Bandera: Русский Русский Bandera: English English

Localización de datos: por qué los esquemas antiguos ya no funcionan y cómo evitar multas millonarias

Publicado el 27.11.2025

Si su negocio trabaja con usuarios de Rusia, la cuestión de dónde se almacenan los datos personales le concierne directamente. Teléfonos, nombres, direcciones de correo electrónico, solicitudes de formularios, datos de empleados: todo esto está sujeto a estrictos requisitos de localización.

Durante años muchas empresas vivieron en una “zona gris”: los datos aparentemente se almacenaban tanto en Rusia como en el extranjero y la responsabilidad estaba diluida. Pero a partir del 1 de julio de 2025 las reglas cambiaron tanto que muchos esquemas técnicos habituales ahora se consideran una violación directa de la ley.

A continuación se describe en detalle qué ha cambiado, qué mitos conducen a multas y cómo estructurar la infraestructura para evitar bloqueos y pagos millonarios.

Qué ha cambiado: de recomendaciones suaves a una prohibición estricta

Los requisitos para localizar los datos personales de ciudadanos de la Federación de Rusia existían desde 2015. Pero durante muchos años la situación fue flexible:

  • se utilizaba la “grabación paralela” de datos en servidores rusos y extranjeros;
  • se usaba el servidor ruso como “tubería” (proxy);
  • se alojaban datos temporales en nubes extranjeras.

Roskomnadzor a menudo se limitaba a imponer medidas o advertencias. Sin embargo, la práctica se fue endureciendo: el bloqueo de LinkedIn fue el primer caso sonado, luego Facebook y Twitter recibieron multas.

Desde el 1 de julio de 2025 entraron en vigor normas que cerraron cualquier resquicio.

Ahora rige una regla estricta:

Los datos personales de los ciudadanos de la Federación de Rusia deben ser recopilados, registrados y almacenados inicialmente en un servidor ubicado físicamente en Rusia. Solo después de completar este proceso se permite la transferencia o copia de los datos al extranjero.

Dicho de otra manera, el esquema técnico debe ser así:

  1. el usuario envía un formulario;
  2. los datos llegan a un servidor en Rusia;
  3. los datos se graban en una base rusa;
  4. solo después pueden enviarse a sistemas extranjeros (CRM, Helpdesk, ERP, etc.).

No se permiten flujos paralelos, tránsito ni grabación directa en el extranjero.

Tres mitos peligrosos por los que las empresas pierden dinero

Para cumplir la ley no basta con tener un servidor en Rusia. Es importante entender correctamente los términos, que se interpretan de forma diferente a la práctica TI.

Mito 1. «Una base de datos es un gran servidor en un centro de datos»

En realidad, una base de datos es cualquier almacenamiento estructurado.

Puede ser:

  • un archivo Excel;
  • Google Sheets;
  • la libreta de contactos de un gerente de RR. HH.;
  • una tabla en Notion;
  • una CRM en la nube extranjera.

Si un archivo con datos personales de rusos se almacena en un servidor extranjero —es una violación, independientemente del tamaño de la empresa y del volumen de datos.

Mito 2. «Recogemos datos, pero no los almacenamos»

En el momento en que el usuario pulsa el botón “Enviar”, comienza el procesamiento de los datos.

Si esos datos por API o formulario se envían inmediatamente a un servidor extranjero —es una violación, incluso si usted dice: “no los guardamos”.

El primer punto de entrada debe ser un servidor en Rusia.

Mito 3. «La recopilación paralela en Rusia y en el extranjero es admisible»

Antes muchas empresas usaban ese enfoque: los datos se enviaban simultáneamente al servidor ruso y al extranjero.

Ahora esto está estrictamente prohibido. Cualquier esquema de recopilación paralela se considera un intento de eludir la ley.

El costo del error: cuánto cuesta una localización incorrecta

Las multas por violar las normas de tratamiento de datos personales son de las más altas.

Montos de las multas:

  • Primera infracción: de 1 a 6 millones de rublos.
  • Infracción repetida: de 6 a 18 millones de rublos.

Y si el regulador considera las acciones graves o intencionales, las sanciones pueden ser aún mayores.

La práctica muestra: los tribunales casi siempre se ponen del lado de Roskomnadzor. Los recursos de casación y apelación, por lo general, son inútiles. El hecho de la infracción se registra técnicamente y resulta extremadamente difícil refutarlo.

Además de las multas pueden aplicarse:

  • bloqueo del sitio;
  • prohibición del tratamiento de datos;
  • inspecciones a todo el negocio.

Cómo actuar: plan técnico y jurídico

La localización de datos no es solo una tarea de DevOps o del administrador del sistema. Es un proceso en la intersección del derecho, la infraestructura y los reglamentos internos.

A continuación —plan de acción completo.

1. Realice una auditoría de infraestructura y procesos

Analice:

  • formularios en el sitio;
  • sistemas CRM;
  • sistemas de envío de correo electrónico;
  • servicios en la nube;
  • copias de seguridad;
  • logs y monitorización.

Revise todo el recorrido de los datos: desde el clic en el formulario hasta las copias de seguridad archivadas.

2. Implemente la arquitectura “Primero Rusia”

El esquema técnico debe garantizar que:

  • los datos lleguen primero a un servidor ruso;
  • se realice la grabación en una base de datos rusa;
  • solo entonces los datos salgan a servicios extranjeros.

Esto puede implementarse mediante:

  • backend/API puerta de enlace en Rusia;
  • broker de mensajería ruso (RabbitMQ, Kafka);
  • reverse-proxy ruso que realice la grabación en el almacenamiento local.

3. Establezca la metodología para determinar la ciudadanía

La ley protege a los ciudadanos rusos.

Si no determina la ciudadanía de los usuarios, el regulador puede considerar a todos los clientes como ciudadanos rusos.

Enfoques:

  • campo obligatorio “Ciudadanía” en los formularios;
  • geolocalización + teléfono ruso + servicio de pasaporte ruso;
  • reglas separadas para B2B y B2C.

Documente la metodología elegida.

4. Revise y actualice los contratos con socios

Si usted transfiere datos a:

  • la empresa matriz en el extranjero,
  • un CRM fuera del país,
  • un contratista con oficina fuera de Rusia,

es necesario formalizar jurídicamente la transferencia.

A menudo es más seguro transferir los datos como operador independiente, y no mediante un encargo. Así hace al socio responsable de su parte del trabajo, en lugar de responder usted por todo.

5. Elija un hosting que confirme la ubicación en Rusia

Para cumplir la ley es necesario que el servidor esté físicamente ubicado en Rusia.

El proveedor debe:

  • tener un centro de datos en Rusia;
  • disponer de documentación que acredite la ubicación de los servidores;
  • prever responsabilidad por la seguridad de la infraestructura.

6. Notifique a Roskomnadzor

Después de configurar la localización debe:

  • presentar una nueva notificación, o
  • actualizar la existente.

En la notificación se indican las direcciones específicas rusas de almacenamiento y tratamiento de datos.

Conclusiones

La localización de datos ya no es una formalidad ni una tarea “de papel”. Es un requisito básico para todos los que trabajan con usuarios rusos.

Los antiguos esquemas técnicos ya no funcionan. La recopilación paralela está prohibida. La responsabilidad es estricta y costosa.

Reconstruir los procesos ahora saldrá más barato que las multas y el bloqueo en el futuro.

Para obtener la lista de verificación de cumplimiento de requisitos — ¡envíe una solicitud!

Etiquetas: #localización de datos #152-ФЗ #datos personales #Rusia #DevOps #seguridad #cumplimiento

¿Necesitas ayuda?

Escríbeme y te ayudaré a resolver el problema

Contratar

Publicaciones relacionadas