Hace dos semanas se encontraron en los foros bases de datos de 600 mil clientes de los servicios de Avito y Yula, entre los que se encuentran direcciones y teléfonos reales. Las bases de datos todavía están disponibles gratuitamente, cualquiera puede descargarlas. Imagínese cuántas personas ya han descargado la base de datos con la intención de enviar spam o, lo que es peor, de atraer los detalles de la tarjeta de pago de los usuarios. La administración de foros no borra las bases, porqueNo ven ningún problema en esta situación y mucho menos una violación, y dicen que esto no es un robo de datos personales, sino la recolección de datos abiertos.
No sorprenderás a nadie con la noticia de una violación de datos
Julio y agosto de 2020 están repletos de noticias sobre el bloqueo de TikTok por recopilación de datos no autorizada. Y mi tarea no es sorprender, sino comprender el tema y cumplir la promesa que Habr le hizo a uno de los lectores. Por cierto, mi nombre es Vyacheslav Ustimenko, escribí el artículo junto con Bella Farzalieva, una abogada de TI de la firma internacional de abogados Icon Partners.
Por qué es importante
El tema de la protección y el procesamiento de datos personales está cobrando impulso cada año. La protección de datos personales se trata de la libertad de elección de una persona, la cultura de la sociedad y la democracia. Una persona independiente es difícil de manejar, difícil de engañar e imposible de copiar. Esta idea es llevada a cabo por las conocidas regulaciones de protección de datos en la UE (GDPR) y los EE. UU. (CCPA). Realicé una encuesta en mi cuenta personal de Instagram , incluso los abogados (90% de mis suscriptores) todavía están poco versados en temas de protección de datos.
La pregunta era: "¿Cuál de los siguientes son datos personales?"
Adjunto una pantalla con los resultados de la encuesta.
La respuesta correcta fue elegida por aproximadamente el 20% de los que votaron.
PD: El hecho de que soy de Ucrania y el artículo sobre las leyes de la Federación de Rusia no deben confundirlos, queridos lectores, ya que la experiencia de un abogado de TI no puede limitarse a un país.
¿Qué son los datos personales en la Federación de Rusia?
La definición de datos personales de acuerdo con la Ley Federal no difiere mucho de la europea o ucraniana, sobre la que se escribió en el artículo anterior .
Datos personales: cualquier información relacionada directa o indirectamente con una persona física específica o identificable, estamos hablando de cualquier dato por el cual una persona puede ser identificada.
En Rusia, el uso y la protección de los datos personales están regulados por muchos documentos, en particular, 152-FZ "Sobre datos personales", 149-FZ "Sobre información, tecnología de la información y protección de la información", Código Administrativo, Código Penal de la Federación de Rusia, Código Laboral de la Federación de Rusia y Código Civil de la Federación de Rusia.
Abrir datos personales. Qué bestia es.
# Veamos la situación a través de los ojos de un usuario
Quizás los lectores aún no hayan pensado en cómo se pueden abrir los datos personales, porque lo personal suena a personal y abierto a público.
Al mismo tiempo, el sentimiento de confianza no deja que luego de otra conversación con el telefonista, cada uno de nosotros piense "de dónde sacó mi número" o "qué tipo de llamada extraña de un extraño que sabe más de mí de lo necesario".
Por tanto, los usuarios que ponen algo a la venta a través de Avito, no se sorprenden de que hayan entrado en bases de datos de piratas informáticos, hayan recibido spam en el correo o una llamada incomprensible de estafadores o "vendedores en frío".
Solo puede culparse a sí mismo en tal situación, porque el desconocimiento de las leyes no lo exime de responsabilidad.
Todo lo que el propio usuario ha publicado sobre sí mismo para la consideración pública, es decir, en Internet, se pone a disposición del público, es decir, datos abiertos y se puede almacenar, distribuir, utilizar sin el consentimiento del usuario.
Confirmación de la legislación
1 152.2. .
, , , , , , .
, , , , , , , .
, , , , , , .
, , , , , , , .
Otra confirmacion
4 7 № 149- « , ».
, «» , , , .
, «» , , , .
Conclusión
La administración de Avito afirma legítimamente que la base de datos en los foros de piratas informáticos consiste en su totalidad en información pública que está disponible en su sitio web y se puede recopilar mediante análisis (recopilación automática de información mediante programas especiales), es decir, no hay duda de que se filtran datos. ... Si los datos se utilizan para fines legítimos es otra pregunta que definitivamente no debe hacerse sobre Avito.
Si no desea que alguien redacte, evalúe o utilice su retrato de consumidor, deje menos información sobre usted en los recursos públicos.
A continuación se muestra un comentario divertido (pero no exacto) del foro.
# Veamos la situación a través de los ojos de una empresa
Tomemos el mismo Avito como ejemplo y consideremos las preguntas:
- si el sitio es el operador de datos personales,
- si es obligatorio para él dar su consentimiento para el procesamiento de datos y declararse ante Roskomnadzor para ser incluido en el registro de operadores,
- si Avito realmente quedará impune.
En una situación con una fuga de datos, Avito realmente no tiene nada que ver con eso. Se puede imaginar que Avito es una valla en la que el usuario escribió "VENDER GARAJE" e indicó un nombre, número de teléfono u otros datos para comunicarse, y luego comenzó a indignarse por qué los datos son conocidos, copiados o utilizados por todos los que pasaban la valla.
Confirmación de la legislación
10 № 152-.
. , — , , .
. , — , , .
Otra confirmacion
4 2 22 « ».
.
.
# Conclusión
Avito es un operador de datos personales. En cuanto a la notificación de Roskomnadzor, existen excepciones en la ley, pero no funcionan para Avito, ya que este sitio recopila y procesa no solo datos disponibles públicamente. Pero si el sitio funciona solo con datos abiertos, no sería necesario notificar y registrarse en Roskomnadzor. Avito es inocente y, por tanto, no habrá castigo.
Los datos pueden filtrarse u obtenerse legalmente no solo de los mercados, sino también de cualquier sitio web o de los operadores móviles, de las redes sociales, bancos, registros, se pueden extraer de la secuencia de transacciones móviles con una tarjeta bancaria o utilizando funciones ocultas de aplicaciones de teléfonos inteligentes, millones de opciones.
Por cierto, todos saben que Habr no es un foro, pero hay una oportunidad para comentar, y el propósito del artículo no es sorprender, sino comprender el tema.
Pregunta
En la realidad de 2020, debe tener cuidado con la ubicación de datos personales en Internet y actuar como en el comentario