India: cosa c’è nella nuova legge sulla protezione dei dati dell’India?

Le richieste di implementazione di misure che riducono la vulnerabilità dei dati e la prevenzione dell’erosione della privacy degli utenti sono state clamorie in tutto il mondo.

Privacy dei dati personali – L’India ha bisogno di regolamenti come il GDPR europeo e il CCPA degli Stati Uniti

Mentre tutti noi concordiamo sul fatto che “i dati sono la merce post-preda nell’era digitale”, proteggendolo e garantendo che la privacy dei dati diventa estremamente critica. È un fatto ben noto che l’India è il secondo più grande ecosistema online al mondo con oltre 900 milioni di utenti Internet. Con la crescente penetrazione di Internet, questo numero è destinato ad aumentare bruscamente nei prossimi 5 anni. Si dice che l’India abbia a che fare con il secondo numero più grande di violazioni dei dati riportate a livello globale. Al momento, è fondamentale educare gli utenti sulla raccolta e sulla privacy dei dati e anche costruire leggi che proteggono le persone dall’uso improprio dei loro dati personali.

Con il cambio digitale e i servizi che si spostano sul cloud, vi sono una grande quantità di dati personali altamente precisi scambiati non solo attraverso i siti Web che navighiamo o le app che le persone utilizzano sui loro telefoni cellulari, ma anche attraverso elettrodomestici come telecamere di sicurezza/sorveglianza, campanelli digitali, battute di controllo della temperatura. Il caso d’uso principale della raccolta dei dati è migliorare e personalizzare i servizi offerti, tuttavia, può essere utilizzato in modo improprio invadere la privacy, la sicurezza e la fiducia di un individuo. L’analisi di questi dati, quando raccolta per un intervallo di tempo, può portare all’identificazione degli individui, inferendo le informazioni sulle credenze, le preferenze, la religione o la salute di una persona. Alla fine possono essere usati per influenzare, causare minacce alla sicurezza personale, pubblicità mirata, frode e hacking. Ad esempio, analizzare i dati sulla posizione di un individuo per determinare i negozi/luoghi di visite individuali e con quale frequenza può portare all’identificazione degli interessi, del comportamento sociale e anche dello stato socio-economico.

Per le organizzazioni, un incidente sulla sicurezza dei dati potrebbe portare a implicazioni legali e aziendali e anche una mancanza di fiducia degli utenti. Facebook-Cambridge Analytica Fiasco è una delle famigerate violazioni dei dati, nei dati del 2018 per quasi 87 milioni di utenti di Facebook sono stati utilizzati senza il loro consenso e comprensione. I dati ottenuti in modo inappropriato da Facebook sono stati utilizzati per creare profili degli elettori e utilizzati per la pubblicità politica (senza consenso). Questa è stata la più grande perdita di dati affrontata da Facebook. Ciò ha spinto la consapevolezza delle questioni relative alla privacy dei dati, in che modo il concetto di privacy sta cambiando e ha messo in evidenza l’ansia dei clienti per abituarsi ai progressi tecnologici, ma non è ancora pienamente consapevole dell’entità dell’erosione della privacy e dei compromessi nella qualità del servizio rispetto alle opzioni correlate alla privacy. Esistono impostazioni sulla privacy esposte dalle società; Tuttavia, non sono facilmente comprensibili e non c’è nemmeno chiaro sull’impatto sull’esperienza dell’utente sulla disabilitazione di determinati tipi di accesso ai dati. Per i governi, una violazione della privacy potrebbe portare al rischio di perdere informazioni nazionali riservate.

Le modifiche alle leggi tecnologiche e relative ai dati sono una sfida globale. La regolamentazione generale della privacy dei dati europei (GDPR) che è entrato in vigore nel 2018, definisce e unifica le normative sulla privacy con l’Unione europea (UE). Il GDPR non solo fornisce controlli sulla privacy agli individui, ma pone anche obblighi sulle organizzazioni che detengono i loro dati. La Cina ha annunciato i regolamenti sulla privacy dei dati con la legge sulla protezione delle informazioni personali (PIPL) nel 2021. Queste leggi delineano anche i requisiti sulla privacy dei dati per le aziende basate sulla Cina/UE per la gestione e l’utilizzo dei dati dei loro cittadini. Gli Stati Uniti non hanno un’unica legge sulla privacy, ma una combinazione di leggi statali o specifiche del settore come la California Consumer Privacy Act (CCPA) introdotta nel 2018, seguita dalla California Privacy Rights Act (CPRA) nel 2020 e nella Health Information Privacy and Portability Act (HIPAA).

Tuttavia, a differenza del resto del mondo che ha leggi e regolamenti sulla privacy volta a proteggere la privacy dei cittadini, l’India non ha ancora una legge sulla privacy per salvaguardare i suoi cittadini. Nell’agosto 2017, la Corte suprema dell’India ha dichiarato il diritto alla privacy come diritto fondamentale per i cittadini indiani protetti dalla Costituzione indiana. Seguendo il diritto alla privacy, l’India ha introdotto la fattura sulla privacy dei dati nel 2019; Tuttavia, è stato ritirato nel 2022 e finora nessuna nuova legislazione è stata proposta. L’India deve intensificare i suoi sforzi e avere leggi sulla privacy dei dati in linea con la visione globale sulla privacy dei dati. I regolamenti eliminano l’onere dei cittadini e stabiliscono una visione chiara per le organizzazioni per conformarsi a loro.

India: cosa c’è nella nuova legge sulla protezione dei dati dell’India?

Il governo indiano ha pubblicato una nuova bozza semplificata della propria legge sulla protezione dei dati personali digitali. Cosa dice?

Il 18 novembre 2022, il Government of India pubblicò la quarta bozza della proposta legge sulla privacy dell’India, ora rinominata la legge sulla protezione dei dati personali digitali (“fattura”). Il governo ha cercato feedback sul disegno di legge 17 dicembre 2022.

India: cosa è la nuova legge sulla protezione dei dati dell’India

Le richieste di implementazione di misure che riducono la vulnerabilità dei dati e la prevenzione dell’erosione della privacy degli utenti sono state clamorie in tutto il mondo.

Privacy dei dati personali – L’India ha bisogno di regolamenti come l’Europa’S GDPR e USA’s ccpa

Dr. Preeti Goel ha oltre 15 anni di esperienza professionale e ha contribuito ad alcune delle migliori aziende tecnologiche del mondo come Microsoft, Google, Adobe e Amazon. Preeti Goel ha una laurea in informatica, un master presso IIT-Kanpur e un pH.D. Dall’Università di Melbourne, Australia. MENO . DI PIÙ

Le richieste di implementazione di misure che riducono la vulnerabilità dei dati e la prevenzione dell’erosione della privacy degli utenti sono state clamorie in tutto il mondo.

Mentre tutti noi saremo d’accordo “I dati sono la merce post-pressione nell’era digitale”, proteggerlo e garantire che la privacy dei dati diventa estremamente critica. È un fatto ben noto che l’India è il secondo più grande ecosistema online al mondo con oltre 900 milioni di utenti Internet. Con la crescente penetrazione su Internet questo numero è destinato ad aumentare bruscamente nei prossimi 5 anni. Si dice che l’India abbia a che fare con il secondo numero più grande di violazioni dei dati riportate a livello globale. Al momento, è fondamentale educare gli utenti sulla raccolta e sulla privacy dei dati e anche costruire leggi che proteggono le persone dall’uso improprio dei loro dati personali.

With the digital shift and services moving to the cloud there is a large amount of highly precise personal data being exchanged not just through the websites we browse or the apps people use on their mobile phones but also through appliances such as security/surveillance cameras, digital doorbells, temperature control thermostats, smart home automation, digital assistants to name a few. La raccolta dei dati’Il caso d’uso primario è migliorare e personalizzare i servizi offerti, tuttavia, può essere utilizzato in modo improprio per eludere un individuo’s privacy, sicurezza e fiducia. L’analisi di questi dati, quando raccolta per un intervallo di tempo, può portare all’identificazione degli individui, inferendo le informazioni su una persona’credie, preferenze, religione o salute. Alla fine possono essere usati per influenzare, causare minacce alla sicurezza personale, pubblicità mirata, frode e hacking. Ad esempio, analizzare un individuo’S Dati di posizione per determinare i negozi/luoghi di visite individuali e con quale frequenza può portare all’identificazione degli interessi, del comportamento sociale e anche dello stato socio-economico.

Per le organizzazioni, un incidente sulla sicurezza dei dati potrebbe portare a implicazioni legali e aziendali e anche una mancanza di fiducia degli utenti. Facebook-Cambridge Analytica Fiasco è una delle famigerate violazioni dei dati, nei dati del 2018 per quasi 87 milioni di utenti di Facebook sono stati utilizzati senza il loro consenso e comprensione. I dati ottenuti in modo inappropriato da Facebook sono stati utilizzati per creare profili degli elettori e utilizzati per la pubblicità politica (senza consenso). Questa è stata la più grande perdita di dati affrontata da Facebook. Ciò ha spinto la consapevolezza delle questioni relative alla privacy dei dati, in che modo il concetto di privacy sta cambiando e ha evidenziato l’ansia dei clienti per abituarsi ai progressi tecnologici, ma non è ancora pienamente consapevole dell’entità dell’erosione della privacy e dei compromessi nella qualità del servizio rispetto alle opzioni correlate alla privacy. Esistono impostazioni sulla privacy esposte dalle aziende, tuttavia non sono facilmente comprensibili e non vi è nemmeno chiaro sull’impatto sull’esperienza dell’utente sulla disabilitazione di determinati tipi di accesso ai dati. Per i governi, una violazione della privacy potrebbe portare al rischio di perdere informazioni nazionali riservate.

Le modifiche alle leggi relative alla tecnologia e ai dati sono una sfida globale. Europa’S Regolamento sulla privacy dei dati generali (GDPR) che ha avuto effetto nel 2018, definisce e unifica le normative sulla privacy con l’Unione europea (UE). Il GDPR non solo fornisce controlli sulla privacy agli individui, ma pone anche obblighi sulle organizzazioni che detengono i loro dati. La Cina ha annunciato i regolamenti sulla privacy dei dati con la legge sulla protezione delle informazioni personali (PIPL) nel 2021. Queste leggi delineano anche i requisiti sulla privacy dei dati per le aziende basate sulla Cina/UE per la gestione e l’utilizzo dei dati dei loro cittadini. Gli Stati Uniti non hanno un’unica legge sulla privacy, ma una combinazione di leggi specifiche statali o del settore come la California Consumer Privacy Act (CCPA) introdotta nel 2018, seguita dalla California Privacy Rights Act (CPRA) nel 2020 e nella Health Information Privacy and Portability Act (HIPAA).

Tuttavia, a differenza del resto del mondo che ha leggi e regolamenti sulla privacy che mirano a proteggere la privacy dei cittadini, l’India non ha ancora una legge sulla privacy per salvaguardare i suoi cittadini. Nell’agosto 2017, la Corte suprema dell’India ha dichiarato il diritto alla privacy come diritto fondamentale per i cittadini indiani protetti dalla Costituzione indiana. A seguito del diritto alla privacy, l’India ha introdotto il disegno di legge sulla privacy dei dati nel 2019, tuttavia è stata ritirata nel 2022 e finora non è stata proposta alcuna nuova legislazione. L’India deve intensificare i suoi sforzi e avere leggi sulla privacy dei dati in linea con la visione globale sulla privacy dei dati. I regolamenti eliminano l’onere dei cittadini e stabiliscono una visione chiara per le organizzazioni per conformarsi a loro.

India: cosa c’è nella nuova legge sulla protezione dei dati dell’India?

Il governo indiano ha pubblicato una nuova bozza semplificata della propria legge sulla protezione dei dati personali digitali. Cosa dice?

Il 18 novembre 2022, il governo indiano pubblicò la quarta bozza attesa della proposta di diritto alla privacy dell’India, ora rinominata la legge digitale per la protezione dei dati personali (“fattura”). Il governo ha cercato feedback sul progetto di legge 17 dicembre 2022.

A prima vista, il conto è una sorpresa. È una bozza completamente nuova e non un ritratta delle versioni precedenti ed è molto più breve e più semplice. Si allontana sostanzialmente dal modello GDPR delle leggi sulla privacy che è abbastanza comune oggi.

Applicabilità

La legge si applica solo ai dati personali raccolti online o che vengono raccolti offline, ma che viene digitalizzato. La legge si applicherà all’elaborazione di dati personali al di fuori dell’India se questa elaborazione è in relazione a qualsiasi profilazione dei presidi in India o qualsiasi attività di offerta di beni o servizi all’interno dell’India. La legge esonera anche l’elaborazione di dati in India di persone situate al di fuori dell’India in base a un accordo contrattuale transfrontaliero: ciò copre essenzialmente il settore offshore/outsourcing.

Definizioni

La fattura utilizza una terminologia simile alle versioni precedenti. Un soggetto di dati viene definito comePrincipal dei dati ‘ e un controllore di dati viene definito comeFiduciaria dei dati ‘. Non esiste un concetto o una definizione di dati personali sensibili. Il DPA è indicato come il Data Protection Board of India (“DPBI”).

Motivi per la raccolta e l’elaborazione

Il consenso continua ad essere il motivo principale per l’elaborazione dei dati personali. Deve essere “dato liberamente”, “specifico”, “informato” e una “indicazione inequivocabile del consenso” attraverso una “chiara azione affermativa”.

Sembra chiaro che Consenso esplicito sarebbe richiesto. Il consenso può anche essere ritirato, le cui conseguenze sarebbero sostenute dal soggetto dei dati. Il progetto di legge include anche motivi evidenti per l’elaborazione di dati personali, come la conformità con le leggi e gli ordini del tribunale, le azioni che si occupano di epidemie o leggi e situazioni degli ordini.

Il concetto di interesse legittimo sembra essere catturato in diversi modi. Vengono menzionate diverse situazioni in cui si ritiene che sia stato dato il consenso. Questi includono l’elaborazione di dati personali “nell’interesse pubblico”, compresa la prevenzione o il rilevamento di frodi, per la sicurezza di rete e delle informazioni, il punteggio del credito, l’elaborazione dei dati personali disponibili al pubblico e per il recupero del debito.

Sembra poco chiaro, anche se le imprese private possano utilizzare questi motivi, dato che l’elaborazione deve essere “nell’interesse pubblico”. C’è anche il motivo di “scopo giusto e ragionevole”, ma in questo caso il governo deve avvisare quale sia uno scopo giusto e ragionevole. In tal modo, il governo può considerare gli interessi legittimi della fiducia dei dati.

Un motivo chiave è il luogo in cui l’elaborazione dei dati personali è “necessaria” e dove i dati personali sono forniti volontariamente e “è ragionevolmente previsto che il soggetto dei dati fornisca tali dati personali”. Si dovrebbe dimostrare che l’elaborazione è “necessaria” e che i dati personali sono stati forniti “volontariamente” e che il capitale dei dati dovrebbe ragionevolmente prevedere che tali dati forniscano tali dati.

Forse questa disposizione avrebbe potuto essere redatta meglio, supponendo che ciò sia destinato a essere un tipo di terreno di interesse legittimo. È probabile che diventerà la disposizione più importante del nuovo statuto per le aziende che non desiderano percorrere il percorso del consenso.

Occupazione

Esiste un motivo separato per l’elaborazione di dati personali relativi all’occupazione che copre la prevenzione dello spionaggio, la manutenzione della riservatezza dei segreti commerciali e il PI, il reclutamento, la cessazione dell’occupazione, la fornitura di servizi o i benefici a un dipendente, la verifica della frequenza e la valutazione delle prestazioni. I dati personali possono essere raccolti per questi motivi purché l’elaborazione sia “necessaria”.

Avviso

Le versioni precedenti della fattura prevedevano informazioni approfondite come parte di Avviso per i principali dei dati. È stato eccessivo. Questa versione copre solo due cose: i tipi di dati personali da elaborare e gli scopi di elaborazione. Queste informazioni devono essere fornite in modo dettagliato.

Bambini

Il disegno di legge mantiene la soglia per i bambini a 18 anni. Questo sarà visto come una delusione per il mondo online, poiché gli standard globali tendono ad essere più vicini a 16 anni.

Il consenso dei genitori verificabile è richiesto per la raccolta dei dati personali dei bambini. Il disegno di legge proibisce inoltre la profilazione dei bambini o il monitoraggio comportamentale o la pubblicità mirata ai bambini. Tuttavia, il governo ha il potere di esentare questi requisiti attraverso la notifica.

Diritti e doveri dei principali dati

I principali dei dati (soggetti dei dati) hanno diversi diritti. Includono il diritto di sapere quali dati personali vengono elaborati e il diritto di correggere i dati personali inaccurati. Un preside dei dati può anche richiedere che i dati personali vengano eliminati sul fatto che la sua memoria non serve più allo scopo per il quale è stato raccolto.

È interessante notare che il disegno di legge include i doveri dei presidi dei dati; essenzialmente al dovere di non fornire informazioni false e di non presentare frivoli o false rimostranze

Archiviazione di dati personali

Il progetto di legge richiede che il fiduciario dei dati (controller dati) garantisca che i dati personali mantenuti siano accurati e per utilizzare misure organizzative e tecniche appropriate per conformarsi alla legge. I fiduciari dei dati devono anche utilizzare misure di sicurezza ragionevoli per prevenire le violazioni dei dati. Un fiduciario di dati può mantenere i dati personali solo fintanto che serve allo scopo per il quale è stato raccolto o per uno scopo legale o aziendale. Successivamente, i dati personali devono essere eliminati.

Violazione dei dati personali

Il progetto di fattura definisce una “violazione dei dati personali” per significare qualsiasi elaborazione non autorizzata o divulgazione accidentale, uso, alterazione o distruzione dei dati personali, che compromette la sua riservatezza, integrità o disponibilità.

In caso di violazione dei dati personali, il fiduciario o il principale dei dati dei dati deve informare sia il DPBI che il preside dei dati interessati, in modo prescritto dal governo. L’ampia definizione di una violazione dei dati personali coprirebbe piccole istanze di violazioni dei dati per le quali la notifica al governo e ai presidi dei dati sembra piuttosto onerosa.

‘Fiduciaria dei dati significativi’

Il progetto di legge conserva il concetto di a Fiduciario di dati significativi (‘SDF’). Questo è un fiduciario di dati (controller) che soddisfa i criteri stabiliti dal governo. Nel determinare chi sarebbe un SDF, il governo considererebbe fattori come il volume dei dati e il rischio di danno.

È interessante notare che questi fattori includono anche “potenziale impatto sull’integrità e la sovranità dell’India” e “rischio per la democrazia elettorale”. Gli SDF sono tenuti a nominare agenti di protezione dei dati, che devono riferire al consiglio di amministrazione dell’organizzazione. Devono inoltre nominare un revisore dei conti indipendenti per la revisione della conformità alla legge sulla privacy. Il governo può anche avvisare quando SDF deve condurre valutazioni dell’impatto sulla privacy.

Responsabile della protezione dei dati

Sono tenuti solo gli SDF per nominare un responsabile della protezione dei dati. Tuttavia, ogni fiduciario di dati deve nominare una persona per agire come punto di contatto per chiunque voglia presentare un reclamo. I dettagli di contatto dell’ufficiale di reclamo devono essere pubblicati.

Localizzazione dei dati e trasferimenti

Il progetto di fattura non include direttamente le disposizioni sulla localizzazione dei dati. Il requisito nelle precedenti bozze secondo cui i dati personali critici devono essere archiviati solo in India o che i dati personali sensibili possono essere trasferiti al di fuori dell’India, ma è stata rimossa una copia in India.

Il disegno di legge afferma che il governo comunicherebbe i paesi ai quali i dati personali possono essere trasferiti. Sembrerebbe che fino a quando il governo non noti questi paesi, i dati personali possano essere trasferiti liberamente al di fuori dell’India, sebbene forse la notifica verrà emessa al momento della legge che la legge entrerà in vigore. La legge non copre altri mezzi per consentire trasferimenti di dati, ad esempio attraverso clausole contrattuali standard (questo è dopo tutto il metodo con cui i dati personali vengono attualmente trasferiti dall’UE in India).

Esenzione del governo

Il disegno di legge concede il potere al governo di esentare se stesso e le sue agenzie da qualsiasi requisito del disegno di legge. I motivi menzionati, come la sovranità e l’integrità dell’India, la sicurezza dello stato, ecc., sono presi dalla Costituzione dell’India e citati anche dalla Corte Suprema dell’India come motivi per cui i diritti alla privacy possono essere limitati. Questi motivi sono, tuttavia, abbastanza ampi e proporzionalità e la ragionevolezza non sono ingredienti essenziali.

Penalità

Il progetto di nuova legge prescrive sanzioni per non conformità. C’è un programma che menziona i limiti di penalità per violazioni specifiche. Ad esempio, la mancata assunzione di ragionevoli garanzie di sicurezza per prevenire la violazione dei dati personali comporterebbe una sanzione fino a 25 milioni di INR (circa 30 milioni di dollari).

Le sanzioni in generale possono salire a 50 milioni di INR (ca. 60 milioni di dollari). È interessante notare che non è previsto che l’assegnazione di un risarcimento ai soggetti di dati interessati.

Analisi

Il governo ha adottato un approccio decisamente indiano alla redazione di questa legislazione. È molto più semplice delle versioni passate e va contro l’attuale tendenza del modello di legislazione sulla privacy GDPR. Questo tipo di legislazione è abbastanza appropriato per l’India, dato il suo enorme settore delle PMI non organizzato e dato che gli standard di conformità alla privacy sono piuttosto bassi in India.

Probabilmente significa tuttavia che la legislazione non riuscirà a ottenere una sentenza di adeguatezza dall’UE. In ogni caso, a causa della non avere una supervisione indipendente sulla sorveglianza del governo, la legge indiana non è pienamente conforme Schrems II.

Ci sono tuttavia una serie di questioni che devono essere trattate nella legge. Il più importante è chiarire la lingua che circonda il tipo di terreno di interesse legittimo che crediamo sia al centro della legislazione sulla privacy. È il concetto di “necessità” sufficiente per affrontare situazioni legittime di raccolta e elaborazione dei dati personali?

Sembrerebbe inoltre che i requisiti di avviso si applicino solo quando si ottiene il consenso. Ciò significa che quando i dati personali vengono elaborati in base ad altri motivi, che rientrano in ritenute disposizioni di consenso, non è richiesto alcun preavviso. La necessità di prescrivere il consenso è di per sé discutibile. È stato scoperto che il consenso non è realmente un mezzo di protezione ai soggetti dei dati soprattutto perché nella maggior parte dei casi, i soggetti di dati non hanno altra scelta che dare il consenso.

Per tutto il tempo, il mio approccio raccomandato è stato quello di avere una legislazione leggera e consentire al DPA di costruire ulteriori regolamenti lentamente attraverso la legislazione delegata. Questo progetto di legislazione segue parzialmente questo approccio. Mentre il DPBI ha i poteri di approvare i regolamenti, si riferiscono solo a realizzare le disposizioni della legge. È discutibile se ha il potere di approvare la regolamentazione su questioni non menzionate nella legge. Ad esempio, problemi come la portabilità dei dati, la privacy per progettazione, ecc., Non trovare posto nel conto. Sarebbe stato meglio che i poteri dati al DPBI siano stati spiegati in modo più dettagliato.

Il divieto generale di monitorare l’attività dei bambini su Internet e la pubblicità comportamentale sembra un po ‘irragionevole. In che modo un canale video o musica online, ad esempio, consiglierebbe film o musica ai bambini in base ai loro gusti senza rintracciare la loro attività?

Il disegno di legge dà anche al governo il potere di esentare una qualsiasi delle sue agenzie da una qualsiasi delle disposizioni della legge. Non c’è ragionevolezza o soglia di proporzionalità menzionata. Forse, tuttavia, questo può essere letto nella legge forniti dichiarazioni già fatte dalla Corte suprema dell’India. L’esenzione generale per il governo sulla necessità di eliminare i dati che non servono più allo scopo per i quali è stato raccolto è anche sfortunata.

È anche un peccato che la composizione del DPBI non sia stata prescritta nella legge lasciando così al governo nominare chiunque voglia. Un DPA esperto di tecnologia e agile è molto richiesto al fine di gestire il regolamento sulla privacy dei dati in India, soprattutto dato che alcuni dei requisiti della legge saranno “come potrebbero essere prescritti” in seguito.

Nel complesso, l’approccio adottato ha senso dato l’ambiente indiano e può fornire un cuscinetto di lancio per una regolamentazione più ampia legata alla privacy in futuro. Ci sono ovviamente lacune e errori di redazione, ma ciò deve essere previsto in una legislazione più semplice che colpisce anche un nuovo percorso ed è redatto da persone che non sono esperti di privacy. Si spera che il governo lavorerà con la comunità della privacy per appianare questi problemi e portare questo documento a promulgare.

Il contenuto di questo articolo ha lo scopo di fornire una guida generale all’argomento. Si dovrebbe cercare consigli specialistici sulle tue circostanze specifiche.

L’India ha leggi sulla privacy dei dati?

23 novembre 2022

India’La nuova fattura di dati è un miscuglio per la privacy

Di Justin Sherman

Suggerimenti di ricerca

Risultati totali>/>

Recente pertinente

Risultati del filtro

India’Il Parlamento ha rilasciato la propria legge sulla protezione dei dati personali digitali, il secondo passaggio in una legge globale sulla privacy dei dati dopo che il governo ha ritirato la propria legge sulla protezione dei dati personali all’inizio di quest’anno. La bozza attuale è più breve dell’altra fattura, sebbene abbia molti degli stessi componenti.

I politici indiani hanno anche diffuso commenti sul disegno di legge che non sono stati resi pubblicamente disponibili, ma di cui discuto qui. È importante sottolineare “consenso,” correggere dati personali inaccurati e proteggere i diritti dei dati insieme alle disposizioni per l’accesso ai dati del governo. Questa analisi non è completa, ma mette in evidenza alcuni punti chiave degnati alla legislazione che costituirebbero un grande sviluppo nella regolamentazione globale dei dati.

L’idea di ‘consenso’

Come per la vecchia fattura, la fattura digitale per la protezione dei dati richiede i dati di elaborazione delle organizzazioni (che chiama IT “Fiduciani di dati”) ottenere “consenso” da individui su cui stanno elaborando i dati. Quando un individuo dà il proprio “consenso,” Il conto dice che l’organizzazione deve fornire a quella persona “un avviso dettagliato in un linguaggio chiaro e semplice” che descrive i dati raccolti e lo scopo per i quali vengono elaborati, “non appena è ragionevolmente praticabile.” Il disegno di legge propone inoltre che le persone siano in grado di ritirare il loro “consenso” Affinché le organizzazioni elaborano i loro dati, a quel punto l’organizzazione in questione deve smettere di farlo.

Questa nozione di consenso è rotta e non è nemmeno specifica per l’India. Le aziende e i politici europei statunitensi e europei spingono la stessa idea. Le persone non leggono i termini degli accordi di servizio e le aziende che lampeggiano un lungo documento con legali inaccessibili, in attesa che le persone si bastino semplicemente “accettare”—Nonosci che gli utenti non leggano né capiscano il documento.

Questo sfida la nozione stessa di consenso.

Allo stesso modo, le persone non leggono politiche sulla privacy, ma molti siti Web e applicazioni affermeranno letteralmente che la visualizzazione del sito Web o l’apertura di per sé costituisce un accordo con la sua politica sulla privacy. Inoltre, il consenso non è completamente e liberamente dato in un mondo in cui i cittadini, inclusi i cittadini indiani, accettano i servizi di base senza sottopordersi alla raccolta dei dati. Tuttavia, il nuovo conto’s lingua sul consenso mette l’India relativamente nella stessa direzione di “consenso” disposizioni nelle leggi sulla privacy statale degli Stati Uniti e nel regolamento generale sulla protezione dei dati nell’Unione europea.

La raccolta dei dati del governo ritagliata

Il disegno di legge indebolisce questa nozione di consenso ulteriormente specificando numerose eccezioni, tra cui molte eccezioni per il governo indiano. Mentre alcuni sono probabilmente più ragionevoli, altri creano rischi per la privacy per i cittadini indiani e generano complesse questioni legali per società e organizzazioni che operano in India.

Si ritiene che gli individui, nell’ultima bozza di fattura pubblica “è necessario” per “le prestazioni di qualsiasi funzione ai sensi della legge,” “per la conformità a qualsiasi giudizio o ordine emesso ai sensi della legge,” “per rispondere a un’emergenza medica che coinvolge una minaccia per la vita o la minaccia immediata per la salute dell’individuo o di qualsiasi altro individuo,” E “per adottare misure per garantire la sicurezza o fornire assistenza o servizi a qualsiasi individuo durante qualsiasi disastro o qualsiasi ripartizione dell’ordine pubblico,” tra gli altri. Esente anche situazioni in cui si trova “ragionevolmente atteso” che qualcuno avrebbe fornito i propri dati personali a un’organizzazione volontariamente, l’elaborazione di “Dati personali disponibili al pubblico,” e punteggio di credito.

Mentre alcune di queste eccezioni possono sembrare ragionevoli sulla loro faccia (come il punteggio del credito), molte sono molto preoccupanti dal punto di vista della privacy e dei diritti civili. Il governo del Primo Ministro indiano Narendra Modi ha spesso fatto false affermazioni di minacce alla sicurezza pubblica e all’ordine di reprimere la protesta e il dissenso. Allo stesso modo le autorità hanno attratto altrettanto dubbi, ma in tela di ordini pubblici, afferma di giustificare legalmente e retoricamente la chiusura di Internet più volte di qualsiasi altro paese sulla Terra. In forma simile, il conto’la lingua attuale consentirebbe la raccolta dei dati in base al “interesse pubblico,” definito in modo estremamente ampio per includere l’interesse dell’India’s sovranità e integrità, sicurezza statale, relazioni amichevoli con stati stranieri, manutenzione dell’ordine pubblico, prevenzione di incitamento a una qualsiasi delle attività di cui sopra (come minare l’ordine pubblico) e prevenire la diffusione di “false dichiarazioni di fatto.”

Il governo Modi non è certo l’unico governo in un paese nominalmente democratico impegnato in pratiche assolutamente non democratiche. Tuttavia, la proposta per dati del governo incredibilmente ampi intagliati nel disegno di legge autorizzerebbe la sorveglianza statale a spese dei cittadini indiani’ Privacy e diritti civili. Costringerebbe anche le aziende e le organizzazioni che operano in India a affrontare costantemente una serie ancora più complessa di domande legali sull’ampliamento dell’accesso del governo ai dati.

Per quanto riguarda, questo è solo un componente del governo Modi’S più ampio spinta per minare la crittografia e aumentare la sua capacità di costringere le aziende tecnologiche.

Localizzazione dei dati

L’elemento più controverso della vecchia fattura per la protezione dei dati personali era probabilmente i suoi requisiti di localizzazione dei dati. Queste clausole avrebbero richiesto alle organizzazioni con dati personali sui cittadini indiani di mantenere tali informazioni archiviate nel paese, in alcuni casi semplicemente una copia e in altri casi impediscono completamente il trasferimento in uscita. Diversi politici indiani volevano questi requisiti in atto per una serie di ragioni, tra cui imporre costi alle società straniere, aumentano l’India’S Industria di archiviazione dei dati, aumenta la supervisione del governo indiano sulla memoria dei dati relativi ai cittadini indiani e, come alcuni lo hanno visto, consentono un migliore accesso alle forze dell’ordine indiano ai dati rilevanti per la criminalità detenuti dalle società statunitensi, che è attualmente meno che accessibile attraverso un processo di trattato di assistenza legale reciproca rotta.

Il nuovo disegno di legge si allontana da quell’enfasi sulla localizzazione. Invece di richiedere l’archiviazione locale di dati in sé, propone di consentire al governo indiano di valutare i paesi stranieri’ regimi di protezione dei dati e quindi certificare quelli come sufficienti per fornire destinazioni ai cittadini indiani’ dati. In particolare, afferma, “Il governo centrale può, dopo una valutazione di tali fattori che potrebbero ritenere necessari, avvisare tali paesi o territori al di fuori dell’India a cui un fiduciario di dati può trasferire dati personali, in conformità con i termini e le condizioni che possono essere specificati.”

Le imprese straniere saranno sicuramente felici di questo cambiamento. Molto spesso, i loro reclami sulla localizzazione dei dati sono tornati ai costi, non volendo pagare per le modifiche tecniche e le infrastrutture tecniche per archiviare i dati a livello locale in India, nonché altri costi legali e organizzativi. Ma ci sono anche altre preoccupazioni generate dalla localizzazione dei dati, inclusi i costi di emissioni climatiche per l’infrastruttura di archiviazione dei dati duplicati e i rischi di sicurezza informatica di archiviare un’altra copia delle informazioni quando in precedenza ce n’era uno in meno.

Questi forniscono almeno diversi motivi per cui il governo indiano si allontanasse da un regime di localizzazione dei dati altamente controllati.

Altre idee in discussione

L’attuale versione del disegno di legge sul sito Web per il Ministero indiano dell’elettronica e della tecnologia dell’informazione non si applica “elaborazione non automatica di dati personali,” “dati personali offline,” “dati personali elaborati da un individuo per qualsiasi scopo personale o domestico,” E “dati personali su un individuo contenuto in un record che esiste da almeno 100 anni.”

È interessante notare che una versione marcata del disegno di legge che ho esaminato-le quali cambiamenti non si riflettono nell’attuale bozza online-ha anche contenuto un suggerimento per esonerare “Dati personali anonimi” questo è “di proprietà del governo centrale o statale, a seconda dell’oggetto a cui si riferiscono i dati” dal conto. Conteneva anche una modifica per usare esplicitamente la frase “Flusso libero di dati con fiducia” per descrivere le disposizioni sul governo indiano’App Approvazione per trasferimenti di dati estere e archiviazione.

IL Tempi economici rapporti, in questo senso, che la prossima iterazione del disegno di legge farà definire il governo indiano “fidato” Geografie a cui i dati fiduciari possono trasferire e archiviare i dati relativi ai cittadini indiani.

Il primo è (qui, era) un brutto suggerimento. Negli Stati Uniti, i legislatori federali e statali continuano a esonerare “anonimo” O “deidentificato” Dati dalle leggi e fatture della privacy in base alla falsa convinzione che tali termini siano tecnicamente significativi. Numerosi studi hanno dimostrato quanto sia facile collegare presumibilmente “deidentificato” O “anonimo” Dati per persone reali, dati i progressi nell’analisi dei dati statistici, il puro volume di dati nel mondo oggi e le aziende’ Accesso a punti dati straordinariamente unici per gli individui, come la cronologia della geolocalizzazione o un dispositivo’S modelli di connessione Wi-Fi.

Tuttavia, i legislatori continuano a includere questi intagliati in leggi, anche perché le aziende spingono la linea fasulla “Anonimizzazione” è reale. Speriamo che l’India’Il Parlamento non rientra nella stessa trappola. Le nuove tecniche per proteggere meglio la riservatezza dei dati consentendo ancora alle organizzazioni di elaborarli, come la privacy differenziale, sono preziose. Il percorso migliore è riconoscere che esiste uno spettro di capacità per collegare i dati alle persone per nome o con un altro identificatore individuale chiaro e quel totale “Anonimizzazione” è un mito.

Il secondo suggerimento nel markup di legge inedito che ho esaminato: la frase “Flusso libero di dati con fiducia”—Ure un riferimento al flusso libero di dati con l’iniziativa di fiducia guidata dal governo giapponese al G-20 2019 a Osaka. All’epoca, descriveva la convinzione generale che i paesi abbiano un interesse a consentire il libero flusso di dati tra loro, ma con alcune garanzie in atto. Nuova Delhi ha rifiutato di firmare il flusso di dati iniziali con un accordo di fiducia nel 2020, una vaga proclamazione per perseguire la cooperazione per un “Flusso libero di dati con fiducia” Framework, perché ha visto lo sforzo troppo guidato dai paesi ad alta risorsa. India’il ministro del commercio e dell’industria aveva poi detto questo “Alla luce dell’enorme divisione digitale tra i paesi, è necessario spazio politico per i paesi in via di sviluppo che devono ancora finalizzare le leggi sul commercio e sui dati digitali. I dati sono uno strumento potente per lo sviluppo e l’accesso equo dei dati è un aspetto fondamentale per noi.”

Man mano che i governi espandono le loro normative sul flusso di dati, l’India’swone allontanare da tale enfasi sulla localizzazione e verso un focus sulle geografie di fiducia allinea l’India ad alcuni di questi sforzi, mentre continua a lasciare spazio per i politici per ritagliarsi un cosiddetto quarto modo di governance dei dati rivolti ai paesi del Sud globale. Significativamente, l’India sta inoltre assumendo la presidenza G-20, il che significa che un flusso libero di dati con approccio al tipo di fiducia potrebbe mettere il paese in una posizione influente per guidare le conversazioni globali dei dati nel prossimo anno.

Conclusione

C’è stato un intenso dibattito sull’ultimo tentativo di regolamentazione completa dei dati in India, anche tra i politici indiani, i politici statunitensi, le società tecnologiche statunitensi e le parti interessate della società civile in India. Indubbiamente, questi tipi di dibattiti continueranno ad accadere attorno alla nuova legislazione.

Ci sono anche numerose altre questioni e domande sollevate dalla proposta secondo cui meritano un’analisi e una discussione più profonde: più di quanto non sia coperto in questo articolo. Per ora, però,’è chiaro che l’India è intenzionata a piantare la sua bandiera sulla regolamentazione dei dati e che dove “geografie fidate” sono preoccupati, c’è molto spazio per il governo degli Stati Uniti per impegnarsi in modo produttivo.

Justin Sherman (@jshermcyber) è un membro del Consiglio Atlantico’S Cyber ​​Statecraft Initiative. Era anche membro dell’AC South Asia Center’La task force per l’economia digitale US-India e ha guidato la sua gruppo di lavoro Sulla politica sui dati statunitensi-indiani.

IL Centro dell’Asia meridionale funge da consiglio atlantico’punto focale per il lavoro sulla regione e le relazioni tra questi paesi, le regioni vicine, l’Europa e gli Stati Uniti.

India – Un nuovo tentativo di approvare una legge completa sulla protezione dei dati

Nel novembre 2022, il governo indiano pubblicò una bozza della fattura digitale per la protezione dei dati personali, 2022 (“Conto”), in un nuovo tentativo di creare un regime completo di protezione dei dati.

Si propone che il disegno di legge sia presentato prima del Parlamento dell’India nella prima metà del 2023. Discutiamo le disposizioni chiave del disegno di legge.

Il percorso per la riforma

L’India non ha ancora emanato una legislazione globale sulla protezione dei dati. L’attuale quadro normativo deriva dalla sezione 43A del Information Technology Act, 2000 (“Agisce”) e la tecnologia dell’informazione (pratiche e procedure di sicurezza ragionevoli e dati o informazioni personali sensibili), 2011 (“Regole SPDI”) che applicano obblighi specifici e limitati. Le leggi settoriali possono anche essere applicabili a entità in settori regolamentati come servizi finanziari e telecomunicazioni . Si prega di vedere qui per un riepilogo dettagliato del regime di protezione dei dati in India.

Il governo indiano ha fatto una serie di tentativi di introdurre una legge globale sulla protezione dei dati. Ad esempio, in precedenza aveva proposto una fattura di protezione dei dati, 2021 (“2021 Draft Bill”) che avevano alcune somiglianze con il regolamento generale sulla protezione dei dati (“GDPR”).

Quella bozza del 2021 è stata ora ritirata ed è stata sostituita dalla nuova fattura. Questo disegno di legge è stato redatto come una legge completamente nuova e sembra essere sia per il governo che per le imprese; Non è un’iterazione della bozza del 2021. Il disegno di legge sostituirà la sezione 43A della legge IT e le regole SPDI.

Contorno del conto

Il conto inizia con una serie di concetti che sono ampiamente simili a quelli del GDPR. Governa i fiduciari dei dati (i.e., controllori dati), processori di dati e principi dei dati (i.e., soggetti di dati).

È applicabile all’elaborazione dei dati personali digitali, i.e., Informazioni relative a un individuo in grado di identificare tale individuo, in cui i dati vengono raccolti online o vengono digitalizzati dopo che sono stati raccolti offline.

La bozza del 2021 ha contenuto una complessa delineazione di dati personali in dati personali sensibili o critici e una gerarchizzazione di un fiduciario dei dati’S obblighi sulla base del tipo di dati personali elaborati. Questo è stato eliminato. Inoltre, ‘dati non personali’ è stato rimosso dall’ambito del conto, che è un gradito cambiamento.

Motivi per l’elaborazione – scopo legittimo e consenso

L’elaborazione dei dati personali dovrebbe essere conforme al disegno di legge per uno scopo legittimo, io.e., uno scopo non espressamente proibito dalla legge.

Il consenso rimane un terreno chiave per l’elaborazione dei dati personali ma, come indicato di seguito, è un concetto molto diverso da acconsentire ai sensi del GDPR. I fiduciari dei dati devono fornire un avviso chiaro e dettagliato (con una descrizione dei dati personali ricercati e lo scopo di raccogliere tali dati) per i principali dei dati interessati per chiedere il loro consenso.

Il disegno di legge ha un’ampia concezione del consenso. Oltre al consenso espresso/ affermativo, riconosce ‘ considerato consenso’, l’ambito di cui sembra essere molto ampio. Mentre il consenso affermativo dovrebbe essere gratuito, specifico, informato e inequivocabile e può essere ritirato, ‘considerato consenso’ non richiede individui’ azione affermativa e non attira alcun obbligo di preavviso. Non è anche chiaro su come il ritiro di ‘considerato consenso’ funzionerebbe.

Le fatture elenca le situazioni in cui ‘considerato consenso’ si può fare affidamento su incluso:

• Laddove i dati siano forniti volontariamente la ragionevole aspettativa che i dati debbano essere forniti a tale scopo;
• dati forniti in relazione a scopi legali o giudiziari;
• dati forniti in relazione a emergenze mediche e servizi sanitari;
• dati forniti in relazione alla rottura dell’ordine pubblico;
• dati forniti in relazione all’occupazione, che include la prevenzione dello spionaggio aziendale, la manutenzione della riservatezza, il reclutamento e la risoluzione e la frequenza e la valutazione delle prestazioni; E
• Quando i dati vengono elaborati nell’interesse pubblico. Ciò include i dati elaborati in relazione alle fusioni e acquisizioni e alle transazioni di ristrutturazione aziendale, al punteggio del credito, alla prevenzione delle frodi, ecc. o per qualsiasi scopo giusto e ragionevole ‘come può essere prescritto’.

Obblighi di fiduciari dei dati

Gli obblighi chiave dei fiduciari dei dati includono:

• impiegare misure per conformarsi al conto;
• garantire l’accuratezza e la completezza dei dati personali;
• impiego di garanzie di sicurezza ragionevoli per prevenire le violazioni dei dati;
• Rimozione dei dati personali dai record una volta raggiunto lo scopo, a meno che la conservazione non sia legalmente richiesta; E
• Impiegando un meccanismo di riparazione del reclamo.

Il disegno di legge definisce i bambini come chiunque sia di età inferiore ai 18 anni e richiede un consenso dei genitori verificabile per l’elaborazione dei dati personali dei bambini.

Le aziende possono essere designate come ‘Fiduciani di dati significativi’, Sulla base di fattori come il volume e la sensibilità dei dati personali elaborati, il rischio di danno ai principi dei dati e il potenziale impatto sull’India’S Sicurezza e ordine pubblico. Questi ‘Fiduciani di dati significativi’ sono soggetti a obblighi aggiuntivi come la conduzione di audit periodici e valutazioni dell’impatto sulla protezione dei dati e nomina un revisore dei dati indipendenti e un responsabile della protezione dei dati.

Le organizzazioni che affrontano abitualmente grandi volumi di dati personali (banche, compagnie di telecomunicazioni, compagnie assicurative, ospedali) probabilmente rientrano in questa categoria, sebbene a differenza della bozza del 2021, le piattaforme di social media non sono specificamente identificate come ‘Fiduciani di dati significativi’ .

Diritti e doveri dei principali dati

• Il diritto di informazioni come lo stato di elaborazione dei dati personali, il riepilogo dei dati elaborati e i nomi delle aziende con cui i loro dati personali sono stati condivisi;
• il diritto di nomina di qualsiasi altro individuo, in caso di morte o incapacità;
• il diritto di correzione e cancellazione, che include fiduciario dati’S dovere di correggere dati inesatti/ fuorvianti, completare dati incompleti, aggiornare i dati personali e cancellare i dati dopo che lo scopo è stato raggiunto; E
• il diritto di risarcimento da rimostranza davanti al Data Protection Board of India o Fiduciaries di dati.

Insolitamente, il disegno di legge impone anche doveri ai principali dei dati (individui). Possono essere soggetti a sanzioni fino a 10.000 INR per non conformità, una disposizione unica che sembra essere stata introdotta per prevenire i reclami frivoli .

Localizzazione dei dati e trasferimenti di dati transfrontalieri

Mentre il disegno di legge non impone specificamente l’archiviazione dei dati personali digitali all’interno dell’India, i requisiti di localizzazione dei dati ai sensi delle altre leggi (E.G., imposto dalla Reserve Bank of India su banche e altri fornitori di servizi di pagamento) continuerà ad applicare.

Inoltre, sotto il disegno di legge, i trasferimenti di dati transfrontalieri sono autorizzati alle giurisdizioni che il governo indiano ‘può prescrivere’. Pertanto, sembra che i trasferimenti di dati saranno autorizzati solo ai paesi che rientrano in un elenco bianco del governo.

UN ‘digitale per design’ e un comitato di protezione dei dati indipendente, sebbene nominato dal governo, composto da un presidente, un amministratore delegato, membri e altri ufficiali e dipendenti, sarà istituito da una notifica del governo, per garantire la conformità e penalizzare la non conformità.

Il Consiglio ha il potere di condurre le basi delle richieste, tra l’altro, Suo Moto Reclami o reclami da persone colpite/ riferimenti da parte del governo e ordini di emissione. Tali ordini possono essere ulteriormente rivisti dal consiglio di amministrazione o essere impugnati davanti a tribunali alti pertinenti. Il consiglio può anche raccomandare processi alternati di risoluzione delle controversie e può fermare i propri procedimenti accettando le imprese volontarie di violazione delle entità.

Mentre il quantum di sanzioni per la raggiungimento B e la non conformità del conto è elevato (limitato a 500 crores INR, che è circa 60m di euro), le sanzioni non sono legate al fatturato mondiale dell’entità, come nel caso del GDPR e della bozza del 2021. Un altro gradito cambiamento è stata la rimozione delle sanzioni penali. La capacità dei principi dei dati interessati di richiedere il risarcimento è stata rimossa anche.

Le entità statali sono esenti dall’obbligo di non trattenere i dati anche dopo che lo scopo è stato raggiunto e possono anche essere esentati dalle disposizioni del disegno di legge dal governo indiano negli interessi dello stato’S Sicurezza, sovranità e integrità o per mantenere l’ordine pubblico .

Alcune società possono anche essere esentate dal governo indiano da determinati obblighi specifici. Inoltre, molti obblighi di fiduciari dei dati non si applicano quando è necessaria l’elaborazione (i) per scopi giudiziari/ quasi giudi.

Cosa dopo

Si propone che il disegno di legge sia presentato prima del Parlamento dell’India nella sua sessione di bilancio del 2023 e dovrà essere approvato da entrambe le case del Parlamento indiano e notificato nella Gazzetta ufficiale prima che diventi la legge. Anche dopo l’attivazione, è probabile che il conto venga implementato in modo graduale per un certo periodo di tempo. Successivamente il governo indiano emetterà anche regole per eseguire le disposizioni del disegno di legge.

Si prega di vedere qui per un articolo dettagliato sul riepilogo degli emendamenti chiave proposti nel disegno di legge.

Di Deepa Christopher, partner e Anindita Dutta, associata, presso Talwar Thakore & Associates, uno studio legale indiano leader.