0
personal data protection bill

Personal Data Protection Bill, il Giano Bifronte indiano

Il Personal Data Protection Bill (PDPB)1https://www.prsindia.org/sites/default/files/bill_files/Personal%20Data%20Protection%20Bill%2C%202019.pdf avente ad oggetto la tutela dei dati personali all’interno del territorio indiano, è volto a portare a compimento il delicato compito di regolare le operazioni di trattamento effettuate sui dati personali di circa 1.350 miliardi di cittadini2Dati stimati dalla Banca Mondiale, Ufficio censimento degli Stati Uniti D’America https://www.worldbank.org/, in una realtà ove l’ultimo intervento legislativo in tema è da rinvenire nell’Information Tecnology Act (conosciuto anche come IT ACT o ITA) pubblicato il 17 ottobre del 20003 Cfr. Il testo completo https://meity.gov.in/writereaddata/files/itbill2000.pdf.

Nelle more dell’approvazione del PDPB, il testo costituisce ancora il quadro di riferimento per la governance elettronica, individuando alcuni reati di criminalità informatica, e regole di gestione di sistemi di e-commerce, sistemi di firme digitali nonché la previsione di una autorità ad hoc per la regolamentazione delle stesse, la Controller of Certifying Authorities. Parimenti, con lo stesso atto è istituito un tribunale speciale deputato alla risoluzione delle controversie derivanti dagli illeciti previsti nel IT ACT, prevedendo anche numerosi emendamenti al codice penale, nonché di ulteriori corpi normativi di settore quali l’Indian Evidence Act del 1872, del Banker’s Book Evidence Act del 1891 e del Reserve Bank of India Act del 1934 tutti corpi normativi risalenti al periodo coloniale inglese e ancora vigenti4Cfr. il testo completo de Indian Evidence Act http://legislative.gov.in/sites/default/files/A1872-01.pdf ; de Banker’s Book Evidence Act http://www.legislation.gov.uk/ukpga/Vict/42-43/11/enacted; de Reserve Bank of India Act del 1934 https://rbidocs.rbi.org.in/rdocs/Publications/PDFs/RBIAM_230609.pdf.

Negli ultimi anni sono stati molteplici gli episodi di furto e successiva vendita di dati personali trattati in sede di Business Process Outsourching che hanno sollevato la generale preoccupazione per la riservatezza degli interessati.

Tra i più rilevanti si annota, nel 2007, il furto da parte di un dipendente di una società indiana incaricata dal governo britannico della conservazione dei dati dei propri cittadini, e la successiva vendita dei dati di oltre 20 mila cittadini a un reporter, sotto copertura, del noto tabloid scandalistico britannico “The Sun”.  L’incidente, che fa seguito ad altri, anche di medesimo impatto, ha scatenato accesi dibattiti tra i circoli dell’industria offshore, media e legal sulla affidabilità delle fornitrici di servizi informatici indiane. Attualmente le disposizioni relative alla sicurezza e alla riservatezza dei dati sono, in tutta evidenza, gravemente inadeguate, nonostante gli interventi posticci operati a quell’unico atto normativo e che tra gli ultimi vede l’inserimento di una forma di risarcimento per mancata protezione dei dati, e che stabilisce la responsabilità delle società in ipotesi di negligenza nel mantenimento e protezione dei “dati sensibili” definizione quest’ultima inserita solo nel 20115Il Dipartimento di Tecnologia dell’Informazione ha notificato alle Tecnologie dell’Informazione le Regole del 2011 l’11 aprile 2011- notifica n. GSR 313 (E). I punti salienti delle Regole del 2011: – Regolamentazione delle pratiche e procedure di sicurezza ragionevoli e dati o informazioni personali sensibili.

Le regole si applicano solo agli enti corporativi e alle persone con sede in India. – Inserimento di un elenco di dati che devono essere trattati come “dati personali sensibili” e che include tra gli altri informazioni relative a password, informazioni sulle carte di credito/debito, informazioni biometriche (come DNA, impronte digitali, schemi vocali, ecc. che vengono utilizzati a fini di autenticazione), condizioni di salute fisica, fisiologica e mentale, ecc. Si chiarisce inoltre che qualsiasi informazione liberamente disponibile o accessibile di pubblico dominio non è considerata un dato personale sensibile. – Regolamentazione che impone alle Corporazioni che cercano dati personali sensibili di redigere una politica sulla privacy e renderla facilmente accessibile alle persone che forniscono le informazioni.

L’informativa sulla privacy dovrebbe essere chiaramente pubblicata sul sito web dell’ente aziendale e dovrebbe contenere dettagli sul tipo di informazioni che vengono raccolte, lo scopo per il quale sono state raccolte e le ragionevoli pratiche di sicurezza che sono state adottate per mantenere la riservatezza di tali informazioni. – Stesura di linee guida che devono essere seguite da un Organismo aziendale durante la raccolta di informazioni.
. Gli emendamenti sono stati percepiti dai più come una reazione istintiva del governo agli episodi che hanno minato la reputazione economica nazionale, ma non sono stati risolutivi. In India il BPO che si stima valga oltre 150 miliardi di dollari, detiene il 56% del mercato mondiale6Cfr. dati assunti da report 2016 http://www.qbusiness.pl/uploads/Raporty/cwbpo2016.pdf.

L’Europa rappresenta una fetta di mercato sostanziale per i settori di IT, BPO e per l’industria farmaceutica in India. L’UE è stata uno dei maggiori mercati per il settore e ultimamente l’aleatorietà delle leggi in tema informatico li hanno resi meno competitivi rispetto ad altri mercati emergenti quali il Vietnam, determinando un decremento del PIL interno7I dati più aggiornati mostrano invece un lento ma costante declino nell’ultimo periodo, che ha quasi dimezzato il tasso di crescita da luglio 2018 a luglio 2019 portandolo a 4,5%. La Banca Mondiale prevede che questo andamento proseguirà nel corso del 2020, con una crescita che non supererà il 5% https://asiatimes.com/2019/10/world-banks-says-indias-slowdown-severe/.

In questo quadro si cala l’iter di approvazione di quella che sarà la prima legge di protezione dei dati personali in India.

Il Personal Data Protection Bill

L’11 dicembre 2019, il ministro dell’elettronica e dell’informatica ha presentato una bozza aggiornata della legge sulla protezione dei dati personali nella Lok Sabha, la camera bassa del parlamento nazionale. La bozza è stata deferita a un comitato paritetico selezionato e composto da parlamentari delle case inferiori e superiori secondo l’iter legislativo previsto. Attualmente la bozza è divenuta un disegno di legge pronto per la sua discussione che avverrà, presumibilmente, nella sessione di bilancio o nella sessione dei monsoni, che di solito si svolge tra i mesi di luglio e settembre.

Il disegno di legge mantiene la struttura della bozza iniziale con talune addizioni, e pare porsi come modello inspiratorio, il Regolamento Europeo.

In tal senso, il disegno di legge si pone – tra gli altri obiettivi comuni al GDPR – quello di creare una autorità ad hoc per la regolamentazione della disciplina di settore, che il PDPB chiama “DATA PROTECTION AUTHORITY OF INDIA”, rifacendosi al board europeo8Cfr. testo cap. 9, art.43 e ss. del PDPB..

Ma se l’intento di normare un settore altamente sensibile per l’economia e gli interessi mondiali è da ritenersi apprezzabile, gli istituti, pur ispirati a quelli di paesi con una tradizione garantista, non pare presentino nei contenuti e nella metodica adottata, la corretta applicazione di principi cardine, in primis il dovere di trasparenza.

“Data protection authority of India”

Come detto, la legge istituisce un’Autorità per la protezione dei dati personali.

Il PDPB conferisce all’Organo poteri quali:

  • prendere provvedimenti per proteggere gli interessi delle persone,
  • prevenire l’abuso dei dati personali,
  • garantire la conformità con la legge.

L’organo dovrebbe essere composto da sei membri, con almeno 10 anni di esperienza nel campo della protezione dei dati e della tecnologia dell’informazione, e da un presidente tutti di nomina governativa.

Gli ordini dell’Autorità possono essere impugnati in prima istanza in un Tribunale d’appello, ed in secondo grado alla Corte suprema.

Il PDPB che assomiglia più ad una legge quadro nel caso specifico, delega poteri regolatori, di sorveglianza e sanzionatori all’Autorità che però, a differenza di quella europea, non pare presentare medesime garanzie di indipendenza, rischiando di divenire uno strumento ad altissima potenzialità in mano al governo indiano che ne stabilirà componenti e regole. Tale aspetto, sollevato dalla critica più volte nel corso di questo lungo iter di approvazione, rappresenta ancora un nodo da sciogliere cruciale per garantire l’imparzialità e l’autonomia dell’organo.

La possibilità di disapplicazione delle norme a tutela dei diritti personali in capo alle agenzie governative

Sempre a proposito di trasparenza, a cui il PDPB dedica il capitolo 6 “TRANSPARENCY AND ACCOUNTABILITY MEASURES”, dal testo della legge emerge, capitolo 8, art.35, la possibilità a totale discrezione del governo di non applicare le misure previste nel PDPB alle proprie agenzie governative quando ricorra uno dei presupposti indicati quali, tra gli altri, l’interesse della sovranità e integrità nazionale, sicurezza e ordine pubblico, mantenimento delle relazioni internazionali9PDPB, CAP.8, Art. 43 “Where the Central Government is satisfied that it is necessary or expedient,— (i) in the interest of sovereignty and integrity of India, the security of the State, friendly relations with foreign States, public order; or (ii) for preventing incitement to the commission of any cognizable offence relating to sovereignty and integrity of India, the security of the State, friendly relations with foreign States, public order, it may, by order, for reasons to be recorded in writing, direct that all or any of the provisions of this Act shall not apply to any agency of the Government in respect of processing of such personal data, as may be specified in the order subject to such procedure, safeguards and oversight mechanism to be followed by the agency, as may be prescribed. Explanation.—For the purposes of this section,— (i) the term “cognizable offence” means the offence as defined in clause (c) of section 2 of the Code of Criminal Procedure, 1973; (ii) the expression “processing of such personal data” includes sharing by or sharing with such agency of the Government by any data fiduciary, data processor or data principal.”. La corretta applicazione della casistica relativa a tale esenzione è affidata all’Autorità garante.

Pertanto il governo si autolegittima, a proprio insindacabile giudizio, ad agire in assenza di garanzie per i trattamenti dei dati degli interessati che, a qualsiasi titolo, sono coinvolti nelle azioni di governo.

Si tratta pertanto di una immunità ex ante prevista e priva di alcun controllo se non quello puramente formale dell’organo che tutto sarà meno che indipendente, terzo e trasparente.

Non importa parlare di tutela dei dati personali per pensare alla inappropriatezza di una immedesimazione del soggetto controllante con il controllato preservata addirittura una cortina di ferro rappresentata da una previsione normativa che lo esclude dagli ordinari controlli in esecuzione di taluni compiti istituzionali.

Il “Responsabile del Consenso”

Un ultimo spunto di riflessione è rappresentato da una figura, per noi sconosciuta, del “responsabile del consenso”, istituto introdotto solo in sede di presentazione del disegno di legge, ma assente per tutto l’iter legislativo.

Questa figura consente all’interessato di esercitare i propri diritti relativi al conferimento revoca e controllo del consenso non direttamente interloquendo con il Titolare del trattamento, ma tramite un soggetto terzo.

Questo è quanto possibile apprendere dal disegno di legge, oltre al fatto che i suoi poteri tecnicamente saranno regolati dalla Autorità di protezione dei dati.

Il responsabile del consenso in teoria potrà avere più titolari del trattamento, e senza una corretta regolamentazione potrà gestire in modo incontrollato tutti i dati sottoposti a consenso senza alcun limite, non essendo nemmeno previsto a garanzia degli interessati delle ipotesi di cumulo di incarichi o ipotesi di incompatibilità, o commistione con la classe politica. Ancora una volta la legge diviene una sorta di direttiva, delegando questa Autorità a legiferare e determinare le regole di comportamento di soggetti fondamentali nel quadro della tutela dei dati.

L’istituto verrà gestito ancora una volta e, pur indirettamente, dal governo che, pertanto, potrà anche con questo ulteriore strumento operare un controllo incondizionato sulla popolazione e sui soggetti offshore.

L’idea della previsione di una figura del genere, in un certo senso ridondante sul procedimento di gestione dei diritti degli interessati, se pensata nella società indiana non è così anomala. La Reserve Bank of India regola la gestione del consenso dei dati finanziari e lo fa a mezzo di piattaforme di cui è lo stesso istituto che ne garantisce trasparenza e interoperabilità in questo caso pure in assenza di una Autorità di controllo.

In assenza di una regolamentazione precisa queste piattaforme rischiano di non rappresentare l’ideale di affidabilità per il consumatore.

CONCLUSIONE

Per sostenere e incoraggiare il boom del BPO, l’India deve costruire un quadro giuridico che soddisfi le aspettative delle giurisdizioni occidentali da cui i dati, in larga misura, provengono. L’obiettivo che probabilmente deve perseguire con Il personal data protection bill è di raccordarsi con le norme di tutela dei dati personali già esistenti e di coordinare al suo interno le leggi nazionali in modo che risultino adeguate e conformi a quanto richiesto dalle legislazioni dei paesi investitori. Certamente l’introduzione della norma è tesa ad incentivare un raccordo della stessa con il GDPR.

A tal proposito la Commissione europea ha il potere di determinare, sulla base dell’articolo 45 del regolamento (UE) 2016/679, se un paese al di fuori dell’UE offre un livello adeguato di protezione dei dati. L’adozione di una decisione di adeguatezza comporta: una proposta della Commissione europea, un parere dell’European Data Protection Board, un’approvazione da parte dei rappresentanti dei paesi dell’UE, l’adozione della decisione da parte della Commissione europea. In qualsiasi momento, il Parlamento europeo e il Consiglio possono chiedere alla Commissione europea di mantenere, modificare o revocare la decisione di adeguatezza sulla base del fatto che il suo atto supera le competenze di esecuzione previste dal regolamento. L’effetto di tale decisione è che i dati personali possono fluire dall’UE (e Norvegia, Liechtenstein e Islanda) a quel paese terzo senza che siano necessarie ulteriori garanzie.

In altre parole, i trasferimenti verso il paese in questione saranno assimilati alle trasmissioni di dati all’interno dell’UE. Finora la Commissione europea ha riconosciuto Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America (limitatamente allo scudo per la privacy quadro) come protezione adeguata. Sono in corso colloqui di adeguatezza con la Corea del Sud.

Nel quadro politico economico internazionale attuale l’India, come economia emergente, dovrebbe aspirare a divenire da fornitrice di servizi a sede di stabilimento secondario per le multinazionali del settore, ma ciò sarà possibile solo dietro la dimostrazione di forte consapevolezza non solo in merito al trattamento del dato, ma anche in relazione alle operazioni di monitoraggio e controllo che devono assicurare trasparenza del trattamento all’interessato. Ricordiamo a tal proposito che il diritto alla privacy è stato elevato a diritto costituzionalmente garantito dalla decisione storica “Aadhaaar” della Corte Suprema indiana, nel mese di agosto del 2017, passo che poi ha indotto il Governo a intraprendere l’iter di adozione del PDPB10decisione Aadhaar della Corte Suprema indiana.

Pertanto è lecito attendersi un passo indietro del Governo a favore di una maggiore autonomia e terzietà della Autorità che dovrebbe essere regolata direttamente dal PDPB, e composta da soggetti non di nomina governativa ma da soggetti terzi ed imparziali. Allo stesso modo dovrebbe avvenire per la nomina del responsabile del consenso a cui dovrebbero essere applicate ferree regole in tema di trasparenza.

Rimaniamo in attesa degli ultimi scrutini dei prossimi mesi che si spera recepiscano le perplessità emerse, in modo che il Personal data protection Bill non si riveli un “Giano Bifronte” con uno sguardo ad un futuro garantista, ma radicato in una realtà rivolta ad un passato legato alla cultura del controllo incondizionato dell’individuo, in tal caso sarà compito della Commissione Europea evidenziare le incongruenze che in tutta evidenza renderebbero il PDPB incompatibile con l’idea di tutela dell’interessato al centro del regolamento europeo.

1 Star2 Stars3 Stars4 Stars5 Stars (6 votes, average: 4,67 out of 5)
Loading...

Lascia un commento

Your email address will not be published.