India presenta nuevo proyecto de ley de protección contra la EP: ¿otro análogo al RGPD?

En nuestro blog, ya escribimos sobre el GDPR , sus " víctimas " y la situación con la regulación cada vez más estricta del sector de TI en su conjunto. En este artículo hablaremos sobre la protección de la EP en la India.

En particular, discutiremos un nuevo proyecto de ley presentado a fines de julio de este año.

Considere sus puntos principales y hable sobre las críticas en la comunidad.


/ foto ruben alexander CC

Puntos clave

El Proyecto de Ley de Protección de Datos Personales (2018) ha sido redactado durante casi un año por miembros del Comité de Justicia. Shrikrishna (Comité de Justicia Srikrishna). El documento fue preparado teniendo en cuenta las peculiaridades de la regulación de TI en India, pero también se introdujo la experiencia extranjera. Por lo tanto, aquellos que leyeron el documento notaron de inmediato que recuerda en gran medida al GDPR.

Considere las disposiciones clave que se detallan en el documento:

Los ciudadanos obtendrán más control sobre la EP

Los propietarios personales en el documento se denominan Principal de datos (y no el Sujeto de datos como en el GDPR). Y tienen los siguientes derechos ( página 14, capítulo 6 ):

• el derecho a saber si el operador procesa ciertas PD;
• el derecho a cambiar los datos si son incorrectos o desactualizados;
• el derecho a exigir el suministro de sus datos en formato electrónico;
• El derecho a olvidar / restringir la publicidad o dejar de usar PD.

Vale la pena señalar que el Comité también cuidó a los niños: se dedica un capítulo separado a la protección de sus datos, que detalla las responsabilidades de los operadores de DP ( página 13, capítulo 5 ). Por ejemplo, establece que el operador está obligado a organizar mecanismos para verificar la edad, así como a limitar el seguimiento del comportamiento y la visualización de publicidad dirigida en el sitio.

Nuevos requisitos para operadores de DP

Todos los que recopilan y procesan los datos personales de los habitantes de la India se denominan datos fiduciarios en el texto del documento: la persona encargada de los datos (los abogados lo llaman "fiduciario" o "fiduciario": es responsable de la propiedad de otra persona; en este caso, la propiedad es la información del sujeto )

Y se les impone una serie de requisitos al procesar PD ( página 17, capítulo 7 ). Por ejemplo, deben cumplir con el concepto de Privacidad por diseño. Esto significa que todas las tecnologías aplicables, las políticas de seguridad y la gestión empresarial deben "agudizarse" para preservar la integridad de la DP y evitar posibles consecuencias desagradables para sus propietarios (por ejemplo, fugas de datos).

Además, se requiere que los fiduciarios designen un oficial de protección de datos ( DPO ) en su empresa, para almacenar información sobre todas las transacciones con PD, así como para someterse a una auditoría y notificar las fugas de datos dentro de los plazos establecidos por una autoridad de supervisión especial.

Por cierto, sobre supervisores

Para controlar el cumplimiento de la ley, se creará una Autoridad de Protección de Datos de la India (DPA) en el país. El importe de las multas por incumplimiento de los requisitos de la ley es aproximadamente igual a lo estipulado por la legislación europea. Por ejemplo, los operadores de PD se enfrentan a una recuperación de hasta $ 2 millones (o el 4% de la facturación anual) por permitir que una base de datos sea pirateada.

Al mismo tiempo, el artículo 10 ( página 29 del documento ) dice que los miembros de DPA deben ser personas con más de diez años de experiencia en el campo de la protección de datos y campos relacionados. Por lo tanto, podemos suponer que las personas con profundos conocimientos técnicos y comprensión de los principios del trabajo tecnológico ocuparán puestos.

Las copias de la PD deberán almacenarse en servidores en India

Esto se afirma en el artículo 8 ( página 23 ). Se trata de la política de "ciber soberanía", que las autoridades decidieron seguir. El proyecto de ley prohíbe a las compañías mover datos fuera del país a menos que se haya obtenido el permiso de la entidad PD, DPA o del estado y otras sutilezas no se respeten. Potencialmente, este requisito puede crear dificultades adicionales tanto para las empresas locales como para los proveedores de nube extranjeros.

La DP puede almacenarse incondicionalmente en el extranjero solo en caso de emergencia (estado de salud del propietario de la DP, la amenaza a su vida, etc., cuando necesita actuar con prontitud).

¿Cómo pasaste la factura?

Junto con el proyecto de ley, el Comité de Justicia nombró a Shrikrishny proporcionó los fundamentos de todas las disposiciones y sus recomendaciones para proteger la EP en el país. Los autores explican que al desarrollar el documento, utilizaron el concepto de un triángulo , cuyo máximo es el interés de los ciudadanos indios, y los motivos son los intereses de las empresas y el estado. Con esto, probablemente quieran enfatizar que el proyecto de ley tiene en cuenta los derechos de todos los que toca.

Sin embargo, no todos los "vértices triangulares" están de acuerdo con ellos. Se han criticado varias disposiciones del proyecto de ley.

El presidente de la Fundación Mozilla, Mitchell Baker, expresó su preocupación por las excepciones para el estado mencionado en el documento ( capítulo 9 ): las razones y las tareas para el procesamiento de DP por parte de las agencias gubernamentales (por ejemplo, archivo o análisis estadístico) no están claras.

La prohibición de realizar estudios de "reidentificación" fue seriamente criticada, cuando la identidad de su propietario está determinada por datos anónimos. Dichos estudios ayudan a mejorar las tecnologías de protección PD y proporcionan estadísticas sobre fugas o el nivel de seguridad de los datos en una empresa.

Según el texto del nuevo proyecto de ley, tales pruebas ahora pueden llevarse a cabo solo con el consentimiento del operador de PD (de lo contrario, se impondrá una multa de 3 mil dólares). Esto debería ayudar a evitar posibles "vertederos" de bases de datos con PD de residentes indios. Por otro lado, los expertos en seguridad de la información enfatizan que la prohibición de la reidentificación no resuelve el problema.

Todo esto puede llevar al hecho de que las empresas que procesan datos personales se negarán a realizar pruebas si no están seguras de la "calidad" de su desanonimización. Cuando los piratas informáticos piratean sistemas de tales empresas (que obviamente no necesitan permiso para piratear), las consecuencias pueden ser graves.

Por ejemplo, en 2017 en el Reino Unido también propusieron prohibir los estudios de reidentificación, pero lo pensaron dos veces por razones de seguridad.

Que sigue

El nuevo proyecto de ley debe pasar por varias instancias: desde el Ministerio de TI y Comunicaciones hasta la cámara alta del Parlamento indio, Rajya Sabha, y obtener su aprobación. Es probable que debido a las críticas en su forma actual no sea aceptado, porque el momento de la entrada en vigor todavía está en duda.

---

PD: ¿Qué más tenemos sobre el tema en el blog de IaaS:

• Cómo manejar la DP en la nube
• Qué considerar PD desde el punto de vista del regulador ruso
• PD en la nube: áreas de responsabilidad de clientes y proveedores de la nube

---

La dirección principal de nuestra actividad es la provisión de servicios en la nube:

Infraestructura virtual (IaaS) | Alojamiento PCI DSS | Nube FZ-152 | Alojamiento SAP | Almacenamiento virtual | Cifrado de datos en la nube | Almacenamiento en la nube