determinano le finalità e l’ambito del trattamento devono rispettare i requisiti previsti dalla suddetta legge. Ai sensi della Legge, un Operatore deve rispettare i requisiti tecnici e di sicurezza, i requisiti amministrativi e organizzativi, nonché i requisiti di localizzazione dei Dati Personali.
Il controllo sulla conformità degli Operatori ai requisiti della Legge è effettuato dal Servizio Federale per la Supervisione delle Comunicazioni, delle Tecnologie dell’informazione e dei Mass Media (“Roskomnadzor”) il quale, tra l’altro, in forza di una decisione emessa da parte di un tribunale russo, ha il diritto di bloccare qualsiasi accesso alle risorse internet (siti internet) gestite dagli Operatori in violazione alle disposizioni di legge Il sito internet dell’Autorità è raggiungibile al seguente indirizzo: http://eng.rkn.gov.ru/).
Salvo alcune eccezioni, gli Operatori sono obbligati a notificare a Roskomnadzor l’inizio dell’attività di elaborazione di Dati Personali.
Gli Operatori che operano in violazione alla legislazione russa sui Dati Personali sono soggetti alla responsabilità amministrativa, civile e penale
Fonti normative
Le principali fonti normative sono rappresentate da:
1. la Costituzione della Federazione Russa (adottata il 12 dicembre 1993). La Costituzione della Federazione Russa stabilisce il diritto alla privacy, compresa la privacy della corrispondenza e del telefono e altre comunicazioni, per ogni individuo (art. 23) e vieta la raccolta, la conservazione, utilizzo e diffusione delle informazioni sulla vita privata di un individuo senza la sua consenso (art. 24);
2. il “Codice russo sulle infrazioni amministrative” approvato con Legge Federale del 30 dicembre 2001 n. 195-FZ. Limitatamente alla parte in cui regola la responsabilità per le violazioni amministrative commesse in relazione al trattamento dei dati personali od alla distribuzione di comunicazioni di marketing.
3. il Codice del Lavoro della Federazione Russa adottato con Legge Federale n. 197-FZ del dicembre 2001 (modificato il 21 giugno 2012);
4. la Legge Federale n. 67-FZ del 12 giugno 2002, sulle garanzie di base dei diritti elettorali e il diritto dei cittadini della Federazione Russa di partecipare a un referendum;
5. la Legge Federale n. 99-FZ del 7 maggio 2005, sulla modifica di alcuni atti legislativi della Federazione Russa in merito all’adozione della legge federale “Sulla ratifica della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale“;
6. Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale N. 108 del 1981(https://www.coe.int/it/web/conventions/full-list/-/conventions/treaty/108), ratificata con la Legge Federale n. 160-F del 19 dicembre 2005 “Sulla ratifica della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale“;
7. la Legge Federale “sulla pubblicità” del 13 marzo 2006 n. 38-FZ. Essa contiene la regolamentazione delle comunicazioni di marketing inviate, tra l’altro, con mezzi elettronici tra cui e-mail, SMS ecc .;
8. La Legge Federale n. 149-FZ del 27 luglio 2006, sull’informazione, l’informatica e la protezione delle informazioni (modificata il 21 luglio 2011);
9. la Legge della Federazione Russa ” Sui Dati personali” n. 152-FZ del 27 luglio 2006, che regola le attività relative al trattamento di dati personali da parte di enti governativi statali federali, organi governativi statali di entità costituenti della Federazione Russa e altri organi statali, da enti governativi locali, da persone giuridiche e persone fisiche, sia automaticamente, anche nelle reti di telecomunicazione dei dati, sia manualmente, a condizione che il trattamento manuale dei dati sia per sua natura simile al trattamento automatico dei dati. L’obiettivo della legge federale è quello di garantire la protezione dei diritti e delle libertà della persona e del cittadino nel trattamento dei propri dati personali, compresa la protezione dei diritti all’inviolabilità della vita privata, dei segreti personali e familiari (art. 2);
10. il “Regolamento in materia di protezione dei dati personali in corso di elaborazione nei sistemi di dati personali” emanato dal Governo russo con provvedimento del 17 novembre 2007 n. 781;
11. la Legge Federale n. 63-FZ del 6 aprile 2011, sulla firma elettronica.
Disposizioni specifiche relative alla protezione dei dati in determinati settori sono contenute, ad esempio, nella Legge Federale n. 126-FZ “sulla comunicazione”, nel codice dell’aria della Federazione Russa (art. 85.1), nella Legge Federale n. 395-1-FZ sulle banche e Attività bancaria, nella Legge Federale n. 323-FZ sui fondamenti della protezione della salute dei cittadini nella Federazione Russa, nella Legge Federale n. 79-FZ sullo stato della Funzione pubblica nella Federazione Russa, ecc
Terminologia utilizzata
1) “dato personale“: qualsiasi informazione direttamente o indirettamente relativa a una persona fisica definita o in corso di definizione (interessato);
2) “operatore“: un ente governativo, un ente comunale, una persona giuridica o una persona fisica che da solo o congiuntamente con altre persone organizza e / o realizza il trattamento dei dati personali e definisce anche le finalità del trattamento dei dati personali, la composizione dei dati personali che sono soggetti al trattamento e le azioni (operazioni) che coinvolgono dati personali;
3) “trattamento di dati personali“: qualsiasi azione (operazione) o una serie di azioni (operazioni) realizzate mediante strutture di automazione o senza strutture come quelle che coinvolgono dati personali, inclusi raccolta, registrazione, sistematizzazione, accumulare, conservare, aggiornare (rinnovare e alterare), recuperare, utilizzare, trasmettere (diffondere, fornire e accedere), depersonalisina g, blocco, cancellazione e distruzione di dati personali;
4) “trattamento automatizzato di dati personali“, il trattamento di dati personali tramite computer;
5) “diffusione di dati personali”, azioni intese a divulgare dati personali a un gruppo illimitato di persone;
6) “fornitura di dati personali”: azioni intese a divulgare dati personali a una determinata persona o un determinato gruppo di persone;
7) “blocco dei dati personali”: l’interruzione temporanea del trattamento dei dati personali (tranne nei casi in cui è necessario il trattamento per adeguare i dati personali);
8) “distruzione dei dati personali”: azioni che comportano l’impossibilità di ripristinare il contenuto dei dati personali in un sistema informativo dedicato ai dati personali e / o nella distruzione dei media dei materiali di dati personali;
9) ” spersonalizzazione dei dati personali “: azioni che comportano l’impossibilità di identificare – senza l’uso di informazioni aggiuntive n – l’appartenenza dei dati personali a una specifica persona interessata;
10) “sistemi di informazione dedicati ai dati personali”: la combinazione dei dati personali contenuti nelle banche dati e le tecnologie dell’informazione e l’hardware che consentono di elaborarli;
11) “flusso transfrontaliero di dati personali “, ovvero l’invio di dati personali nel territorio di uno stato straniero a un ente governativo di uno stato straniero, a una persona fisica straniera o a una persona giuridica straniera.
Principi del trattamento
1.I dati personali sono trattati in modo lecito e secondo correttezza;
2 I dati personali sono elaborati nell’ambito di scopi specificati, prestabiliti e leciti. È vietato il trattamento di dati personali se tale trattamento è incompatibile con le finalità della raccolta di dati personali;
3. È vietato raggruppare banche dati contenenti i dati personali il cui trattamento è effettuato a fini reciprocamente incompatibili;
4. Il trattamento comprende solo i dati personali che soddisfano gli scopi previsti del loro trattamento.;
5. Il contenuto e la portata dei dati personali trattati devono corrispondere agli scopi dichiarati del trattamento. I dati personali trattati non devono essere eccessivi rispetto alle finalità dichiarate del loro trattamento;
6. Quando i dati personali vengono elaborati, si garantisce la correttezza dei dati personali, la loro sufficienza e, ove necessario, anche la fattibilità in relazione alle finalità di trattamento dei dati personali. L’operatore deve adottare le misure necessarie o assicurarsi che vengano prese per eliminare o aggiornare i dati incompleti o inesatti;
7. I dati personali devono essere archiviati in una forma che consenta di identificare l’oggetto dei dati personali per un termine non superiore a quello richiesto ai fini del trattamento dei dati personali, a meno che una legge federale non stabilisca un termine di archiviazione per i dati personali, un contratto di cui l’interessato è beneficiario o fideiussore. I dati personali trattati saranno distrutti o spersonalizzati quando vengono raggiunti gli scopi del trattamento o se si perde la necessità di raggiungere tali scopi, salvo quanto diversamente stabilito da una legge federale.