Leis de proteção de dados na Índia

As preocupações de vigilância vêm em meio ao governo do BJP’s intensificando repressão à liberdade de expressão e assembléia pacífica, e sua aplicação das regras da tecnologia da informação (diretrizes intermediárias e código de ética da mídia digital), 2021. Essas regras permitem um maior controle governamental sobre o conteúdo on -line, ameaçam enfraquecer a criptografia e prejudicariam seriamente os direitos à privacidade e liberdade de expressão online.

A Índia tem uma lei de proteção de dados?

A Lei de Proteção de Dados na Índia está atualmente enfrentando muitos problemas e ressentimentos devido à ausência de estrutura legislativa adequada. Há uma explosão contínua de crimes cibernéticos em escala global. O roubo e a venda de dados roubados estão acontecendo em vastos continentes, onde os limites físicos não representam restrições ou parecem inexistentes nesta era tecnológica. A Índia é o maior hospedeiro de processamento de dados terceirizados no mundo pode se tornar o epicentro de crimes cibernéticos, isso é principalmente a devida ausência da legislação apropriada. O Conselho de Segurança de Dados da Índia (DSCI) e o Departamento de Tecnologia da Informação (DIT) também devem rejuvenescer seus esforços nesse sentido nas linhas semelhantes. No entanto, a melhor solução pode vir de boas disposições legislativas, juntamente com a conscientização pública e de funcionários adequados. Já é tempo de prestar atenção à segurança dos dados na Índia. Falta a segurança cibernética na Índia e o mesmo requer rejuvenescimento. Quando até a segurança cibernética do PMO está comprometida por muitos meses, devemos pelo menos agora acordar. Violações de dados e crimes cibernéticos na Índia não podem ser reduzidos até fazer leis cibernéticas fortes. Não podemos fazê -lo por mero declarando um gato como um tigre. O direito cibernético da Índia também deve ser apoiado por boa segurança cibernética e cibernética eficaz forense.

As empresas indianas nos setores de TI e BPO lidam e têm acesso a todos os tipos de dados sensíveis e pessoais de indivíduos em todo o mundo, incluindo detalhes do cartão de crédito, informações financeiras e até seu histórico médico. Essas empresas armazenam dados e informações confidenciais em formato eletrônico e isso pode ser vulnerável nas mãos de seus funcionários. Muitas vezes é mal utilizado por elementos não supostos entre eles. Houve casos de violações de segurança e vazamentos de dados em empresas indianas de alto perfil. Os recentes incidentes de roubos de dados na indústria de BPO levantaram preocupações sobre a privacidade de dados.

Não há legislação expressa na Índia lidando com a proteção de dados. Embora a lei de proteção de dados pessoal tenha sido introduzida no Parlamento em 2006, ainda está para ver a luz do dia. O projeto parece prosseguir com a estrutura geral da Diretiva de Privacidade de Dados da União Europeia, 1996. Ele segue um modelo abrangente com o projeto de lei com o objetivo de governar a coleção, processamento e distribuição de dados pessoais. É importante observar que a aplicabilidade do projeto é limitada aos dados pessoais ‘, conforme definido na cláusula 2 da conta.

O projeto se aplica ao governo e às empresas privadas envolvidas em funções de dados. Há uma provisão para a nomeação de controladores de dados, que têm superintendência geral e jurisdição adjudicatória sobre assuntos cobertos pela conta. Ele também prevê que as sanções penais podem ser impostas aos infratores, além de compensação por danos às vítimas.

A conta é claramente um passo na direção certa. No entanto, devido à escassez de informações, a conta ainda está pendente.

Enquanto a Lei de Tecnologia da Informação, 2000 (Lei de TI), contém disposições sobre leis cibernéticas e de TI relacionadas na Índia e delineia o escopo de acesso que uma parte pode precisar nos dados armazenados em um computador, sistema de computador ou rede de computadores, as disposições da Lei de TI não atendem à necessidade de uma rigorosa lei de proteção de dados em vigor.

A Lei de Tecnologia da Informação de 2000 foi recentemente alterada para enfrentar desafios no crime cibernético, o ato alterado ainda está para entrar em vigor, introduziu duas disposições importantes que têm uma forte influência no regime legal para proteção de dados. Estas são as seções 43a e 72a, inseridas na Lei de TI pela Lei de Emenda. Mas as disposições referentes à segurança e confidencialidade dos dados são grosseiramente inadequadas. Nos últimos anos, os incidentes de roubo de dados no BPO levantaram preocupação com a privacidade dos dados quando um de seus funcionários vendeu dados pessoais pertencentes a um grande número de cidadãos britânicos a um repórter disfarçado do tablóide britânico, o Sol ‘. O incidente provocou um debate entre os círculos da indústria offshore, a mídia e o mundo jurídico sobre o quão seguros são dados estrangeiros nas mãos indianas. Portanto, as emendas são mais uma reação instável do governo aos recentes roubos de dados e outros incidentes, a Índia tem mais a ver com questões relacionadas a crimes cibernéticos e transações de comércio eletrônico do que a proteção de dados.

As disposições supostamente para a proteção de dados se destacam como um trabalho feio de patch na Lei de TI e não oferece nenhuma proteção abrangente aos dados pessoais na Índia. Nessas circunstâncias, a questão a ser feita é: ser um grande poder de TI no mapa global hoje, a Índia pode se dar ao luxo de lidar com uma questão importante como essa da maneira como lidou nas emendas à Lei de TI?.

As recentes emendas para a Lei são

A Seção 43a afirma que, se um órgão corporativo possui, lidando ou lidando com quaisquer dados ou informações pessoais sensíveis em um recurso de computador que possui, controla ou opere é negligente na implementação e manutenção de práticas e procedimentos razoáveis ​​de segurança e, assim.

Perguntas únicas:

  1. Por que a Índia está enfrentando problemas com as leis de proteção de dados?
  2. Quais problemas surgem devido à ausência de estrutura legislativa adequada?
  3. Por que a segurança dos dados é importante na Índia?
  4. Que tipo de dados as empresas indianas nos setores de TI e BPO lidam?
  5. O que pode acontecer se os funcionários usam indesejáveis ​​os dados confidenciais aos quais têm acesso?
  6. Existe alguma legislação expressa na Índia lidando com a proteção de dados?
  7. Qual é o status da conta de proteção de dados pessoal?
  8. Quem faz a conta se aplicar a?
  9. Quais disposições sobre proteção de dados estão presentes na Lei de Tecnologia da Informação?
  10. Que questões fazem as alterações recentes ao endereço da Lei de TI?

Respostas:

  1. A Índia está enfrentando problemas com as leis de proteção de dados devido à ausência de estrutura legislativa adequada.
  2. A ausência de estrutura legislativa adequada coloca desafios para a proteção de dados, pois há uma explosão contínua de crimes cibernéticos em escala global, com o roubo e a venda de dados roubados acontecendo nos vastos continentes.
  3. A segurança dos dados é importante na Índia porque as empresas indianas nos setores de TI e BPO lidam com todos os tipos de dados sensíveis e pessoais de indivíduos em todo o mundo, incluindo detalhes do cartão de crédito, informações financeiras e histórico médico.
  4. As empresas indianas nos setores de TI e BPO lidam e têm acesso a todos os tipos de dados sensíveis e pessoais de indivíduos em todo o mundo, incluindo detalhes do cartão de crédito, informações financeiras e até mesmo seu histórico médico.
  5. Se os funcionários usam mal os dados confidenciais aos quais têm acesso, isso pode levar a violações de segurança e vazamentos de dados, o que pode comprometer a privacidade dos dados e aumentar as preocupações.
  6. Não, não há legislação expressa na Índia lidando com a proteção de dados.
  7. A lei de proteção de dados pessoal foi introduzida no Parlamento em 2006, mas ainda está para ver a luz do dia.
  8. O projeto se aplica a empresas governamentais e privadas envolvidas em funções de dados.
  9. As disposições sobre proteção de dados na Lei de Tecnologia da Informação são grosseiramente inadequadas. Emendas recentes introduziram as seções 43a e 72a, que abordam o regime legal para proteção de dados.
  10. As recentes emendas à Lei de TI abordam questões relacionadas a crimes cibernéticos e transações de comércio eletrônico, mas não oferecem proteção abrangente a dados pessoais na Índia.

Leis de proteção de dados na Índia

As preocupações de vigilância vêm em meio ao governo do BJP’s intensificando repressão à liberdade de expressão e assembléia pacífica, e sua aplicação das regras da tecnologia da informação (diretrizes intermediárias e código de ética da mídia digital), 2021. Essas regras permitem um maior controle governamental sobre o conteúdo on -line, ameaçam enfraquecer a criptografia e prejudicariam seriamente os direitos à privacidade e liberdade de expressão online.

A Índia tem uma lei de proteção de dados?

A Lei de Proteção de Dados na Índia está atualmente enfrentando muitos problemas e ressentimentos devido à ausência de estrutura legislativa adequada. Há uma explosão contínua de crimes cibernéticos em escala global. O roubo e a venda de dados roubados estão acontecendo em vastos continentes, onde os limites físicos não representam restrições ou parecem inexistentes nesta era tecnológica. A Índia é o maior hospedeiro de processamento de dados terceirizados no mundo pode se tornar o epicentro de crimes cibernéticos, isso é principalmente a devida ausência da legislação apropriada. O Conselho de Segurança de Dados da Índia (DSCI) e o Departamento de Tecnologia da Informação (DIT) também devem rejuvenescer seus esforços nesse sentido nas linhas semelhantes. No entanto, a melhor solução pode vir de boas disposições legislativas, juntamente com a conscientização pública e de funcionários adequados. Já é tempo de prestar atenção à segurança dos dados na Índia. Falta a segurança cibernética na Índia e o mesmo requer rejuvenescimento. Quando até a segurança cibernética do PMO está comprometida por muitos meses, devemos pelo menos agora acordar. Violações de dados e crimes cibernéticos na Índia não podem ser reduzidos até fazer leis cibernéticas fortes. Não podemos fazê -lo por mero declarando um gato como um tigre. O direito cibernético da Índia também deve ser apoiado por boa segurança cibernética e cibernética eficaz forense.

As empresas indianas nos setores de TI e BPO lidam e têm acesso a todos os tipos de dados sensíveis e pessoais de indivíduos em todo o mundo, incluindo detalhes do cartão de crédito, informações financeiras e até seu histórico médico. Essas empresas armazenam dados e informações confidenciais em formato eletrônico e isso pode ser vulnerável nas mãos de seus funcionários. Muitas vezes é mal utilizado por elementos não supostos entre eles. Houve casos de violações de segurança e vazamentos de dados em empresas indianas de alto perfil. Os recentes incidentes de roubos de dados na indústria de BPO levantaram preocupações sobre a privacidade de dados.

Não há legislação expressa na Índia lidando com a proteção de dados. Embora a lei de proteção de dados pessoal tenha sido introduzida no Parlamento em 2006, ainda está para ver a luz do dia. O projeto parece prosseguir com a estrutura geral da Diretiva de Privacidade de Dados da União Europeia, 1996. Ele segue um modelo abrangente com o projeto de lei com o objetivo de governar a coleção, processamento e distribuição de dados pessoais. É importante observar que a aplicabilidade do projeto é limitada aos dados pessoais ‘, conforme definido na cláusula 2 da conta.

O projeto se aplica ao governo e às empresas privadas envolvidas em funções de dados. Há uma provisão para a nomeação de controladores de dados, que têm superintendência geral e jurisdição adjudicatória sobre assuntos cobertos pela conta. Ele também prevê que as sanções penais podem ser impostas aos infratores, além de compensação por danos às vítimas.

A conta é claramente um passo na direção certa. No entanto, devido à escassez de informações, a conta ainda está pendente.

Enquanto a Lei de Tecnologia da Informação, 2000 (Lei de TI), contém disposições sobre leis cibernéticas e de TI relacionadas na Índia e delineia o escopo de acesso que uma parte pode precisar nos dados armazenados em um computador, sistema de computador ou rede de computadores, as disposições da Lei de TI não atendem à necessidade de uma rigorosa lei de proteção de dados em vigor.

A Lei de Tecnologia da Informação de 2000 foi recentemente alterada para enfrentar desafios no crime cibernético, o ato alterado ainda está para entrar em vigor, introduziu duas disposições importantes que têm uma forte influência no regime legal para proteção de dados. Estas são as seções 43a e 72a, inseridas na Lei de TI pela Lei de Emenda. Mas as disposições referentes à segurança e confidencialidade dos dados são grosseiramente inadequadas. Nos últimos anos, os incidentes de roubo de dados no BPO levantaram preocupação com a privacidade dos dados quando um de seus funcionários vendeu dados pessoais pertencentes a um grande número de cidadãos britânicos a um repórter disfarçado do tablóide britânico, o Sol ‘. O incidente provocou um debate entre os círculos da indústria offshore, a mídia e o mundo jurídico sobre o quão seguros são dados estrangeiros nas mãos indianas. Portanto, as emendas são mais uma reação instável do governo aos recentes roubos de dados e outros incidentes, a Índia tem mais a ver com questões relacionadas a crimes cibernéticos e transações de comércio eletrônico do que a proteção de dados.

As disposições supostamente para a proteção de dados se destacam como um trabalho feio de patch na Lei de TI e não oferece nenhuma proteção abrangente aos dados pessoais na Índia. Nessas circunstâncias, a questão a ser feita é: ser um grande poder de TI no mapa global hoje, a Índia pode se dar ao luxo de lidar com uma questão importante como essa da maneira como lidou nas emendas à Lei de TI?.

As recentes emendas para a Lei são

A Seção 43a afirma que, se um órgão corporativo possui, lidando ou lidando com quaisquer dados ou informações pessoais sensíveis em um recurso de computador que possui, controla ou opere é negligente na implementação e manutenção de práticas e procedimentos razoáveis ​​de segurança e, assim.

O termo órgão corporativo é amplo o suficiente para incluir uma empresa, uma empresa, propriedade única ou outra associação de indivíduos envolvidos em atividades profissionais ou comerciais. E, em relação às práticas e procedimentos de segurança razoáveis, incluem práticas e procedimentos de segurança que desejam proteger danos não autorizados, uso, modificação, divulgação ou comprometimento, conforme especificado
(i) em um acordo entre as partes; ou
(ii) em qualquer lei em vigor; e na ausência de um acordo ou lei, conforme prescrito pelo governo da União,

Isso significa principalmente que as partes contratantes podem especificar em seu contrato a extensão da segurança que exigem das partes divulgadas em caso de violação que eles podem pagar os danos.

No entanto, a Lei de Emenda não especificou o significado do termo dados ou informações pessoais sensíveis e apenas afirma que isso significaria informações pessoais que podem ser prescritas pelo governo da União em consulta com órgãos ou associações profissionais que podem considerar o ajuste.
A Seção 72 é limitada às informações obtidas em virtude de um poder concedido sob a Lei de TI. O alcance da Seção 72A, por outro lado, é mais amplo que a Seção 72 existente e se estende à divulgação de informações pessoais de uma pessoa (sem consentimento) enquanto prestava serviços sob um contrato legal e não apenas divulgação de informações obtidas em virtude de poderes concedidos sob a Lei de TI.

O termo intermediário é adicionado à seção72A. This has been defined under the amendment Act to mean (with respect to any particular electronic record) a person, who on behalf of another person receives, stores or transmits that record or provides any service with respect to that record and includes telecom service providers, network service providers, Internet service providers, Web-hosting service providers, search engines, online payment sites, online auction sites, online market places and cyber cafes.

Ao comparar a lei indiana com a lei dos países desenvolvidos, a exigência adequada para a lei indiana pode ser analisada. você.K. tem sua Lei de Proteção de Dados (DPA) de 1998. Este ato é basicamente instituído com o objetivo de fornecer proteção e privacidade dos dados pessoais dos indivíduos no Reino Unido.

De acordo com esta Lei, as pessoas e organizações que armazenam dados pessoais devem se registrar no Comissário da Informação, que foi nomeado como funcionário do governo para supervisionar a Lei. A lei colocou restrições na coleta de dados. Os dados pessoais podem ser obtidos apenas para fins especificados e legais e não devem ser processados ​​de forma alguma incompatíveis com esse objetivo ou propósitos. Os dados pessoais devem ser adequados, relevantes e não excessivos em relação aos propósitos ou propósitos para os quais são processados.

Ambos você.S e a União Europeia concentram -se em melhorar a proteção da privacidade de seus cidadãos, u.S adota uma abordagem diferente da privacidade da da União Europeia. Os EUA adotaram a abordagem setorial que se baseia na mistura de legislação, regulamentação e autogulação. Em u.S, os dados são agrupados em várias classes com base em sua utilidade e importância. Depois disso, consequentemente, um grau de proteção diferente é concedido às diferentes classes de dados. Enquanto as disposições da Lei de TI lidam basicamente com extração de dados, destruição de dados, etc. As empresas não podem obter proteção total dos dados através daquele que os forçou a entrar em contratos particulares separados para manter seus dados garantidos. Esses contratos têm a mesma aplicação que o contrato geral.

A União Europeia aplicou uma diretiva abrangente sobre proteção de dados pessoais a todos os seus países membros. Os EUA também cumpriram a diretiva da UE por meio do acordo de porto seguro para facilitar os negócios dos países da UE. Seria sábio para a Índia também cumprir a diretiva da UE, pois tem muito em jogo.

Apesar dos esforços que estão sendo feitos para ter uma lei de proteção de dados como uma disciplina separada, nosso Legislativo deixou alguma lacuna ao enquadrar o projeto de lei de 2006. O projeto foi redigido totalmente sobre a estrutura da Lei de Proteção de Dados do Reino Unido, enquanto o requisito de hoje é de um ato abrangente. Assim, pode -se sugerir que uma redação compilada com base nas leis dos EUA relacionada à proteção de dados seria mais favorável ao requisito de hoje ‘.
Uso não autorizado ou transferência desses dados de crédito atrai multas proibitivas. As informações de crédito podem ser usadas apenas para identificar o valor do crédito de um cliente em potencial e não podem ser usadas ou transferidas para pessoas não autorizadas para qualquer outro propósito. A Lei de TI novamente protege os dados de crédito exclusivamente, o que é apenas um aspecto dos dados pessoais.

Qualquer legislação fragmentada é insuficiente; Precisamos de uma legislação abrangente de proteção de dados que proteja os direitos dos titulares de dados, que proibirão veementemente o uso de dados coletados para qualquer outro propósito que não seja para o qual tenha sido. A Lei de Tecnologia da Informação, 2000 não é uma legislação de proteção de dados ou privacidade Perse. Não estabelece nenhum princípio específico de proteção de dados ou privacidade. A Lei de Tecnologia da Informação, 2000, é uma legislação genérica, que se articula sobre a variedade de temas, como assinaturas digitais, infraestrutura de chave pública, governança eletrônica, contravenções cibernéticas, crimes cibernéticos e confidencialidade e privacidade. Sofre de uma síndrome de um ato. Seria errôneo comparar a Lei de Tecnologia da Informação, 2000 Disposições com a Diretiva Europeia sobre Proteção de Dados (EC/95/46), diretrizes da OCDE sobre a proteção da privacidade e dos fluxos de dados pessoais, e os princípios do porto seguro dos EUA.

De fato, a Lei de Tecnologia da Informação, 2000 lida com a questão da proteção e privacidade de dados de maneira fragmentada. Não existe uma estrutura legal real na forma de autoridade de proteção de dados, qualidade e proporcionalidade de dados, transparência de dados etc. que abordam e abrange adequadamente os problemas de proteção de dados de acordo com os princípios da diretiva da UE, diretrizes da OCDE ou princípios de porto seguro. Consequentemente, mesmo que as novas emendas propostas para a Lei de Tecnologia da Informação de 2000 fossem adotadas, a Índia ainda careceria de uma estrutura legal real para proteção de dados e privacidade.

Ausência da Lei de Proteção de Dados é um grande golpe para a terceirização da indústria na Índia . Os EUA, os clientes da União Europeia estão protegidos por uma diretiva abrangente de privacidade, e parte dessa proteção de privacidade é o requisito, colocado nas empresas, para não transferir dados pessoais para países que não oferecem um nível adequado de proteção. O resultado é que os sindicatos europeus citaram a proteção de dados como um problema que deve ser levado em consideração em muitos acordos internacionais de superfície. Pare o fluxo de dados pessoais, que por sua vez afetarão muito nossa indústria de terceirização.

Conclusão
Para sustentar e incentivar o boom do BPO, a Índia precisa ter uma estrutura legal que atenda às expectativas, tanto legal quanto de natureza pública, como prevalece nas jurisdições das quais os dados estão sendo enviados para a Índia. Em termos práticos, o maior obstáculo é para a Índia ter sua estrutura de leis domésticas de proteção de dados oficialmente julgadas e percebidas publicamente como adequadas. A UE declara e lista oficialmente os países adequados em termos de sua diretiva de proteção de dados de 1995. Apenas alguns países como Argentina, Canadá, Austrália e Suíça, até agora chegaram a esta lista branca. Se a Índia também chegasse a esta lista, promulgando uma legislação adequada, as indústrias dentro dos Estados -Membros da UE poderiam exportar dados para a Índia sem ter que seguir procedimentos difíceis e pesados ​​obrigatórios.

A Índia, em vez de se limitar a ser um fornecedor de serviços para a América corporativa e a Europa, a Índia se vê como o lugar onde essas empresas podem se estabelecer. Assim, criando uma boa lei de proteção de dados que a Índia poderia se estender muito além de ser um mero fornecedor de serviços para as empresas multinacionais do mundo. Com efeito, ele quer estabelecer a Índia corporativa.

Como enviar seu artigo:

Siga o procedimento abaixo para enviar seus artigos

Envie seu artigo usando nosso formulário online Clique aqui
Nota* Nós apenas aceitamos Artigos originais, Não aceitaremos artigos já publicados em outros sites.
Para mais detalhes, entre em contato com: [Email Protected]

Leis de proteção de dados na Índia

Proteção de dados

Este artigo foi escrito por MUITOS A MANJARI, que está buscando a BBA LLB no Instituto Indiano de Administração, Rohtak. Neste artigo, examinaremos brevemente as principais leis de proteção de dados, o objetivo de proteger dados, até que ponto nossos dados estão protegidos do governo quando o governo pode interferir nos usuários’ dados e as recentes emendas às leis na Índia. As diretrizes para uso e proteção de dados também foram discutidas, juntamente com a maneira como a Índia está lidando com o rápido desenvolvimento da tecnologia e o que a legislação proposta metas.

Índice

Introdução

A proteção de dados protege dados confidenciais contra perda, manipulação e uso indevido. O HON’A Suprema Corte da Índia estabeleceu o direito à privacidade como um direito fundamental sob o artigo 21 da Constituição da Índia como parte do direito à vida e à liberdade pessoal no caso de Justiça k.S. Puttaswamy v. Union of India (2017), também chamado de “julgamento de privacidade.” Um aspecto do direito à privacidade conhecida como “privacidade informativa” foi reconhecido. O Tribunal também observou que as informações sobre uma pessoa e o direito de acessar essas informações também exigem a proteção da privacidade. Existem várias contas propostas para proteção de dados e as contribuições do Bureau of Indian Standards on Data Privacy. A Lei de Tecnologia da Informação, 2000 (Lei de TI) e Lei de Contrato Indiano, 1872 são atualmente a legislação de proteção de dados na Índia porque não existe’t qualquer legislação especial para este assunto ainda.

Necessidade de leis de proteção de dados

A legislação sobre proteção de dados explica o que deve ser feito para garantir que os dados privados sejam tratados de forma ética e adequada.

  1. As leis de proteção de dados controlam a coleta, uso, transferência e divulgação de informações pessoais e a segurança dessa informação.
  2. Ele dá às pessoas acesso a seus dados, estabelece padrões de responsabilidade para empresas que o processam e incluem reparações para processamento inadequado ou prejudicial.
  3. As leis de proteção de dados também fornecem remédios para perfis falsos e fraudes que também podem ser feitos usando informações roubadas.
  4. Quando a informação cair nas mãos erradas, ela pode comprometer as pessoas’s Segurança de várias maneiras, incluindo sua segurança econômica, segurança física e integridade pessoal, para proteger os usuários dessa exploração, as leis de proteção de dados são significativas.

Necessidade de leis de proteção de dados na Índia

  1. Milhões de índios usam centenas de aplicações diariamente, criando trilhas de dados que podem ser mal utilizadas para criar perfis, alvo anúncios e prever atividades e tendências.
  2. Na Índia, a interseção das diferentes leis para diferentes campos cria ambiguidade e é uma das principais razões por trás da violação de uma grande quantidade de dados. Ainda não existe uma única lei codificada na Índia que presta muita atenção a todos os aspectos da proteção de dados e mantém um registro para as penalidades que devem ser impostas.
  3. Inúmeros exemplos de mecanismos de reparação inexistentes e com defeito precisam ressuscitar e revisar rapidamente. O mecanismo de aplicação freqüentemente encontra vários problemas de implementação ao lidar com casos relacionados a violações de dados e segurança cibernética.
  4. Como a Índia é um estado-nação, os dados dos cidadãos são considerados um ativo nacional. Dependendo da Índia’S de segurança e objetivos geopolíticos, esse ativo nacional pode precisar ser protegido e armazenado nas fronteiras nacionais. Isso incluiria não apenas as empresas, mas também organizações não governamentais e órgãos governamentais.
  5. Apesar de a Índia ser membro de várias organizações internacionais que se concentram em mecanismos de proteção de dados, como a Comissão das Nações Unidas sobre Comércio Internacional e as disposições nos princípios diretivos das políticas estatais. O artigo 38 está relacionado ao bem -estar geral dos cidadãos. Privacidade e proteção de dados estão essencialmente relacionadas a um estado de bem -estar social. Ele também afirma no artigo 51 que, para criar paz e segurança internacionais, o Estado deve trabalhar para promover a adesão às obrigações do tratado e ao direito internacional.

Quando o governo pode interferir nos dados

Os usuários’ Os dados devem ser mantidos em particular e em sigilo rigoroso por qualquer instituição, organização ou agência governamentais ou privadas. O governo pode, no entanto, interceptar, monitorar e descriptografar informações geradas, transmitidas, recebidas ou armazenadas em qualquer recurso de computador sob as exceções mencionadas na Seção 69 da Lei de Tecnologia da Informação, 2000.

Seção 69

A Seção 69 da Lei de Tecnologia da Informação de 2000, estabelece que o governo pode exigir a divulgação de qualquer informação no interesse público quando levar a atividades ilegais que comprometem a segurança nacional, a soberania e a integridade da Índia, a defesa, a segurança do estado, suas relações amigáveis ​​ou ordem pública quando há violações da lei ou fraude.

Seção 69a

O governo central pode solicitar que qualquer agência governamental ou intermediário limite o acesso público a qualquer informação criada, enviada, recebida, armazenada ou hospedada em qualquer recurso de computador sob a seção 69A por razões e motivos comparáveis ​​(como mencionado acima). O termo “intermediários” Além disso, significaria mecanismos de pesquisa, sites de pagamento e leilão on -line, mercados on -line e cafés cibernéticos, e também abrange o serviço de telecomunicações, serviços de rede, serviço de internet e provedores de hospedagem na web. No entanto, esses pedidos para limitar o acesso teriam que ser apoiados por justificativas escritas.

Seção 69b

O governo central, para melhorar a segurança dos dados e para identificar, analisar e prevenir a invasão ou contaminação por computador no país, pode, por notificação no Diário Oficial, autenticar qualquer instituição do governo para supervisionar e coletar dados de tráfego ou informações geradas, transmitidas ou recebidas sobre qualquer recurso de computador. A Seção 69b concede a autoridade para rastrear e adquirir dados ou informações de tráfego.

Lei de Tecnologia da Informação, 2000

Em 17 de outubro de 2000, a Lei de Tecnologia da Informação de 2000 foi aprovada. É a principal legislação indiana que rege os problemas de comércio eletrônico e crimes cibernéticos. A legislação foi aprovada para elevar o governo eletrônico, fornecer apoio legal para transações on-line e combater o cibercrime. O objetivo principal da lei é facilitar operações legais e confiáveis ​​digitais, informatizadas e on -line e diminuir ou eliminar crimes cibernéticos.

A Organização Internacional Comissão das Nações Unidas sobre Direito Comercial Internacional (UNCITRAL) adotou a Lei Modelo da UNCitral sobre Comércio Eletrônico (comércio eletrônico), 1996 para trazer consistência legal em várias nações e levou o governo da Índia a promulgar legislação para a Índia com base nas instruções e informações da informação e foi revisada e aprovada pelo Ministério da Ministério da Setora. A Índia se tornou a décima segunda nação a modificar suas leis cibernéticas.

Escopo do ato

A Lei de Tecnologia da Informação de 2000 é aplicável em toda a Índia e também possui jurisdição extraterritorial, que se aplica a crimes cibernéticos conduzidos fora da Índia. Se um sistema ou rede indiano estiver incluído, independentemente do agressor’s país, seria tratado sob o ato.

Objetivos do ato

  • Para dar status legal a todas as operações conduzidas eletronicamente, seja através do intercâmbio de dados, outra comunicação eletrônica ou comércio eletrônico, em comparação com a maneira anterior baseada em papel de comunicação.
  • Validar assinaturas digitais como prova legal de qualquer informação ou documentos que requerem verificação legal.
  • Para permitir o envio eletrônico de documentos com departamentos e agências governamentais.
  • Para facilitar o armazenamento eletrônico de dados na Índia.
  • Aprovar e facilitar os bancos e outras organizações financeiras transferir dinheiro eletronicamente.

Características salientes do ato

As características salientes da lei são as seguintes:

  • Existem 94 seções na Lei, divididas em 13 capítulos e 4 horários.
  • Todos os contratos inteligentes feitos por meios eletrônicos seguros são legalmente validados sob ele.
  • A lei mantém as precauções de segurança necessárias sob controle e uma estrutura legal para assinaturas digitais usando o Cryptosystem também foi adicionada.
  • Registros eletrônicos foram autenticados.
  • Também existem disposições para a criação de um comitê consultivo de regulamentos cibernéticos para aconselhar o controlador e o governo central.
  • A lei permite que policiais seniores e outros funcionários entrem em qualquer espaço público e façam prisões por crimes cobertos pelo ato sem um mandado.
  • Poderes de procuração, instrumentos negociáveis, testamentos e outros documentos semelhantes não estão sujeitos aos regulamentos contidos nesta Lei.
  • Finalmente, esta lei descreve os numerosos crimes e violações, define e especifica as penalidades associadas.
  • A Lei de TI de 2000 foi alterada pela Lei de Emenda, 2008. Como resultado, todos os tipos de ferramentas de comunicação e recursos do computador foram agora incluídos no escopo e âmbito da Lei de TI 2000.

Emendas à Lei de TI em 2008

O uso de dispositivos e a Internet aumentou rapidamente, o que levou a novos tipos de crimes, como enviar e-mails e mensagens ofensivos, pornografia infantil, ciberterrorismo, publicar material online abertamente sexual, voyeurismo de vídeo, vazamento de informações por intermediários e comércio eletrônico, como roubo de dados e trapaça por falsa representação, também conhecida como phishing, como o comércio eletrônico, como roubo de dados e trapaça por falsa representação, também conhecida. Portanto, foi necessária a Lei de Tecnologia da Informação de 2000 para incorporar medidas punitivas. Segurança cibernética, proteção de dados e adoção de métodos e processos de segurança relacionados a esses usos de meios on-line tiveram maior significado devido ao aumento de serviços de informação digital, como governança eletrônica, comércio eletrônico e transações eletrônicas. Além disso, a proteção da infraestrutura de informações críticas é essencial para manter a saúde pública, a segurança, a segurança econômica e nacional; Como resultado, tornou -se vital designar essa infraestrutura como um sistema salvaguardado para evitar o acesso ilegal.

Alterações nas definições

  • A palavra “Digital” foi alterado para “Eletrônico” Na seção de definição, entre outras mudanças notáveis. Conforme indicado acima, essa modificação amplia o escopo do ato de TI além da mídia digital, tornando -a mais tecnologicamente neutra, pois a criação de uma assinatura eletrônica não precisa de nenhum procedimento tecnológico específico. Isso se referiria claramente a apenas transações online, mesmo que fossem.
  • Uma nova definição também foi inserida para “intermediário.”
  • A inclusão de “telefones celulares, assistentes digitais pessoais,” e outros dispositivos semelhantes na definição de “aparelhos de comunicação” define sua aplicabilidade clara.
  • Outra adição crucial que afetará os novos regulamentos de proteção de dados fornecidos sob a Lei de Tecnologia da Informação, 2008 é a ampla definição de “cíber segurança” que agora inclui salvaguardar dados e equipamentos de acesso não autorizado, uso, publicação etc.

Principais emendas na legislação

Seção 66a

O envio de informações ofensivas sobre um dispositivo de comunicação através de um dispositivo on -line é proibido pela Seção 66A da Lei de Tecnologia da Informação (Emenda), 2008. Isso inclui mensagens perigosas e inadequadas, bem como mensagens que são enganosas ou imprecisas, mas são transmitidas com a intenção de “causar irritação, desconforto, medo, impedimento, humilhação, dano, intimidação criminal, hostilidade, ódio ou má vontade” Mesmo enquanto o remetente está ciente de sua falsidade.

Seção 67 e 67a

O vasto volume de “obsceno” O conteúdo compartilhado on -line há muito recebeu atenção na Índia. Portanto, não deve surpreender que a obscenidade seja proibida offline e online na nação. Seção 67 e 67a da Lei de TI, que proíbe informações obscenas e sexualmente explícitas, provaram ser medidas cruciais para controlá -las.

Seção 69a

O governo central pode restringir o conteúdo sob a seção 69A da Lei de TI (Emenda), 2008, se considerar que qualquer conteúdo ameaça a soberania, segurança, integridade ou defesa do estado, ordem pública, relações amigáveis ​​com estados estrangeiros ou tentativas de incitar a comissão de um crime relacionado a qualquer um dos que mencionados anteriormente mencionados anteriormente. Um conjunto independente de regras chamadas “Regras de Tecnologia da Informação (Bloqueio do Acesso de Informações por Regras Públicas), 2009” foi notificado para a aplicação da seção 69A e é chamado de regras de bloqueio.

Seção 77a e 77b

De acordo com a Seção 77A da ITA, 2008, todos os crimes sob esta Lei – como daqueles que carregam uma sentença de prisão perpétua ou uma sentença de mais de três anos de prisão, envolvem punições aprimoradas, impactam negativamente a posição socioeconômica da nação ou envolvem ofensas contra mulheres ou menores de 18 anos – podem agora ser combinados em um único ataque.

De acordo com a Seção 77B, independentemente das disposições do Código de Processo Penal, 1973, todos os crimes com uma sentença de três anos ou mais são reconhecíveis e sujeitos a fiança.

Seção 79

Os intermediários na Índia estão sujeitos a regulamentação sob a seção 79 da Lei de Tecnologia da Informação, 2008. Esta seção ganhou notoriedade principalmente devido ao notório regras de TI, ou diretrizes intermediárias, criadas sob o poder do governo central de fazer regras sob as seções 87 (1) e 87 (2) (ZG).

A “Porto seguro” O recurso na Seção 79 da Lei isenta os intermediários da responsabilidade pelas ações de terceiros sob determinadas circunstâncias. Essa imunidade provisória é concedida aos intermediários sob a seção 79 (1) da Lei em relação a qualquer informação, dados ou conexão de comunicação disponibilizada ou hospedada por eles em nome de terceiros. Por exemplo: se uma pessoa ou bot coloca qualquer conteúdo ilegal no Facebook, Facebook por “Porto seguro” A provisão escaparia da responsabilidade alegando que eles não tinham conhecimento sobre tais atividades.

As seções 79 (2) e 79 (3) da Lei se aplicam a essas isenções. Essencialmente, as circunstâncias, onde o intermediário se envolve em atividades tecnológicas, automatizadas ou passivas, são cobertas pela Seção 79 (2). Para que a seção 79 (2) seja aplicável, os intermediários não devem estar cientes ou responsáveis ​​pelos dados que estão sendo enviados ou armazenados.

Além disso, o “aviso e queda” O sistema previsto pela Seção 79 (3) (b) exige que o intermediário remova informações ilegais assim que tiver conhecimento real de sua existência.

O tremendo crescimento no uso da Internet, no entanto, resultou em um aumento na criminalidade, incluindo pornografia infantil, ciberterrorismo, publicação de informações sexualmente explícitas on -line e voyeurismo de vídeo. Portanto, essas disposições foram necessárias para serem incluídas na Lei de Tecnologia da Informação, 2000.

Desenvolvimento de legislações de proteção de dados na Índia

A Suprema Corte da Índia estabeleceu o direito à privacidade e proteção de dados como um direito fundamental no caso de Justiça k.S. Puttaswamy (aposentado.) v. Union of India (2017), e a estrutura legislativa atual de privacidade descrita nas regras de tecnologia da informação, 2011 (Regras de TI, 2011), que governa o “Coletar, receber, possuir, armazenar, negociar, manusear, reter, usar, transferir, divulgar dados ou informações pessoais sensíveis, práticas de segurança e procedimentos para lidar com informações pessoais”. No entanto, esta disposição é considerada insuficiente, pois não aborda entre outras questões, o uso indevido de dados coletados de crianças, violações de dados por empresas fora da Índia e o escopo limitado da definição de dados sensíveis.

Foi insuficiente em quatro níveis:

  • Primeiro, o modelo existente assumiu que a privacidade é um direito estatutário e não fundamental e não se aplica ao estado’s Processamento de dados individuais.
  • Segundo, ele entendeu apenas alguns tipos de dados que devem ser protegidos.
  • Terceiro, impôs poucas responsabilidades aos controladores de dados, que também podem ser dispensados ​​por contrato.
  • Quarto, havia poucas punições para os infratores.

Lei de proteção de dados pessoal, 2018

O Comitê da Justiça Srikrishna, encarregado do Ministério da Eletrônica e Tecnologia da Informação (MEITY) de redação de legislação de proteção de dados para a Índia, saiu com a proposta inicial da legislação, o projeto de lei de proteção de dados pessoal, 2018. O governo promulgou esse plano e o apresentou em Lok Sabha, mas foi enviado para modificações adicionais pelos seguintes motivos:

  1. A nova disposição sobre localização de dados pode ser a parte que gerou a maior controvérsia pública. A lei exige que os fiduciários de dados mantêm “pelo menos uma cópia de porção” de informações do cliente em um servidor ou data center indiano. A única justificativa para essa regra é simplificar para a aplicação da lei obter essas informações.
  2. Isso levanta a conta’s Segunda Edição: permite o processamento de dados pessoais nos interesses da segurança do estado, se permitido e de acordo com o procedimento legal. Também permitiu o processamento de dados pessoais para detecção, investigação e processo de qualquer crime ou outra infração legal. Dado a Índia’s leis inadequadas que proíbem o monitoramento do estado, o estado’s O acesso a todos os dados pessoais apresenta um sério perigo para o direito à privacidade.
  3. Por último, mas não menos importante, o projeto de lei estabeleceu uma estrutura regulatória que não era independente o suficiente: o sistema regulatório estava fortemente sob a influência do governo central e foi suscetível a ser capturado por empresas. Sobre a proposta de uma comissão independente, a legislação proposta concedeu ao governo central o direito de nomear membros da Autoridade de Proteção de Dados. Cinco anos foram um período muito pouco para uma nova instituição aprender as cordas e obter a independência necessária para funcionar como um regulador eficiente, mas é quanto tempo a nomeação pode durar.

Lei de proteção de dados pessoal, 2019

Isto foi seguido pelo projeto de lei de proteção de dados pessoal de 2019, que mais tarde foi retirado em meio a promessas de uma medida de substituição que aderiria à Índia’S extenso sistema legal, tendo em mente as outras 81 modificações sugeridas pelo Comitê Conjunto do Parlamento.

Lei de proteção de dados, 2021

O projeto de lei de proteção de dados, 2021, foi uma única lei divulgada pelo comitê que cobriria conjuntos de dados pessoais e não pessoais. O relatório’A recomendação de avançar para a localização total dos dados estava em questão. Uma autoridade de proteção de dados também foi sugerida na conta retirada. À medida que desenvolve a estrutura para a transferência transfronteiriça, a responsabilidade de entidades processando dados e potenciais remédios para processamento não autorizado e prejudicial, também recomendou declarar explicitamente o fluxo e o uso de dados pessoais, além de defender os direitos dos indivíduos para os quais os dados pessoais são processados.

Lei de Proteção de Dados Pessoais Digital (Lei DPDP, 2022)

Todo processamento digital de informações privadas está agora sujeito à conta de proteção de dados pessoais digitais (DPDP Bill, 2022). Isso abranaria informações pessoalmente identificáveis ​​coletadas on -line e offline que foram convertidas em formulário digital para manuseio. Este projeto de lei afetará as salvaguardas legais oferecidas aos clientes de startups indianas que fazem negócios no exterior, afetando sua competitividade. Esse ponto de vista é apoiado ainda mais pelo projeto de lei, que isenta a maioria de suas salvaguardas de se inscrever em fiduciários de dados na Índia que processam dados pessoais pertencentes a cidadãos da Índia. Espera -se que este rascunho seja apresentado ao Parlamento para autorização na próxima sessão do Parlamento em 2023.

Comparação da conta de proteção de dados pessoal digital com as contas anteriores

Implementação territorial da conta

A implementação territorial da lei é que o projeto também aborda os dados pessoais coletados por controladores de dados em solo indiano e usado para fornecer produtos e serviços lá. As leis anteriores foram limitadas à Índia e não tinham provisões para qualquer ofensa cometida fora do território da Índia.

Multar

Lei de proteção de dados pessoal digital 2022, que foi lançada, para até Rs 500 crore. As leis anteriores foram limitadas a uma quantidade máxima fina de Rs 250 crore. O governo aumentou a quantidade fina de quebrar as regras descritas na nova lei do DPDP para garantir que os infratores cumpram estritamente as leis.

Direitos

Direito de ser esquecido

Antes disso, o governo da União’O oficial de julgamento teve que autorizar um pedido a ser esquecido antes que o direito pudesse ser usado. O direito de ser esquecido pelo processamento, que foi anteriormente restrito à divulgação, foi expandido de acordo com as recomendações feitas na lei de proteção de dados, 2021.

Direito de acessar dados

De acordo com o relatório Srikrishna, um fiduciário de dados pode aplicar os deveres substantivos de um fiduciário de dados, exercendo direitos de confirmação e acesso. A conta do PDP incorporou a conta de 2018’s Requisitos, ao mesmo tempo, concedendo ao diretor de dados o direito de acessar todos os fiduciários de dados com quem seus dados pessoais foram compartilhados em um local. De acordo com a lei de proteção de dados, 2021, o titular dos dados tem a opção de escolher um herdeiro legal ou representante legal como seu candidato, que poderá exercer seus direitos à confirmação e acesso, bem como seu direito de ser esquecido no caso de sua morte.

Consentimento

A maioria das leis de proteção de dados designam tipos específicos de dados pessoais como “Dados pessoais sensíveis ” Devido ao maior risco de dano que pode ser causado por seu processamento não autorizado, como informações biométricas, informações de saúde, informações genéticas, etc. Portanto, será necessário um consentimento claro antes do processamento, e as avaliações de impacto de proteção de dados são necessárias, dando a esses dados pessoais um nível mais alto de segurança, conforme o projeto de lei do DPDP 2022. No projeto de lei do PDP, 2019, o consentimento foi feito uma parte significativa da Lei, e até mencionou a provisão de retirada. E antes disso em 2018, o JPC sugeriu uma mudança no consentimento, pois tinha que ser explicitamente tomado.

Regulação de dados não pessoais

O projeto de lei 2022 do DPDP estabelece o fornecimento de regras de estabelecimento todos os anos para o processamento de dados não pessoais, enquanto o projeto de lei do PDP, 2019 permite que o governo central solicite a qualquer dados fiduciário para fornecer o registro para dados não pessoais. E o PDP Bill, de 2018, não mencionou essa disposição.

Bureau of Indian Standards on Data Privacy

Uma organização separada que regula os dados, o Bureau of Indian Standards (“BIS”), lançou novos padrões para a garantia de privacidade de dados, a saber, o IS 17428. O BIS foi estabelecido como uma autoridade nacional de padrões. Ele foi projetado para dar às empresas uma base de garantia de privacidade para configurar, realizar, acompanhar e aprimorar constantemente seu sistema de gerenciamento de privacidade de dados. É um credenciamento que as empresas podem usar para tranquilizar seus clientes e funcionários sobre suas políticas de privacidade. Também pode ser empregado estrategicamente para diferenciar uma empresa de seus rivais no mercado para controlar a padronização, a avaliação de conformidade e o controle de qualidade de bens e serviços na Índia.

IS 17428: Garantia de privacidade de dados [Parte 1] Requisitos de engenharia e gerenciamento

Esta parte fala sobre os requisitos de qualquer organização. Para uma organização definir adequadamente seu papel e obrigações, os requisitos de IS fornecem definições fundamentais de “Controlador de dados,” “processador de dados,” “informações pessoais,” “informações pessoais sensíveis, processamento, consentimento,” etc., para que as instituições possam cumprir com elas de acordo.

IS 17428: Garantia de privacidade de dados [Parte 2] Diretrizes de engenharia e gerenciamento

Fornece abordagens específicas, sugerindo que ajudam a cumprir esses padrões. Ele fornece padrões fundamentais para design técnico e gerenciamento de informações e é legal. As diretrizes do SI oferecem conselhos detalhados sobre os métodos e melhores práticas a seguir para cumprir os requisitos do SI. As diretrizes do IS descrevem adicionalmente facetas importantes para levar em consideração a segurança e a privacidade da infraestrutura de rede.

Recursos dos novos padrões para privacidade de dados

  • Durante o ciclo de vida do desenvolvimento de qualquer produto, serviço ou solução, a empresa deve considerar os critérios técnicos e de design específicos.
  • A organização’A privacidade precisa considerar a jurisdição relevante, como verificar e testar o controle de privacidade de dados relevante antes e durante o desenvolvimento.
  • Além disso, a empresa deve configurar certos procedimentos de gerenciamento de privacidade.
  • Deveres como- os tipos de dados pessoais e regulamentos de terceirização; os tipos de informações privadas e regulamentos de leasing; descrever sua estrutura organizacional, papéis e procedimentos de responsabilidade, comunicação e governança;
  • Uma lista desse material e seu fluxo- imponha regulamentos de privacidade, determinar a duração da retenção de dados e manter registros de documentação e toras, criar uma técnica para avaliações de efeitos de privacidade, criar uma estrutura de reparação de queixas que identifica o oficial de reclamação, torne suas informações públicas e estabelece processos para enviar e escalar reclamações.
  • Melhorar o conhecimento da organização’pessoal que lida com informações pessoais.

Por que a Índia precisa de uma nova lei de proteção de dados codificada

  1. A Índia viu enormes avanços tecnológicos e está a par com outros países, mas fica com leis definidas e rigorosas que abordam todas as mudanças recentes na maneira como nossos dados são tratados. Nas últimas duas décadas, países como EUA, China e muitos outros adotaram novas leis para proteção de dados. Atualmente, a Índia define uma legislação uniforme. O Times exige que a Índia adote novas leis para que possa caminhar de mãos dadas com outros países.
  2. A Lei de Tecnologia da Informação atual, 2000 está lidando moderadamente na Índia’S questões de proteção de dados, mas não é muito rigoroso, pois fica aquém da implementação das disposições adequadamente. A proteção de dados com implementação estrita é atualmente um requisito da Índia.
  3. Spaming também é um problema que recentemente tomou prevalência, onde um usuário recebe um grande número das mesmas mensagens, repetidamente e agrada suas caixas de entrada. Os EUA e vários países europeus têm leis punindo o remetente desses spams, mas a Índia não menciona. Leis que abordam os problemas que surgem recentemente são a necessidade da hora.
  4. As transações on -line também precisam ser abordadas especificamente, pois está sendo regulamentada atualmente pelas normas do RBI, que devem ser abordadas por leis relevantes, que exigem novas leis sobre proteção de dados na Índia ainda mais.
  5. A tecnologia está desatualizada mesmo antes de ser introduzida, e permanece corrigida na situação na Índia está agora. Existem várias disposições, como bancos on -line, regras de publicação, difamação cibernética, terrorismo cibernético, criptomoeda e NFTs que precisam urgentemente de serem abordados pela legislação adequada para que questões relacionadas a eles possam ser resolvidas.

Casos importantes

Estado de Tamil Nadu V. Suhas Katti (2004)

No caso de Estado de Tamil Nadu V. Suhas Katti (2004), A vítima apresentou uma queixa nos termos das seções 67 da Lei de TI e 469 e 509 do Código Penal Indiano, 1860. Para humilhar a mulher, o acusado postou comentários pornográficos sobre a vítima em vários grupos. Para prejudicar sua reputação, ele também divulgou o número do celular e abriu uma conta fraudulenta em seu nome. De acordo com as seções acima mencionadas, o tribunal considerou o acusado culpado.

Este caso é significativo porque incentivou os cidadãos em todo o país a se apresentar e relatar incidentes de abuso on -line.

Amar Singh v. Union of India (2011)

O peticionário neste caso de Amar Singh v. Union of India (2011) alegou que seu provedor de serviços de telecomunicações havia registrado secretamente suas chamadas. Segundo ele, o suposto monitoramento violou seu direito básico à privacidade nos termos do artigo 21 da Constituição da Índia. O prestador de serviços disse que estava cumprindo as diretrizes das autoridades (o governo da NCT). À luz das seções 69, 69a e 69b da Lei de TI, 2000, este caso é significativo. O Tribunal observou que um provedor de serviços de telecomunicações realiza uma atividade voltada para o público. Tem uma necessidade natural de se comportar de maneira sensata e responsável. Além disso, foi realizado pelo tribunal que o prestador de serviços deve confirmar a legitimidade de qualquer ordens do governo “para tocar em telefones” Quando eles incluem erros graves. Para evitar interceptação de chamadas ilegais, o Tribunal ordenou ainda que o governo central estabelecesse diretrizes e regras específicas.

Shreya Singhal v. Union of India (2015)

No caso histórico de Shreya Singhal v. Union of India (2015), Duas damas foram mantidas pela polícia por terem feito comentários inapropriados e desrespeitosos no Facebook sobre a adequação de anunciar um Bandh em Mumbai após a morte de um líder político.

De acordo com a Seção 66A da Lei de Tecnologia da Informação de 2000 (ITA), a polícia poderia fazer a prisão de uma pessoa se essas informações fossem enviadas através de um recurso de computador ou dispositivo de comunicação com a intenção de causar “aborrecimento, inconveniente, perigo, insulto, lesão, ódio ou má vontade.”

Toda a seção 66A foi declarada inconstitucional pela Suprema Corte da Índia, alegando que sua proteção pretendida contra aborrecimento, inconveniente, perigo, obstrução, insulto, lesão e intimidação criminal foi além dos limites das restrições razoáveis ​​nos termos do artigo 19 (2) da constituição indiana.

Justiça k.S. Puttaswamy (aposentado) V. Union of India (2017)

O banco de nove juízes da Suprema Corte da Índia no caso de Justiça k.S. Puttaswamy (aposentado) V. Union of India (2017) defende o direito à privacidade como um direito que é protegido pela Constituição da Índia. De acordo com este caso, o governo’S Plano para uma identidade biométrica padrão que seria necessária para acessar serviços e benefícios do governo foi contestada no processo, que foi iniciado pelo juiz aposentado K.S. Puttaswamy. O governo afirmou que a Constituição não garantiu especificamente o direito à privacidade. Como afirmado pelo tribunal, a privacidade é um direito básico ou liberdade protegida pelo artigo 21, que afirma que “Nenhuma pessoa será privada de sua vida ou liberdade pessoal, exceto de acordo com o procedimento estabelecido por lei.”

Praveen arimbrathodiyil v. União da Índia (2021)

O governo da União publicou um conjunto de regulamentos em 2021. Usando a autoridade concedida a ela pela Seção 87 da Lei de TI de 2000, as regras de tecnologia da informação (intermediárias), 2011, são substituídas por esses regulamentos. O governo pretende controlar serviços de streaming da Internet, intermediários de mídia social e meios de notícias digitais por meio desses regulamentos. De acordo com esses regulamentos, os intermediários de mídia social devem aderir ao processo de reparação interna de queixas internas. Nas circunstâncias de crimes significativos, esses intermediários também são obrigados a fornecer ao governo os detalhes da pessoa que enviou a comunicação ofensiva. Sob as diretrizes, os intermediários que os violam perdem a proteção concedida a eles pela Seção 79 da Lei de TI.

Conforme declarado nas diretrizes, os intermediários que os violam perdem a proteção concedida a eles pela Seção 79 da Lei de TI. Os regulamentos também exigem que a mídia digital estabeleça um sistema interno de reparação de queixas e siga um código de conduta ético. Nesse caso, várias empresas, incluindo WhatsApp, Quint, LiveLaw e a Fundação para Jornalistas Independentes, contestaram esses regulamentos. Os resultados do julgamento afetarão a direção futura da lei indiana em tecnologia da informação, para a qual a petição está atualmente pendente na Suprema Corte para listar.

Conclusão

O ano de 2021 marcou um ponto de virada para a nação em relação à privacidade e proteção de dados. Havia muitos requisitos de medidas legislativas e executivas em resposta à necessidade urgente de leis abrangentes de proteção de dados. É inegável que a Índia tem um longo caminho a percorrer antes de determinar o que funcionará melhor para uma nação como a nossa, principalmente onde a privacidade de dados não é bem reconhecida. No entanto, a Índia tentou e continua a fazer várias tentativas para dar a essas leis e regulamentos autoridade legislativa. No entanto, é significativo informar os indivíduos sobre privacidade de dados, direitos e estruturas e provisões relevantes para a governança do mesmo.

Perguntas frequentes (perguntas frequentes)

Onde está a Lei de TI 2000 não aplicável?

A Lei de TI 2000 não se aplica à implementação de uma procuração, ao estabelecimento de uma confiança, à implementação de um testamento, à venda ou transferência de um imóvel ou de qualquer interesse, bem como qualquer outro tipo de execução ou transação de documentos que o governo possa listar no Gazette Oficial.

Qual é o cenário atual da conta de proteção de dados?

A lei de proteção de dados estava recentemente convidando sugestões dos usuários da Índia e do Ministério da Eletrônica e Tecnologia da Informação (MEITY) está trabalhando no rascunho para tornar este projeto de lei uma panacéia para todos os assuntos relacionados à proteção de dados na Índia. Também é esperado que seja apresentado na seguinte sessão de orçamento da sessão de 2023 do Parlamento.

Que restrições a Lei da Tecnologia da Informação tem?

Atualmente, numerosos tipos de crimes cibernéticos, incluindo cyberstalking, fraude cibernética, abuso de salas de bate -papo, roubo de tempo na Internet e outros, não são cobertos por este ato. A Lei de TI de 2000 não aborda a privacidade ou o controle de conteúdo, o que é crucial, dados os perigos que a Internet apresenta.

Qual é o projeto de lei de proteção de dados pessoal digital 2022?

O DPDP, ou Lei de Proteção de Dados Pessoais Digital, é o mais recente projeto de lei proposto, que contém todas as emendas sugeridas e também aborda várias disposições que não foram adicionadas antes. Ainda não foi aprovado, mas diz -se uma legislação significativa que aborda desenvolvimentos tecnológicos recentes.

Referências

  • https: // www.LawyersClubindia.com/artigos/casos importantes na informação-tecnologia-act-2000-14861.asp
  • https: // artigos.Manupatra.com/artigo-Details/Information-Technology-Undement-ACT -2008-AN-Overview
  • https: // www.Ques10.com/P/48990/IT-ACT-2008 e It-Its-Umements/
  • https: // www.o hindu.com/sci-tech/Technology/A-First-Look-At-o-Novo-Data-Proteção-Bill/Artigo66162209.ECE
  • https: // sflc.em/praveen-arimbrathodiyil-vs-union-Índia-Sflcin-Assists-Challening-Part-II-Intermediary-Rules-2021
  • https: // www.Foxmandal.in/IS-17428-A-New-Privacy-Assurance-Standard-in-Índia/#: ~: text = em%20June%20of%202021%2c%20the, que%20Hey%20Collect%20or%20Process
  • https: // www.cfr.org/blog/três problemas-indias-draft-data-protection-bill

Alunos de Cursos de Lawsikho Produzir regularmente tarefas de redação e trabalhar em exercícios práticos como parte de seus cursos e se desenvolver em habilidades práticas da vida real.

Laathikho criou um grupo de telegrama para trocar conhecimentos jurídicos, referências e várias oportunidades. Você pode clicar neste link e participar:

Siga -nos no Instagram e assine nosso canal do YouTube para obter um conteúdo legal mais incrível.

A Índia tem uma lei de privacidade?

Índia

Índia

Atualmente, a Lei de Tecnologia da Informação de 2000 (a Lei) e as regras notificadas em grande parte governam em grande parte a proteção de dados na Índia.

Em 24 de agosto de 2017, um banco constitucional de nove juízes da Suprema Corte da Índia em Justiça k.S.Puttaswamy (aposentado.) v. União da Índia [Petição por escrito não. 494/2012] confirmou que a privacidade é um direito fundamental, que está entrincheirado no artigo 21 [Direito à Vida e Liberdade] da Constituição. Isso levou à formulação de um projeto abrangente de proteção de proteção de dados pessoal 2019 (a fatura do PDP). No entanto, o projeto de lei do PDP foi retirado em agosto de 2022, considerando uma longa lista de recomendações para mudanças apresentadas por um comitê parlamentar conjunto que forneceu seu relatório em dezembro de 2021. Em seu lugar, em 18 de novembro de 2022, o Ministério da Eletrônica e Tecnologia da Informação (MEITY), Governo da Índia, divulgou um rascunho da Lei de Proteção de Dados Pessoais Digital, 2022 (a conta do DPDP). 1

A promulgação do projeto de lei do PDP revisará a proteção de dados pessoais e o regime regulatório na Índia. Até esse momento, a Lei e as Regras fornecidas por ela governarem a privacidade de dados na Índia. Meity havia convidado comentários sobre a conta do DPDP até 17 de dezembro de 2022. Depois disso, o governo pode fazer alterações no rascunho atual. Espera -se que o projeto de lei do DPDP seja apresentado antes do Parlamento e entre em vigor no início de 2023.

Índia’S Ministério de TI, Meity, adotou as regras de tecnologia da informação (práticas e procedimentos de segurança razoáveis ​​e dados ou informações pessoais sensíveis) (regras de privacidade), notificadas sob a Lei. As regras de privacidade, que entraram em vigor em 2011, requerem entidades corporativas coletando, processando e armazenando informações pessoais, incluindo informações pessoais sensíveis, para cumprir com certos procedimentos. Distingue os dois ‘informações pessoais’ e ‘Informações pessoais sensíveis’, conforme definido abaixo.

Em agosto de 2011, Índia’s Ministério das Comunicações e Informações emitidas um ‘Pressione nota’ Tecnologia (esclarecimento sobre as regras de privacidade), que previu que qualquer provedor / organização de serviços de terceirização indiano que presta serviços relacionados à coleta, armazenamento, negociação ou manuseio de informações pessoais sensíveis ou informações pessoais sob obrigação contratual com qualquer entidade legal localizada dentro ou fora da Índia não esteja sujeita à coleta e divulgação dos requisitos de informações, incluindo os requisitos de consentimento discutidos abaixo, fornecidos que não tenham contato com que não tenham contatos com os dados, que não estão sujeitos a dados, que não estão sujeitos à Índia, que não estão sujeitos a que não sejam adiados e a divulgação dos requisitos dos requisitos de dados, fornecidos com a Índia, que não estão sujeitos à Índia, que não estão sujeitos à Índia.

Como afirmado acima, a Índia está em processo de revisão de seu regime pessoal de proteção de dados. Embora o projeto de lei do PDP e o relatório sobre a estrutura de governança de dados não pessoais, que foi divulgado por um comitê nomeado pelo governo central para fazer recomendações sobre a regulamentação de dados não pessoais, introduziu disposições sobre proteção de dados não pessoais, a fatura do DPDP não regulamenta dados não pessoais. Considerando isso, a coleta e o manuseio de dados não pessoais não são regulamentados.

Notas de rodapé

1: Este projeto foi publicado por Meity em 18 de novembro de 2022, e as pessoas foram autorizadas a comentar o mesmo antes de 17 de dezembro de 2022. O projeto foi redigido sobre os seguintes diretores:

  1. O uso de dados pessoais por organização deve ser feito de uma maneira legal, justa para os indivíduos em questão e transparentes para os indivíduos;
  2. O uso de dados pessoais deve ser limitado ao objetivo para o qual foram coletados;
  3. A minimização dos dados deve ser seguida quando apenas os itens de dados pessoais necessários para atingir uma finalidade específica devem ser coletados;
  4. Precisão de dados pessoais pelos quais os esforços razoáveis ​​devem ser feitos para garantir que os dados pessoais do indivíduo sejam precisos e mantidos atualizados;
  5. Limitação de armazenamento pela qual os dados pessoais não devem ser armazenados perpetuamente por padrão. O armazenamento deve ser limitado à duração necessária para o objetivo declarado para o qual os dados pessoais foram coletados;
  6. As salvaguardas razoáveis ​​devem ser realizadas para garantir que não haja coleta não autorizada ou processamento de dados pessoais. Isso se destina a impedir a violação de dados pessoais; e
  7. A pessoa que decide o objetivo e os meios de processamento de dados pessoais deve ser responsável por esse processamento.

Último modificado em 5 de janeiro de 2023

Índia

Atualmente, a Lei de Tecnologia da Informação de 2000 (a Lei) e as regras notificadas em grande parte governam em grande parte a proteção de dados na Índia.

Em 24 de agosto de 2017, um banco constitucional de nove juízes da Suprema Corte da Índia em Justiça k.S.Puttaswamy (aposentado.) v. União da Índia [Petição por escrito não. 494/2012] confirmou que a privacidade é um direito fundamental, que está entrincheirado no artigo 21 [Direito à Vida e Liberdade] da Constituição. Isso levou à formulação de um projeto abrangente de proteção de proteção de dados pessoal 2019 (a fatura do PDP). No entanto, o projeto de lei do PDP foi retirado em agosto de 2022, considerando uma longa lista de recomendações para mudanças apresentadas por um comitê parlamentar conjunto que forneceu seu relatório em dezembro de 2021. Em seu lugar, em 18 de novembro de 2022, o Ministério da Eletrônica e Tecnologia da Informação (MEITY), Governo da Índia, divulgou um rascunho da Lei de Proteção de Dados Pessoais Digital, 2022 (a conta do DPDP). 1

A promulgação do projeto de lei do PDP revisará a proteção de dados pessoais e o regime regulatório na Índia. Até esse momento, a Lei e as Regras fornecidas por ela governarem a privacidade de dados na Índia. Meity havia convidado comentários sobre a conta do DPDP até 17 de dezembro de 2022. Depois disso, o governo pode fazer alterações no rascunho atual. Espera -se que o projeto de lei do DPDP seja apresentado antes do Parlamento e entre em vigor no início de 2023.

Índia’S Ministério de TI, Meity, adotou as regras de tecnologia da informação (práticas e procedimentos de segurança razoáveis ​​e dados ou informações pessoais sensíveis) (regras de privacidade), notificadas sob a Lei. As regras de privacidade, que entraram em vigor em 2011, requerem entidades corporativas coletando, processando e armazenando informações pessoais, incluindo informações pessoais sensíveis, para cumprir com certos procedimentos. Distingue os dois ‘informações pessoais’ e ‘Informações pessoais sensíveis’, conforme definido abaixo.

Em agosto de 2011, Índia’s Ministério das Comunicações e Informações emitidas um ‘Pressione nota’ Tecnologia (esclarecimento sobre as regras de privacidade), que previu que qualquer provedor / organização de serviços de terceirização indiano que presta serviços relacionados à coleta, armazenamento, negociação ou manuseio de informações pessoais sensíveis ou informações pessoais sob obrigação contratual com qualquer entidade legal localizada dentro ou fora da Índia não esteja sujeita à coleta e divulgação dos requisitos de informações, incluindo os requisitos de consentimento discutidos abaixo, fornecidos que não tenham contato com que não tenham contatos com os dados, que não estão sujeitos a dados, que não estão sujeitos à Índia, que não estão sujeitos a que não sejam adiados e a divulgação dos requisitos dos requisitos de dados, fornecidos com a Índia, que não estão sujeitos à Índia, que não estão sujeitos à Índia.

Como afirmado acima, a Índia está em processo de revisão de seu regime pessoal de proteção de dados. Embora o projeto de lei do PDP e o relatório sobre a estrutura de governança de dados não pessoais, que foi divulgado por um comitê nomeado pelo governo central para fazer recomendações sobre a regulamentação de dados não pessoais, introduziu disposições sobre proteção de dados não pessoais, a fatura do DPDP não regulamenta dados não pessoais. Considerando isso, a coleta e o manuseio de dados não pessoais não são regulamentados.

Notas de rodapé

1: Este projeto foi publicado por Meity em 18 de novembro de 2022, e as pessoas foram autorizadas a comentar o mesmo antes de 17 de dezembro de 2022. O projeto foi redigido sobre os seguintes diretores:

  1. O uso de dados pessoais por organização deve ser feito de uma maneira legal, justa para os indivíduos em questão e transparentes para os indivíduos;
  2. O uso de dados pessoais deve ser limitado ao objetivo para o qual foram coletados;
  3. A minimização dos dados deve ser seguida quando apenas os itens de dados pessoais necessários para atingir uma finalidade específica devem ser coletados;
  4. Precisão de dados pessoais pelos quais os esforços razoáveis ​​devem ser feitos para garantir que os dados pessoais do indivíduo sejam precisos e mantidos atualizados;
  5. Limitação de armazenamento pela qual os dados pessoais não devem ser armazenados perpetuamente por padrão. O armazenamento deve ser limitado à duração necessária para o objetivo declarado para o qual os dados pessoais foram coletados;
  6. As salvaguardas razoáveis ​​devem ser realizadas para garantir que não haja coleta não autorizada ou processamento de dados pessoais. Isso se destina a impedir a violação de dados pessoais; e
  7. A pessoa que decide o objetivo e os meios de processamento de dados pessoais deve ser responsável por esse processamento.

Último modificado em 5 de janeiro de 2023

Definição de dados pessoais

As regras de privacidade definem “informações pessoais” como qualquer informação relacionada a uma pessoa natural, que direta ou indiretamente, em combinação com outras informações disponíveis ou provavelmente estará disponível para uma entidade corporativa, é capaz de identificar essa pessoa.

Definição de dados pessoais sensíveis

As regras de privacidade definem “dados ou informações pessoais sensíveis” para incluir as seguintes informações relacionadas a:

  • Senhas
  • Informações financeiras e.g. conta bancária / cartão de crédito ou débito ou outros detalhes do instrumento de pagamento
  • Condições físicas, fisiológicas e de saúde mental
  • Orientação sexual
  • Registros médicos e história
  • Informações biométricas
  • Qualquer detalhe relacionado às cláusulas acima, conforme fornecido a uma entidade corporativa para fornecer serviços
  • Qualquer uma das informações recebidas sob as cláusulas acima para armazenar ou processamento sob contrato legal ou de outra forma

Biometria significa as tecnologias que medem e analisam as características do corpo humano, como impressões digitais, retinas e íris, padrões de voz, padrões faciais, medições manuais e DNA para fins de autenticação.

No entanto, qualquer informação disponível gratuitamente no domínio público está isento da definição acima.

Último modificado em 5 de janeiro de 2023

Não existe tal autoridade.

Último modificado em 5 de janeiro de 2023

Último modificado em 5 de janeiro de 2023

Todas as entidades corporativas que coletam informações pessoais sensíveis devem nomear um oficial de queixas para abordar as queixas relacionadas ao processamento de tais informações e para responder aos pedidos de acesso e correção do titular dos dados de uma maneira rápida, mas dentro de um mês a partir da data de recebimento do pedido ou reclamação.

Não há exigência específica de que o Diretor de Proteção de Dados deve ser um cidadão ou residente da Índia, nem há ações ou multas específicas associadas a não nomear um oficial de proteção de dados corretamente. No entanto, a nomeação de um oficial de proteção de dados faz parte do processo estatutário de due diligence e, portanto, é imperativo que esse oficial seja nomeado.

Último modificado em 5 de janeiro de 2023

De acordo com a Lei, se uma entidade corporativa que possui, gerencia ou lida com qualquer informação pessoal sensível em um recurso de computador que possui, controla ou opere, é negligente na implementação e manutenção da conformidade com as regras de privacidade, e sua negligência causa perda indevida ou ganho indevido para qualquer pessoa, a entidade corporativa deve ser responsável por danos à pessoa (.

As regras de privacidade afirmam que qualquer entidade corporativa ou qualquer pessoa que atue em seu nome que coleta informações pessoais sensíveis deve obter consentimento por escrito (por meio de carta, email ou fax) dos fornecedores dessa informação. No entanto, a nota de imprensa de agosto de 2011 emitida pelo Ministério de TI esclarece que o consentimento pode ser dado por qualquer modo de comunicação eletrônica.

The Privacy Rules also mandate that any corporate entity (or any person, who on behalf of such entity) that collects, receives, possess, stores, deals or handles information shall provide a privacy policy that discloses its practices regarding the handling and disclosure of personal information, including sensitive personal information, and ensure that the policy is available for view, including on the website of the corporate entity (or the person acting on its behalf). Especificamente, a entidade corporativa deve garantir que a pessoa a quem as informações se relacionem seja notificada do seguinte no momento da coleta de informações pessoais sensíveis ou outras informações pessoais:

  • O fato de a informação estar sendo coletada
  • O objetivo para o qual a informação está sendo coletada
  • Os destinatários pretendidos da informação
  • O nome e o endereço da agência que está coletando as informações e a agência que manterá as informações

Além disso, informações pessoais sensíveis só podem ser coletadas para um propósito legal relacionado a uma função ou objetivo da entidade corporativa e somente se essa coleção for considerada necessária para esse fim. A entidade corporativa também deve garantir que não mantenha as informações pessoais sensíveis por mais tempo do que as necessárias e também devem garantir que as informações pessoais sensíveis estejam sendo usadas para a finalidade para a qual foram coletadas.

Uma entidade corporativa ou qualquer pessoa que atua em seu nome é obrigada a permitir aos fornecedores de informações revisar as informações que eles forneceram e também para garantir que qualquer informação pessoal ou informações pessoais sensíveis que sejam imprecisas ou deficientes sejam corrigidas mediante solicitação. Além disso, o fornecedor de informações deve ter o direito de optar por não participar (eu.e. ele / ela será capaz de retirar seu consentimento) mesmo após o consentimento ter sido fornecido. No entanto, a entidade corporativa não será responsabilizada pela autenticidade das informações pessoais ou informações pessoais sensíveis dadas pelo provedor de informações a essa entidade corporativa ou a qualquer outra pessoa agindo em seu nome.

Último modificado em 5 de janeiro de 2023

O coletor de dados deve obter o consentimento do fornecedor das informações para qualquer transferência de informações pessoais sensíveis para qualquer outra entidade ou pessoa corporativa na Índia, ou para qualquer outro país que garante o mesmo nível de proteção de dados previsto para as regras de privacidade. No entanto, o consentimento não é necessário para a transferência se for necessário para o desempenho de um contrato legal entre a entidade corporativa (ou qualquer pessoa que atue em seu nome) e o fornecedor de informações ou conforme especificado no ato.

Uma entidade corporativa não pode transferir nenhuma informação pessoal sensível para outra pessoa ou entidade que não mantenha o mesmo nível de proteção de dados exigido pelo ato.

O contrato que regula a transferência de dados deve conter disposições adequadas de indenização para uma violação de terceiros, deve especificar claramente os propósitos finais do processamento de dados (incluindo quem tem acesso a esses dados) e deve especificar um modo de transferência que seja adequadamente protegido e seguro.

Além disso, nos termos da Lei, é uma ofensa para qualquer pessoa que tenha de acordo com um contrato, tenha acesso a qualquer material que contenha informações pessoais para divulgar essas informações sem o consentimento da pessoa em questão e com a intenção de causar ou saber que ele provavelmente causará perda injusta ou ganho indevido.

Assim, os contratos também devem incluir especificamente as disposições:

  • Intitular o coletor de dados a distinguir entre ‘informações pessoais’ e ‘Informações pessoais sensíveis’ que deseja coletar / processos; e
  • Representando que o consentimento da (s) pessoa (s) em questão foi obtida para coleta e divulgação de informações pessoais ou informações pessoais sensíveis e descrevendo a responsabilidade do terceiro.

Localização de dados

Índia’O Banco Central, o Reserve Bank of India (RBI) tornou obrigatório a partir de 15 de outubro de 2018, para todos os provedores de sistemas de pagamento e seus provedores de serviços, intermediários, vendedores de terceiros e outras entidades no ecossistema de pagamento para garantir que todos os dados relacionados a sistemas de pagamento operados por eles sejam armazenados em um sistema somente em Índia na Índia somente. Curiosamente, em virtude deste regulamento, o RBI está buscando armazenamento de todos os dados do sistema de pagamento, que inclui todo o ciclo de processamento de pagamento da solicitação ao pagamento final, como dados do cliente (nome, número de celular, número Aadhaar, número de pan, etc.), dados sensíveis ao pagamento (detalhes da conta do cliente e beneficiário), credenciais de pagamento (OTP, PIN, senhas, etc.) e dados de transação (informações de origem e destino, referência de transações, registro de data e hora, valor, etc.). No entanto, para transações transfronteiriças que consistem em um componente estrangeiro e doméstico, os dados referentes à perna estrangeira podem ser armazenados fora da Índia. Embora os dados referentes à perna doméstica devam ser armazenados na Índia, uma cópia pode ser armazenada no exterior.

Separadamente, os regulamentos regulatórios e departamento de seguros da Índia (manutenção de registros de seguros), 2015, exigem que os provedores de seguros armazenem dados relacionados a políticas e registros de reivindicação de seguradoras sobre sistemas na Índia (mesmo que esses dados sejam mantidos em formato eletrônico).

Além disso, enquanto a Seção 128 da Lei das Empresas de 2013 exige que todas as empresas preparem e armazenem, em seu escritório registrado, livros de conta, outros livros e documentos relevantes e demonstrações financeiras para todos os exercícios financeiros, em 5 de agosto de 2022, o Ministério dos Assuntos Corporativos Alterou essa regra em que todos esses livros e trabalhos relevantes mantinham em um modo eletrônico que deve permanecer acessível na Índia, em todas as vezes.

Além disso, o Ministério da Eletrônica e Tecnologia da Informação’As instruções sobre práticas de segurança da informação, procedimento, prevenção, resposta e relatórios de incidentes cibernéticos datados de 28 de abril de 2022 (em vigor desde 28 de junho de 2022), em particular as perguntas frequentes divulgadas nessas instruções, exigem que os provedores de serviços que ofereçam serviços aos usuários do país para ativar e manter logs e registros de transações financeiras na Índia.

Último modificado em 5 de janeiro de 2023

Uma entidade corporativa possuindo, lidando ou lidando com qualquer informação pessoal sensível em um recurso de computador que possui, controla ou opere é necessário para implementar e manter práticas e procedimentos de segurança razoáveis ​​para proteger as informações pessoais sensíveis. As práticas e procedimentos de segurança razoáveis ​​podem ser especificados em um acordo entre as partes.

Além disso, as regras de privacidade estabelecem que, na ausência de tal concordância ‘Práticas e procedimentos de segurança razoáveis’ Para ser adotado por qualquer entidade corporativa para garantir informações pessoais sensíveis, são procedimentos que cumprem o padrão IS/ISO/IEC 27001 ou com os códigos de melhores práticas para proteção de dados, conforme aprovado pelo governo federal. Atualmente, esses códigos de melhores práticas foram aprovados pelo governo federal.

Último modificado em 5 de janeiro de 2023

O governo da Índia estabeleceu e autorizou a equipe de resposta a emergências de computadores indiana (“certificação”) a coletar, analisar e disseminar informações sobre incidentes cibernéticos, fornecer previsões e alertas de incidentes de segurança cibernética, fornecem medidas de emergência para lidar com incidentes de segurança cibernética e coordenar atividades de resposta a incidentes cibernéticos.

A Tecnologia da Informação (a equipe de resposta a emergências indiana de computadores e a maneira de executar funções e tarefas), 2013 (“Regras de certificação”) impõem requisitos de notificação obrigatória a provedores de serviços, intermediários, data centers e entidades corporativas, após a ocorrência de certos incidentes de segurança cibernética.

Os incidentes de segurança cibernética foram definidos para significar quaisquer eventos adversos reais ou suspeitos, em relação à segurança cibernética, que violem qualquer política de segurança explícita ou implicitamente aplicável, resultando em:

  • Acesso não autorizado, negação ou interrupção do serviço;
  • Uso não autorizado de um recurso de computador para processamento ou armazenamento de informações; e
  • Alterações nos dados ou informações sem autorização.

Sob as instruções, a ocorrência dos seguintes tipos de incidentes de segurança cibernética deve ser relatada:

  • Varredura / sondagem direcionada de redes / sistemas críticos;
  • Compromisso de sistemas / informações críticas;
  • Acesso não autorizado de sistemas / dados de TI;
  • Defiguração do site ou intrusão em um site e mudanças não autorizadas, como inserir código malicioso, links para sites externos, etc.;
  • Ataques de código maliciosos, como espalhar vírus / worm / trojan / bots / spyware / ransomware / criptominers;
  • Ataque a servidores como baseados no banco de dados, correio e DNS e dispositivos de rede, como roteadores;
  • Roubo de identidade, falsificação e ataques de phishing;
  • Negação de serviço e negação distribuída de ataques de serviço;
  • Ataques à infraestrutura crítica, SCADA e sistemas de tecnologia de operação e redes sem fio;
  • Ataques a aplicações como governança eletrônica, comércio eletrônico, etc.;
  • Violação de dados;
  • Vazamento de dados;
  • Ataques a dispositivos da Internet das Coisas e sistemas associados, redes, software e servidores;
  • Ataques ou incidentes afetam os sistemas de pagamento digital;
  • Ataques através de aplicativos móveis maliciosos;
  • Aplicativos móveis falsos;
  • Acesso não autorizado a contas de mídia social;
  • Ataques ou atividades maliciosas / suspeitas que afetam os sistemas de computação em nuvem / servidores / software / aplicativos;
  • Ataques ou atividades maliciosas / suspeitas que afetam sistemas / servidores / redes / software / aplicativos relacionados a big data, cadeia de blocos, ativos virtuais, trocas de ativos virtuais, carteiras de custódia, robótica, impressão 3D e 4D, fabricação aditiva, drones;
  • Ataques ou atividades maliciosas / suspeitas que afetam sistemas / servidores / software / aplicativos relacionados à inteligência artificial e aprendizado de máquina.

Esses incidentes podem ser relatados ao certificado, (i) por e-mail ([email protegido]), (ii) telefone (1800-11-4949) ou (iii) fax (1800-11-6969). Os métodos e formatos de relatórios também estão disponíveis em www.cert-in.org.dentro e será atualizado de tempos em tempos.

As obrigações de conformidade sob as instruções se estendem a todas as entidades que possuem sistemas de computador, redes e / ou recursos na Índia, independentemente de a entidade ser incorporada na Índia ou fora da Índia.

Último modificado em 5 de janeiro de 2023

Penalidades civis de até aproximadamente € 570.341.28 (em 21 de dezembro de 2022) por não proteger dados, incluindo informações pessoais sensíveis, podem ser impostas por um oficial de adjudicação; Danos em um processo civil podem exceder este valor.

Penalidades criminais de até três anos de prisão ou multa até aproximadamente € 5.704.34 (em 21 de dezembro de 2022), ou ambos para divulgação ilegal de informação.

Separadamente, as instruções introduziram a penalidade de um termo de prisão extensível a 1 ano ou uma multa até aproximadamente € 1140.68 (em 21 de dezembro de 2022) ou ambos, por não fornecer informações para certificar ou não conformidade com as instruções.

Último modificado em 5 de janeiro de 2023

A lei não se refere diretamente ao marketing eletrônico. Recebendo desonestamente dados, banco de dados de computador ou software é uma ofensa. No entanto, em um desenvolvimento relacionado, a Autoridade de Segurança e Padrões de Alimentos da Índia (FSSAI) tornou obrigatório para os FBOs de comércio eletrônico (operadores de negócios de alimentos) para obter uma licença da Autoridade Central de Licenciamento. O comércio eletrônico FBO significa qualquer operador de negócios alimentar que realize qualquer uma das atividades da Seção 3 (n) da Lei de Segurança e Padrões de Alimentos, 2006, através do meio de comércio eletrônico. Curiosamente, a seção 3 (n) cobre toda a cadeia alimentar à medida que define “negócio de alimentos” como qualquer empresa, seja com fins lucrativos ou não, e seja público ou privado, realizando qualquer uma das atividades relacionadas a qualquer estágio de fabricação, processamento, embalagem, armazenamento, transporte, distribuição de alimentos, importação e inclui serviços de alimentação, serviços de catering, venda de alimentos ou ingredientes alimentares. Da mesma forma, outro conjunto de regras legais sendo referidas como “E-Commerce & The Legal Metrology (Packaged Commodities) Regras de Emenda, 2017,” A partir de 1º de janeiro de 2018, tornou obrigatório uma entidade de comércio eletrônico para garantir declarações obrigatórias sobre a mercadoria exibida na rede digital e eletrônica usada para transações de comércio eletrônico.

O regime de proteção ao consumidor na Índia foi recentemente revisado por meio de promulgação da Lei de Proteção ao Consumidor, 2019 (notificado em julho de 2020) (CPA 2019). De acordo com a CPA 2019, vendedores e prestadores de serviços têm a obrigação de, entre outros, não se envolver em práticas comerciais injustas, inclusive por meio de anúncios enganosos. Além disso, as regras de proteção ao consumidor (comércio eletrônico), 2020 (regras de comércio eletrônico) foram notificadas sob o CPA para regular as entidades de comércio eletrônico na Índia. Um ‘entidade de comércio eletrônico’ foi definido para significar qualquer pessoa que possua, opere ou gerencia instalações ou plataformas digitais ou eletrônicas para comércio eletrônico, mas não inclui um vendedor que oferece seus bens ou serviços à venda em uma entidade de comércio eletrônico do mercado. As entidades de comércio eletrônico são obrigadas a estabelecer um mecanismo de reparação adequado de queixas e queixas de consumidores devem ser reconhecidas pelo oficial de queixas dentro de uma linha do tempo estipulada. As entidades de comércio eletrônico são ainda necessárias para, entre outros, fornecer informações em relação a reembolso, troca, garantia, entrega, modo de pagamento, taxas e cobranças, processo de queixa e outras informações relevantes em sua plataforma. O preço (total e um rompimento) de bens ou serviços devem ser mencionados claramente e anúncios enganosos e deturpação são proibidos.

Em junho de 2022, a Autoridade Central de Proteção ao Consumidor (CCPA) emitiu diretrizes sobre a prevenção de anúncios e endossos enganosos para anúncios enganosos, 2022 (as diretrizes). As diretrizes estabelecem as condições para anúncios e condições não enlouquecentes e válidos para anúncios de iscas. As diretrizes proíbem a publicidade substituta e também estabelecem condições para anúncios direcionados para crianças. Além disso, as diretrizes também estabelecem tarefas de fabricante, provedor de serviços, anunciante e agência de publicidade.

As regras de privacidade também fornecem o direito de “optar por fora” do marketing por email, e a política de privacidade da empresa deve abordar práticas de marketing e coleta de informações. Além disso, o Registro Nacional de Not Call (NDNC) é efetivamente implementado pela Autoridade Reguladora de Telecomunicações da Índia (TRAI). A TRAI também estabeleceu o portal de preferência do cliente de comunicação comercial de telecomunicações, I I.e. Uma base de dados nacional contendo uma lista dos números de telefone de todos os assinantes que registraram suas preferências em relação ao recebimento de comunicações comerciais. As empresas de telemarketing podem perder sua licença por violação repetida das normas do DNC.

Último modificado em 5 de janeiro de 2023

Não há regulamentação de cookies, publicidade comportamental ou dados de localização. No entanto, é aconselhável obter o consentimento do usuário, como através de isenções de responsabilidade apropriadas.

No entanto, a Lei de TI contém crimes civis e criminais por uma variedade de crimes de computador:

  • Qualquer pessoa que introduza ou faça a introdução de qualquer contaminante de computador em qualquer computador, sistema de computador ou rede de computadores pode ser multado em aproximadamente € 570.341.28 (em 21 de dezembro de 2022) (por um oficial adjudicante); Danos em um processo civil podem exceder este valor. De acordo com a Lei de TI, ‘Contaminante do computador’ é definido como qualquer conjunto de instruções do computador projetadas:
    • Para modificar, destruir, registrar ou transmitir dados ou programas residentes em um computador, sistema de computador ou rede de computador; ou
    • Por qualquer meio para usurpar a operação normal do computador, sistema de computador ou rede de computadores;

    A evolução da Índia’s Regime de privacidade de dados em 2021

    Em 2017, a Suprema Corte da Índia declarou um julgamento histórico declarando o direito à privacidade como um direito fundamental sob a estrutura do direito à vida (artigo 21), conforme nossa Constituição . No entanto, uma lei de privacidade independente e abrangente não existe na Índia. Atualmente, a Lei de Tecnologia da Informação 2000 lida com regras suplementares, atua como a pedra angular legal para garantir a proteção de informações pessoais.

    Os legisladores e reguladores reconhecem progressivamente a importância dos dados para o crescimento econômico e tecnológico. Portanto, 2021 testemunhou os principais desenvolvimentos no espaço de privacidade e proteção de dados pessoais em vários setores.

    Em termos de legislação, o relatório do Comitê Parlamentar Conjunto sobre a Lei de Proteção de Dados proposta concedeu à Lei de Proteção de Dados de 2021 um novo tom e posse. O Reserve Bank of India desenvolveu restrições para agregadores de pagamentos e pedidos de empréstimos, enquanto o Bureau of Indian Diretelines formulou os padrões de privacidade de dados como uma estrutura de garantia para as empresas. O governo central também expulsou as regras de due diligência para os intermediários da Internet para regular.

    O que era 2021 sobre um ponto de vista de privacidade e proteção de dados pessoal?

    Esses desenvolvimentos resultam da adoção meteórica de tecnologia, alimentada por enormes redes de compartilhamento de dados criadas por entidades públicas e privadas. Essas redes dependem dos dados pessoais dos indivíduos. Na ausência de salvaguardas de privacidade adequadas, há um risco de que dados pessoais possam ser submetidos a acesso não autorizado.

    Lei de proteção de dados 2021

    O relatório do JPC abriu o caminho para o regime legal de privacidade e proteção de dados da Índia. O projeto ainda está para ser entregue no parlamento. No entanto, um ponto -chave da discussão é que o projeto de lei em sua forma atual propõe desvios de seus dois antecessores anteriores (rascunhos de 2018 e 2019).

    Uma mudança digna de nota é na forma de isenções estendidas às agências governamentais em relação ao processamento de dados. Essa isenção pode ser examinada à luz do recente julgamento da Suprema Corte no caso Pegasus Spyware, que envolve alegações contra o governo central por realizar vigilância em cidadãos indianos. O tribunal de Hon’ble constituiu um comitê para avaliar a violação do direito à privacidade e fazer recomendações sobre as leis atuais de vigilância para aumentar as práticas de proteção de dados. Portanto, uma abordagem prudente seria considerar trazer as agências governamentais sob o guarda -chuva do DPB para garantir a privacidade individual e aprimorar a segurança cibernética.

    Sob o rascunho mais recente, o DPB procura regular a coleção, armazenamento, transferência e uso de dados pessoais. Além disso, estende a disposição para entidades estrangeiras, caso os índios estejam sujeitos a suas atividades de processamento de dados.

    Os principais princípios do projeto incluem: consentimento individual, notificação de violação de dados, transparência (aviso prévio e política de privacidade que descreve práticas de processamento de dados), processamento baseado em propósito, segurança técnica e direitos de indivíduos que se separam de dados pessoais, como nome e ID de email ou dados pessoais sensíveis, como um número de segurança social. Os indivíduos teriam mais controle sobre o processamento de seus dados com esses direitos, pois seria capaz de remover, corrigir e acessar seus dados facilmente.

    Em agosto de 2021, a jurisprudência em gerenciamento de direitos de privacidade foi formulada. O Tribunal Superior de Madras negou provimento ao direito de um peticionário de ser esquecido, buscando que seus registros criminais e judiciais sejam eliminados após sua absolvição do caso. O tribunal emitiu a demissão porque o cumprimento de uma tarefa de interesse público superou o direito do indivíduo à privacidade. O Tribunal afirmou ainda que esses direitos seriam implementados com mais eficácia depois que a Índia aprovou uma lei de privacidade de dados.

    Vários requisitos estabelecidos pelo relatório do JPC e DPB revisado. Tomemos, por exemplo, as normas de localização de dados aplicáveis ​​a dados pessoais sensíveis e dados pessoais críticos (ainda a serem definidos pelo governo central). O fluxo de dados da Índia para um país no exterior seria restrito.

    Essas normas talvez sejam uma manifestação das preocupações econômicas, de segurança nacional e de dados da Índia. Os dados dos índios devem ser armazenados principalmente na Índia e podem ser transferidos se o indivíduo fornecer consentimento, um contrato devidamente aprovado pelo DPA estiver em vigor ou a entidade receptora pode demonstrar conformidade com as leis de proteção de dados aplicáveis. A entidade receptora também pode implementar.g., criptografia e controle de acesso) e administrativo (e.g., Política de Privacidade e Processo de Gerenciamento de Brecha) Salvaguardas para validar essas transferências de dados.

    As preocupações flagrantes com as normas de localização são os custos e recursos técnicos necessários para segregar dados e criar um único ponto de falha, pois os dados teriam que ser armazenados apenas em um servidor na Índia, em oposição à prática convencional de utilizar servidores distribuídos em várias jurisdições.

    O projeto de lei depende muito do consentimento como um parâmetro para o processamento de dados, exigindo organizações para permitir que os indivíduos criem uma plataforma de gerente de consentimento para obter, retirar, revisar e gerenciar o consentimento de maneira acessível, transparente e interoperável. Embora a ideia pareça nova, ela cai em águas desconhecidas.

    À medida que aguardamos a aprovação deste projeto no Parlamento, podemos deduzir que exige que as organizações renovem suas práticas operacionais em relação a processos relacionados a dados e incorpore privacidade em seus procedimentos de negócios.

    Banca e finanças

    Com base no princípio de privacidade de minimização de dados , em que apenas esses elementos de dados devem ser coletados e armazenados alinhados para processamento; O RBI divulgou “Diretrizes sobre regulamentação dos agregadores de pagamento e gateways de pagamento.”Essas diretrizes buscam restringir os agregadores de pagamento que facilitam os pagamentos entre usuários e comerciantes usando modos de pagamento eletrônico/on -line de cartões de armazenamento e dados associados (e.g., Número do cartão e CVV).

    O RBI também reconheceu a crescente escassez de segurança de dados e privacidade no setor de empréstimos digitais. Como houve uma penetração exponencial de aplicativos de empréstimos digitais, o RBI formulou um grupo de trabalho para avaliar a maturidade das práticas de privacidade implementadas e recomendou que os dados só devem ser armazenados em servidores indianos.

    O escopo da avaliação incluiria a transparência das atividades de processamento de dados, se um aviso ou política de privacidade está em vigor, mecanismo de consentimento e gerenciamento de direitos para ajudar os usuários a alterar ou excluir seus dados. O grupo de trabalho também estudaria a quebra de requisitos de limitação de propósito, pois frequentemente os dados dos clientes são usados ​​para assediá -los.

    Bureau of Indian Standards on Data Privacy

    IS 17428 é o mais recente padrão emitido pelo BIS para governar práticas de garantia de privacidade de dados de organizações. Este padrão fornecerá uma estrutura para estabelecer, implementar, manter e atualizar práticas de gerenciamento de privacidade de dados. O padrão tem duas partes. O primeiro prevê requisitos técnicos e administrativos para proteger a privacidade de dados pessoais e sensíveis ao projetar um produto ou serviço que envolveria a coleta dos dados de um indivíduo. A segunda parte enumera certas diretrizes para aumentar a implementação dos requisitos na primeira parte do padrão.

    Embora a primeira parte seja obrigatória para garantir a conformidade com o padrão, a segunda parte é apenas uma sugestão. Como a Índia não possui uma lei abrangente de privacidade de dados, seria digno de nota ler esse padrão em conjunto com os requisitos de conformidade sob a tecnologia da informação (práticas e procedimentos de segurança razoáveis ​​e dados ou informações pessoais sensíveis), 2011, para desenvolver práticas seguras de privacidade de dados, conforme padrões como IS0 27001 .

    A área cinzenta aqui é a falta de orientação sobre se a implementação do padrão mais recente seria suficiente para cumprir as regras do SPDI. Portanto, as organizações seriam obrigadas a implementar é 17428 e tratá -lo como um ponto de referência para cumprir as regras SPDI e a próxima Lei de Proteção de Dados.

    Comunicações

    Ao tentar equilibrar os direitos de privacidade sobre a escala de pesagem de segurança e ordem pública, o Ministério da Eletrônica e Tecnologia da Informação codificou a tecnologia da informação (diretrizes intermediárias e o código de ética da mídia digital), 2021 . Essas regras fornecem requisitos de due diligence e a idéia é identificar o primeiro criador de qualquer informação transmitida por mídias sociais e plataformas de mensagens. No entanto, esse requisito não se estende ao conteúdo das mensagens eletrônicas. Atualmente, esse requisito de rastreabilidade está sendo revisado pelo Tribunal Superior de Délhi para julgar sua constitucionalidade em relação ao direito à privacidade. Embora o governo tenha esclarecido que não tem intenção de violar o direito à privacidade, resta saber se a extensão das divulgações obrigatórias afetaria o conteúdo real das mensagens que estão sendo comunicadas, pois a base para o rastreamento é a soberania e a segurança do Estado.

    O escritor de tecnologia e finanças Byrne Hobart observou famosamente que “o objetivo de se comunicar é violar sua própria privacidade de uma maneira controlada.”Talvez essas palavras tenham inspirado o WhatsApp, atualmente sob escrutínio legal para os termos de uma política de privacidade alterada. De acordo com a política, os usuários podem “optar” para compartilhar dados com o Facebook para continuar usando o WhatsApp Services. A Comissão de Concorrência da Índia lançou uma investigação sobre o impacto potencial das novas regras do WhatsApp no ​​mercado indiano. A principal preocupação é que a opção viole as características essenciais do consentimento legítimo (transparente, retirado e livre de consequências, como negação de serviços).

    A estrada à frente

    Reguladores, legisladores, o judiciário e a indústria podem esperar que 2022 seja um ano movimentado. Faz mais de três anos desde que o regulamento geral de proteção de dados da UE entrou em vigor, e a Índia está prestes a seguir a liderança da UE e otimizar seus regulamentos de proteção de dados, mesmo que haja relatos sobre uma possível reformulação da conta . A interação dos regulamentos específicos do setor e uma lei geral sobre proteção de dados possivelmente desencadeariam deliberações e ações em uma ampla variedade de preocupações com a privacidade. Além disso, com a rápida adoção de tecnologias de ponta, como blockchain e IA, seria um esforço digno de rastrear e estudar como o atual grupo de regulamentos seria aplicado a estruturas baseadas em descentralização e anonimização. Enquanto isso, as organizações devem considerar a realização de auditorias periódicas e avaliações de seus procedimentos de privacidade para visualizar melhor os tipos de dados que coletam, seu fluxo dentro da empresa, linhas de tempo e locais de armazenamento e iniciar as etapas de remediação para fechar todas as lacunas que observarem.

    Foto de Srikanth D em Unsplash

    Índia: Lei de proteção de dados promove a vigilância do estado

    Trabalhadores do Partido do Congresso gritam slogans durante um protesto acusando o primeiro -ministro Narendra Modi

    (Nova York) – O governo indiano deve alterar sua proposta de lei de proteção de dados para proteger as pessoas’S Privacidade em vez de permitir a vigilância estatal desmarcada, disse hoje a Human Rights Watch. O governo enviou o projeto de lei de proteção de dados de dados pessoais digitais, 2022, para consulta pública antes de apresentar a medida no Parlamento e deve incorporar feedback de grupos da sociedade civil e especialistas em direitos digitais.

    A conta de proteção de dados pessoal digital é a última tentativa do governo central do Partido Bharatiya Janata (BJP) de promulgar a Índia’S Primeira Lei de Privacidade de Dados, após uma versão anterior, introduzida no Parlamento em dezembro de 2019, foi lançada em agosto de 2022. Os legisladores da oposição, empresas de tecnologia e grupos de defesa criticaram a conta de proteção de dados anterior, mas o rascunho atual também não aborda suas principais preocupações, incluindo não fornecer proteções adequadas para crianças.

    “Índia’s proposto a lei de proteção de dados mina a todos’s, incluindo crianças’s, direitos fundamentais à privacidade e segurança, aumentando o poder do Estado de conduzir a vigilância,” disse Meenakshi Ganguly, diretor da Ásia do Sul da Human Rights Watch. “Com mais e mais dados se tornando disponíveis em plataformas digitais, o governo indiano precisa tornar a proteção das pessoas’s privacidade e segurança uma prioridade.”

    O projeto atual, como o draft de 2019, concederia poderes abrangentes ao governo além das exceções razoáveis ​​para se isentar do cumprimento da conta’s Proteção de dados por razões vagas e sobrecarregadas. Estes incluem o “Interesses da soberania e integridade da Índia, segurança do estado, relações amigáveis ​​com estados estrangeiros, [ou] manutenção da ordem pública.” O projeto de lei não elabora suas interpretações de segurança e ordem pública, termos que o governo há muito abusou de violar a liberdade de expressão e os direitos do devido processo dos críticos do governo. Nem define padrões para soberania, integridade ou relações amigáveis ​​com estados estrangeiros.

    Essa falta de especificidade não atende ao padrão para invasões do direito à privacidade sob a decisão da Suprema Corte de 2017 em Puttaswamy v. União da Índia, Human Rights Watch disse. Também é inconsistente com a lei internacional de direitos humanos, que exige que qualquer restrição de privacidade seja necessária e proporcional para abordar um objetivo legítimo.

    O projeto de lei de proteção de dados não prevê salvaguardas ou supervisão independente desses poderes do governo e, em vez disso, propõe um conselho de proteção de dados cujos membros seriam nomeados e removidos, e cujos termos e condições de serviço seriam prescritos pelo governo.

    Essa ausência de cheques facilitaria a vigilância e possíveis violações em massa das pessoas’s privacidade. O governo do BJP já não estava disposto a responder a alegações sobre o uso do spyware pegasus produzido por israelense para atingir jornalistas e ativistas. Ele também não cooperou com o comitê criado pelo Supremo Tribunal para investigar o uso de spyware de pegasus em cidadãos indianos.

    As preocupações de vigilância vêm em meio ao governo do BJP’s intensificando repressão à liberdade de expressão e assembléia pacífica, e sua aplicação das regras da tecnologia da informação (diretrizes intermediárias e código de ética da mídia digital), 2021. Essas regras permitem um maior controle governamental sobre o conteúdo on -line, ameaçam enfraquecer a criptografia e prejudicariam seriamente os direitos à privacidade e liberdade de expressão online.

    As autoridades prenderam e processaram cada vez mais defensores dos direitos humanos, manifestantes pacíficos e membros de minorias religiosas em casos politicamente motivados, inclusive sob o contraterrorismo, sedição e leis de segurança nacional. Há evidências de que os números de telefone de vários ativistas atualmente presos por acusações de terrorismo estavam na lista de alvos de spyware de pegasus vazado. Em alguns casos, seus advogados, parentes e amigos também estavam na lista.

    Na Índia, a vigilância é governada pela Lei Telegraph de 1885, juntamente com a Lei de Tecnologia da Informação de 2000. Embora a Suprema Corte tenha declarado duas vezes, em 1997 e em 2017, que uma ordem de vigilância só pode ser aprovada quando estritamente necessário e se não houver alternativa, a falta de escrutínio independente e mecanismos de relatório eficazes resulta em uma falta de responsabilidade.

    A Lei de Proteção de Dados proposta não conseguirá proteger os direitos dos usuários, a menos que garante a supervisão das agências governamentais responsáveis ​​pela realização de vigilância. Uma lei de proteção de dados que afirma os direitos deve fornecer escrutínio independente da vigilância do governo para garantir que qualquer interferência com o direito à privacidade seja necessária e proporcional, disseram a Human Rights Watch.

    O projeto de lei também falha em proteger as crianças on -line e as expõe ainda mais a riscos conhecidos e emergentes facilitados pela tecnologia. A conta excluiria todas as referências anteriores à proteção de uma criança’são os melhores interesses quando online, propondo proteger as crianças de definições excessivamente estreitas de “ferir,” como danos físicos. Embora o projeto proibisse a publicidade comportamental para as crianças, não protege as crianças das muitas formas de exploração que elas podem enfrentar através do uso indevido de seus dados, como discriminação, lesão mental ou exploração econômica ou sexual. Tampouco fornece remédios legais específicos para crianças que buscam justiça e reparação pela violação de seus direitos no ambiente digital.

    O governo deve tomar um cuidado especial para proteger as crianças em contextos em que elas, ou seus guardiões, não podem consentir significativamente como sua privacidade de dados é tratada. Em uma investigação global dos produtos de aprendizagem on-line endossados ​​por 49 governos durante a pandemia CoVid-19, a Human Rights Watch examinou o Diksha, um aplicativo construído e usado pelo Ministério da Educação da Índia como seu principal meio de entregar educação on-line aos estudantes nas séries 1 a 12. Para impulsionar a adoção, alguns ministérios da educação estadual definem cotas para os professores do governo obrigarem seus alunos a baixar o aplicativo.

    Human Rights Watch descobriu que Diksha tinha a capacidade de coletar crianças’S Dados precisos de localização, incluindo a data e a hora de sua localização atual e seu último local conhecido. Diksha também foi encontrado coletando e transmitindo crianças’s Dados pessoais para Google através de um rastreador projetado para usos de publicidade.

    Nada na conta impediria essas violações das crianças’Os direitos no futuro, disseram a Human Rights Watch. A lei proposta deixaria de proteger as crianças em salas de aula físicas e on -line, pois os alunos não podem recusar ou se proteger de maneira realista contra essa vigilância de dados sem comprometer sua educação.

    Protegendo uma criança’Os melhores interesses abrangem mais do que protegê -los de danos. Consistente com a Convenção das Nações Unidas sobre os direitos da criança, as crianças têm direito a salvaguardas e cuidados especiais, incluindo proteções legais, em todas as etapas de suas vidas. O governo deve reconhecer e proteger crianças’S dados e uso da tecnologia para capacitar as crianças a realizar toda a gama de seus direitos, incluindo aqueles para privacidade, expressão, pensamento, associação e acesso à informação.

    O governo deve alterar o projeto de lei para exigir que todos os atores apliquem os níveis mais altos de proteções de privacidade para crianças’s dados. O governo também deve exigir qualquer processamento de crianças’s Dados para atender aos requisitos rígidos de necessidade e proporcionalidade, independentemente do consentimento. Vigilância digital ou processamento automatizado de crianças’Os dados não devem ser rotineiros, indiscriminados ou sem a criança’conhecimento ou direito de recusar. A lei também deve estabelecer mecanismos judiciais e não judiciais eficazes especificamente para as violações das crianças’s direitos relacionados ao ambiente digital.

    “Índia’a Lei da Primeira Proteção de Dados deve respeitar as pessoas’s Direitos, não se tornam uma ferramenta para uma invasão mais aprofundada de sua privacidade,” Ganguly disse. “O governo também deve realizar a reforma da vigilância que garanta supervisão independente e autorização judicial, ao mesmo tempo em que proporcionam remédios eficazes.”