Prevedere un regime di sicurezza nazionale rispettoso della privacy

Pubblicato: 2020-06-21

Un malcontento generale nell'ecosistema riguarda le ampie esenzioni sancite dalla clausola 35 del disegno di legge 2019

L'Apex Court aveva espressamente messo fuori legge l'"Espedienza" come standard e aveva imposto la "necessità"

l'obiettivo del disegno di legge 2019 è proteggere i dati personali e garantire la privacy e non garantire l'accesso ai dati da parte del governo

La ricerca di un regime di privacy in India ha cambiato marcia con la sentenza della Corte Suprema in Puttaswamy I (KS Puttaswamy v. Union of India, 2017) . Ciò ha portato alla costituzione del Comitato per la giustizia Srikrishna nel 2018 che ha presentato con il suo rapporto un progetto di legge (disegno di legge 2018) che non è mai stato presentato in parlamento.

Successivamente, nel dicembre 2019 è stato presentato il disegno di legge 2019 sulla protezione dei dati personali (disegno di legge 2019) e successivamente si è riferito a una commissione parlamentare mista che ha chiesto commenti pubblici sul disegno di legge 2019 e attualmente sta deliberando sullo stesso. Questo articolo affronta le implicazioni sulla sicurezza nazionale del disegno di legge del 2019 alla luce dei precedenti stabiliti dalle corti costituzionali dell'India, delle aspirazioni di una Repubblica democratica e dei doveri di un sovrano.

Esiste un legittimo interesse dello Stato costituzionalmente protetto nell'affrontare le sfide alla sicurezza nazionale, siano esse esterne o interne. Eppure una società democratica prospera sullo stato di diritto e di conseguenza le sfide alla sicurezza nazionale dovrebbero essere affrontate non a scapito delle libertà civili ma armonizzando le due.

Un malcontento generale nell'ecosistema riguarda le ampie esenzioni sancite dalla clausola 35 del disegno di legge del 2019 e l'eccessivo affidamento alla legislazione delegata che porta all'incertezza giuridica. Una differenza evidente tra il disegno di legge del 2018 e il disegno di legge del 2019 è la cessione del potere dall'Autorità per la protezione dei dati (Autorità) al governo centrale.

Sfide costituzionali

La clausola 35 del disegno di legge del 2019 consente l'approvazione di un ordine esecutivo per abrogare i diritti fondamentali dei cittadini se è "necessario o opportuno" nell'interesse della sovranità e dell'integrità dell'India, della sicurezza dello Stato, delle relazioni amichevoli con gli Stati esteri, del pubblico ordine o istigazione ad illeciti lesivi dei predetti interessi. La disposizione deve affrontare sfide costituzionali per quattro motivi. In primo luogo, la disposizione introduce lo standard "necessario o opportuno" per la riduzione delle libertà civili anche quando la sentenza Puttaswamy I impone esplicitamente lo standard "necessario e proporzionale".

In secondo luogo, l'Apex Court aveva espressamente messo fuori legge l'"Espedienza" come standard e aveva imposto la "Necessità" in S Rangarajan ecc. contro P. Jagjivan Ram (1989) . In terzo luogo, la disposizione viola la sentenza nella sentenza Puttaswamy II ( KS Puttaswamy v. Union of India, 2019) che impone che solo una legge emanata dal Parlamento, che sia giusta, equa e ragionevole può violare il diritto alla privacy, mentre la disposizione autorizza un dirigente per fare lo stesso.

In quarto luogo, il potere delegato all'esecutivo è così vasto e gli scenari definiti quando può essere esercitato sono così ampi da portare all'incertezza giuridica e all'"arbitrarietà" perseguibile ai sensi dell'articolo 14 della Costituzione come stabilito in EP Royappa v. State of Tamil Nadu (1973).

Raccomandato per te:

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": CEO di CitiusTech
Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Come Metaverse trasformerà l'industria automobilistica indiana
Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Cosa significa la disposizione anti-profitto per le startup indiane?
Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

In che modo le startup Edtech stanno aiutando il potenziamento delle competenze e a rendere la forza lavoro pronta per il futuro
Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Di recente, l'Alta Corte di Bombay ha precluso l'uso di prove incriminanti nel processo che sono state raccolte in violazione della sentenza Puttaswamy I e ne ha ordinato la distruzione in Vinit Kumar v. CBI (2019). Pertanto è importante capire che un solido regime di sicurezza nazionale è costruito sulla base della privacy individuale.

Sfide implementative

Un'altra decisione pertinente prevista nel disegno di legge del 2019 è la conservazione o la localizzazione obbligatoria dei dati personali sensibili e critici in India. Il motivo principale alla base del mandato di localizzazione dei dati è stato duplice: l'accesso ai dati da parte delle forze dell'ordine e la sicurezza dei dati. Sebbene il motivo sia ben intenzionato, la localizzazione forzata non è né favorevole agli interessi strategici né economici indiani.

In primo luogo, le azioni delle forze dell'ordine possono essere legittimate solo seguendo il giusto processo legale come stabilito in Manaeka Gandhi v. Union of India (1978) e la localizzazione dei dati non può aggirare il suddetto requisito del giusto processo garantito dall'articolo 21 della Costituzione indiana. In secondo luogo, è sbagliato presumere che la localizzazione dei dati rappresenti una migliore protezione della privacy. Inoltre, la localizzazione dei dati può portare alla creazione di 'honeypot' di dati sensibili e aumenta la propensione ad attacchi informatici mirati e sorveglianza estera per l'aumento della superficie degli stessi.

Avanti

L'obiettivo di sicurezza nazionale può essere raggiunto solo dopo aver prima assicurato la privacy individuale, l'integrità procedurale e un meccanismo di controllo, poiché ciò ispira la fiducia del pubblico nella procedura stabilita dalla legge e favorisce l'integrazione nazionale. Di conseguenza, è necessario intraprendere tre fasi principali per garantire un solido regime di sicurezza nazionale:

In primo luogo, è necessario armonizzare la clausola 35 del disegno di legge del 2019 con il mandato nel caso Puttaswamy I, II e Manaeka Gandhi. Per raggiungere questo scopo, deve essere utilizzato lo standard di 'Necessario e Proporzionale', invece di 'Necessario o Opportunità'. Successivamente, il potere di limitare il diritto alla privacy deve spettare al legislatore e non all'esecutivo. Infine, gli scenari in cui dovrebbe essere esercitato il potere sancito dall'articolo 35 del disegno di legge 2019 devono essere più definiti e specifici anziché essere ampi e vaghi.

In secondo luogo, è possibile accedere meglio all'accesso delle forze dell'ordine ai dati all'estero tramite MLAT o accordi bilaterali di condivisione dei dati. percorsi sulla falsariga dello scudo UE-USA per la privacy, della Convenzione 108 o del modello APEC-CBPR per la privacy aiuterebbero il governo a raggiungere i suoi obiettivi pur essendo alla pari con altre giurisdizioni a livello globale. Inoltre, il governo può anche prendere in considerazione un accordo bilaterale con il governo degli Stati Uniti attraverso il CLOUD Act per cercare l'accesso ai dati per le forze dell'ordine.

In terzo luogo, l'obiettivo del disegno di legge del 2019 è proteggere i dati personali e garantire la privacy e non garantire l'accesso del governo ai dati che dovrebbero essere oggetto di una legislazione separata. Se l'accesso ai dati da parte del governo viene mantenuto come parte del disegno di legge 2019, è importante capire che sarà l'Autorità per la protezione dei dati personali a giudicare le violazioni dei diritti tutelati dall'articolo 21 della Costituzione.

Il regime europeo aveva sia esperienza normativa che giurisprudenza sulla privacy e tuttavia la loro autorità per la protezione dei dati deve affrontare problemi normativi. Di conseguenza, avremo bisogno di un'Autorità che sia indipendente e possieda le competenze legali e tecniche necessarie. Considerando che l'Autorità sarebbe trasversale ad altri regolatori di settore su questioni relative all'accesso e alla protezione dei dati, è importante che il meccanismo di consultazione con i regolatori di settore sia istituzionalizzato all'interno del disegno di legge 2019 o che i regolatori di settore siano considerati membri per la costituzione di un'Autorità esperta .

La sicurezza nazionale non è un concetto astratto che esiste al di fuori della sicurezza individuale del cittadino. È imperativo che il legislatore armonizzi il disegno di legge 2019 con le libertà civili e assicuri lo sviluppo di un'Autorità competente e indipendente con meccanismi di controllo che ispirino fiducia. Il potere sfrenato è destinato a essere rivisto giudiziariamente, è meglio se stroncato sul nascere.

[Questo articolo è stato co-autore di Pranav Bhaskar Tiwar Policy Research Associate, The Dialogue e Kazim Rizvi.]