Índia ressuscita projeto de lei de privacidade de dados após recuo abrupto no ano passado

O ministro de TI da Índia, Ashwini Vaishnaw, apresentou novamente um projeto de lei atualizado sobre privacidade de dados na câmara baixa do parlamento indiano na quinta-feira, meses após a introdução do último rascunho e a retirada abrupta de uma proposta anterior no ano passado, após pressão das gigantes de tecnologia, mesmo com muitos membros protestando contra o novo projeto, alegando que viola o direito à privacidade.

Intitulado Projeto de Lei de Proteção de Dados Pessoais Digitais, o ato legislativo busca fornecer poderes substantivos de tomada de decisão ao governo liderado pelo primeiro-ministro Narendra Modi. Esses poderes incluem a capacidade de dispensar certos fiduciários de dados, incluindo startups, do cumprimento, caso haja necessidade. Eles também podem permitir o tratamento de dados de crianças, desde que o fiduciário possa demonstrar medidas de proteção adequadas.

O governo também tem a autoridade para designar países para os quais a transferência de dados pessoais dos usuários é proibida. Esta disposição modifica o projeto anterior do projeto de lei, que sugeria permitir transferências de dados para “países e territórios notificados”.

Além disso, a legislação oferece proteção legal para o governo central, o conselho de proteção de dados e seus membros, incluindo o presidente, protegendo-os de ações legais.

A legislação estabelece que o governo central é responsável por estabelecer o conselho de proteção de dados. O governo também nomeará os membros e o presidente do conselho, cada um com mandato inicial de dois anos. O projeto de lei estabelece que um membro do conselho de proteção de dados só pode renunciar por meio de notificação por escrito enviada ao governo. Esta renúncia entra em vigor três meses após a apresentação, com a aprovação do governo, ou quando um novo sucessor é nomeado ou o mandato existente expira.

A legislação permite que os indivíduos levem suas questões de proteção de dados ao conselho se não receberem uma resposta adequada do fiduciário de dados no prazo de sete dias estipulado. Também é exigido pelo projeto de lei que o público forneça apenas informações pessoais genuínas e não se faça passar por outras pessoas. O descumprimento das obrigações estabelecidas no projeto de lei pode resultar em penalidades para os indivíduos, com multas chegando a até R$ 10.000 (121 dólares). Para um fiduciário de dados que viola a lei, as penalidades podem ser tão severas quanto R$ 250 milhões (30 milhões de dólares).

As decisões do conselho de proteção de dados podem ser contestadas no Tribunal de Solução de Disputas e Recursos de Telecomunicações para revisão em até 60 dias, diz a lei.

As empresas que coletam dados do usuário devem obter consentimento explícito dos usuários, de acordo com o projeto de lei. As solicitações de consentimento devem ser comunicadas em linguagem simples. Os consumidores também podem retirar seu consentimento posteriormente. Além disso, o projeto de lei prevê o estabelecimento de um mecanismo de solução de reclamações por meio de gerentes de consentimento que podem ajudar os usuários a dar, gerenciar, revisar e retirar seu consentimento.

No entanto, o projeto de lei inclui “certos usos legítimos” como isentos da exigência de obter consentimento do usuário. Essa é uma atualização para a disposição de “consentimento presumido” disponível na versão anterior do rascunho do projeto de lei. Ele permite que as plataformas coletem dados pessoais do usuário quando estes são fornecidos voluntariamente, como ao acessar serviços públicos. O governo também pode acessar dados pessoais das plataformas nessa disposição para fornecer subsídios ou realizar funções exigidas por lei.

Kamlesh Shekhar, gerente de programa do The Dialogue, um think tank de políticas públicas em Nova Delhi, disse ao TechCrunch que, embora a renúncia ao consentimento presumido seja positiva, é importante estabelecer os fundamentos da necessidade e garantir a existência de interesse legítimo. Um teste de equilíbrio entre os interesses do controlador de dados e os direitos fundamentais do titular dos dados deve ser incluído nas regras prescritas pelo governo central, acrescentou. Além disso, as regras relacionadas ao fornecimento de gerentes de consentimento devem estar alinhadas com as regulamentações para gerentes de consentimento em outras indústrias, para evitar a exploração de brechas no sistema, disse ele.

A abordagem da Índia em relação à privacidade de dados difere do GDPR (Regulamento Geral de Proteção de Dados) da Europa e do CCPA (Lei de Privacidade do Consumidor da Califórnia) dos EUA, pois sua legislação não inclui multas pesadas e concede poderes ao governo federal para alterar regras em casos específicos.

Em um pronunciamento em vídeo público lançado após a apresentação do projeto de lei no parlamento, Rajeev Chandrasekhar, ministro de TI do governo, chamou a medida de “um marco muito significativo na evolução do padrão global de legislação cibernética”. O ministro disse que o projeto de lei torna obrigatório para as empresas que coletam e usam dados pessoais cumprir a lei e não pedir “informações irrelevantes ou estranhas” para o serviço ou produto que o usuário recebe. O projeto de lei também inclui os princípios de minimização de dados, proteção de dados e responsabilidade, armazenamento preciso de dados e reporte obrigatório de violações.

A nação do sul da Ásia começou a analisar a proteção de dados em 2017. Dois anos depois, o parlamento indiano recebeu o primeiro projeto de lei de proteção de dados pessoais em 2019. No entanto, ele foi retirado no ano passado após críticas e questionamentos de defensores da privacidade e empresas de tecnologia, incluindo Amazon, Google e Meta, sobre a concessão de isenções a departamentos governamentais e a limitação do escopo de proteção dos dados do usuário.

“Por muitos e muitos anos, tem sido conhecido, e não é segredo, que muitas plataformas e muitas empresas ou muitos fiduciários de dados vêm coletando dados pessoais de cidadãos individuais. Não apenas na Índia, mas em todo o mundo, e eles têm explorado esses dados pessoais para seus próprios modelos de negócios, algoritmos e muitas outras maneiras”, afirmou Chandrasekhar. “O governo do Narendra Modiji entrou em ação para criar um arcabouço de legislação que proteja os direitos dos cidadãos, crie um ambiente onde o ecossistema de inovação e as startups possam continuar operando com trilhos de proteção que se enquadram nesse tipo de arcabouço”.

Embora o projeto de lei de privacidade de dados precise ser aprovado pelo parlamento e pelo presidente indiano para se tornar lei, recebeu críticas dos partidos políticos de oposição. Uma de suas preocupações é a concessão de poderes “excessivos” ao governo central. Especialistas em políticas públicas também criticaram o governo por não divulgar as respostas da consulta pública sobre o rascunho do projeto de lei de proteção de dados.

Shashi Tharoor, líder do principal partido da oposição, o Partido do Congresso, argumentou que o projeto de lei foi alterado várias vezes e deve ser enviado ao comitê parlamentar permanente para uma revisão abrangente.

O grupo de defesa dos direitos digitais Internet Freedom Foundation afirmou que o projeto de lei de proteção de dados não está de acordo com princípios importantes, como a decisão do tribunal KS Puttaswamy, que estabeleceu que a privacidade da informação é um aspecto crucial do direito à privacidade. O grupo afirmou que o projeto de lei amplia ainda mais as isenções concedidas a entidades governamentais, o que pode levar a um aumento da vigilância estatal e não traz disposições claras sobre questões essenciais “que foram deixadas para regulamentações futuras”. A medida legislativa também enfraquecerá significativamente a Lei de Direito à Informação de 2005, acrescentou o grupo.

“O DPDPB (Projeto de Lei de Proteção de Dados Pessoais Digitais), 2023 reitera as deficiências do DPDPB, 2022 e não incorpora várias das recomendações significativas que foram feitas durante o processo de consulta, as quais foram posteriormente tornadas públicas pelos atores relevantes. Instamos fortemente o governo a abordar os inúmeros problemas recorrentes com as sucessivas iterações que foram levantados por organizações da sociedade civil. Em sua forma atual, o DPDPB, 2023 não protege suficientemente o direito à privacidade e não deve ser promulgado”, disse o grupo.