Η Ινδία επαναφέρει το νομοσχέδιο για την προστασία της ιδιωτικής ζωής μετά την απότομη απόσυρση πέρυσι

Ο Ashwini Vaishnaw, ο υπουργός Πληροφορικής της Ινδίας, υπέβαλε εκ νέου ένα ενημερωμένο νομοσχέδιο για την προστασία της ιδιωτικής ζωής στην Κάτω Βουλή του ινδικού κοινοβουλίου την Πέμπτη, μήνες μετά την παρουσίαση του τελευταίου του σχεδίου και την απότομη απόσυρση προηγούμενης πρότασης πέρυσι μετά από απώθηση από τεχνολογικούς γίγαντες, ακόμη και πολλούς μέλη διαμαρτυρήθηκαν για το νέο νομοσχέδιο, υποστηρίζοντας ότι παραβιάζει το δικαίωμα στην ιδιωτική ζωή.

Με τίτλο Νομοσχέδιο για την Προστασία των Ψηφιακών Προσωπικών Δεδομένων, η νομοθετική πράξη επιδιώκει να παράσχει ουσιαστικές εξουσίες λήψης αποφάσεων στην κυβέρνηση υπό την ηγεσία του πρωθυπουργού Narendra Modi. Αυτές οι εξουσίες περιλαμβάνουν τη δυνατότητα απαλλαγής από τη συμμόρφωση ορισμένων καταπιστευματικών υπηρεσιών δεδομένων, συμπεριλαμβανομένων των startups, εάν παραστεί ανάγκη. Μπορούν επίσης να επιτρέψουν τον χειρισμό των δεδομένων των παιδιών, δεδομένου ότι ο καταπιστευματοδόχος μπορεί να επιδείξει επαρκή προστατευτικά μέτρα.

Επιπλέον, η κυβέρνηση έχει την εξουσία να ορίζει χώρες στις οποίες απαγορεύεται η μεταφορά προσωπικών δεδομένων των χρηστών. Αυτή η διάταξη τροποποιεί το προηγούμενο σχέδιο του νομοσχεδίου, το οποίο πρότεινε να επιτρέπεται η μεταφορά δεδομένων σε «ειδοποιημένες χώρες και εδάφη».

Επιπλέον, η νομοθεσία παρέχει νομική προστασία για την κεντρική κυβέρνηση, το συμβούλιο προστασίας δεδομένων και τα μέλη του, συμπεριλαμβανομένου του προέδρου, προστατεύοντάς τα από νομικές ενέργειες.

Η νομοθεσία υπαγορεύει ότι η κεντρική κυβέρνηση είναι υπεύθυνη για τη σύσταση του συμβουλίου προστασίας δεδομένων. Η κυβέρνηση θα διορίσει επίσης τα μέλη και τον πρόεδρο του διοικητικού συμβουλίου, το καθένα από τα οποία θα υπηρετεί για μια αρχική θητεία δύο ετών. Το νομοσχέδιο ορίζει ότι ένα μέλος του συμβουλίου προστασίας δεδομένων μπορεί να παραιτηθεί μόνο μέσω γραπτής ειδοποίησης που υποβάλλεται στην κυβέρνηση. Αυτή η παραίτηση τίθεται σε ισχύ είτε τρεις μήνες μετά την υποβολή, μετά τη λήψη της κυβερνητικής έγκρισης, είτε μόλις διοριστεί νέος διάδοχος ή λήξει η υπάρχουσα θητεία.

Η νομοθεσία επιτρέπει στα άτομα να φέρουν τα ζητήματα προστασίας των δεδομένων τους στο συμβούλιο εάν δεν λάβουν επαρκή απάντηση από τον καταπιστευματοδόχο δεδομένων εντός της προβλεπόμενης περιόδου των επτά ημερών. Απαιτείται επίσης βάσει του νομοσχεδίου το κοινό να παρέχει μόνο γνήσια προσωπικά στοιχεία και να μην πλαστοπροσωπεί άλλους. Η μη συμμόρφωση με τα καθήκοντα που ορίζονται στο νομοσχέδιο μπορεί να οδηγήσει σε κυρώσεις για μεμονωμένα άτομα, με πρόστιμα που φτάνουν τα 121 $ (10.000 ινδικές ρουπίες). Για έναν καταπιστευματοδότη δεδομένων που παραβιάζει το νόμο, οι κυρώσεις μπορεί να είναι τόσο αυστηρές όσο 30 εκατομμύρια δολάρια (250 crores ινδικές ρουπίες).

Οι αποφάσεις του συμβουλίου προστασίας δεδομένων μπορούν να υποβληθούν σε έφεση στο Τηλεπικοινωνιακό Δικαστήριο Επίλυσης Διαφορών και Εφετείου για επανεξέταση εντός 60 ημερών, αναφέρει το νομοσχέδιο.

Εταιρείες που συλλέγουν δεδομένα χρηστών για να λάβουν ρητή συναίνεση από τους χρήστες, σύμφωνα με το λογαριασμό. Τα αιτήματα για συναίνεση θα πρέπει να κοινοποιούνται σε απλή γλώσσα. Οι καταναλωτές μπορούν επίσης να αποσύρουν τη συγκατάθεσή τους αργότερα. Επιπλέον, το νομοσχέδιο περιέχει μια διάταξη για τη θέσπιση ενός μηχανισμού επίλυσης παραπόνων μέσω διαχειριστών συναίνεσης που μπορεί να βοηθήσει τους χρήστες να δώσουν, να διαχειριστούν, να ελέγξουν και να αποσύρουν τη συγκατάθεσή τους.

Ωστόσο, το νομοσχέδιο περιλαμβάνει «ορισμένες νόμιμες χρήσεις» ως εξαίρεση από την απαίτηση λήψης συναίνεσης χρήστη. Αυτή είναι μια ενημέρωση της διάταξης «λογιζόμενης συναίνεσης» που είναι διαθέσιμη στην τελευταία έκδοση του προσχέδιο του νομοσχεδίου. Επιτρέπει στις πλατφόρμες να συλλέγουν προσωπικά δεδομένα χρηστών όταν παρέχονται οικειοθελώς, όπως όταν έχουν πρόσβαση σε δημόσιες υπηρεσίες. Η κυβέρνηση μπορεί επίσης να έχει πρόσβαση σε προσωπικά δεδομένα από πλατφόρμες της παρούσας διάταξης για την παροχή επιδοτήσεων ή για την εκτέλεση λειτουργιών που απαιτούνται από το νόμο.

Ο Kamlesh Shekhar, διευθυντής προγράμματος στο The Dialogue, μια δεξαμενή σκέψης δημόσιας πολιτικής στο Νέο Δελχί, είπε στο TechCrunch, ενώ η απομάκρυνση από τη θεωρούμενη συναίνεση είναι θετική, είναι σημαντικό να δημιουργηθούν λόγοι ανάγκης και να διασφαλιστεί η ύπαρξη έννομου συμφέροντος. Μια δοκιμή ισορροπίας μεταξύ των συμφερόντων του υπευθύνου επεξεργασίας δεδομένων και των θεμελιωδών δικαιωμάτων του κύριου δεδομένων πρέπει να περιλαμβάνεται στους κανόνες που ορίζει η κεντρική κυβέρνηση, πρόσθεσε. Επιπλέον, οι κανόνες που σχετίζονται με την παροχή διαχειριστών συναίνεσης θα πρέπει να ευθυγραμμίζονται με τους κανονισμούς για τους διαχειριστές συναίνεσης σε άλλους κλάδους για να αποτραπεί η εκμετάλλευση των κενών στο σύστημα, είπε.

Η προσέγγιση της Ινδίας για το απόρρητο δεδομένων διαφέρει από τον ευρωπαϊκό GDPR και τον CCPA (California Consumer

Privacy

Act) των ΗΠΑ, καθώς η νομοθεσία της δεν περιλαμβάνει υψηλά πρόστιμα και εκχωρεί εξουσίες στην ομοσπονδιακή κυβέρνηση να τροποποιεί τους κανόνες σε συγκεκριμένες περιπτώσεις.

Σε δημόσια διεύθυνση βίντεο

απελευθερώθηκε

Μετά την κατάθεση του νομοσχεδίου στο κοινοβούλιο, ο Rajeev Chandrasekhar, υπουργός Πληροφορικής στην κυβέρνηση, χαρακτήρισε την κίνηση «πολύ σημαντικό ορόσημο στην εξέλιξη του παγκόσμιου τυποποιημένου πλαισίου νόμου για τον κυβερνοχώρο». Ο υπουργός είπε ότι το νομοσχέδιο καθιστά υποχρεωτικό για τις εταιρείες που συλλέγουν και χρησιμοποιούν προσωπικά δεδομένα να συμμορφώνονται με τη νομοθεσία και δεν πρέπει να ζητούν «εξωγενείς πληροφορίες» άσχετες με την υπηρεσία ή το προϊόν που λαμβάνει ο χρήστης. Το νομοσχέδιο περιλαμβάνει επίσης τις αρχές της ελαχιστοποίησης δεδομένων, της προστασίας δεδομένων και της λογοδοσίας, της ακριβούς αποθήκευσης δεδομένων και της υποχρεωτικής αναφοράς παραβιάσεων.

Το έθνος της Νότιας Ασίας άρχισε να εξετάζει την προστασία δεδομένων το 2017. Δύο χρόνια αργότερα, το ινδικό κοινοβούλιο έλαβε το πρώτο νομοσχέδιο για την προστασία των προσωπικών δεδομένων το 2019. Ωστόσο, αποσύρθηκε πέρυσι μετά από έλεγχο και κριτική από υποστηρικτές της ιδιωτικής ζωής και εταιρείες τεχνολογίας, συμπεριλαμβανομένης της

Amazon

, η

Google

και η

Meta

υπερβαίνουν την παροχή εξαιρέσεων σε κυβερνητικές υπηρεσίες και τον περιορισμό του εύρους προστασίας των δεδομένων των χρηστών.

«Για πολλά, πολλά χρόνια, είναι γνωστό και δεν είναι μυστικό ότι πολλές πλατφόρμες και πολλές εταιρείες ή πολλοί καταπιστευματοδόχοι δεδομένων συλλέγουν προσωπικά δεδομένα μεμονωμένων πολιτών. Δεν είναι μόνο στην Ινδία αλλά σε όλο τον κόσμο και εκμεταλλεύονται αυτά τα προσωπικά δεδομένα για τα δικά τους επιχειρηματικά μοντέλα, αλγόριθμους και πολλούς άλλους τρόπους», είπε ο Chandrasekhar. «Ναρέντρα

Modiji

Η κυβέρνηση ανέλαβε δράση για να δημιουργήσει ένα νομοθετικό πλαίσιο που θα προστατεύει τα δικαιώματα των πολιτών, θα δημιουργεί ένα περιβάλλον όπου το οικοσύστημα καινοτομίας και οι νεοφυείς επιχειρήσεις μπορούν να συνεχίσουν να λειτουργούν με προστατευτικά κιγκλιδώματα που κινούνται σε αυτό το είδος πλαισίου».

Αν και το νομοσχέδιο για την προστασία της ιδιωτικής ζωής πρέπει να εγκριθεί από την Άνω Βουλή του κοινοβουλίου και ο Ινδός Πρόεδρος να γίνει νόμος, έχει δεχθεί κάποια κριτική από τα πολιτικά κόμματα της αντιπολίτευσης. Μία από τις ανησυχίες τους είναι

παραχωρώντας «υπερβολικές» εξουσίες

προς την κεντρική κυβέρνηση. Οι εμπειρογνώμονες δημόσιας πολιτικής έχουν επίσης

επικρίθηκε

η κυβέρνηση επειδή δεν αποκάλυψε τις απαντήσεις από τη δημόσια διαβούλευση σχετικά με το σχέδιο του νομοσχεδίου για την προστασία δεδομένων.

Ο Shashi Tharoor, ηγέτης του κόμματος της αξιωματικής αντιπολίτευσης του Κογκρέσου, υποστήριξε ότι το νομοσχέδιο είχε αλλάξει πολλές φορές και θα πρέπει να σταλεί στη μόνιμη κοινοβουλευτική επιτροπή για συνολική αναθεώρηση.

Ομάδα υπεράσπισης ψηφιακών δικαιωμάτων

Internet

Freedom Foundation

είπε

το νομοσχέδιο για την προστασία δεδομένων δεν ανταποκρίνεται σε σημαντικές αρχές, όπως η απόφαση του Justice KS Puttaswamy, η οποία καθόρισε ότι το απόρρητο των πληροφοριών είναι μια κρίσιμη πτυχή του δικαιώματος στην ιδιωτική ζωή. Η ομάδα είπε ότι το νομοσχέδιο διευρύνει περαιτέρω τις εξαιρέσεις που χορηγούνται σε κυβερνητικά όργανα που μπορεί να οδηγήσουν σε αυξημένη κρατική επιτήρηση και δεν υπάρχουν σαφείς διατάξεις για βασικά ζητήματα «τα οποία έχουν αφεθεί στη μελλοντική θέσπιση εκτελεστικών κανόνων». Η νομοθετική κίνηση θα αποδυναμώσει επίσης σημαντικά τον νόμο για το δικαίωμα στην πληροφόρηση, 2005, πρόσθεσε.

«Το DPDPB (Digital Personal Data Protection Bill), 2023 επαναλαμβάνει τις ελλείψεις του DPDPB, 2022 και αποτυγχάνει να ενσωματώσει αρκετές από τις ουσιαστικές συστάσεις που είχαν γίνει κατά τη διαδικασία διαβούλευσης, οι οποίες στη συνέχεια δημοσιοποιήθηκαν από τα σχετικά ενδιαφερόμενα μέρη. Προτρέπουμε σθεναρά την κυβέρνηση της Ένωσης να αντιμετωπίσει τα πολυάριθμα επαναλαμβανόμενα προβλήματα με διαδοχικές επαναλήψεις που έχουν τεθεί από ενδιαφερόμενους φορείς της κοινωνίας των πολιτών. Στην παρούσα μορφή του, το DPDPB, 2023 δεν προστατεύει επαρκώς το Δικαίωμα στην Ιδιωτικότητα και δεν πρέπει να θεσπιστεί», ανέφερε η ομάδα.