El 11 de agosto de 2023, el Presidente de la India, Droupadi Murmu, firmó la Ley de Protección de Datos Personales Digitales de 2023, la ley de protección de datos de la India que lleva varios años gestándose.
Mientras que el Ministro de Tecnologías de la Información la calificó de «hito importante en el marco de la legislación cibernética estándar mundial», y el responsable de Meta en India la calificó de «gran paso para equilibrar la protección del usuario con la innovación», las organizaciones de la sociedad civil están menos satisfechas con la forma final de la ley. Para entender la divergencia de las reacciones, es necesario remontarse a las circunstancias que llevaron al proyecto de ley en su forma actual.
Aadhaar: la semilla
El debate sobre la protección de datos en India no cobró fuerza hasta mediados de la pasada década, en el contexto de Aadhaar, una herramienta de identificación biométrica desarrollada por el Gobierno y lanzada por primera vez en 2009. Aunque el uso inicial de Aadhaar era proporcionar una identificación única a cada residente en India para poder acceder a programas de asistencia social, su uso empezó a ser obligatorio en todos los ámbitos, desde la admisión escolar a la declaración de impuestos. Esto hizo temer que el gobierno pusiera en marcha un sistema de vigilancia más amplio que rastreara a cada residente. Además, gran parte de la expansión del uso de Aadhaar se produjo antes de que se promulgara una ley que regulara su uso y protegiera los datos recogidos.
Incluso después de que se aprobara una ley Aadhaar en 2016 (que permitía el uso obligatorio de Aadhaar), se presentaron una serie de impugnaciones constitucionales y legales al requisito obligatorio generalizado de Aadhaar en los tribunales constitucionales de la India. El principal motivo de impugnación fue que la Aadhaar constituía una violación del derecho a la intimidad, protegido por la Constitución, mientras que el gobierno alegó que la Constitución no garantiza tal derecho, ya que no figura en el capítulo de derechos fundamentales de la Constitución.
Finalmente, en 2017, una sala de nueve jueces del Tribunal Supremo sostuvo que sí existía un derecho a la privacidad garantizado por la Constitución, una de cuyas facetas era la «privacidad informativa», que podía reclamarse tanto contra el gobierno como contra entidades privadas. El tribunal reconoció que este derecho podía restringirse para ciertos fines legítimos siempre que tales restricciones estuvieran impuestas por la ley y fueran proporcionadas. El tribunal también señaló que, en la era digital, una ley general de protección de datos (independiente de la Ley Aadhaar) era la necesidad del momento.
Un comité especial para redactar la ley
En respuesta a la observación del tribunal, el Gobierno creó en 2017 un comité, dirigido por B.N. Srikrishna, juez jubilado del Tribunal Supremo de India, para elaborar un proyecto de ley de protección de datos en India. El informe del comité, presentado en 2018, incluía un proyecto de ley de protección de datos que esbozaba el marco jurídico y normativo que regiría la protección de datos en India y las transferencias de datos fuera del país.
Aunque el gobierno aceptó en gran medida las recomendaciones del comité, presentó un proyecto de ley de protección de datos en diciembre de 2019 que difería de las recomendaciones del comité en varios aspectos, sobre todo en los tipos de exenciones que el gobierno obtendría de esta ley. El proyecto de ley se envió a una ronda más de discusión y debate en el Comité Parlamentario Conjunto (compuesto por miembros selectos de ambas cámaras del parlamento indio encargados de un estudio más detallado del proyecto de ley), tras lo cual se introdujo en el parlamento otro proyecto de ley de protección de datos con más cambios en 2021. Este borrador también recibió críticas de la sociedad civil por preocuparse muy poco por la privacidad y mucho más por permitir la vigilancia estatal, y de las grandes tecnológicas por las disposiciones que obligaban al almacenamiento local de datos.
Sin embargo, en agosto de 2022, el Gobierno retiró bruscamente del Parlamento este proyecto de ley, con la promesa de presentar una nueva ley en un mes. El nuevo proyecto, la cuarta versión de la ley de protección de datos, es el que finalmente se ha aprobado como Ley DPDP.
Al final, ¿ha conseguido India una buena ley de protección de datos?
En una lectura simple, la Ley DPDP parece tener sus méritos. Obliga a los «fiduciarios de datos» (quienes recogen y procesan datos de particulares) a obtener el consentimiento previo aviso antes de utilizar los datos personales digitales de un «titular de datos» (persona cuyos datos se recogen) y exige que ese consentimiento sea «libre, específico, informado, incondicional e inequívoco». Enumera cuatro derechos de los titulares de los datos, incluido el derecho a la supresión de los datos y a presentar reclamaciones, e impone obligaciones a los fiduciarios de datos.
Sin embargo, ahí se acaban las buenas noticias sobre el proyecto de ley.
La Ley DPDP adolece de dos fallos muy importantes: la ausencia de un regulador fuerte y los amplios poderes del gobierno para eximirse de las disposiciones de la ley. Aunque la DPDP establece los derechos de los titulares de los datos y los deberes de los fiduciarios de datos, deja la aplicación de estos derechos y deberes a los particulares afectados. A diferencia de las versiones preliminares de la ley que preveían un regulador de datos (una Autoridad de Protección de Datos de la India), la versión actual prevé un organismo en gran medida desdentado -el Consejo de Protección de Datos (DPB, por sus siglas en inglés)- que no tiene competencias para elaborar normativas que regulen la recopilación y el uso de datos por parte de las grandes tecnológicas ni para hacer cumplir el mandato de la ley a las empresas.
Aunque el gobierno aceptó en gran medida las recomendaciones del comité, presentó un proyecto de ley de protección de datos en diciembre de 2019 que difería de las recomendaciones del comité en varios aspectos, sobre todo en los tipos de exenciones que el gobierno obtendría de esta ley
En el mejor de los casos, puede escuchar las quejas de los titulares de los datos, pero tiene poco poder para hacer cumplir sus propias órdenes o instrucciones contra una gran empresa tecnológica. Las grandes empresas tecnológicas difícilmente pasarán noches en vela ante cualquier acción de esta DPB desdentada y sin garras.
La DPB también es nombrada y dotada de personal únicamente por personas designadas por el gobierno, sin que nadie ajeno al gobierno aporte nada sobre quién debe ser nombrado. Esto da al gobierno el poder de decidir cuáles deben ser las cualificaciones de una persona nombrada, y cómo serán nombrados, esencialmente impidiendo que el DPB sea un órgano independiente.
https://hosting56220us-96570.webempresa.site/opinion/2023/08/25/china-borde-gran-crisis-financiera/
Esto nos lleva al otro gran problema de la ley: su total incapacidad para proporcionar algo parecido a un control de la vigilancia masiva. Mientras que las versiones anteriores de la ley de protección de datos han sido criticadas por no hacer lo suficiente, la ley DPDP otorga al gobierno el poder de conceder exenciones generales a cualquier gobierno, organismo gubernamental o instrumento estatal (incluidas las empresas del sector público, los organismos controlados por el gobierno y entidades similares) en «interés de la soberanía y la integridad de India, la seguridad del Estado, las relaciones amistosas con Estados extranjeros, el mantenimiento del orden público o la prevención de la incitación a cualquier delito cognoscible relacionado con cualquiera de ellos». Un poder tan amplio carece de restricciones procesales o sustantivas.
La Ley de Protección de Datos Personales, en su forma actual, apenas es adecuada para proteger la privacidad informativa de los titulares de los datos, ni frente a las grandes empresas tecnológicas ni frente al Estado. Como nación con una constitución liberal, una larga historia de gobierno democrático y una gran población de usuarios en línea, India tuvo la oportunidad de liderar la conversación sobre la protección de datos hacia nuevas fronteras, especialmente para el Sur Global. Ni que decir tiene que perdió la oportunidad de hacerlo de forma bastante espectacular.
Artículo republicado de Global Voices por licencia Creative Commons Attribution 3.0. Link al artículo original:https://globalvoices.org/2023/09/26/breaking-down-indias-new-data-protection-law-good-bad-or-ugly/
Abogado y reside en Bengaluru. Es cofundador del Vidhi Centre for Legal Policy y trabaja en temas relacionados con el derecho constitucional, la gobernanza urbana y el derecho y la tecnología.
