India ha propuesto una nueva ley integral de privacidad de datos que ordenará cómo las empresas manejan los datos de sus ciudadanos, incluida la transferencia transfronteriza de información con ciertas naciones, tres meses después de que retirara abruptamente la propuesta anterior luego del escrutinio y las preocupaciones de los defensores de la privacidad y la tecnología. gigantes
El Ministerio de TI de la nación publicó un borrador de las reglas propuestas (PDF), llamado Proyecto de Ley de Protección de Datos Personales Digitales 2022, el viernes para consulta pública. Escuchará las opiniones del público hasta el 17 de diciembre.
“El propósito de esta Ley es prever el procesamiento de datos personales digitales de una manera que reconozca tanto el derecho de las personas a proteger sus datos personales como la necesidad de procesar datos personales para fines lícitos y para asuntos relacionados o relacionados con estos. ”, dice el borrador.
El borrador permite interacciones transfronterizas de datos con «ciertos países y territorios notificados», en un movimiento que se considera una victoria para las empresas de tecnología.
“El gobierno central puede, después de una evaluación de los factores que considere necesarios, notificar a los países o territorios fuera de la India a los que un fiduciario de datos puede transferir datos personales, de conformidad con los términos y condiciones que se especifiquen”, el borrador dice, sin nombrar los países.
Asia Internet Coalition, un grupo de presión que representa a Meta, Google, Amazon y muchas otras empresas tecnológicas, solicitó a Nueva Delhi que permitiera la transferencia transfronteriza de datos. “Las decisiones de transferencias transfronterizas deberían estar libres de interferencias políticas o ejecutivas, e idealmente deberían estar mínimamente reguladas”, escribieron en una carta al Ministerio de TI a principios de este año.
“Es probable que la imposición de restricciones a los flujos de datos transfronterizos resulte en tasas más altas de fracaso comercial, introduzca barreras para las empresas emergentes y genere ofertas de productos más costosas por parte de los actores del mercado existentes. En última instancia, los mandatos anteriores afectarán la inclusión digital y la capacidad de los consumidores indios para acceder a una Internet verdaderamente global y a la calidad de los servicios”, dijo el grupo.
La propuesta también busca otorgar a Nueva Delhi (el gobierno federal) los poderes para eximir a los gobiernos estatales de la ley en interés de la seguridad nacional.
El borrador también propone que las empresas solo utilicen los datos que han recopilado sobre los usuarios para el propósito para el que los obtuvieron originalmente. También busca que las empresas rindan cuentas de que se aseguren de que están procesando los datos personales de los usuarios con el propósito preciso para el que los recopilaron.
También pide que las empresas no almacenen los datos perpetuamente por defecto. “El almacenamiento debe limitarse a la duración que sea necesaria para el propósito declarado para el cual se recopilaron los datos personales”, dijo una nota del ministerio.
El borrador propone una multa de hasta 30,6 millones de dólares en caso de que una empresa no proporcione «garantías de seguridad razonables para evitar la violación de datos personales». Hay otra multa de $ 24,5 millones si la empresa no notifica a la autoridad local y a los usuarios por no revelar la violación de datos personales.
Las reglas propuestas anteriormente se promocionaron para ayudar a proteger los datos personales de los ciudadanos clasificándolos en diferentes segmentos según su naturaleza, como sensibles o críticos. Sin embargo, la nueva versión no segrega los datos como tales, según el borrador.
Al igual que el RGPD de Europa y la CCPA (Ley de Privacidad del Consumidor de California) en los EE. UU., el Proyecto de Ley de Protección de Datos Personales Digitales 2022 propuesto por la India se aplicará a las empresas que operan en el país y a cualquier entidad que procese los datos de los ciudadanos indios.
Los expertos en políticas públicas han elogiado la decisión del gobierno de reducir la propuesta de sus versiones anteriores, de más de 90 cláusulas a 30. Sin embargo, creen que reducir su texto generaría cierta ambigüedad.
Kazim Rizvi, un defensor de la política digital y director fundador del grupo de expertos en política tecnológica The Dialogue, con sede en Nueva Delhi, dijo a TechCrunch que eliminar las disposiciones relacionadas con la firma de un memorando de entendimiento entre los reguladores para establecer una coordinación interregulatoria y omitir el mecanismo de sandbox para la innovación de prueba son algunas áreas preocupantes.
“Dado que el proyecto de ley prevalecerá sobre otras leyes existentes y propuestas en caso de inconsistencia, esta precedencia jurisdiccional es más fácil de decir que de implementar en el panorama regulatorio indio. Por lo tanto, existe la necesidad de un enfoque más estructurado para armonizar las leyes aliadas existentes y propuestas, como un sistema de referencia cruzada en el que los reguladores sectoriales o específicos del dominio podrían trabajar con la Ley de Protección Digital para crear regulaciones”, dijo.
Las reglas propuestas, que se espera sean discutidas en el parlamento después de recibir una consulta pública, no traerían ningún cambio para seleccionar leyes controvertidas en el país que se redactaron hace más de una década. Sin embargo, Nueva Delhi está trabajando en la actualización de su ley de TI de dos décadas que debutaría como la Ley de la India Digital. Separará a los intermediarios y llegará como el final del juego, dijo a TechCrunch el ministro de Estado de TI de la India, Rajeev Chandrasekhar, en una entrevista reciente.
En agosto, el gobierno indio retiró su proyecto de ley de protección de datos personales anterior que se presentó en 2019 después de mucha anticipación y presión judicial. En ese momento, el ministro de TI de la India, Ashwini Vaishnaw, dijo que se consideraba que el retiro «presentaba un nuevo proyecto de ley que se ajusta al marco legal integral».
Meta, Google y Amazon fueron algunas de las empresas que expresaron su preocupación por algunas de las recomendaciones del comité parlamentario conjunto sobre el proyecto de ley propuesto.
El movimiento para traer una ley de protección de datos vino cuando la privacidad fue declarada como un derecho fundamental por la Corte Suprema de India en 2017. Sin embargo, el país enfrentó fuertes críticas por sus proyectos de ley de protección de datos anteriores debido a su naturaleza intrínseca de otorgar a las agencias gubernamentales el poder de acceder a los datos de los ciudadanos.
En una de las sesiones durante la Cumbre del G-20 en Bali a principios de esta semana, el Primer Ministro Narendra Modi habló sobre el principio de «Datos para el desarrollo» y dijo que el país trabajaría con los socios del G-20 para llevar «la transformación digital en el vida de cada ser humano” durante su presidencia del próximo año para los 19 países que componen el foro intergubernamental.