Un partecipante a una competizione di hacking offline Hackathon 2022, a Calcutta, in India, il 29 luglio 2022. © Sankhadeep Banerjee/NurPhoto via Getty Images |
La nuova legislazione prevede sanzioni fino a 30 milioni di dollari per le violazioni dei dati, ma solleva preoccupazioni sulla sorveglianza del governo
I legislatori indiani hanno approvato una legge sulla protezione dei dati che monitorerà il modo in cui le aziende tecnologiche elaborano i dati degli utenti tra le critiche secondo cui la legislazione conferisce al governo ampi poteri per aumentare la sorveglianza. La legge, in elaborazione da sei anni, prevede sanzioni fino a 2,5 miliardi di rupie (30 milioni di dollari).
I critici affermano che il governo del primo ministro Narendra Modi sta cercando di indebolire la legge sul diritto all'informazione (RTI), introdotta nel 2005 per promuovere la trasparenza e la responsabilità delle autorità pubbliche. La legge RTI è stata approvata quando era al potere un governo di coalizione guidato dal Congresso, ora il principale partito di opposizione dell'India.
Cosa dice la nuova legge?
Il Digital Personal Data Protection Bill 2023, che è stato approvato dal parlamento la scorsa settimana e ha ricevuto l'assenso del presidente il 12 agosto, consentirà alle aziende tecnologiche di trasferire i dati personali di alcuni utenti in altri paesi. L'India è il più grande mercato per Google, Meta e altri giganti del settore in termini di numero di utenti. Una versione precedente della legislazione aveva vietato il trasferimento di dati personali in determinati luoghi specificati dal governo. Tuttavia, questa bozza è stata ritirata l'anno scorso.
La nuova legge salvaguarda i dati personali digitali di un individuo e offre inoltre agli utenti il diritto di correggere o cancellare i propri dati personali. Consente inoltre al governo di derogare ai requisiti di conformità per determinati titolari del trattamento dei dati come le start-up. Ora, il governo può chiedere informazioni alle aziende private e anche emettere ordini per bloccare i contenuti su consiglio di un comitato per la protezione dei dati nominato dallo stato. L'organo consultivo è stato incaricato di suggerire di bloccare l'accesso del pubblico a specifiche risorse o piattaforme informatiche.
Il governo ha sostenuto che la legge migliorerà la "facilità di vivere" e la "facilità di fare affari" dando impulso all' "economia digitale e al suo ecosistema di innovazione" del paese. Diversi studi mostrano che è probabile che l'economia digitale indiana si espanda del 600% a $ 1 trilione entro il 2030 dalla cifra attuale di circa $ 175 miliardi.
Il viceministro indiano per la tecnologia dell'informazione Rajeev Chandrasekhar ha respinto le "idee sbagliate" riguardo alla nuova legge in mezzo a una crescente enfasi sulla privacy dei dati nella nazione più popolosa del mondo. Ha affermato che la legge proteggerà i diritti di tutti i cittadini, consentendo l'espansione dell'economia dell'innovazione e consentendo al governo un accesso legittimo nell'interesse della sicurezza nazionale e di emergenze come pandemie e terremoti.
Ashwini Vaishnaw, ministro dell'IT indiano e collega di gabinetto di Chandrasekhar, ha anche respinto le critiche secondo cui non vi era stata una consultazione sufficiente prima che la nuova legge fosse approvata in vista delle elezioni cruciali del prossimo anno, in cui il governo di Modi cercherà un terzo mandato consecutivo.
Ha affermato che il governo ha ricevuto input da 48 organizzazioni, consultato più di tre dozzine di ministeri e considerato più di 24.000 commenti durante la preparazione della legislazione. " Questo disegno di legge è molto a favore dei cittadini e della privacy... è molto nello spirito del governo in cui vorremmo garantire che i dati di ogni cittadino siano completamente protetti", ha aggiunto Vaishnaw, promettendo che la legge entrerà in vigore " molto presto .” “ Questo è un cambiamento molto, molto grande nell'intera economia digitale. Quindi, faremo ogni passo con i controlli appropriati, il giusto equilibrio, la corretta verifica; dobbiamo renderlo un meccanismo robusto ”.
La legislazione arriva dopo che il governo ha ritirato una legge sulla privacy del 2019, che conteneva severe restrizioni sui flussi di dati transfrontalieri che avevano allarmato i giganti della tecnologia. Il disegno di legge è stato ritirato lo scorso agosto dopo che una commissione parlamentare aveva suggerito 81 emendamenti e 12 raccomandazioni, che richiedevano un nuovo “quadro giuridico completo. Il disegno di legge è stato modellato sulla falsariga del regolamento generale europeo sulla privacy dei dati, entrato in vigore il 25 maggio 2018, e ha cercato di stabilire le regole di base per il modo in cui le grandi aziende tecnologiche dovrebbero operare nei paesi.
Cosa dicono i critici?
La legge ha suscitato critiche dell'opposizione e dei gruppi per i diritti dei legislatori sulla portata delle sue esenzioni. Hanno espresso preoccupazione per il fatto che il governo e le sue agenzie possano accedere ai dati degli utenti delle aziende e ai dati personali delle persone senza il loro consenso, sostenendo che la libertà digitale si stava riducendo nel paese.
La Internet Freedom Foundation, un gruppo di difesa dei diritti digitali, ha affermato che la legge non conteneva alcuna salvaguardia significativa contro la " sorveglianza eccessiva ". La Editors Guild of India ha indicato i crescenti limiti ai media imposti dal Bharatiya Janata Party (BJP) di destra di Modi. Giorni prima che la legge fosse approvata in parlamento, l'ente senza scopo di lucro, che protegge la libertà di stampa, ha affermato di " creare [d] un quadro favorevole per la sorveglianza dei cittadini, compresi i giornalisti e le loro fonti ".
In precedenza, la gilda aveva accusato il governo di imbavagliare il dissenso, riferendosi esplicitamente al suo recente tentativo di combattere le presunte notizie false attraverso l'applicazione delle regole 2021 sull'Information Technology (Linee guida per gli intermediari e il codice etico dei media digitali).
Allo stesso modo, AccessNow, un gruppo per i diritti digitali, ha dichiarato in una dichiarazione: " [La legge] mette a repentaglio la privacy, concede esenzioni eccessive al governo e non riesce a stabilire un regolatore indipendente ", aggiungendo che la nuova legge rafforzerebbe il controllo del governo sui dati personali dati e aumentare la censura. Ha sottolineato diversi evidenti deficit nella legge. “ Una legge sulla protezione dei dati efficace e di prim'ordine richiede principi fondamentali: un regolatore indipendente; diritti e rimedi perseguibili; chiarezza sui flussi di dati transfrontalieri; e certezza aziendale e responsabilità significativa da parte di tutti i raccoglitori di dati, incluso il governo. Il disegno di legge è privo di ciascuno di questi .
Murali Rao, leader della consulenza sulla sicurezza informatica presso EY India, ha fatto eco a riserve simili in una dichiarazione, citando "le complessità di implementazione che potrebbero rivelarsi una sfida per le organizzazioni nel rispetto dei requisiti del disegno di legge ".
Human Rights Watch, una ONG globale con sede a New York, aveva espresso preoccupazione per la proposta di legge lo scorso dicembre. " La proposta di legge indiana sulla protezione dei dati mina i diritti fondamentali alla privacy e alla sicurezza di tutti, compresi i bambini, rafforzando il potere dello stato di condurre la sorveglianza ", ha affermato Meenakshi Ganguly, direttore dell'organizzazione per l'Asia meridionale. " Con sempre più dati disponibili sulle piattaforme digitali, il governo indiano deve rendere prioritaria la protezione della privacy e della sicurezza delle persone ", ha aggiunto.
L'organismo per i diritti umani ha criticato il governo per la sua riluttanza a rispondere alle accuse sull'uso dello spyware prodotto da Israele Pegasus per prendere di mira giornalisti e attivisti, che è stato scoperto da The Wire, nel maggio 2021. Ha anche accusato il governo di non collaborare con la commissione istituita dalla Corte Suprema per indagare sull'uso dello spyware Pegasus sui cittadini indiani.
La sorveglianza era originariamente disciplinata dal Telegraph Act del 1885 – una regola dell'era coloniale britannica – e successivamente dall'Information Technology Act del 2000, introdotto da un governo di coalizione guidato dal BJP. La Suprema Corte si è pronunciata due volte su tale normativa – una volta nel 1997 e più recentemente nel 2017 – rilevando che un ordine di sorveglianza poteva essere concesso solo in caso di stretta necessità e in assenza di alternativa.
I legislatori indiani hanno approvato una legge sulla protezione dei dati che monitorerà il modo in cui le aziende tecnologiche elaborano i dati degli utenti tra le critiche secondo cui la legislazione conferisce al governo ampi poteri per aumentare la sorveglianza. La legge, in elaborazione da sei anni, prevede sanzioni fino a 2,5 miliardi di rupie (30 milioni di dollari).
I critici affermano che il governo del primo ministro Narendra Modi sta cercando di indebolire la legge sul diritto all'informazione (RTI), introdotta nel 2005 per promuovere la trasparenza e la responsabilità delle autorità pubbliche. La legge RTI è stata approvata quando era al potere un governo di coalizione guidato dal Congresso, ora il principale partito di opposizione dell'India.
Cosa dice la nuova legge?
Il Digital Personal Data Protection Bill 2023, che è stato approvato dal parlamento la scorsa settimana e ha ricevuto l'assenso del presidente il 12 agosto, consentirà alle aziende tecnologiche di trasferire i dati personali di alcuni utenti in altri paesi. L'India è il più grande mercato per Google, Meta e altri giganti del settore in termini di numero di utenti. Una versione precedente della legislazione aveva vietato il trasferimento di dati personali in determinati luoghi specificati dal governo. Tuttavia, questa bozza è stata ritirata l'anno scorso.
La nuova legge salvaguarda i dati personali digitali di un individuo e offre inoltre agli utenti il diritto di correggere o cancellare i propri dati personali. Consente inoltre al governo di derogare ai requisiti di conformità per determinati titolari del trattamento dei dati come le start-up. Ora, il governo può chiedere informazioni alle aziende private e anche emettere ordini per bloccare i contenuti su consiglio di un comitato per la protezione dei dati nominato dallo stato. L'organo consultivo è stato incaricato di suggerire di bloccare l'accesso del pubblico a specifiche risorse o piattaforme informatiche.
Il governo ha sostenuto che la legge migliorerà la "facilità di vivere" e la "facilità di fare affari" dando impulso all' "economia digitale e al suo ecosistema di innovazione" del paese. Diversi studi mostrano che è probabile che l'economia digitale indiana si espanda del 600% a $ 1 trilione entro il 2030 dalla cifra attuale di circa $ 175 miliardi.
Il viceministro indiano per la tecnologia dell'informazione Rajeev Chandrasekhar ha respinto le "idee sbagliate" riguardo alla nuova legge in mezzo a una crescente enfasi sulla privacy dei dati nella nazione più popolosa del mondo. Ha affermato che la legge proteggerà i diritti di tutti i cittadini, consentendo l'espansione dell'economia dell'innovazione e consentendo al governo un accesso legittimo nell'interesse della sicurezza nazionale e di emergenze come pandemie e terremoti.
Ashwini Vaishnaw, ministro dell'IT indiano e collega di gabinetto di Chandrasekhar, ha anche respinto le critiche secondo cui non vi era stata una consultazione sufficiente prima che la nuova legge fosse approvata in vista delle elezioni cruciali del prossimo anno, in cui il governo di Modi cercherà un terzo mandato consecutivo.
Ha affermato che il governo ha ricevuto input da 48 organizzazioni, consultato più di tre dozzine di ministeri e considerato più di 24.000 commenti durante la preparazione della legislazione. " Questo disegno di legge è molto a favore dei cittadini e della privacy... è molto nello spirito del governo in cui vorremmo garantire che i dati di ogni cittadino siano completamente protetti", ha aggiunto Vaishnaw, promettendo che la legge entrerà in vigore " molto presto .” “ Questo è un cambiamento molto, molto grande nell'intera economia digitale. Quindi, faremo ogni passo con i controlli appropriati, il giusto equilibrio, la corretta verifica; dobbiamo renderlo un meccanismo robusto ”.
La legislazione arriva dopo che il governo ha ritirato una legge sulla privacy del 2019, che conteneva severe restrizioni sui flussi di dati transfrontalieri che avevano allarmato i giganti della tecnologia. Il disegno di legge è stato ritirato lo scorso agosto dopo che una commissione parlamentare aveva suggerito 81 emendamenti e 12 raccomandazioni, che richiedevano un nuovo “quadro giuridico completo. Il disegno di legge è stato modellato sulla falsariga del regolamento generale europeo sulla privacy dei dati, entrato in vigore il 25 maggio 2018, e ha cercato di stabilire le regole di base per il modo in cui le grandi aziende tecnologiche dovrebbero operare nei paesi.
Cosa dicono i critici?
La legge ha suscitato critiche dell'opposizione e dei gruppi per i diritti dei legislatori sulla portata delle sue esenzioni. Hanno espresso preoccupazione per il fatto che il governo e le sue agenzie possano accedere ai dati degli utenti delle aziende e ai dati personali delle persone senza il loro consenso, sostenendo che la libertà digitale si stava riducendo nel paese.
La Internet Freedom Foundation, un gruppo di difesa dei diritti digitali, ha affermato che la legge non conteneva alcuna salvaguardia significativa contro la " sorveglianza eccessiva ". La Editors Guild of India ha indicato i crescenti limiti ai media imposti dal Bharatiya Janata Party (BJP) di destra di Modi. Giorni prima che la legge fosse approvata in parlamento, l'ente senza scopo di lucro, che protegge la libertà di stampa, ha affermato di " creare [d] un quadro favorevole per la sorveglianza dei cittadini, compresi i giornalisti e le loro fonti ".
In precedenza, la gilda aveva accusato il governo di imbavagliare il dissenso, riferendosi esplicitamente al suo recente tentativo di combattere le presunte notizie false attraverso l'applicazione delle regole 2021 sull'Information Technology (Linee guida per gli intermediari e il codice etico dei media digitali).
Allo stesso modo, AccessNow, un gruppo per i diritti digitali, ha dichiarato in una dichiarazione: " [La legge] mette a repentaglio la privacy, concede esenzioni eccessive al governo e non riesce a stabilire un regolatore indipendente ", aggiungendo che la nuova legge rafforzerebbe il controllo del governo sui dati personali dati e aumentare la censura. Ha sottolineato diversi evidenti deficit nella legge. “ Una legge sulla protezione dei dati efficace e di prim'ordine richiede principi fondamentali: un regolatore indipendente; diritti e rimedi perseguibili; chiarezza sui flussi di dati transfrontalieri; e certezza aziendale e responsabilità significativa da parte di tutti i raccoglitori di dati, incluso il governo. Il disegno di legge è privo di ciascuno di questi .
Murali Rao, leader della consulenza sulla sicurezza informatica presso EY India, ha fatto eco a riserve simili in una dichiarazione, citando "le complessità di implementazione che potrebbero rivelarsi una sfida per le organizzazioni nel rispetto dei requisiti del disegno di legge ".
Human Rights Watch, una ONG globale con sede a New York, aveva espresso preoccupazione per la proposta di legge lo scorso dicembre. " La proposta di legge indiana sulla protezione dei dati mina i diritti fondamentali alla privacy e alla sicurezza di tutti, compresi i bambini, rafforzando il potere dello stato di condurre la sorveglianza ", ha affermato Meenakshi Ganguly, direttore dell'organizzazione per l'Asia meridionale. " Con sempre più dati disponibili sulle piattaforme digitali, il governo indiano deve rendere prioritaria la protezione della privacy e della sicurezza delle persone ", ha aggiunto.
L'organismo per i diritti umani ha criticato il governo per la sua riluttanza a rispondere alle accuse sull'uso dello spyware prodotto da Israele Pegasus per prendere di mira giornalisti e attivisti, che è stato scoperto da The Wire, nel maggio 2021. Ha anche accusato il governo di non collaborare con la commissione istituita dalla Corte Suprema per indagare sull'uso dello spyware Pegasus sui cittadini indiani.
La sorveglianza era originariamente disciplinata dal Telegraph Act del 1885 – una regola dell'era coloniale britannica – e successivamente dall'Information Technology Act del 2000, introdotto da un governo di coalizione guidato dal BJP. La Suprema Corte si è pronunciata due volte su tale normativa – una volta nel 1997 e più recentemente nel 2017 – rilevando che un ordine di sorveglianza poteva essere concesso solo in caso di stretta necessità e in assenza di alternativa.
Nessun commento:
Posta un commento