2021 es una cinta transportadora perdida en un instante para las actividades de privacidad y protección de datos de la India. Como India carece de una ley integral de protección de datos más ruidosa que nunca, no hay escasez de actividades legislativas y administrativas. El gobierno indio ha llevado a cabo importantes reformas, como la liberalización de sistemas de datos geoespaciales obsoletos, la introducción de estándares de la industria de protección de la privacidad y la introducción de medidas de seguridad más estrictas en el sector de pagos digitales. En el frente judicial, se han hecho declaraciones sobre cuestiones tales como el anonimato, los derechos olvidados y el monitoreo estatal. El nuevo borrador de la Ley de Protección de Datos, inspirado en GDPR, por supuesto, tomó el pastel y lo ha considerado durante dos años desde que se presentó el borrador anterior.
Como pronosticamos en la perspectiva de 2021, esperamos que sea un éxito, aunque nuestro desarrollo en privacidad y protección de datos supera con creces nuestras expectativas. The roller-coaster ride of privacy and data protection law related legal developments from 2021 are elucidated below:
Proposed data protection law
The Joint Parliamentary Committee on December 16, 2021 presented its report on the proposed data protection law, along with a revised version of the bill, the Data Protection Bill, 2021 in Parliament1. El proyecto de ley aún no se ha presentado al Parlamento para su consideración y aprobación como un proyecto de ley. Después de que se publicó el proyecto de ley, la industria también solicitó un nuevo comentario, ya que muchos de los artículos diferían de la versión anterior anunciada hace dos años.
Comparado con versiones anteriores de la ley propuesta, el proyecto de ley tiene un sabor a GDPR y ha traído algunos cambios importantes, como la ampliación del alcance de la ley, que abarca no solo datos personales sino también datos no personales. Además, se han introducido estrictos requisitos de informes de divulgación de datos (dentro de las 72 horas), la regulación de los fabricantes de hardware y la provisión de mecanismos de autenticación para todos los dispositivos digitales e IoT para mitigar la fuga de datos. El proyecto de ley también prevé la implementación gradual, el gobierno central puede informar diferentes fechas para promulgar diferentes disposiciones.
Se puede encontrar aquí un análisis detallado de nuestro informe del Comité Parlamentario Conjunto y el proyecto de ley.
Nuevo sistema de datos geoespaciales y servicios de mapas
El Ministerio de Ciencia y Tecnología del Gobierno de la India publicó las Directrices para la adquisición y producción de datos geoespaciales y servicios de datos geoespaciales, incluidos los mapas 2 "15 de febrero de 2021. Antes de la promulgación de las Directrices, los ministerios/departamentos gubernamentales, incluidos el Ministerio de Defensa, la Oficina de Investigación de la India, el Ministerio de Finanzas y el Ministerio de Relaciones Exteriores, emitieron muchas notificaciones y directrices para regular los datos cartográficos, la mayoría de los cuales no son claros, están desactualizados o ambosAmbos. Según las nuevas directrices, no hay restricciones en la recopilación, generación, compilación, difusión, almacenamiento, publicación, actualización y/o digitalización de datos y mapas geoespaciales en territorio indio y no requiere ninguna aprobación, licencia, licencia, etc., sujeto a una serie de restriccionesRestricciones de atributos. Las nuevas directrices también limitan la creación y/o posesión de datos geoespaciales por encima de ciertos umbrales prescritos por entidades extranjeras. También están restringidos a la topografía móvil terrestre, el mapeo de paisajes urbanos y la topografía dentro de las aguas territoriales de la India.
Nuestro análisis de los nuevos datos geoespaciales y guías de mapas está disponible aquí.
Los reguladores bancarios prohíben el almacenamiento de datos de tarjetas de crédito
El Banco de la Reserva de la India (RBI) introdujo las Directrices para la supervisión de los agregados de pago y las puertas de enlace de pago para permitir y regular el uso de modelos de pago electrónico/en línea para promover y procesar los intermediarios de pago pagados entre usuarios y comerciantes 3. De acuerdo con estas pautas, RBI limita el pago de agregadores y tarjetas de memoria de comerciantes y datos relacionados con tarjetas. Las aclaraciones posteriores también se publicaron en marzo de 2021, reiterando las restricciones de almacenamiento de datos de la tarjeta. 7 de septiembre de 2021 4 El Banco de la India emitió una circular solicitando que, a partir del 1 de enero de 2022, (a) ninguna entidad, excepto el emisor de la tarjeta o la red de la tarjeta, permita que los datos de la tarjeta de memoria y (b) se borren todos los datos previamente almacenados. 5 Como exención, se pueden almacenar los últimos 4 dígitos del número de tarjeta y el nombre del emisor para el seguimiento y la conciliación de la transacción.
La fichas se considera una solución viable para cumplir con las restricciones de almacenamiento de la tarjeta mientras se mantiene la continuidad del pago en línea. RBI extiende el marco de marcado limitado basado en dispositivos existente a todos los dispositivos y permite el marcado de archivos en la tarjeta. Con base en varias declaraciones de la industria al Banco de la India, el Banco de la India extendió el cronograma de cumplimiento hasta el 30 de diciembre de 2022, el 23 de diciembre de 2021. 6.
Nuestros artículos sobre estos desarrollos en el almacenamiento de datos de tarjetas están disponibles aquí, y nuestros seminarios web con partes interesadas de la industria se pueden ver aquí.
Publicar estándares de privacidad de datos
La Oficina de Normas de la India proporcionó al público un nuevo estándar para la protección de la privacidad de los datos a mediados de 2021, Aviso anterior IS17428 7. El estándar está diseñado para proporcionar un marco de protección de privacidad para que las organizaciones establezcan, implementen, mantengan y mejoren continuamente sus sistemas de administración de privacidad de datos. Consta de dos partes: una es la parte prescrita que debe ser aplicada por cualquier persona que aplique el estándar; La otra es la sección de recomendaciones, que proporciona mejores prácticas detalladas para ayudar a implementar los requisitos de la sección de requisitos.
Se puede evaluar si las organizaciones implementan IS17428 de acuerdo con las Reglas de 2011 de Tecnología de la Información (Prácticas y Procedimientos de Seguridad Razonables y Datos o Datos Personales Sensibles), es decir, mantener prácticas y procedimientos de seguridad razonables para datos o datos personales confidenciales. Sin embargo, estas reglas e IS17428 no estipulan claramente que la implementación de las disposiciones de IS17428 se considere en parte conforme a los requisitos para mantener prácticas y procedimientos de seguridad razonables. Por lo tanto, las organizaciones pueden tener la responsabilidad de demostrar que la implementación de las disposiciones de IS17428 cumple parcialmente con este requisito.
Bajo la próxima Ley de Protección de Datos, los fideicomisarios y procesadores de datos deben implementar salvaguardas, usar pasos para identificar, encriptar y proteger la integridad de los datos personales, y prevenir el abuso, el acceso no autorizado, la modificación, divulgación o destrucción de datos personales. La implementación de IS17428 debe evaluarse y aclararse para demostrar el cumplimiento de estas obligaciones de seguridad.
Nuestro análisis detallado de IS17428 está disponible aquí.
Las aplicaciones de mensajes grandes deben introducir capacidades de trazabilidad
Ministerio de Electrónica y Tecnología de la Información Boletín 2021 Reglas de Tecnología de la Información (Guía Intermedia y Ética de los Medios Digitales) 8 Reemplazar las Reglas de 2011 de Tecnología de la Información (Directrices de la Agencia) el 25 de febrero de 2021. The new intermediary rules provide for certain due diligence requirements to be followed by internet ‘intermediaries’ including an obligation to retain information of all users collected upon registration for one hundred and eighty days even after any cancellation or withdrawal of such registration. The rules also went a step ahead by recognizing certain intermediaries as ‘significant social media intermediaries’ if the number of registered users cross a certain threshold (subsequently notified as 50,00,000 registered users9). Uno de los requisitos adicionales de diligencia debida que deben seguir los principales intermediarios de redes sociales que brindan servicios de información es interceptar, monitorear o descifrar información si el tribunal o el gobierno ordenan que se identifique al primer patrocinador de cualquier información transmitida a través de dichos intermediarios. Las nuevas reglas de mediación establecen que los intermediarios importantes de las redes sociales solo necesitan revelar la identidad del primer patrocinador del mensaje sin revelar el contenido de ningún mensaje electrónico ni ninguna información relacionada con el primer patrocinador u otro usuario.
Este requisito retroactivo en virtud de las nuevas reglas de intermediación fue impugnado por WhatsApp en el Tribunal Superior de Delhi 10 Sobre la base de la inconstitucionalidad y la violación de los derechos fundamentales a la privacidad personal, la libertad de expresión y la libertad de expresión. A la fecha de este artículo, el caso está pendiente ante el Tribunal Superior de Delhi.
Judicial probe into the Pegasus spyware issue
The Supreme Court of India delivered a significant judgment on October 27, 2021 following certain reports of a spyware called ‘Pegasus’ (developed by an Israeli security firm i.e. the NSO Group) being deployed as a surveillance tool on Indian citizens11. La petición rezó para una investigación independiente de las acusaciones de despliegue de Pegaso por parte de ciertos gobiernos extranjeros y agencias del gobierno indio.
El Tribunal Supremo señaló que al establecer un comité técnico de expertos de tres miembros, es necesario examinar el impacto del presunto uso de Pegaso en el derecho a la privacidad y la libertad de expresión. El comité recibió el mandato de hacer recomendaciones sobre el desarrollo o la revisión de las leyes de monitoreo existentes para garantizar la "mejora" de la privacidad, la mejora de la ciberseguridad y las medidas de evaluación de amenazas. Las recomendaciones del comité aún no se han presentado.
El problema antimonopolio de la actualización de la política de privacidad de WhatsApp
WhatsApp Co., Ltd., una plataforma de mensajería operativa WhatsApp, actualizó sus políticas de privacidad y términos de servicio en enero de 2021. Aunque las actualizaciones anteriores de WhatsApp permiten a sus usuarios elegir "elegir unirse" para compartir datos con Facebook, esta actualización de la política de privacidad requiere que los usuarios acepten compartir datos con Facebook para que los usuarios puedan continuar utilizando el servicio WhatsApp. En una orden del 24 de marzo de 2021, la Comisión de Competencia de la India, el regulador antimonopolio de la India, inició una investigación sobre WhatsApp. Y Facebook. Evaluar el impacto potencial de las actualizaciones de WhatsApp en la competencia del mercado indio 12. Señaló que exigir unilateralmente a los usuarios que acepten actualizaciones de la política de privacidad de WhatsApp socava sus acuerdos voluntarios y parece ser en gran medida injusto e irrazonable para sus usuarios.
Facebook, Inc. and WhatsApp, Inc. in separate petitions before the Delhi High Court challenged the order of the Competition Commission of India initiating an investigation13. Algunas personas piensan que la actualización de WhatsApp no niega la elección del usuario, sino que tiene como objetivo proporcionar una mayor transparencia para las prácticas de intercambio de datos de WhatsApp y Facebook. El Tribunal Superior de Delhi desestimó las peticiones y, además, apoyó las acusaciones de Facebook. deeming it to be an integral part of the investigation14.
(No) right to be forgotten
A single judge bench of the Madras High Court delivered a judgment on August 3, 2021 dismissing a petitioner seeking to have his name redacted from court orders by exercise of his right to be forgotten15. The petitioner was subjected to criminal proceedings in the trial court and in the Madras High Court but was ultimately acquitted. In the interest of his reputation, the petitioner prayed for his name to be redacted from the judgment of the Madras High Court. El Tribunal Superior de Madras reiteró la privacidad personal (y el anonimato) de la Corte Suprema en K.S. Puttaswamy v. Indian Alliance 16 Al mismo tiempo, también señaló que el Tribunal Supremo sostuvo que el derecho a ser olvidado no puede ejercerse si la tarea de cumplir con el interés público requiere información. Without a precise framework or objective criteria for redaction of the name of an accused in India’s criminal justice system, the court held that it would be more appropriate to await the enactment of India’s new data protection law to exercise such rights and thus dismissed the petition.
Esto es lo mismo que las decisiones judiciales anteriores de los tribunales superiores en los últimos años, que enfatizan la importancia del derecho olvidado y la necesidad de acciones legislativas en este sentido. Curiosamente, el proyecto de ley de protección de datos reconoce los derechos olvidados de las personas de una manera limitada y lo extiende para incluir restricciones al "tratamiento". 17 Se puede ejercer de acuerdo con el debido proceso.
Nuestro análisis de las decisiones anteriores sobre el derecho olvidado se puede encontrar aquí.
Localización de datos de recomendación de estrategia de país de cadena de bloque
Ministerio de Electrónica y Tecnología de la Información lanzó la "Estrategia Nacional de Cadena de Bloques" 18 En diciembre de 2021, el objetivo era proporcionar información sobre estrategias y propuestas para crear una plataforma digital de confianza utilizando cadenas de bloques que facilitaran la prestación de servicios creíbles a los ciudadanos y las empresas. Curiosamente, el Departamento descubrió que muchos países han introducido restricciones de localización de datos como una medida de seguridad/privacidad que sugiere que los sistemas basados en bloques en el país deberían habilitar la localización de datos. Sugirió que este requisito de localización podría lograrse a través de "alojamiento de infraestructura de cadena de bloques, datos y contratos inteligentes en el país". Aunque esta sigue siendo una consideración de política, queda por ver cómo implementar medidas de localización de datos para tecnologías descentralizadas.
Observación cercana de la plataforma de préstamos digitales
En enero de 2021, en vista de la creciente interferencia con las aplicaciones de préstamos en línea, el Banco de la India estableció un grupo de trabajo para estudiar las actividades de préstamos digitales. El 18 de noviembre de 2021 se publicó el "Informe del Grupo de trabajo sobre préstamos digitales, incluidos los préstamos a través de plataformas web y APP móviles". 19 It was observed that numerous lapses regarding privacy occurred across digital lending apps. Inadequate transparency, lack of choice of the user to manage or delete their data after a loan has been paid, non-disclosure of partner banks or non-banking financial companies (NBFCs), and misuse of borrowers’ sensitive data to harass them and their family/friends were identified as some of the major concerns.
A través de este informe, el Grupo de Trabajo del Banco Central de la India hizo una serie de recomendaciones relacionadas con la tecnología, Incluyendo la sugerencia reciente de que los datos se almacenen en un servidor local en la India y que los datos solo se recopilen de los prestatarios/posibles prestatarios, proporcionando información previa sobre el propósito, el propósito y el impacto de dichos datos y obteniendo el consentimiento expreso de los prestatarios de una manera auditable. " La reunión también sugirió que los estándares de seguridad de datos y redes deben establecerse para tales aplicaciones y deben ser obligatorios en los términos del servicio. El informe solicitó públicamente comentarios públicos, y Royal Bank of India dijo que hará una observación final sobre el sistema propuesto.
El Comité Permanente Parlamentario recomienda el bloqueo permanente de VPN
El Comité Permanente de la Cámara de Representantes presentó el 233 ° informe sobre atrocidades y crímenes contra mujeres y niños 20 15 de marzo de 2021 en la cámara alta del parlamento. El informe identificó el servicio de red privada virtual (VPN) como un "desafío técnico" que permite a los delincuentes permanecer anónimos en línea y eludir el muro de seguridad para acceder a las redes oscuras para cometer delitos. Recomendó que se establezca un mecanismo de coordinación con las agencias internacionales para garantizar que estas redes privadas virtuales estén bloqueadas. Dado que las redes privadas virtuales también se utilizan como una herramienta para mejorar la seguridad y la privacidad a fin de que los usuarios permanezcan anónimos en Internet, esta recomendación debe considerarse desde la perspectiva del anonimato individual, que es la confirmación básica de la Corte Suprema en K.S. Puttaswamy v. India. 21 En la actualidad, no existen restricciones legales generales que prohíban o regulen específicamente el uso de redes privadas virtuales por parte de individuos.
Regulación de la Ley de Tecnología de ADN
Proyecto de ley de tecnología de ADN (uso y aplicación) durante la sesión del monzón 2021 22 En 2019, en la parte superior de la cámara baja para su consideración y aprobación. El propósito de este proyecto de ley es regular el uso de la tecnología de ADN para identificar propósitos específicos, como la detección de casos. It also prescribes DNA collection procedures, establishment of DNA data banks, a regulatory board, accreditation mechanisms, etc. The bill was however not taken up in the Lok Sabha.
Since the bill allows for the collection of DNA samples without consent in certain circumstances (such as for offences with imprisonment terms of above 7 years), the interplay with one’s right to privacy is a serious consideration which the law would have withstood.
El año decisivo en el futuro
2022 es probable que sea el primer año histórico en la India para introducir una ley integral y universal de protección de datos. Aunque todavía hay algunos aspectos por resolver, es posible presentar un proyecto de ley al Parlamento indio en la reunión de presupuesto de febrero o en la posterior reunión del monzón, que generalmente ocurre en julio y agosto. Incluso una nueva consulta pública sobre el proyecto de ley puede ser un paso bienvenido.
Como los reguladores de la industria también han desempeñado un papel más activo en la protección de los datos y los intereses de los consumidores en sus sectores, se ha avanzado mucho en la regulación de los datos en sectores específicos. La próxima promulgación de la Ley de Protección de Datos Generales, junto con las reglamentaciones específicas de estos departamentos, puede plantear algunos problemas notables e incluso puede llevar a los tribunales indios a considerar algunos asuntos importantes. Por ejemplo, a medida que las tecnologías de la nueva era como AI/ML, IoT, blockchain y Web 3.0 se vuelven cada vez más importantes, la forma en que los reguladores combinan las posiciones tradicionales de localización de datos con estos marcos descentralizados de intercambio de datos puede ser una pregunta interesante.
Abróchese el cinturón de seguridad, siéntese firme, ¡abracemos la esperanza de 2022!
FOOTNOTES
Available at http://164.100.47.193/lsscommittee/Joint%20Committee%20on%20the%20Personal%20Data%20Protection%20Bill,%202019/17_Joint_Committee_on_the_Personal_Data_Protection_Bill_2019_1.pdf (last accessed December 31, 2021).
[2] Available at https://dst.gov.in/sites/default/files/Final%20Approved%20Guidelines%20on%20Geospatial%20Data.pdf (last accessed December 31, 2021).
[3] disponible en https: //rbi.org.in/Scripts/NotificationUser.aspx? ID = 11822& Modo = 0 (última visita al 31 de diciembre de 2021).
[4] disponible en https: //www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12050&Mode=0 (last accessed December 31, 2021).
[5] Available at https://www.rbi.org.in/Scripts/NotificationUser.aspx? ID = 12159& Modo = 0 (última visita al 31 de diciembre de 2021).
[6] disponible en https: //www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12211&Mode=0 (last accessed December 31, 2021).
[7] See https://egazette.nic.in/WriteReadData/2020/223869.pdf (last accessed December 31, 2021).
[8] Available at https://www.meity.gov.in/writereaddata/files/Intermediary_Guidelines_and_Digital_Media_Ethics_Code_Rules-2021.pdf (last accessed December 31, 2021).
[9] See https://egazette.nic.in/WriteReadData/2021/225497.pdf (last accessed December 31, 2021).
[10] WhatsApp v. Union of India (W.P. (C) 7284/2021).
[11] Manohar Lal Sharma v. UOI (2021 No. 314 WP (Crl)); Disponible en https: //main.sci.gov.in/supremecourt/2021/16884/16884_2021_1_1501_30827_Judgement_27-Oct-2021.pdf (Última visita al 31 de diciembre de 2021)
[12] Ver https: //www.cci.gov.in/sites/default/files/SM01of2021_0.pdf (Última visita el 31 de diciembre de 2021).
[13] WhatsApp v. CCI (W.P. (C)4378/2021& CM 13336/2021) y Facebook v. CCI (W.P. (C)4407/2021& CM 13490/2021).
[14] Available at http://164.100.69.66/jupload/dhc/NAC/judgement/24-04-2021/NAC22042021CW43782021_153656.pdf (last accessed December 31, 2021).
[15] Karhich Theodre v. Secretario General, Tribunal Superior de Madras (W.P. (MD)2021 No. 12015 y WMP (MD, 2021 No. 9466); Disponible en https: //www.mhc.tn.gov.in/juds/index.php/cassetus/viewpdf/783065 (última visita al 31 de diciembre de 2021).
[16] 2012 No. 494 WP (C); Disponible en https: //main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (Última visita el 31 de diciembre de 2021).
[17] La definición de "tratamiento" en la sección 3 (36) del Proyecto de Ley de Protección de Datos es la siguiente:
"Procesamiento" significa una o un conjunto de operaciones en datos personales en el caso de datos personales y puede incluir la recopilación, grabación, organización, construcción, almacenamiento, adaptación, modificación, recuperación, uso, alineación o combinación, índice, a través de la transmisiónDivulgación de transmisión Difundir o proporcionar, restringir, eliminar o destruir de otra manera. "
[18] Available at https://www.meity.gov.in/writereaddata/files/National_BCT_Strategy.pdf (last accessed December 31, 2021).
[19] disponible en https: //www.rbi.org.in/Scripts/PublicationReportDetails.aspx? URLPage =& ID = 1189 (última visita al 31 de diciembre de 2021).
[20] disponible en https: //rajyasabha.nic.in/rsnew/Committee_site/Committee_File/ReportFile/15/143/230_2021_3_14.pdf (Última visita el 31 de diciembre de 2021).
[21] WP (C) 494 of 2012; available at https://main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (last accessed December 31, 2021).
[22] Available at http://164.100.47.4/billstexts/lsbilltexts/asintroduced/128_%202019_LS_eng.pdf (last accessed December 31, 2021).
