A primera vista, la Ley Digital de Protección de Datos Personales cumple todos los requisitos. Pero desde el punto de vista del ciudadano, le faltan muchos eslabones. Por ejemplo, el Consejo de Protección de Datos no está facultado para iniciar una investigación de oficio en los casos en que los ciudadanos desconozcan sus derechos o no puedan presentar denuncias.
El proyecto de normas complementarias India's Datos personales digitales Ley de protección2023. La Ley reconoce por ley el derecho a la privacidad de los datos digitales.
Sin duda, India es uno de los primeros países del sur de Asia en haber promulgado una ley nacional de protección de datos. Una vez que entre en vigor, la ley obligará a las entidades que recopilan y procesan datos digitales a recoger datos personales con fines legítimos, basados en el consentimiento informado del titular de los datos. La Ley también impone a los fiduciarios de datos la obligación de aplicar medidas razonables de seguridad de los datos para salvaguardar los datos personales que recogen.
A primera vista, la Ley cumple todos los requisitos para ser una legislación sólida en materia de privacidad de datos. Pero, desde el punto de vista del ciudadano, carece de fuerza para su aplicación. La principal preocupación es que la Ley impone una carga desproporcionada a los ciudadanos como titulares de los datos para que asuman el papel principal de hacer valer sus derechos, sin crear mecanismos de apoyo adecuados ni canales institucionales que permitan al ciudadano hacer valer sus derechos.
He aquí algunos eslabones clave que faltan y que la Ley no logra conectar.
Eslabón perdido #1: La obligación de promover la sensibilización La Ley no confiere al Consejo de Protección de Datos con el deber de proteger los intereses de los interesados con respecto a sus datos o con la obligación de llevar a cabo campañas de sensibilización sobre los derechos de los interesados. Se trata de una flagrante desviación de las mejores prácticas internacionales (como el Reglamento general de protección de datos) que han conferido explícitamente el deber de aplicar los derechos de un titular de datos a una autoridad nodal identificada, como las autoridades de supervisión creadas por los Estados miembros.
Esto también supone un cambio significativo con respecto a los borradores anteriores de los propios proyectos de ley de protección de datos de la India, incluido el borrador del Comité Parlamentario Conjunto (en 2021) y las versiones de los proyectos de ley publicados en 2018 y 2019 que dotaban a la Protección de Datos Autoridad con el "deber de proteger los intereses de los titulares de los datos, impedir cualquier uso indebido de los datos personales y garantizar el cumplimiento de las disposiciones de esta Ley".
Por lo tanto, la obligación de proteger los intereses de los titulares de los datos y la obligación de promover la concienciación sobre la protección de datos están totalmente ausentes en la Ley, lo que deja en el limbo las funciones cruciales de una autoridad de protección de datos. Esta preocupación es aún mayor debido a la brecha digital en India, donde sólo 38% de los hogares tienen alfabetización digital y entre los 20% más pobres, sólo 2,7% tienen acceso a un ordenador y 8,9% tienen acceso a Internet.
Es necesario crear una cultura de la privacidad de los datos entre los ciudadanos digitales de la India para informarles de sus derechos y de los procesos relativos a la privacidad de los datos digitales y otros riesgos que plantean las tecnologías digitales emergentes. El hecho de que la ley no asigne esta función a una autoridad o institución identificada podría significar que la ciudadanía, de la que depende el éxito de la propia ley, se vea abocada a navegar por la nueva legislación sin demasiado apoyo del Estado.
Eslabón perdido #2: Falta de de oficio potencia
En el estado actual de la ley, la Junta de Protección de Datos sólo puede actuar tras la denuncia de un titular de datos o por remisión del gobierno central. La facultad de iniciar
a de oficio La ley no prevé explícitamente la posibilidad de que el consejo realice investigaciones en los casos en que las personas desconozcan sus derechos o no puedan presentar reclamaciones. Esto es especialmente importante para proteger a los grupos vulnerables o a las personas que pueden no conocer bien las leyes de protección de datos o no tener los medios para buscar una reparación legal.
Este enfoque de la adquisición de derechos de oficio se toma en legislaciones de bienestar como la Ley de Protección del Consumidor, 2019 y la Ley de Competencia, 2002, donde la Junta de Protección del Consumidor y la Comisión de Competencia de la India, respectivamente, tienen el poder de tomar conocimiento de una violación de la ley e iniciar una investigación o investigación.
Modificación de la Ley para permitir la actuación del Consejo de Protección de Datos de oficio permitiría a las juntas tomar medidas proactivas para garantizar el cumplimiento, en lugar de depender de respuestas reactivas a las quejas.
Eslabón perdido #3: Indemnización por violación de datos
La Ley no prevé indemnizaciones pecuniarias para los titulares de datos cuyo derecho a la privacidad de los datos haya sido vulnerado. Se trata de una carencia importante de la Ley, ya que el artículo 43A de la Ley de Tecnología de la Información de 2000, que anteriormente permitía reclamar indemnizaciones por violación de datos, ha sido derogado por la Ley de Protección de Datos Personales Digitales.
La compensación proporciona un medio para reparar los diversos daños que sufren las personas cuando sus datos personales se ven comprometidos, incluidas las pérdidas financieras, la angustia emocional y las violaciones de la privacidad. Aunque se prevén importantes sanciones
en virtud de la Ley motivaría a los fiduciarios de datos a aplicar medidas de protección de datos, la antigua compensación incentivaba a los particulares a denunciar las violaciones y buscar reparación. Con esta vía cerrada, ahora hay menos motivación para que el público busque activamente responsabilidades por las violaciones de datos. La ausencia de un mecanismo de compensación ha trasladado la carga de la búsqueda de justicia a los particulares, lo que hace más difícil que actúen cuando sus datos se manejan mal, lo que en última instancia socava la responsabilidad general y la seguridad de los datos personales.
El corte final
La Ley de Protección de Datos Personales Digitales ha sido reconocida como favorable a la industria, ya que tiene en cuenta la facilidad de hacer negocios y evita que la ley cree barreras de entrada o trabas a la innovación para los agentes del mercado.
Considerando que el Consejo de Protección de Datos en virtud de la Ley no está investido de una misión explícita y de oficio poderes, el éxito de la aplicación de la Ley depende en gran medida de que los ciudadanos concienciados exijan que sus datos personales se traten conforme a la letra de la ley.
Estas deficiencias sólo podrán subsanarse mediante una modificación de la Ley. Hasta entonces, las instituciones de investigación y los agentes de la sociedad civil tendrán que desempeñar un papel más importante para concienciar sobre la privacidad de los datos y garantizar la aplicación de los derechos contemplados en la Ley.
Fuente: Economic Times
