Pochi giorni fa, il governo ha notificato le Norme sulla protezione dei dati personali digitali 2025, pubblicizzate come prova del fatto che l'India sta finalmente prendendo sul serio la privacy. Sulla carta, promettono maggiori diritti dei cittadini, maggiore fiducia e una reale responsabilità nell'economia digitale. Tuttavia, come si evince chiaramente dalle clausole scritte in piccolo, il nuovo quadro normativo indiano sui dati fa qualcosa di molto diverso: conferisce ampi poteri allo Stato, imponendo al contempo pesanti oneri a giornalisti, start-up e consumatori.
Per un Paese che si vanta di essere la più grande democrazia del mondo e una superpotenza digitale in ascesa, questo dovrebbe preoccuparci. Sulla carta, il quadro normativo del DPDP promette controllo e consenso. Ma per milioni di indiani, soprattutto per coloro che fanno affidamento su una stampa indipendente e sul Diritto all'Informazione per responsabilizzare il potere, queste regole minacciano di compromettere la trasparenza stessa che mantiene sana la democrazia. Due dei più importanti organismi di controllo dei media del Paese, DIGIPUB e l'Editors Guild of India, hanno lanciato l'allarme. Il loro messaggio è semplice: le nuove regole potrebbero rendere il giornalismo stesso un'attività basata sul consenso. Se la raccolta di notizie di routine viene reinterpretata come "elaborazione dei dati", i giornalisti potrebbero aver bisogno del consenso delle stesse persone su cui stanno indagando. Questa non è tutela della privacy. È una museruola. E le conseguenze non si fermano alla redazione.
Le norme indeboliscono il quadro normativo RTI diluendo il principio di prevalenza dell'interesse pubblico, un principio che consente a giornalisti e cittadini di accedere e pubblicare informazioni sensibili quando gli interessi pubblici prevalgono sui potenziali danni causati dalla divulgazione. Questa tutela ha permesso di denunciare la corruzione, denunciare illeciti e dare potere ai cittadini comuni per quasi due decenni. Allo stesso tempo, la Regola 23 conferisce al governo l'autorità di richiedere dati personali a qualsiasi piattaforma o azienda, senza avvisare l'utente i cui dati vengono consultati. Alle aziende è esplicitamente vietato avvisare quando lo Stato bussa alla porta. Quindi, mentre i cittadini potrebbero presto essere costretti a superare ulteriori ostacoli per accedere alle informazioni, lo Stato ottiene una corsia preferenziale.
Questo squilibrio comporta un costo elevato. L'economia digitale indiana prospera perché i consumatori affidano le proprie informazioni alle piattaforme. Le start-up innovano perché non sono impantanate nella burocrazia. I giornalisti indagano perché possono proteggere le proprie fonti. Gli attivisti RTI pongono domande difficili perché sanno che la legge li sostiene. Con il nuovo regime, questi pilastri vacillano. Piccole imprese e startup ora devono affrontare gli stessi audit più severi, valutazioni d'impatto annuali e certificazioni di conformità che persino i giganti della tecnologia globale devono rispettare. Questo è un duro colpo per l'ecosistema delle start-up indiane, che sta già lottando contro i periodi di inattività finanziaria e le difficoltà normative. Questa non è una protezione; è un ostacolo. Quando le giovani aziende sono costrette a dirottare le loro scarse risorse sulla burocrazia invece di sviluppare prodotti, l'innovazione soffoca, la concorrenza e i consumatori pagano il prezzo più alto.
E per giornalisti, ricercatori e organismi di controllo dell'interesse pubblico, l'effetto paralizzante è immediato. Quando il confine tra segnalazione e "trattamento di dati personali" diventa labile, l'eccessiva conformità diventa la scelta sicura e antidemocratica. Non si tratta di rifiutare la protezione dei dati. Gli indiani meritano norme di protezione della privacy migliori, regole trasparenti, garanzie più solide e una maggiore responsabilità da parte delle piattaforme che gestiscono i nostri dati. Ma la privacy non può avvenire a costo di indebolire le istituzioni che difendono la nostra libertà. Una legge che pretende di dare potere ai cittadini, mentre rafforza la sua presa sulla stampa e limita la trasparenza, non salvaguarda né la democrazia né i consumatori. Il mondo ci mostra già cosa succede quando le leggi sulla protezione dei dati vanno troppo oltre. Il GDPR europeo, nonostante le sue buone intenzioni, ha creato un labirinto di conformità che ha danneggiato le piccole imprese e consolidato il predominio delle Big Tech.
L'innovazione si è bloccata, gli operatori più piccoli hanno sofferto e i consumatori hanno perso concorrenza e scelta. L'India rischia di ripetere gli stessi errori, ma questa volta potrebbe portare a una minore trasparenza interna e a una stampa ancora più vincolata a mettere in discussione l'autorità. Un percorso più intelligente è possibile. Il governo deve introdurre un'esenzione giornalistica esplicita per proteggere giornalisti, informatori e indagini di interesse pubblico, e ripristinare il principio di prevalenza dell'interesse pubblico nell'ambito delle indagini di interesse pubblico (RTI) che da tempo consente ai cittadini di chiedere conto al potere.
E deve garantire che le garanzie sulla privacy non si trasformino in una maggiore sorveglianza o in un accesso incontrollato ai dati personali. L'India ha già costruito infrastrutture pubbliche digitali audaci in passato, come UPI, CoWIN e DigiLocker. Ma il successo di questi sistemi è nato da chiarezza, apertura e fiducia. Non dall'opacità. Non dall'incertezza. Non dal silenzio di fronte alle preoccupazioni democratiche. Un regime equo di dati dovrebbe responsabilizzare i cittadini, non intimidirli. Dovrebbe rafforzare il loro controllo sui dati personali, non creare regole che li portino a dubitare dello Stato. Proteggere i consumatori, non gravare sugli innovatori.
Originariamente pubblicato qui
