El escándalo con la filtración de datos de licencias de conducir a través del bot de Telegram retumbó en toda Ucrania. Las sospechas inicialmente recayeron sobre la aplicación de los servicios públicos "І", pero la participación de la aplicación en este incidente fue rápidamente denegada. Las preguntas de la serie "quién y cómo fusionó los datos" serán confiadas al estado en la persona de la policía ucraniana, el Servicio de Seguridad de Ucrania y expertos técnicos en computación, pero la cuestión del cumplimiento de nuestra legislación sobre protección de datos personales con las realidades de la era digital fue considerada por el autor de la publicación Vyacheslav Ustimenko, consultor del bufete de abogados Icon Partners.
Ucrania aspira a la UE, y esto implica la adopción de estándares europeos para la protección de datos personales.
Simulemos un caso e imaginemos que una organización sin fines de lucro de la UE filtró la misma cantidad de datos de licencias de conducir, y este hecho fue establecido por las agencias policiales locales.
En la UE, a diferencia de Ucrania, existe un reglamento sobre la protección de datos personales: GDPR.
La fuga indica una violación de los principios descritos en:
- Artículo 25 GDPR Protección de datos personales proyectada y por defecto;
- Artículo 32 GDPR. Seguridad de procesamiento;
- Artículo 5 párrafo 1.f del RGPD. Principio de integridad y confidencialidad.
En la UE, las multas por infracción del RGPD se calculan individualmente, en la práctica, habrían sido multadas con más de 200.000 euros.
¿Qué debería cambiarse en Ucrania?
La práctica adquirida en el proceso de soporte de TI y negocios en línea tanto en Ucrania como en el extranjero ha demostrado los problemas y logros del GDPR.
A continuación se presentan seis cambios que deberían introducirse en la legislación de Ucrania.
# Adaptar el marco legislativo para la era digital
Desde la firma del Acuerdo de Asociación con la UE, Ucrania ha estado desarrollando una nueva legislación sobre protección de datos y el RGPD se ha convertido en una estrella guía.
La aprobación de la ley de protección de datos personales no fue fácil. Parece que hay un “esqueleto” en forma de reglamento GDPR y solo es necesario aumentar la “carne” (ajustar las normas), pero hay muchas cuestiones controvertidas, tanto desde el punto de vista de la práctica como de la ley.
Por ejemplo:
- si los datos públicos se considerarán personales,
- si la ley se aplicará a los organismos encargados de hacer cumplir la ley,
- cuál es la responsabilidad por la infracción de la ley, el monto de las multas será comparable a las europeas, etc.
El punto clave es que debe adaptar la legislación, no copiar el GDPR. Todavía hay muchos problemas sin resolver en Ucrania que no son inherentes a los países de la UE.
# Unificar terminología
Definir qué son datos personales, información confidencial. La Constitución de Ucrania, artículo 32, prohíbe el procesamiento de información confidencial. La definición de información confidencial está contenida en al menos veinte leyes.
Citas del original en ucraniano aquí
- іі іі, і, і , ііі , ’, , і (.2 . 11 ї « іі»);
- іі і (.8 . 6 ї « і і їі»);
- іі , і і (.10 ї « »);
- і і, і і (. 16 ї « ї »);
- іі, і , є (.10 . 7 ї « іі і, і »);
- іі іі , іі іі (), іє іі і і , іі і і і, ії ії (.3 . 53 ї « і »);
- іі і і, і і ї (.1 . 98 ї « ' і »);
- іі -і і- і і, і ї (. 895 і ї)
- іі ііії і є і (. 3 . 62 ї « і»);
- іі (. 7 ї »);
іі і і (. 31 ї « і» іі і , і); - і і ( .19 ї « і і і»);
- іі, і і і іі і , : і (і', і, і) і і; і і і і , і і і і ’, ї , ііі і (); єіі і (. 7 ї « і»).
- і і і і ( . 15 ї « і, і і і»);
- і ії ї єі , (. 23 ї « »);
- і і , і (. 10 ї « іі і і»);
- і і і і і і (і і), і єі, є ііє . (.10 .16 ї « і і ");
- іі, є ї і і, і ї (.1 . 263 ї);
- іі, і і єі і (.8 . 9 ї « іі »);
# Aléjese de los conceptos evaluativos
Hay muchos conceptos evaluativos en el GDPR. Los conceptos evaluativos en un país sin jurisprudencia (es decir, Ucrania) son más un espacio para “evitar responsabilidades” que un beneficio para la población y el país en su conjunto.
# Introducir el concepto de DPO
Data Protection Officer (DPO): un experto independiente en protección de datos. La legislación debe regular de forma clara y sin conceptos evaluativos la necesidad de la designación obligatoria de un experto para el cargo de DPD. Cómo lo hacen en la Unión Europea está escrito aquí .
# Determinar el nivel de responsabilidad por violación en el campo de los datos personales, diferenciar las sanciones en función del tamaño (beneficio) de la empresa.
- 34
, « » “ , ”. 34,000 . - 20
GDPR – 20,000,000 , 4% . 50 , , Google.
- 114
GDPR 2- 114 . - .
Marriott International British Airways , , , Google . , 366 .
, . , , .
18 3 , , .
, 61,000 .
, , 1000 .
1000 .
# La felicidad no está en multas
“Quien quiera saber de mí, y así lo sabrá, a pesar de la ley” - desafortunadamente, muchas personas en Ucrania y los países de la CEI dicen esto.
Pero cada vez menos personas creen en la idea errónea de “robarán una foto de pasaporte y tomarán un préstamo a mi nombre”, porque incluso con el original del pasaporte de otra persona en sus manos, es legalmente imposible hacer esto.
Las personas se dividen en 2 campamentos:
- Los “paranoicos” que creen en la religión de los datos personales piensan antes de marcar la casilla y aceptar el tratamiento de los datos.
- “Aquellos a los que no les importa”, o personas que automáticamente fusionan sus datos personales en la red, no piensan en las consecuencias. Y luego se roban sus tarjetas de crédito, se firman para pagos recurrentes, se quitan las cuentas en los mensajeros, se piratean los correos o se eliminan las criptomonedas de la billetera.
Libertad y democracia
La protección de datos personales trata sobre la libertad de elección de una persona, la cultura de la sociedad y la democracia. Es más fácil administrar una sociedad con más datos, puede predecir la elección de una persona, empujar a la acción deseada. Es difícil para una persona actuar como quiere si está siendo observado, una persona se siente cómoda, como resultado, controlada, es decir, una persona subconscientemente no hace lo que quiere, sino porque fue persuadida de hacerlo.
El RGPD no es ideal, pero cumple la idea principal y el objetivo en la UE: los europeos se dieron cuenta de que una persona independiente posee y gestiona sus datos personales de forma independiente.
Ucrania está apenas al comienzo del camino, se está preparando el terreno. Del estado, los residentes recibirán un nuevo texto de la ley, probablemente un organismo regulador independiente, pero los propios ucranianos deben llegar a los valores europeos modernos y comprender que la democracia en 2020 también debe estar en el espacio digital.
PD: Estoy escribiendo en las redes sociales. redes sobre jurisprudencia y negocios de TI. Estaré encantado si se suscribe a una de mis cuentas. Esto sin duda agregará motivación para desarrollar un perfil y trabajar en el contenido.