Privacy e Internet. Le nuove regole

Le nuove regole entreranno in vigore dal 16 settembre 2016 (Foto: PhotoXPress)

Le nuove regole entreranno in vigore dal 16 settembre 2016 (Foto: PhotoXPress)

Alcune imprese straniere sono entrate nel panico la scorsa settimana quando hanno appreso le ultime decisioni del Parlamento in materia di raccolta e conservazione dei dati personali che entrerà in vigore - solo sul territorio russo - a partire dal 16 settembre 2016. Ecco la normativa nel dettaglio

Mentre la conservazione dei dati personali su server situati all'estero è consentita dalla legislazione vigente - con alcune limitazioni - le nuove regole richiedono che vengano utilizzati solo server situati fisicamente sul territorio russo. Qualora una risorsa online non riuscisse a rispettare tale obbligo, l'accesso a quest’ultima dalla Russia potrebbe essere limitato o bloccato dalla Roskomnadzor, agenzia federale di supervisione dei media russi.

Le aziende internazionali che attualmente accentrano i dati di tutti i paesi su server propri o di terze parti dovranno gestire e conservare i dati personali russi separatamente. Questo coinvolge numerosi siti web internazionali, editori di applicazioni mobile, compagnie aeree, diversi brand, produttori e anche le piccole imprese locali con utenti o clienti russi. L'operazione di isolare i dati degli utenti russi e conservarli separatamente in Russia può essere complessa, a seconda dell'architettura della piattaforma IT. Secondo coloro che sono critici verso la legge, il compito potrebbe comportare costi significativi o, nel peggiore dei casi, essere semplicemente ingestibile. "Di conseguenza, diventerà impossibile per i cittadini russi prenotare un biglietto aereo tramite il sito web di una compagnia aerea straniera o prenotare una camera d'albergo tramite sistemi di prenotazione internazionali, dal momento che i dati personali saranno raccolti e conservati [fuori dalla Russia]", ha dichiarato la Raec, l’associazione russa delle comunicazioni elettroniche.

Tuttavia, alcuni operatori del settore ritengono che la legge potrebbe ancora subire alcune modifiche prima della sua entrata in vigore nel 2016. Potrebbe essere il caso delle prenotazioni dei biglietti aerei, ha riferito l’amministratore delegato di Biletix Alexander Sizintsev al quotidiano russo Vedomosti. Anche gli operatori nazionali saranno toccati dalla nuova regolamentazione nel caso in cui conservino i dati degli utenti, in tutto o in parte, su server stranieri. Vedomosti cita l'esempio di MegaFon, azienda russa leader nel settore della telefonia che archivia i dati dei propri clienti in modalità cloud. I nuovi requisiti di legge "creano un quadro rigoroso per le imprese e comportano notevoli costi aggiuntivi a livello di database", sono le parole di un rappresentante della società citate dal quotidiano. Nella stragrande maggioranza dei casi, tuttavia, il rispetto dei nuovi requisiti non sarà fuori dalla portata delle imprese. Per le aziende che trattano solo con utenti o clienti russi, il rimpatrio dei dati - se necessario - sarà ovviamente un compito gestibile.

Il sito russo di flash-sales (vendite lampo) KupiVIP.ru lo ha fatto l'anno scorso. "Abbiamo rimpatriato tutto dalla Germania, dove inizialmente avevamo i nostri server", ha riferito il presidente di KupiVIP Oskar Hartmann a East-West News Digital. Riguardo ai database internazionali, numerosi esempi dimostrano che trattare in maniera isolata i dati degli utenti per paese di origine è un compito gestibile - anche se più complesso e potenzialmente costoso. Presso la La Redoute Rus i dati personali degli utenti russi sono stati conservati su server russi fin dall'inizio. "Il nostro headquarters di Parigi non ha compreso appieno la nostra decisione in quel momento, ma noi eravamo consapevoli che le autorità russe avrebbero potuto, presto o tardi, vietare i trasferimenti transfrontalieri di dati personali. In più, abbiamo intervistato i nostri clienti che hanno espresso la loro preferenza a favore della conservazione dei loro dati personali in Russia", ha detto a East-West Digital News il direttore generale di La Redoute Rus José Metz.

Secondo uno sviluppatore occidentale di applicazioni mobile internazionali, il trattamento isolato dei dati per paese di origine non rappresenta un caso raro. "Per esempio, per motivi di copyright, i proprietari dei contenuti video vogliono che questi ultimi vengano visualizzati esclusivamente da utenti mobile provenienti da alcuni paesi. In base ai dati dichiarati, alla geolocalizzazione e ai dati di navigazione, la provenienza geografica degli utenti può essere definita in maniera piuttosto precisa", ha detto l’amministratore delegato della società. "Il rispetto di questa legge russa sarà davvero difficile nel caso di database complessi che mescolano dati internazionali - a meno che la loro progettazione non abbia tenuto conto di tali evoluzioni. Tuttavia, il trend dei 'dati-senza-frontiere' è finito con lo scandalo dell’NSA. Questa nuova regolamentazione russa rappresenta un preavviso di quella che potrebbe essere la prossima tendenza - la risegmentazione del world-wide web su base nazionale e gli operatori di tecnologia hanno bisogno di imparare a gestire i dati in modo diverso", conclude l'amministratore delegato.

Resta il fatto che i nuovi requisiti di legge riguardano solo i dati personali, che non devono essere confusi con i dati relativi agli utenti. Secondo la legge russa, la caratteristica principale dei "dati personali" è la capacità di individuare tra molte persone uno specifico, unico individuo. Se sono conservate solo parti di informazioni personali di qualcuno - ad esempio il nome di una persona e il nome paterno (patronimico), ma non il suo nome di famiglia – questi non saranno considerati dati personali perché insufficienti per poter identificare una persona.

La versione originale dell'articolo è qui

Tutti i diritti riservati da Rossiyskaya Gazeta