Una nuova legge sui dati personali

Secondo la nuova normativa tutti i dati personali dei cittadini russi devono essere gestiti e trattati esclusivamente nel territorio russo (Foto: Shutterstock/Legion-Media)

Secondo la nuova normativa tutti i dati personali dei cittadini russi devono essere gestiti e trattati esclusivamente nel territorio russo (Foto: Shutterstock/Legion-Media)

Da settembre 2015 le società che gestiscono i dati personali dei russi dovranno attenersi a nuove regole. Ernst & Young, East-West Digital e un altro gruppo di autorevoli esperti di mercato hanno messo a punto dei suggerimenti per le imprese straniere

A partire da settembre 2015 tutte le società che operano in Russia saranno tenute a gestire e proteggere i dati personali dei cittadini russi nel territorio del paese in base alle modifiche apportate alla legge N. 242-F3. I media digitali internazionali Ernst & Young e East-West Digital hanno pubblicato un rapporto dedicato alle difficoltà che incontra oggi un’impresa straniera.

La deadline è rigida, ma non impossibile

La legge riguarderà tutti gli operatori di mercato che gestiscono i dati personali dei cittadini russi all'estero e che utilizzano a questo scopo soluzioni cloud. Tuttavia “nella maggioranza dei casi le aziende potranno continuare a operare con gli utenti e i consumatori russi se si adegueranno a una serie di regole organizzative, tecniche e legislative", si legge nel rapporto. David Hamner, presidente del Centro di protezione e gestione dati DataSpace, ritiene però che alcune aziende non riusciranno a rispettare la deadline di settembre.

Il trasferimento dei dati

Le modifiche al testo di legge hanno costretto la società multinazionale PayU, che offre una piattaforma di servizi a pagamento di e-commerce, a trasferire i suoi server in Russia. Finora i dati dei clienti russi venivano archiviati e gestiti in Polonia, dove si trova la filiale principale dell’Europa Orientale. A detta della Pr Yulia Shchelygina, responsabile di PayU per il marketing, il trasferimento dei dati è un’operazione complessa che coinvolgerebbe parecchi team di sviluppatori e amministratori di sistema. Come rileva la Shchelygina, i criteri di progettazione del nuovo centro di gestione e archiviazione dati erano già stati pianificati in precedenza; inclusi la presenza di un collaboratore parlante inglese e la disponibilità ad assolvere le richieste della società nell’arco di quattro ore. Ma attualmente nessuno dei centri ubicati nel territorio russo sarebbe in grado di soddisfare tutti i criteri previsti da PayU. Tuttavia, la Shchelygina auspica che “la nuova legge possa stimolare lo sviluppo di centri russi di gestione e trattamento dati vicini agli standard internazionali”.

"Malgrado ciò, molti sono dell’avviso che se dimostreranno di stare attuando una serie di misure per adeguarsi alla nuova legge, riusciranno a ottenere una proroga della deadline o alla peggio incorreranno in una modesta sanzione, comunque sostenibile per l'entità delle imprese”, dice Hamner. A preoccupare le aziende internazionali è che nel caso in cui decidano di ottenere l’accesso ai dati personali le autorità russe possano confiscare anche i loro server. Hamner ritiene che si tratti di timori fondati, ma in ogni caso eccessivi: “Non importa dove ti trovi, se a Phoenix, in Arizona, o a Londra oppure a Mosca. Se le autorità si presentano con un mandato di perquisizione, otterranno ciò che vogliono”, osserva Hamner.

I meccanismi sono poco chiari

Finora molte imprese straniere non hanno presentato la documentazione necessaria per essere in regola con la nuova disposizione di legge. Guy Willner, amministratore delegato del Centro di protezione e gestione dati Ixcellerate, ha dichiarato nel rapporto che alcuni operatori internazionali non erano neppure al corrente dell’adozione della nuova legge. La nuova normativa, che mira a regolamentare le responsabilità delle imprese, è semplice e chiara: tutti i dati personali dei cittadini russi devono essere gestiti e trattati esclusivamente nel territorio russo. L’accesso alle risorse online non in regola con le nuove disposizioni sarà limitato o bloccato dall’ente preposto, il Roskmomnadzor (Servizio federale per il controllo delle comunicazioni e informazioni).

La normativa riguarda non solo il trattamento, ma anche la raccolta dei dati personali. “Ogni operazione sui dati personali dovrà avvenire in tempo reale e attraverso centri informatici ubicati in Russia”, si legge nel rapporto. Ciò nonostante, i criteri di adempimento delle nuove norme non sono finora chiari. “Dovranno essere dettagliati nei regolamenti subordinati della nuova normativa prima della sua approvazione nel 2015 quando dovrebbe entrare in vigore”, si legge nel rapporto.    

Il controllo 

Attualmente il Roskmomnadzor ha avviato una serie di consultazioni con gli imprenditori per esaminare le difficoltà della nuova disposizione di legge, incluse tipologie di trattamento, modalità e procedure di controllo. Tuttavia, è assai probabile che occorreranno ancora parecchi anni prima che la Russia possa garantire agli utenti gli stessi standard di sicurezza esistenti nei paesi dell’Unione Europea.

Come si rileva nel rapporto, nei tribuali russi non affluisce un numero così rilevante di “querele da parte dei titolari di dati personali contro terzi che fanno un uso indiscriminato delle informazioni in loro possesso”. I rari reclami presentati non vengono di solito risolti per via legale. La causa principale, a detta degli autori del rapporto, consisterebbe nel basso livello di preparazione giuridica della popolazione e nei pregiudizi dei giudici verso i querelanti. Le modifiche alla legge  potrebbero stimolare lo sviluppo di un mercato della conservazione e dell’archiviazione dei dati personali. Secondo il rapporto, tali modifiche dovrebbero provocare “una profonda trasformazione economica e tecnologica nei centri commerciali e nei consorzi di gestione e  trattamento dei dati”.

Tutti i diritti riservati da Rossiyskaya Gazeta