A Suprema Corte disse na quinta-feira que a definição do que constitui “dados públicos” e “dados privados” é crítica para decidir a validade da Lei de Proteção de Dados Pessoais Digitais de 2023 (DPDP) e das Regras relacionadas de 2025, uma vez que concordou em ouvir uma petição contestando a lei, juntamente com um grupo de petições semelhantes listadas no final deste mês.
O tribunal ouviu uma petição apresentada pelo jornalista Geeta Seshu ao Software Freedom Law Center (SFLC), que levantou preocupações sobre a vigilância governamental, isenções concedidas a agências governamentais para recolher dados privados, compensação em casos de acesso impróprio ou ilegal, e a falta de supervisão judicial e independência do Conselho de Proteção de Dados, que trata das reclamações.
Uma bancada chefiada pelo Chefe de Justiça da Índia (CJI) Surya Kant disse: “Em última análise, a questão a ser determinada é o que são dados públicos e o que é privado”. O tribunal emitiu um aviso da petição e publicou-a juntamente com um lote de petições contestando a Lei DPDP listada em 23 de março.
A defensora sênior Indira Jaising, representando os dois peticionários junto com o advogado Paras Nath Singh, disse que a lei cria sérias dificuldades para os jornalistas que dependem dela para obter informações sobre funcionários do governo. A Lei introduz uma proibição geral de divulgação de qualquer informação pessoal ao abrigo da Secção 8(1)(j) da Lei do Direito à Informação (RTI).
Jaisingh acrescentou: “A lei não define o que são dados públicos e o que são dados privados e isso requer intervenção judicial”.
A bancada, que também incluía os juízes Joimala Bagchi e Vipul M Pancholi, disse: “Uma pessoa, desde que ocupe cargos públicos… pode tratar informações relativas a essa pessoa como dados privados. Queremos que vocês sugiram situações hipotéticas em que esse problema possa surgir.”
Jaising disse que, de acordo com o RTI, os comissários de informação têm o poder de determinar quais informações são de interesse público. Com esta lei, essa discricionariedade foi eliminada, argumentou ela.
Entretanto, o Estado pode “exigir qualquer informação, mesmo por razões de ordem pública…”
Além disso, ela observou que a lei também eliminou a disposição de compensação a um indivíduo se os seus dados fossem acedidos ilegalmente ou violados. A lei revoga a seção 43A da Lei de Tecnologia da Informação de 2000, que previa compensação para indivíduos cujos dados foram violados ilegalmente.
Finalmente, “há receios de vigilância estatal e quaisquer reclamações serão tratadas pelo Conselho de Protecção de Dados (DPB), que não é independente e não tem supervisão judicial”, acrescentou Jaisingh.
O tribunal disse: “Vamos enquadrar a questão para consideração. Tem que haver um equilíbrio entre o direito à privacidade e o direito à informação. Nenhum dos direitos deve atrapalhar o outro direito.”
O tribunal disse a Jaising que estava considerando questões de privacidade em outro caso envolvendo WhatsApp e Meta sobre suas políticas de compartilhamento de dados. “Lá, os dados de todos os cidadãos passam para as mãos de um particular. Os dados tornam-se uma verdadeira riqueza.”
Jaising disse ao tribunal que a petição desafia a Lei e as Regras do DPDP, que são mais amplas do que as questões levantadas nas petições apresentadas ao tribunal.
Nesta petição, foi apresentado que as Secções 7(c) e 17(2)(a) da Lei DPDP conferem ao Estado poderes irrestritos para orientar os administradores de dados a processar dados pessoais de cidadãos indianos num vazio jurídico. Além disso, dá ao Centro liberdade ilimitada para contornar a Lei DPDP e os Regulamentos no que diz respeito a princípios como processamento legal, justiça, transparência, consentimento informado, limitações de finalidade, minimização de dados, limitações de armazenamento e salvaguardas de segurança razoáveis.
A petição dizia: “Na ausência de supervisão judicial e quaisquer outras salvaguardas processuais, as leis do DPDP não cumprem os padrões de necessidade e proporcionalidade, permitindo ao estado acumular quantidades ilimitadas (em termos de variedade e quantidade) de dados pessoais sensíveis através de programas de vigilância em massa. Isto não só viola os princípios estabelecidos da Lei DPDP, mas também carece de padrões claros e vinculativos para impedir o processamento de dados de terceiros pelo estado”.
