Análisis de la nueva ley de protección de datos de India: ¿Buena, mala u horrible?

Image of computer code surrounds a lock, superimposed on the Indian flag

Imagen de Ameya Nagarajan para Global Voices. Imagen de un código y un candado por Darwin Laganzon de Pixabay, uso bajo licencia de Pixabay.

El 11 de agosto de 2023, el presidente de India, Droupadi Murmuo, firmó la ley de Protección de Datos Digitales Personal (PDDP), que lleva varios años de desarrollo. Aunque el Ministerio de Información Tecnológica opinó que la ley es “un hito importante en el marco normativo mundial del ciberderecho“, y la jefa de Meta India la llamó “un gran paso hacia el equilibrio entre la protección al usuario y la innovación“, las organizaciones civiles no están tan contentas acerca del formato final del proyecto de ley. Para entender la polaridad de las opiniones, se necesita repasar las circunstancias que llevaron al proyecto tal como es ahora.

Aadhaar, la chispa

El diálogo acerca de la protección de los datos en India recién tomó impulso a mitad de la última década en el marco del Aadhaar, herramienta de identificación biométrica que desarrolló el Gobierno, que fue presentada en 2009. Aunque al inicio se declaró que Aadhaar sería para identificar de forma única a cada residente de India para poder acceder a programas de bienestar, se comenzó a requerir su uso en situaciones que van desde la admisión escolar hasta la declaración de impuestos. Esto suscitó temores de que el Gobierno estuviera estableciendo un sistema de vigilancia mayor que podría rastrear a cada habitante. Además, la expansión del uso del Aadhaar ocurrió antes de que se aplicara una ley que regulara el uso y que protegiera la información que se recopilaba.

Incluso, luego de que se aprobó la ley de Aadhaar en 2016, que permitió su uso obligatorio, se presentaron diversas impugnaciones legales y constitucionales a la obligación de requerir el Aadhaar en las cortes de India. La base primordial para estas impugnaciones era que dicha ley violaba el derecho a la privacidad protegido por la Constitución, aunque el Gobierno sostenía que tal derecho no estaba garantizado constitucionalmente porno se lo menciona en el capítulo de los derechos fundamentales de la carta fundamental.

Finalmente, en 2017, un jurado conformado por nueve miembros de la Corte Suprema pronunció que la Constitución sí garantizaba el derecho a la privacidad en una de sus facetas en las que versa sobre “la privacidad de la información”, lo que se podía reivindicar contra el Gobierno y entidades privadas. La corte reconoció que se podría restringir este derecho para algunos propósitos legítimos, siempre y cuando se hiciera por proporcionalidad de la ley. La corte también señaló que, en la era digital, era necesaria una ley general de protección de la información (aparte de la de Aadhaar).

Un comité especial para redactar la ley

En respuesta a la observación de la corte, el Gobierno estableció un comité en 2017 encabezado por B.N. Srikrishna, juez retirado de la Corte Suprema de India, para elaborar un proyecto de ley para proteger la información en el país. El informe del comité, entregado en 2018, incluía un proyecto de ley de protección de datos que describía el marco legal y regulatorio que gobernaría el resguardo de la información en India y la transferencia de datos fuera del país.

Aunque el Gobierno acepto la mayor parte de las recomendaciones del comité, en diciembre de 2019 presentó un proyecto que tenía diferencias en varios aspectos. Las más notables eran las excepciones que podría obtener el Gobierno. El anteproyecto de ley se presentó en la Comisión Parlamentaria Mixta, compuesta de miembros de ambas cámaras del Parlamento y cuya tarea era hacer un estudio más detallado del proyecto. Al cabo de varias rondas de discusión y debate, en 2021, se presentó otro proyecto de ley más con modificaciones para proteger la información. Este también recibió críticas de la sociedad civil al preocuparse poco por la privacidad y mucho por la habilitación de la vigilancia estatal y por las disposiciones que obligan a que los gigantes tecnológicos guarden los datos localmente.

Sin embargo, en agosto de 2022, el Gobierno retiró abruptamente el proyecto del Parlamento, con la promesa de presentar uno nuevo en un mes. Esta nueva ley, la cuarta versión, es la que finalmente se aprobó como la ley de PDDP.

Entonces, ¿India logró una buena ley de protección?

Con una rápida lectura, parece que la ley PDDP tiene su mérito. Ordena que los “fiduciarios de los datos“ (quienes recolectan y procesan datos de las personas) deban obtener consentimiento previa notificación antes de utilizar la información digital personal del “titular de los datos” (persona cuyos datos se recaban) y requiere que tal consentimiento sea “libre, específico, informado, incondicional y preciso”. Enumera cuatro derechos de los titulares, entre los que se incluye el de concederles eliminar datos y reparar agravios, e impone obligaciones a los fiduciarios.

Sin embargo, hasta aquí llegan las buenas noticias sobre el proyecto de ley.

Hay dos grandes fallas en la ley PDDP: la falta de un agente regulador fuerte y las grandes facultades que otorga al Gobierno para eximirse de las disposiciones legales. Mientras la PDDP establece los derechos de los titulares de los datos y las obligaciones de los fiduciarios, pero su cumplimiento quedan en manos de la persona afectada. A diferencia de las versiones anteriores que concebían la existencia de un agente regulador (una Autoridad para la Protección de Datos de India), la actual dispone un organismo en gran medida ineficaz: el Comité de Protección de Datos (CPD). Este no tiene el poder de crear normas que regulen la recolección de información por parte de las grandes compañías o hacerles cumplir lo que la ley estipula. En el mejor de los casos, el CPD puede recibir las quejas de los titulares, pero poco puede hacer para aplicar sus propias disposiciones o directivas sobre un gigante tecnológico. A este tipo de compañías no les preocupan las acciones de un CPD débil y desprovisto de armas.

El CPD, además, designa y nombra su personal de entre los funcionarios del Gobierno, sin ninguna participación externa para determinar quién debería ser elegido. Esto le confiere a la administración el poder de decidir qué habilidades y capacitación debe tener una persona para ocupar un puesto y cómo se les va a designar, lo que en esencia evita que el CPD funcione como un organismo independiente.

Esto nos lleva al gran problema que tiene la ley: la incapacidad total de prestar algún control sobre la vigilancia de masas. Mientras las versiones anteriores de la ley recibieron críticas por no hacer lo necesario, la ley PDDP otorga al Estado la facultad de conceder excepciones generales a cualquier Gobierno, organismo gubernamental o instrumentos estatales (que incluyen empresas del sector público, organismos controlados por el Gobierno y entidades similares) en “beneficio de la soberanía e integridad de India, la seguridad del Estado, las relaciones amistosas con Estados extranjeros, mantener el orden público o impedir la incitación a cualquier delito cognoscible que se les relacionen”. Un poder así no tiene restricciones procesales ni substantivas.

La ley PDPD, en la forma y figura actual, es poco adecuada para proteger de los gigantes tecnológicos o del Estado la privacidad informativa de los usuarios. Como una nación que tiene una Constitución liberal, una larga historia de régimen democrático y una gran población de usuarios en línea, India tuvo la oportunidad de llevar el diálogo sobre protección de datos a nuevas fronteras, en especial para los países en desarrollo. No hace falta decir que perdió la oportunidad de hacerlo de una forma espectacular.

Aviso legal: Alok Prasanna Kumar es el cofundador de Vidhi Centre for Legal Policy (Centro Vidhi para la normativa jurídica). Vidhi asistió al Gobierno en desarrollar el proyecto de la ley Aadhaar y al Comité de Justicia B. N. Srikrishna en el informe. También es abogado, ejerció en la Suprema Corte y representó al Gobierno Sindical en las etapas iniciales del litigio por Aadhaar.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.