La Duma del Estado ha decidido sanciones para los vendedores por discriminación contra los compradores que no quieren compartir sus datos personales al pagar bienes y servicios. A principios de mayo, el presidente Vladimir Putin firmó enmiendas a la ley «Sobre la protección de los derechos del consumidor», que establecen la prohibición correspondiente para comerciantes, artistas y propietarios de agregadores (cuando se trata de compras en línea). Izvestia discutió los matices de la innovación junto con expertos.
Penalización por preguntas extra
Obligar a un consumidor a proporcionar datos personales (PD) bajo la amenaza de rechazo en una transacción a partir del 1 de septiembre será castigado con el rublo. Para los infractores del art. 16 en la Ley «Sobre la Protección de los Derechos del Consumidor» comenzará a aplicar multas significativas: para funcionarios, de 5 a 10 mil rublos, para personas jurídicas, de 30 a 50 mil rublos.
El cambio en el campo legal es un intento de resistir la recopilación forzada e irrazonable de datos sobre los rusos. Este fenómeno se está convirtiendo en un problema real con consecuencias poco predecibles, pero definitivamente negativas.
“El proyecto de ley fue desarrollado con el fin de suprimir conductas desleales en el mercado de consumo, incluyendo la expresada en la recolección forzada o irrazonable de datos personales de los consumidores para fines no relacionados con la celebración o ejecución de un contrato”, la nota explicativa del paquete de enmiendas dice. Los legisladores también se guían por la resolución de la Asamblea General de la ONU del 22 de diciembre de 2015 y otros documentos internacionales que enfatizan la importancia de proteger la información personal y obtener el consentimiento para la recopilación de dicha información.
Fuga tras fuga
El conocimiento excesivo de las empresas privadas acerca de sus clientes se convierte en la base para que los ciberdelincuentes y personas no autorizadas entreguen conjuntos de datos sobre personas. Y en las condiciones de confrontación militar, dichos archivos pueden ser de importancia crítica, incluso para la seguridad nacional y económica.
“Recientemente, hemos visto una gran cantidad de incidentes relacionados con la fuga de DP”, señala Fedor Dbar, director comercial de la empresa Security Code. – A primera vista, la frase «datos personales» suena inofensiva, porque parece que a nadie le importan los pedidos de comida o ropa de una persona en particular. Sin embargo, esta es información crítica, especialmente en grandes volúmenes, y más aún a escala nacional. La fuga de datos puede tener consecuencias extremadamente negativas no para una persona, sino para categorías enteras de la población. Es obvio que ahora las empresas no prestan la debida atención al tema de la protección de los datos personales, de lo contrario no habría filtraciones. Por lo que endurecer la ley y reforzar los requisitos en cuanto a su cumplimiento es un paso absolutamente lógico.
La práctica muestra que no existen mecanismos efectivos para protegerse contra las fugas de bases de datos por parte de las estructuras comerciales. Se habla mucho de seguridad, pero una serie de escándalos con filtraciones a la Red de información sobre rusos, incluidos nombres, lugares de residencia, números de teléfono, aparecen regularmente en la Web. A menudo, los datos salen de organizaciones que, en función de sus actividades, ni siquiera necesitan saber los nombres de sus clientes. Recientemente, la información personal sobre los usuarios de Delivery Club, Yandex Food, SDEK, Avito, Wildberries, Beeline se ha hecho pública.
Matices de la ley.
A pedido de Izvestia, los expertos descubrieron qué enmiendas son nuevas y cómo funcionarán las sanciones contra sus infractores. Según la abogada de DRC Nikita Istomin, una situación típica de violación de la ley adoptada ocurre cuando el operador de PD requiere el suministro de información redundante para cumplir el contrato con el consumidor. Sin embargo, hay una serie de matices por los cuales la curiosidad de los vendedores seguirá siendo legal. En particular, los cuestionarios, también conocidos como elaboración de perfiles, tienen un significado diferente en el contexto de la protección de la información personal.
“En sí mismo, el procesamiento de PD con el fin de celebrar o ejecutar un contrato no es una violación siempre que la cantidad de PD procesada corresponda a este propósito”, dice el experto. – Esto significa que el vendedor no será responsable si cobra el mínimo requerido, por regla general, incluye el apellido, nombre, información de pago, dirección de entrega, información de contacto.
La nueva prohibición tampoco se aplica a promociones, tarjetas de descuento y programas de bonificación.
— En la industria minorista, la práctica común establecida desde hace mucho tiempo de procesar datos personales para tales fines se produce a través de un consentimiento por separado, lo que no constituye una violación del proyecto de ley adoptado. Las acciones en sí mismas, las tarjetas de descuento y los programas de bonificación no son un acuerdo de compraventa minorista, señala Istomin.
En virtud de la ley, hay entidades comerciales que, les guste o no, tendrán que contar de sí mismas un poco más de lo que les gustaría.
– Por regla general, esto se aplica a los servicios en actividades con licencia (medicina, comunicaciones, servicios financieros), donde se pueden requerir documentos adicionales del sujeto de los datos personales, no debido al hecho de que este es el deseo del operador de PD y el vendedor, sino también los requisitos del regulador , cuyo incumplimiento está plagado de multas en virtud de otros artículos del Código de Infracciones Administrativas, suspensión y revocación de licencias, inspecciones
Aliya Altynbayeva, miembro del Colegio de Abogados de Rusia, señaló que hay ciertos tipos de bienes que requieren la divulgación de datos adicionales según su valor. Por ejemplo, al vender joyas por un monto de 40 mil rublos. Además, existen condiciones técnicas para la adquisición, bajo las cuales la transferencia de datos específicos sobre el comprador es inevitable, señala el miembro de la AUR.
— Por ejemplo, un cliente realiza un pedido de un producto a través de Internet y debe proporcionar una dirección de entrega y sus datos personales, o compra una entrada electrónica para el teatro y deja su dirección de correo electrónico. No hay una lista específica de casos en los que se necesiten datos personales para cumplir el contrato, aclara el abogado.
¿Qué es exactamente lo que protegemos?
Por ley, los datos personales son cualquier información relacionada con un individuo por la cual ese individuo puede ser identificado.
Por ejemplo, el nombre y el número de teléfono, los detalles del pasaporte, la dirección IP, la geolocalización, la dirección de correo electrónico, etc., recordó la abogada Aliya Altynbayeva. Su colega Nikita Istomin al mismo tiempo llama la atención sobre el hecho de que, de acuerdo con la legislación rusa y europea, el término «datos personales» en sí mismo es bastante amplio: cualquier información relacionada «a una persona física identificable o identificada directa o indirectamente».
— Por este motivo, con bastante frecuencia se dan situaciones en las que los datos de una persona física pueden no ser considerados personales. Un ejemplo sencillo: no se considera como tal un solo nombre o un solo apellido. Es un poco más difícil con las direcciones de correo electrónico, ya depende de si es una dirección de correo electrónico personal o de trabajo, si la dirección en sí contiene un nombre y (o) apellido, explica el abogado.
Derecho a salir de las listas
Aliya Altynbaeva recuerda que un ciudadano no está obligado a proporcionar sus datos personales, y si ya ha firmado dicho consentimiento, tiene derecho a retirarlo.
– Las nuevas reglas de 2022 establecen que cualquier dato sobre una persona publicado por él en Internet puede transferirse solo con su consentimiento. Al mismo tiempo, el silencio no significa que una persona esté de acuerdo con la transferencia de datos personales, señala el abogado.
Agregó que se le puede solicitar al comprador que explique el motivo por el cual se requieren datos personales o por qué se solicita cierta información.
– Entonces el vendedor deberá, dentro de los siete días, justificar la cantidad de información solicitada en el mismo formulario en que recibió la solicitud. Si el comprador aplica personalmente, la respuesta debe darse de inmediato, enfatiza el especialista.
Cómo funcionará el control
La práctica administrativa para preguntas innecesarias al vender bienes aún no se ha formado, pero el regulador principal ya ha sido determinado por ley.
– Es recomendable reclamar a Rospotrebnadzor, ya que el art. 14.8 del Código de Infracciones Administrativas cae bajo su jurisdicción, y Roskomnadzor, que es la autoridad supervisora para la protección de datos personales, – explicó el abogado Istomin.
Según Aliya Altynbayeva, además de las estructuras mencionadas, el Servicio Federal de Control Técnico y de Exportaciones también lleva a cabo la seguridad y el cumplimiento de la ley sobre datos personales, además, el FSB y la oficina del fiscal pueden unirse a los controles.