Il ruolo delle autorità per la protezione dei dati: l'India e il mondo
Pubblicato: 2019-12-19Il GDPR valuta il ruolo del Garante per la protezione dei dati personali sulla base di 'indipendenza' e 'adeguatezza'
I paesi che non fanno parte dell'Unione Europea hanno difficoltà a rispettare tutti gli ideali stabiliti dal GDPR
Simile all'India, il Brasile ha un'autorità per la protezione dei dati consolidata
Nota del redattore: questo articolo è stato scritto prima che il disegno di legge sulla protezione dei dati personali fosse approvato dal gabinetto dell'Unione con modifiche non divulgate alla versione bozza del disegno di legge su cui questo autore ha basato le proprie opinioni. Pertanto, alcuni pareri di seguito espressi potrebbero non essere più applicabili ai sensi del disegno di legge rivisto.
Di recente nel mondo si sono svolte conversazioni sulla necessità della protezione dei dati e della regolamentazione che li circonda. La necessità è stata sentita ancora più forte da quando il Parlamento dell'Unione Europea ha approvato il Regolamento generale sulla protezione dei dati (GDPR) nel 2016 e lo ha applicato solo nel 2018. Allo stesso modo, altri paesi hanno diversi livelli di importanza accordati alla protezione dei diritti dei propri cittadini per quanto riguarda i dati.
Tuttavia, l'Autorità per la protezione dei dati, che ha la responsabilità di assicurarsi che le leggi sulla protezione dei dati siano rispettate, non viene discussa abbastanza. Con sede a Bruxelles, il Comitato europeo per la protezione dei dati (EDPB) è stato ideato allo scopo di riunire le autorità nazionali per la protezione dei dati di diversi Stati membri e cerca di tenere conferenze che affrontino problemi di dati e privacy rilevanti a livello transfrontaliero. L'idea è di cooperare e apprendere le migliori pratiche dalle loro controparti, conversare su come far rispettare la legge sulla privacy, lavorare su iniziative congiunte e definire strategie su tecniche per creare consapevolezza.
In India, il disegno di legge sulla protezione dei dati personali (2018) delinea l'istituzione di un'autorità per la protezione dei dati nella sezione 49, capitolo 10. Il disegno di legge raccomanda che questa autorità sia composta da un presidente e altri sei membri, nominati dal governo centrale. Le raccomandazioni sono formulate da un comitato di selezione, presieduto dal Presidente della Corte Suprema dell'India (CJI) o da un giudice della Corte Suprema dell'India nominato dalla CJI; un Segretario di Gabinetto e un esperto del settore (nominato dalla CJI, o un giudice della Corte Suprema dell'India. Anche il Segretario di Gabinetto deve essere consultato per questa nomina).
Il disegno di legge prosegue inoltre con il conferimento di poteri al governo centrale in materia di termini e condizioni di impiego, rimozione dei membri e assegnazione di denaro, il che solleva preoccupazioni in termini di quanta indipendenza avrà praticamente l'Autorità. Non c'è ancora una chiara linea guida sull'istituzione di uffici regionali nel disegno di legge, che sovraccarica l'Autorità prevista.
Inoltre, il disegno di legge crea la carica di un Adjudicating Officer nominato dal governo centrale e un'ala di aggiudicazione che si occuperà del risarcimento e della difesa dei diritti degli utenti ai sensi del progetto di legge. C'è poca chiarezza sul metodo che verrà utilizzato per assumere un tale funzionario e non ispira fiducia in termini di trasparenza e indipendenza. All'interno del disegno di legge, all'Autorità per la protezione dei dati sono concessi poteri discrezionali e una delle sfide che l'India può prevedere di affrontare in futuro è garantire che non sia al di sopra dell'ispezione da parte del parlamento.
Il GDPR valuta il ruolo del Garante per la protezione dei dati personali sulla base di "indipendenza" e "adeguatezza" che sono racchiuse nell'articolo 45, paragrafo 2, lettera b), sottolineando l'importanza di un'Autorità che deve essere imparziale.
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
I paesi europei si sono assunti il compito di creare tali autorità, ma l'India non sarà in grado di garantire la conformità a causa delle questioni evidenziate nella sezione precedente. Sarebbe pertinente per l'India prendere atto e imparare dalle esperienze dei paesi che si stanno concentrando sull'affermazione del ruolo dell'Autorità per la protezione dei dati come indipendente e adeguata.
Austria, Belgio, Bulgaria, Croazia, Cipro, Repubblica Ceca, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Romania, Slovacchia, Slovenia , Spagna, Svezia, Regno Unito, Liechtenstein e Norvegia sono tutti paesi che hanno istituito autorità per la protezione dei dati che si incontrano e discutono questioni di privacy e sicurezza e collaborano regolarmente.
I dettagli relativi al loro ufficio e punto di contatto sono elencati sul sito web del Comitato europeo per la protezione dei dati al fine di rendere le Autorità più trasparenti e accessibili ai cittadini. Ascoltano i reclami man mano che i cittadini diventano più consapevoli e sollevano questioni relative alla sicurezza dei loro dati personali e sono aperti a feedback critici su come possono rendere più efficaci le loro campagne. Il loro compito quotidiano consiste principalmente nel garantire che il diritto fondamentale alla privacy sia rispettato e preservato.
Tuttavia, i paesi che non fanno parte dell'Unione Europea hanno difficoltà a rispettare tutti gli ideali stabiliti dal GDPR. Gli Stati Uniti d'America non hanno ancora istituito un'autorità per la protezione dei dati: le questioni commerciali rientrano nella competenza della Federal Trade Commission (FTC) e ci sono leggi come lo United States Privacy Act e il Safe Harbor Act che cercano di proteggere privacy e dati personali dei suoi cittadini. Allo stesso modo, in spazi come la sanità, i servizi finanziari, le telecomunicazioni e le assicurazioni ci sono leggi e regolamenti specifici del settore in discussione.
In Russia, il Roskomnadzor è riconosciuto come l'autorità per la protezione dei dati che si occupa della raccolta, dell'archiviazione e della condivisione dei dati personali e ha anche l'autorità di imporre regole di protezione dei dati e cerca di proteggere le informazioni di identificazione personale (PII).
Di recente, Google e Facebook sono stati presi di mira dal Roskomnadzor per presunta violazione della legge elettorale russa. La Cina ha un regolatore chiamato Cyberspace Administration of China (CAC), che controlla e censura il dominio Internet e tutto ciò che è ad esso correlato. Sebbene esista anche il Ministero della Pubblica Sicurezza per affrontare problemi simili, il CAC è l'organismo di regolamentazione principale. Oltre a ciò, come negli Stati Uniti, ci sono organismi di regolamentazione specifici del settore che scelgono di limitare la loro attenzione.
Simile all'India, il Brasile ha un'autorità per la protezione dei dati consolidata: l'Autorità nazionale per la protezione dei dati (ANPD). L'ANPD comprende un consiglio di amministrazione, un consiglio nazionale, un organo di ispezione, un organo di mediazione, un organo consultivo legale e unità amministrative specializzate per l'applicazione della LGPD (Lei Geral de Protecao de Dados), che è la legge generale della Protezione dei Dati Personali. È anche un organismo altamente politico con poca indipendenza propria. Inoltre, l'ANPD è oberato di misure amministrative oltre all'aggiudicazione.
Poiché i paesi vicini e geograficamente più vicini all'India cercano ispirazione nell'inquadrare le leggi intorno a Internet in rapida evoluzione e all'apice delle preoccupazioni che porta, che la società deve affrontare, l'inquadramento del ruolo dell'Autorità per la protezione dei dati è di fondamentale importanza.
Prendendo ispirazione dal GDPR che stabilisce in termini chiari il ruolo dell'Autorità, l'India deve puntare sui principi di adeguatezza e indipendenza. Sovraccaricare l'autorità o contaminare il processo di nomina non porterà al tipo di trasparenza richiesta a livello globale. Il futuro della privacy e della sicurezza e il ruolo dell'archiviazione e della condivisione dei dati tra queste preoccupazioni possono essere affrontati solo attraverso un'Autorità per la protezione dei dati chiaramente concettualizzata.
[L'articolo è stato scritto da Kazim Rizvi e Trisha Pande, Policy Manager di The Dialogue.]