In Asia, poco più della metà dei Paesi ha adottato una legislazione per garantire data protection e privacy. Solo il 57%, meno dell’Africa che raggiunge il 61%, meno della quota globale, pari al 70%. Più per interessi politici ed economici, che per migliorare la mediocre posizione del suo continente emersa dai dati UNCTAD (Conferenza delle Nazioni Unite sul commercio e lo sviluppo), l’India ha deciso di fare un passo avanti. A metà novembre ha infatti pubblicato il suo Personal Data Protection Bill. Questo nuovo atto legislativo sostituisce un controverso e criticato tentativo risalente al 2019, ma scatena anch’esso diverse perplessità, nonostante si dica sia ispirato “all’esemplare GDPR”.
Diritto di privacy “a discrezione del governo”: i timori degli esperti
Pur essendo prevalentemente focalizzato sui diritti dei cittadini, questo provvedimento contiene alcune novità anche per le imprese. Non solo sanzioni per chi non rispetta le regole, ma anche un importante allentamento delle norme che regolano il flusso transfrontaliero dei dati e un’attesa semplificazione dei requisiti di conformità per startup.
Sono due punti che potrebbero sconvolgere le dinamiche di mercato, anche a livello globale, ma che passano in sordina. Più “rumorose” sono infatti le critiche avanzate attorno alle modalità con cui si intende gestire la data privacy. L’approccio, secondo i più perplessi, sarebbe decisamente troppo centralizzato.
Il governo e le sue agenzie possono godere di ampie esenzioni dal rispettare alcuni dei requisiti più onerosi previsti dal disegno di legge. Anche l’indipendenza dei controlli è a rischio, perché il Consiglio per la Protezione dei Dati che si vorrebbe nominare, sarà composto da membri scelti “a discrezione del governo centrale”. Un passaggio “oscuro” che si unisce a tanti dettagli operativi ancora da definire. Ciò che alcuni esperti e il gruppo di attivisti Software Freedom Law Centre of India (SFLC) temono è un ulteriore accentramento della gestione, senza alcun organo che possa intervenire.
Un’altra osservazione avanzata dallo stesso gruppo riguarda i sette principi di protezione dei dati: utilizzo lecito, trasparente e corretto, limitazione dello scopo, minimizzazione dei dati, accuratezza dei dati personali, limitazione della conservazione, misure di sicurezza e misure di responsabilità. Seppur inseriti nel memorandum esplicativo, non sono presenti nel testo del disegno di legge.
Il confronto con altri paesi
Pur non potendola definire “un capolavoro”, l’iniziativa indiana non sembrerebbe però peggiore di altri quadri normativi già in vigore in molti altri Paesi, compresi USA e Cina.
Gli Stati Uniti più che alla privacy fanno riferimento alla “protezione della libertà”. Una definizione più vaga che ben si sposa con l’assenza di un insieme completo e generale di diritti o principi. Per le imprese esiste una regolamentazione settoriale limitata, mentre le attività del governo sono definite da alcuni Act come il Privacy Act, l’Electronic Communications Privacy Act, ecc.
La Cina ha aggiornato il suo quadro normativo nell’ultimo anno, emanando la legge sulla protezione delle informazioni personali (PIPL) per conferire nuovi diritti e prevenire l’uso improprio dei dati personali. Una iniziativa “governo-centrica” che impatta fortemente sulle aziende come anche la legge sulla sicurezza dei dati (DSL) che classifica per livelli di importanza i dati aziendali e impone nuove restrizioni ai trasferimenti transfrontalieri.
Non solo privacy: il piano India Digitale per attirare tecnologia
Non è un caso, quindi, che l’India abbia voluto ispirarsi al GDPR, legge in cui il diritto alla privacy è sancito come un diritto fondamentale. Coglie il suo intento di proteggere i cittadini, ma la reinterpreta rendendola uno dei tasselli di un’ampia visione politica di rilancio dell’intera economia digitale. Nelle stanze del governo, infatti, si sta preparando la strategia per l’India Digitale che sostituirà l’attuale IT Act.
Tra i protagonisti più attivi c’è l’autorità indiana di regolamentazione delle telecomunicazioni (TRAI). Mentre chiede un quadro più chiaro per la condivisione dei dati e la gestione del consenso, questo organo suggerisce di promuovere lo sviluppo di data center, internet exchange e reti di distribuzione di contenuti. Ha già in mente come: erogando sussidi per attirare gli investimenti e creando 33 “zone economiche per i data center”, con disponibilità di terreni ed elettricità.
Il progetto della futura India Digitale include anche sovvenzioni per attirare nuove stazioni di atterraggio di cavi sottomarini e norme più severe per limitare la pubblicazione di recensioni di prodotti falsi. Una piaga che affligge sempre di più un settore come l’e-commerce, in India particolarmente florido e attrattivo.