Nueva ley de protección de datos en India genera preocupaciones por vigilancia gubernamental

La nueva legislación de protección de datos de India, que busca garantizar el control de los ciudadanos sobre su información personal, ha generado controversia por el amplio margen de maniobra que otorga al gobierno para acceder a datos personales sin suficientes salvaguardas independientes.

Según el Ministerio de Electrónica y Tecnología de la Información de India, la Ley de Protección de Datos Personales Digitales (DPDP) y sus reglamentos "crean un marco simple, centrado en el ciudadano y favorable a la innovación para el uso responsable de datos personales digitales". La normativa establece que las empresas solo podrán recopilar los datos de clientes que sean necesarios para un propósito específico, debiendo permitir a los usuarios optar por no compartir información y notificarles en caso de violaciones de seguridad.

Sin embargo, críticos señalan que la ley ha sido diseñada para dar al gobierno amplios poderes para acceder a datos personales sin una supervisión independiente sólida. A diferencia del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que cuenta con una robusta regulación independiente, la DPDP india establece una Junta de Protección de Datos designada por el gobierno con solo cuatro miembros para supervisar la privacidad de aproximadamente 1.400 millones de personas.

"La ley de protección de datos de India y sus reglamentos probablemente seguirán siendo hitos en papel cuando se trata de proteger genuinamente la privacidad de su población, ya que principalmente formaliza varios aspectos del procesamiento de datos", declaró a DW Prateek Waghre, director de programas del Tech Global Institute, una organización sin fines de lucro dedicada a políticas digitales y derechos humanos.

Waghre también afirmó que el gobierno podría coaccionar a ciudadanos y empresas para que entreguen datos a través de disposiciones amplias y presunción de consentimiento. "Aunque las sucesivas iteraciones de la ley y las normas fueron criticadas por otorgar demasiado margen de maniobra y control a la rama ejecutiva sin las salvaguardas adecuadas, cada versión expandió sus poderes", añadió.

Uno de los aspectos más controvertidos de la DPDP es su impacto directo en la Ley del Derecho a la Información (RTI), bajo la cual los ciudadanos podían anteriormente solicitar acceso a registros en poder de autoridades públicas si el "interés público más amplio" justificaba la divulgación. Los críticos han señalado que la DPDP modifica esta disposición de interés público, permitiendo que las autoridades nieguen la divulgación incluso si la información solicitada está relacionada con el interés público.

"La enmienda... potencialmente conducirá a una negación general de información personal necesaria para que los ciudadanos expongan la corrupción y responsabilicen a los gobiernos", dijo a DW Anjali Bhardwaj, coordinadora de la Campaña Nacional por el Derecho a la Información de las Personas. "Por ejemplo, no se pueden obtener nombres de contratistas que realizan obras públicas y nombres de morosos intencionales de bancos del sector público", añadió Bhardwaj.

Amrita Johri, activista por la transparencia digital, señaló a DW que el cambio en las regulaciones del RTI elimina estipulaciones anteriores que permitían el acceso a información personal si era relevante para el interés público o la actividad pública. "El gobierno ha utilizado afirmaciones de 'no hay datos disponibles' para eludir la transparencia en asuntos públicos críticos, socavando aún más el espíritu de la Ley RTI como herramienta para la rendición de cuentas democrática", dijo Johri, quien destacó que el derecho a cuestionar y hablar libremente "es central para la democracia".

El Ministerio de Electrónica y Tecnología de la Información ha negado que la DPDP debilite el RTI. El secretario del ministerio, S. Krishnan, declaró al diario Hindustan Times que la DPDP solo eliminó "una disposición redundante" y no afectó el derecho de los ciudadanos a la información. Krishnan afirmó que la Ley RTI ya permitía a las autoridades públicas compartir cualquier información si servía al interés público, independientemente de las exenciones.

Las organizaciones de periodistas, como el Club de Prensa de India y el Gremio de Editores de India (EGI), se muestran preocupadas por el impacto de la ley en la libertad de prensa. La DPDP clasifica a los reporteros como "fideicomisarios de datos significativos" (SDFs) por su trabajo rutinario que involucra la recopilación, procesamiento y publicación de datos personales.

Un fideicomisario de datos es cualquier persona u organización que decide por qué y cómo se procesan los datos personales, siendo responsable de proteger esos datos y garantizar que se utilicen de manera legal y justa. Bajo esta clasificación, los periodistas deben obtener consentimiento explícito antes de usar datos de individuos en historias como nombrar a funcionarios corruptos o exponer estafas, lo que podría hacer imposible el periodismo de investigación sin aprobación previa.

"Las nuevas reglas carecen de exenciones claras para actividades periodísticas, arriesgando que los reportajes rutinarios sean clasificados como procesamiento de datos que requiere consentimiento, lo que podría obstaculizar la recopilación de noticias y el periodismo de investigación", declaró a DW Ananth Nath, expresidente del EGI. "Instamos al gobierno a proporcionar urgentemente una aclaración explícita que exima al periodismo de buena fe de estas reglas para salvaguardar la libertad de prensa y el derecho del público a saber".

El incumplimiento de la DPDP puede resultar en sanciones monetarias sustanciales para los fideicomisarios de datos, con multas que potencialmente alcanzan hasta aproximadamente 30 millones de dólares (26 millones de euros) por cada instancia de violación.

"Esto creará un efecto paralizante, convirtiendo el periodismo en una actividad de alto riesgo y forzando a los medios a actuar más como agentes de relaciones públicas que como vigilantes", dijo a DW Sanjay Kapoor, periodista senior y actual presidente del EGI. "Podría llevar a la bancarrota a pequeños medios de comunicación o forzar la autocensura para evitar costos perjudiciales".

La ley DPDP se aplica a todas las organizaciones que procesan datos personales digitales de individuos en India, independientemente de su tamaño o sector. Los plazos de cumplimiento oscilan entre 12 y 18 meses, y las empresas deben actuar rápidamente para incorporar la privacidad en la tecnología, la gobernanza y la cultura corporativa.

Según Forrester, una firma de investigación de mercado, la economía digital de India está en auge, y la confianza se está convirtiendo rápidamente en un diferenciador competitivo. Los consumidores son cada vez más conscientes de sus derechos de privacidad, y los reguladores están señalando tolerancia cero para el uso indebido de datos personales.

Entre las recomendaciones para las empresas, los expertos sugieren comenzar mapeando su panorama de datos, manteniendo un inventario dinámico de todos los datos personales en sistemas, entornos en la nube y proveedores externos. También recomiendan actualizar los flujos de consentimiento y avisos de privacidad para hacerlos simples, multilingües y transparentes, evitando tácticas de diseño engañosas que engañen a los usuarios para que den su consentimiento o dificulten la exclusión.

La ley DPDP de 2023 es la primera ley integral de protección de datos de India que rige el procesamiento de datos personales digitales, incluidos los datos fuera de línea que luego se digitalizan, y también se aplica extraterritorialmente cuando organizaciones en el extranjero ofrecen bienes o servicios a personas en India. Las Reglas DPDP 2025 son legislación delegada que hace que este marco sea viable en la práctica al prescribir plazos, formatos y procedimientos detallados para el consentimiento, avisos, salvaguardas de seguridad, informes de infracciones, resolución de quejas y transferencias de datos transfronterizas.

A medida que India avanza en la implementación de su primera ley integral de protección de datos, el equilibrio entre la seguridad de los datos personales, la transparencia gubernamental y la libertad de prensa seguirá siendo un tema de intenso debate en los próximos meses.