El gobierno indio ha redactado normas que definirán cómo las empresas dentro y fuera del país deben gestionar la privacidad de los datos de sus ciudadanos.
Hace un año y medio, India promulgó su primera ley nacional integral de protección de datos: la Ley de Protección de Datos Personales Digitales (DPDP). La ley establece los derechos de privacidad clave de los ciudadanos indios (acceder, actualizar, corregir, cuestionar, transferir y borrar sus datos, así como salvaguardias adicionales para los datos de los niños) y diversas obligaciones de los administradores de datos para proteger los datos de los usuarios, manteniendo su precisión. , limitando su uso y más.
Las organizaciones aún no se han visto obligadas a ajustar sus prácticas de tráfico de datos y la ley está a la espera de un conjunto de reglas de implementación claramente definidas. El 3 de enero, el Ministerio de Electrónica y Tecnología de la Información (MeitY) de la India publicó estos un proyecto de norma, diseñado para poner en funcionamiento el DPDP. Las normas del DPDP, que consta de 22 disposiciones y siete anexos, proporcionan un marco para que las empresas cumplan con la ley una vez que el gobierno comience a hacerla cumplir.
Durante años, “si bien la infraestructura digital en la India ha crecido exponencialmente, la falta de mecanismos de seguridad para las personas ha dejado a los ciudadanos vulnerables”, afirma Pankit Desai, director ejecutivo y cofundador de Sequretek. Esto convierte al DPDP en “un reglamento histórico y largamente esperado”. Esto no es sólo un marco regulatorio: es una señal del deseo de la India de priorizar el bienestar de los ciudadanos en la era digital”.
El largo camino de la India hacia la privacidad de los datos
En 1941, Khrarak Singh, ciudadano del estado de Uttar Pradesh, en el norte de la India, fue juzgado por robo en grupo (dacoity). Fue puesto en libertad por falta de pruebas, pero aun así la policía lo vigiló. Visitaban su domicilio por la noche, vigilaban sus movimientos y vigilaban diversos aspectos de su vida personal: su empleo, su vida social y sus hábitos, por ejemplo.
Al final, Singh presentó una moción, argumentando que la vigilancia violaba sus derechos constitucionales. El 18 de diciembre de 1962, seis jueces de la Corte Suprema de la India dictaminaron que, aunque algunas tácticas policiales equivalían a acoso, muchas de sus medidas de vigilancia estaban legalmente permitidas. Según ellos, la privacidad no es un derecho fundamental según la constitución del país.
Esto siguió siendo así hasta 2017, después de que el gobierno indio propusiera el proyecto ‘Aadhaar’, que otorga a todos los ciudadanos números de identificación respaldados por diversos datos demográficos y biométricos. Al supervisar el desafío de Aadhaar, el presidente del Tribunal Supremo de la India, JS Khehar, explicó: “Es esencial para nosotros determinar si existe un derecho fundamental a la privacidad en la Constitución de la India”, citando el caso Kharak Singh. En agosto de 2017, un tribunal de nueve jueces declaró que la privacidad era un derecho otorgado a los ciudadanos indios según su constitución.
Su decisión abrió las compuertas de la legislación de protección de datos, en primer lugar, el Proyecto de Ley de Protección de Datos Personales de 2019. Sin embargo, el proyecto de ley resultó ser a la vez amplio y restrictivo. El proyecto de ley cubría tanto datos personales como no personales, pero era estricto al exigir que los datos personales sensibles no salieran de las fronteras del país, y al mismo tiempo era indulgente al permitir que el gobierno se eximiera por varias razones. Independientemente, el proyecto de ley fue retirado en agosto de 2022. Le siguió en espíritu el DPDP, más neutral, que eventualmente entrará en funcionamiento una vez que se finalicen las últimas reglas propuestas.
Nuevas reglas de tránsito
Las reglas DPDP están en su mayoría en línea con los estándares de la industria: las empresas deben notificar a sus clientes sobre los datos que recopilan y, en caso de violación, cifrarlos en reposo y en tránsito, eliminarlos después de tres años de inactividad, etc.
«En particular, otorgan un control sustancial al controlador de datos (individuo) sobre sus datos personales, incluida la capacidad de determinar cuándo, cómo, dónde y con qué propósito se utilizan sus datos», señala Rama Krishna Gudipati, Jefe de Clientes de Éxito. en CloudSEK. «Además, la introducción de sanciones por incumplimiento añade un nivel significativo de responsabilidad». A falta de notificar a los clientes de una infracciónpor ejemplo, o traicionar sus obligaciones con respecto a los datos de los niños, podría costar a las empresas hasta 200 millones de rupias (alrededor de 23 millones de dólares).
Sin embargo, ciertas disposiciones son más cuestionables, como el mantenimiento de las excepciones otorgadas a las agencias gubernamentales. Desai de Sequretek dice que «la exención del gobierno de estas reglas plantea dudas sobre la equidad y la responsabilidad, particularmente dado el importante papel del gobierno como proveedor de servicios», dice Desai de Sequretek. “La infraestructura digital de la India está fuertemente influenciada por iniciativas gubernamentales, a diferencia de Occidente, donde dominan las empresas privadas”, lo que hace que la regla sea más efectiva que en otros países.
La fecha límite para enviar comentarios sobre el nuevo proyecto de reglas es el 18 de febrero. Una vez que se activaron las reglas, dijo MeitY en un comunicado. Comunicado de prensa del 5 de enero«Se proporcionaría un período adecuado para que todas las partes interesadas, desde las pequeñas empresas hasta las grandes corporaciones, realicen una transición sin problemas para cumplir con la nueva ley».
