À primeira vista, a Lei de Proteção de Dados Pessoais Digitais preenche todos os requisitos necessários. Mas, do ponto de vista do cidadão, ela tem muitos pontos faltando. Por exemplo, o Conselho de Proteção de Dados não tem o poder de iniciar uma investigação suo motu nos casos em que os indivíduos possam não estar cientes de seus direitos ou não possam registrar reclamações.
O projeto de regras para complementar Índia's Dados pessoais digitais Lei de ProteçãoA Lei de Privacidade de Dados Digitais de 2023 provavelmente será lançada em breve. A lei oferece reconhecimento legal aos direitos de privacidade de dados digitais.
Com certeza, a Índia está entre os primeiros países do sul da Ásia a promulgar uma lei nacional de proteção de dados. Quando entrar em vigor, a lei obrigará as entidades que coletam e processam dados digitais a coletar dados pessoais para fins legítimos, com base no consentimento informado do titular dos dados. A lei também impõe aos fiduciários de dados a obrigação de implementar medidas razoáveis de segurança de dados para proteger os dados pessoais que coletam.
À primeira vista, a lei preenche todos os requisitos para ser uma legislação robusta de privacidade de dados. Mas, do ponto de vista centrado no cidadão, ela carece de força para ser implementada. A principal preocupação é que a lei coloca um ônus desproporcional sobre os cidadãos como responsáveis pelos dados para que assumam o papel principal de fazer valer seus direitos, sem criar mecanismos de apoio e canais institucionais adequados para permitir que o cidadão faça valer seus direitos.
Aqui estão alguns dos principais elos perdidos que a lei não consegue conectar.
Link ausente #1: A obrigação de promover a conscientização A lei não confere à Diretoria de Proteção de Dados com o dever de proteger os interesses dos titulares de dados com relação a seus dados ou com a obrigação de realizar campanhas de conscientização sobre os direitos dos titulares de dados. Esse é um grande desvio das práticas recomendadas internacionais (como a Regulamentação Geral de Proteção de Dados) que atribuíram explicitamente o dever de implementar os direitos de um titular de dados a uma autoridade nodal identificada, como as autoridades de supervisão estabelecidas pelos estados membros.
Essa também é uma mudança significativa em relação às versões anteriores dos próprios projetos de lei de proteção de dados da Índia, incluindo o projeto do Comitê Parlamentar Conjunto (em 2021) e as versões dos projetos de lei lançados em 2018 e 2019, que conferiam à Proteção de Dados Autoridade com o "dever de proteger os interesses dos titulares dos dados, impedir qualquer uso indevido de dados pessoais e garantir a conformidade com as disposições desta lei".
Assim, o dever de proteger os interesses dos responsáveis pelos dados e a obrigação de promover a conscientização sobre a proteção de dados estão totalmente ausentes na lei, deixando as funções cruciais de uma autoridade de proteção de dados em um estado de limbo. Essa preocupação é ainda mais pungente devido à exclusão digital na Índia, onde apenas 38% das famílias são alfabetizadas digitalmente e, entre as 20% famílias mais pobres, apenas 2,7% têm acesso a um computador e 8,9% têm acesso à Internet.
É necessário desenvolver a cultura de privacidade de dados entre os cidadãos digitais da Índia para informá-los sobre seus direitos e os processos relativos à privacidade de dados digitais e outros riscos apresentados pelas tecnologias digitais emergentes. O fato de não atribuir essa função a uma autoridade ou instituição identificada na lei pode significar que os cidadãos, nos quais se baseia o sucesso da própria lei, terão que navegar pela nova legislação sem muito apoio do Estado.
Link ausente #2: Falta de suo motu potência
De acordo com a lei, o Conselho de Proteção de Dados só pode agir mediante uma reclamação de um responsável pelos dados ou por meio de referência do governo central. O poder de iniciar
a suo motu A investigação em casos em que os indivíduos podem não estar cientes de seus direitos ou não ter condições de registrar reclamações não é explicitamente fornecida à diretoria de acordo com a lei. Isso é particularmente importante para a proteção de grupos ou indivíduos vulneráveis que talvez não conheçam bem as leis de proteção de dados ou não tenham os meios para buscar uma reparação legal.
Essa abordagem de aquisição de direitos suo motu O poder do Conselho de Proteção ao Consumidor e da Comissão de Concorrência da Índia, respectivamente, tem o poder de tomar conhecimento de uma violação da lei e iniciar uma investigação ou inquérito.
Alteração da lei para permitir que o Conselho de Proteção de Dados atue suo motu permitiria que os conselhos tomassem medidas proativas para garantir a conformidade, em vez de depender de respostas reativas a reclamações.
Elo perdido #3: Compensação por violações de dados
A lei não oferece indenização pecuniária aos responsáveis pelos dados cujo direito à privacidade dos dados tenha sido violado. Essa é uma falha significativa da lei, pois a Seção 43A da Lei de Tecnologia da Informação de 2000, que anteriormente permitia pedidos de indenização por violações de dados, foi revogada pela Lei de Proteção de Dados Pessoais Digitais.
A indenização oferece um meio de compensar vários danos que os indivíduos sofrem quando seus dados pessoais são comprometidos, incluindo perdas financeiras, sofrimento emocional e violações de privacidade. Embora as penalidades substanciais previstas
A indenização de acordo com a Lei motivaria os fiduciários de dados a implementar medidas para a proteção de dados, a antiga indenização incentivava os indivíduos a denunciar violações e buscar reparação. Com esse caminho fechado, agora há menos motivação para que o público busque ativamente a responsabilização por violações de dados. A ausência de um mecanismo de compensação transferiu o ônus da busca por justiça para os indivíduos, tornando mais difícil para eles agirem quando seus dados são maltratados, o que, em última análise, prejudica a responsabilidade geral e a segurança dos dados pessoais.
O corte final
A Lei de Proteção de Dados Pessoais Digitais foi reconhecida como favorável ao setor, pois considera a facilidade de fazer negócios e evita que a lei crie barreiras à entrada ou obstáculos à inovação para os participantes do mercado.
Considerando que o Conselho de Proteção de Dados, de acordo com a Lei, não tem uma missão explícita e suo motu poderes, a implementação bem-sucedida da lei depende muito do fato de os cidadãos conscientes exigirem que seus dados pessoais sejam tratados de acordo com a letra da lei.
Essas deficiências não podem ser resolvidas, exceto por uma emenda à lei. Até lá, as instituições de pesquisa e os atores da sociedade civil terão que desempenhar um papel mais importante para conscientizar sobre a privacidade de dados e garantir a implementação dos direitos previstos na lei.
Fonte: Economic Times
