Cómo planea la India proteger los datos de los consumidores

La India parece dispuesta a legislar un proyecto de ley de protección de datos personales (DPB), que controlaría la recopilación, el procesamiento, el almacenamiento, el uso, la transferencia, la protección y la divulgación de los datos personales de los residentes de la India. Hay una serie de características de la DPB que requerirán que las empresas cambien sus modelos de negocio, prácticas y principios. Las cuestiones planteadas aquí sirven de introducción a lo que las empresas deben tener en cuenta sobre la nueva regulación de la India y el aumento de la normativa de protección de datos en todo el mundo.

••• El gobierno indio parece dispuesto a[legislar](http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf) un[Proyecto de ley de protección de datos personales](https://www.cnbc.com/2019/12/04/reuters-america-update-1-indias-cabinet-clears-data-protection-bill-for-tabling-in-parliament.html) (DPB), que controlaría la recopilación, el procesamiento, el almacenamiento, el uso, la transferencia, la protección y la divulgación de los datos personales de los residentes de la India. A pesar de su naturaleza regional, la DPB es un avance importante para los directivos globales. Se espera que la economía digital de la India llegue [una valoración de 1 billón de dólares para 2022](https://www.ey.com/Publication/vwLUAssets/ey-propelling-india-to-a-trillion-dollar-digital-economy/%24FILE/ey-propelling-india-to-a-trillion-dollar-digital-economy.pdf) — y atraerá a numerosos actores mundiales que deberán cumplir con la DPB. La India ha seguido el Reglamento General de Protección de Datos (GDPR) de la UE al permitir a las empresas digitales globales hacer negocios bajo ciertas condiciones, en lugar de seguir el marco aislacionista de la regulación china que impide que actores globales como Facebook y Google operen dentro de sus fronteras. Sin embargo, la DPB india contiene disposiciones adicionales que van más allá de la normativa de la UE. Como la India es un estado nacional, trataría los datos generados por sus ciudadanos como _nacional_ activos, almacenan y protegen dentro de las fronteras nacionales y se reserva el derecho de utilizar esos datos para proteger sus intereses estratégicos y de defensa. Hay una serie de características de la DPB que requerirán que las empresas cambien sus modelos de negocio, prácticas y principios. Muchos otros añadirán costes operativos y complejidad. Las cuestiones que planteamos aquí sirven de introducción a lo que las empresas deben tener en cuenta sobre la nueva regulación de la India y[el aumento de la normativa de protección de datos](https://piwik.pro/blog/privacy-laws-around-globe/#4) en todo el mundo. Comprender estos temas ayudará a las empresas digitales a planificar con antelación, abordar las regulaciones futuras y decidir si entran o salen de ciertos mercados. **La privacidad como derecho fundamental:** En 2017,[el Tribunal Supremo de la India](https://www.npr.org/sections/thetwo-way/2017/08/24/545963181/indian-supreme-court-declares-privacy-a-fundamental-right) dictaminó que la privacidad es un derecho constitucional de los ciudadanos indios. Sin embargo, todos los ciudadanos dejan un rastro visible de datos privados mientras navegan por el mundo digital. La intención de DPB es proteger y salvaguardar los derechos de privacidad de los ciudadanos mediante el control de la recopilación, la seguridad, el almacenamiento, la venta y la explotación de estos datos. La nueva regulación afectaría al análisis de costes y beneficios para muchas empresas digitales que suelen perder dinero ofreciendo servicios gratuitos, pero que su objetivo es obtener beneficios con la venta y la explotación de los datos personales de los clientes. Muchas de esas empresas digitales tendrían que replantearse sus modelos de negocio si ya no pueden recopilar, explotar, conservar y vender los datos de los usuarios de forma tan rentable como antes. **Consentimiento del usuario:** La DPB exige que una empresa digital obtenga el permiso explícito de un usuario antes de recopilar sus datos personales. Al hacerlo, debe explicar el alcance y el propósito de la recopilación de datos. También se debe obtener un permiso explícito en cada etapa del posterior procesamiento de datos. El cumplimiento de esta disposición puede resultar complicado, ya que las empresas digitales no solo recopilan datos personales, sino que también los procesan para crear nueva información que no pertenece al usuario original. Por ejemplo, Uber comprueba los patrones de tráfico y Amazon analiza los comentarios de las transacciones individuales. Además, los datos sin procesar podrían transferirse a un procesador de datos externo para su análisis, lo que crearía nueva información junto con los datos recibidos de otros recopiladores de datos. Las empresas tendrán que replantearse sus procedimientos operativos de seguimiento y seguridad de los datos, así como comprobar si obtienen los permisos de los usuarios, cuándo y cómo. Las empresas digitales se convierten ahora en «fiduciarias de datos», tal como se define en la DPB, en lugar de ser simples recopiladoras de datos, cuando asumen la responsabilidad de obtener el permiso de los usuarios tanto para la recopilación inicial como para el posterior procesamiento de los datos de los usuarios. **Propiedad de los datos personales:** En principio, DPB propone que el proveedor de datos sea el propietario de sus propios datos personales. Si bien la idea es simple, esta idea podría imponer una enorme carga de implementación a las empresas digitales. En el mundo físico, el propietario puede solicitar la devolución de su propiedad. Las empresas del mundo digital tendrían que averiguar cómo cumplir con este requisito cuando el usuario exija a una empresa digital que borre o recupere sus datos personales, por ejemplo, cuando una persona solicita que se elimine toda su información después de dejar de ser miembro de Facebook. Las empresas digitales también tendrían que pensar más allá de su propio almacenamiento y uso de datos, ya que podrían haber vendido los datos a un tercero. **Tres clases de datos:** La DPB ha identificado tres categorías de datos a partir de las cuales se puede identificar a un principal: _Sensible_ los datos incluyen información sobre las finanzas, la salud, la orientación sexual, la genética, la condición de transgénero, la casta y las creencias religiosas. _Crítico_ los datos incluyen información que el gobierno estipule de vez en cuando como extraordinariamente importante, como datos militares o de seguridad nacional. La tercera es una _general_ categoría, que no está definida pero contiene el resto de los datos. La DPB prescribe los requisitos específicos que los fiduciarios de datos deben cumplir para el almacenamiento y el procesamiento de cada clase de datos. Todos los datos confidenciales y críticos deben almacenarse en servidores ubicados en la India. Los datos confidenciales se pueden procesar fuera, pero hay que llevarlos a la India para su almacenamiento. Los datos críticos no se pueden sacar del país en absoluto. No hay restricciones para los datos generales. Las empresas digitales operan actualmente en un cibermundo sin fisuras, donde la mayoría de las veces almacenan y procesan sus datos donde sea más eficiente desde el punto de vista económico. Esta brecha de ubicación propuesta por DPB impondría costes adicionales a las empresas digitales, podría llevar a capacidades subeconómicas de almacenamiento y procesamiento y podría resultar en lo que algunos denominan»[internet dividido](/2019/12/are-businesses-ready-for-deglobalization)» o la fragmentación de las cadenas de suministro digitales mundiales. **Soberanía de los datos:** DPB se reserva el derecho de acceder a los datos almacenados localmente para proteger los intereses nacionales. Esto implica que DPB trataría los datos de los ciudadanos como _activo nacional_, no es diferente del control de las propiedades físicas de los ciudadanos. En este sentido, la DPB se diferencia del RGPD en que no impone requisitos de almacenamiento locacional ni acceso preferencial a los datos para proteger los intereses nacionales. En la actualidad, las empresas digitales prácticamente son las propietarias de los datos, siempre y cuando puedan abordar los problemas de privacidad y cumplir con los requisitos de aceptación de los usuarios. Una de las implicaciones de la nueva política es que cuando el gobierno exige los datos de sus ciudadanos, en caso de ataques y vigilancia extranjeros, las empresas digitales tendrán que acatar y ayudar a la política de defensa del gobierno de la India. **Intereses nacionales:** Si bien hace gran hincapié en la privacidad de los ciudadanos, DPB ignora los derechos de privacidad en ciertos casos. Es[estados](http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf): «Todas o algunas de las disposiciones de esta Ley no se aplicarán a ningún organismo del Gobierno con respecto al procesamiento de dichos datos personales...» Es decir, varias entidades del sector público del Gobierno de la India no requerirán el consentimiento de las personas para obtener sus datos personales cuando respondan a la seguridad del estado, a la detección de cualquier actividad ilegal o fraude y a emergencias epidémicas o médicas. Esos datos podrían exigirse a las empresas digitales. Además, el gobierno puede ordenar a una empresa digital que proporcione datos no personales o anónimos con fines de investigación o planificación. Los críticos sostienen que estos datos pueden ser [posible uso indebido por parte del gobierno](https://economictimes.indiatimes.com/news/economy/policy/personal-data-protection-bill-can-turn-india-into-orwellian-state-justice-bn-srikrishna/articleshow/72483355.cms) para usos no previstos, como[vigilancia política](https://www.theweek.in/news/biz-tech/2019/12/11/data-protection-centres-exemption-powers-in-draft-bill-stir-up-controversy.html). Otros sostienen que los datos anónimos se pueden desanonimizar fácilmente. Es posible que las empresas digitales tengan que cambiar sus políticas para cumplir con estos requisitos. Recordar [La negativa de Apple a desbloquear un iPhone](https://www.nytimes.com/2016/02/18/technology/apple-timothy-cook-fbi-san-bernardino.html) para una investigación del FBI. Es discutible si Apple podría rechazar esa solicitud con la DPB. **Etiqueta de verificación** : La DPB exige que todas las empresas digitales identifiquen a sus usuarios y los etiqueten en tres categorías para reducir el trolling (por ejemplo, un usuario anónimo o un bot que intenta incitar a la violencia publicando comentarios incendiarios): usuarios que han verificado su registro y muestran sus nombres reales; usuarios que tienen un registro verificado pero que han mantenido sus nombres en el anonimato; y usuarios que no han verificado el registro. Esta sería la primera regulación de este tipo en las redes sociales mundiales. Esto implica que las empresas digitales deben establecer procedimientos para recopilar y verificar las identidades reales de sus usuarios. Tenga en cuenta que Facebook tiene más que [100 millones](https://www.nytimes.com/2019/01/30/technology/facebook-fake-accounts.html) cuentas falsas y se enfrenta al dilema de seguir como está, intentar verificarlas o eliminar esas cuentas. **Cumplimiento y ejecución:** La DPB propone sanciones elevadas en caso de incumplimiento. En caso de violación de datos o inacción por parte del fiduciario tras una violación de datos o una infracción leve, las sanciones podrían alcanzar los 700 000$ o el 2% de los ingresos globales de la empresa, lo que sea mayor. En el caso de infracciones graves, como compartir datos sin consentimiento, las sanciones se duplicarían. Estas sanciones, que se basan en las multinacionales _global_ los ingresos y las posibles penas de cárcel para los funcionarios de empresas digitales implican que las normas de la DPB no pueden tomarse a la ligera. Debe cumplir sus disposiciones para poder hacer negocios en la India. **Imponer impuestos a las empresas digitales:** Como señalamos en[un artículo anterior](/2019/07/the-problem-with-frances-plan-to-tax-digital-companies), las empresas digitales multinacionales pueden transferir fácilmente sus ingresos a paraísos fiscales y evitar pagar impuestos a los gobiernos locales, sin miedo a la confiscación de sus propiedades. El control físico de los datos y el miedo a que se impongan sanciones coercitivas podrían dar al gobierno de la India una influencia adicional para recaudar impuestos y cuotas a las empresas digitales. Esto reduciría la probabilidad de que las empresas digitales puedan salirse con la suya pagando pocos o ningún impuesto a los gobiernos locales. **Otros temas:** La DPB se aplica a todas las empresas que recopilan datos personales, no solo a las empresas digitales. Por ejemplo,[John Deere colecciona](https://digital.hbs.edu/platform-digit/submission/farm-to-data-table-john-deere-and-data-in-precision-agriculture/) y procesos[datos obtenidos](https://digital.hbs.edu/platform-digit/submission/farm-to-data-table-john-deere-and-data-in-precision-agriculture/) de su maquinaria agrícola. Si la DPB se aplica a los tractores con sensores, si los datos recopilados pertenecen a los agricultores y cómo se comparten los beneficios de los datos agrícolas se convierte en un punto discutible. En nuestra opinión, existe una necesidad urgente de un reglamento de protección de datos en la India, y es mejor tener uno, aunque sea un poco defectuoso, que ninguno. Este proyecto de ley es un buen primer paso para proporcionar principios generales de regulación, y es de esperar que las leyes y reglamentos detallados se sigan ajustando, como ocurrió con las normas de seguridad de los automóviles que han evolucionado desde la[principios del 19 ^th siglo](https://en.wikipedia.org/wiki/Automotive_safety). Cuando la DPB entre en vigor, los principios de la normativa de protección de datos serán similares en la UE, California, Canadá e India. Una empresa que aprende a cumplir con las normas de una jurisdicción puede cumplir fácilmente con las normas de otra. Normas uniformes, similares a[ISO 9000](https://asq.org/quality-resources/iso-9000), promovería el comercio mundial. Un mercado digital ordenado sería beneficioso para los ciudadanos, las naciones y las empresas multinacionales.