Studenți la Universitatea de Educație din Indonezia. Imagine de Nadiantara de pe Wikimedia Commons, (CC BY-SA 4.0).

Acest articol a fost redactat la cererea OPTF, producătorii aplicației de mesagerie Session.

Mult așteptata lege privind protecția datelor cu caracter personal din Indonezia a fost aprobată de parlament pe 20 septembrie 2022. Deși proiectul inițial a fost înaintat parlamentului în 2016, adoptarea acestei legi a fost tergiversată din cauza dezacordurilor dintre guvern, parlament și societatea civilă privind detalii importante, precum ce entitate va servi drept organismul de supraveghere care va aplica măsura.

Guvernul a preferat ca Ministerul Informației și al Tehnologiei să fie organismul de supraveghere, o alegere criticată de parlament și organizațiile societății civile, care insistă asupra unui organism independent de guvern. Dezbaterea a dus la un blocaj legislativ, părțile interesate așteptând ca președintele indonezian Joko Widodo (Jokowi) să desemneze un organism de control.

Datele sunt în pericol

Deși legea privind protecția datelor prevede sancțiuni grave, inclusiv amenzi pentru corporații și pedeapsa cu închisoarea, aprobarea sa nu pune nicidecum capăt dezbaterii privind protecția datelor în Indonezia. În 2022 au avut loc dezbateri și discuții aprinse despre drepturile și reglementările digitale, precum și despre protecția datelor în presa și spațiul virtual din Indonezia. Acestea au fost generate de eșecuri repetate, printre care încălcări ale securității datelor de către instituții guvernamentale, înregistrarea obligatorie pentru operatorii privați de sisteme electronice (ESO) și încălcări ale societăților comerciale care au dus la furtul și vânzarea informațiilor cetățenilor de către hackeri.

Înregistrarea obligatorie a operatorilor privați a atras îngrijorări legate de confidențialitatea datelor și cenzură. Unele companii, precum Yahoo, Paypal și Steam, au fost blocate după ce au omis să se înregistreze. Acest fapt a declanșat imediat proteste; hashtagul #BlokirKominfo a împânzit spațiul virtual, iar oamenii au protestat împotriva Ministerului indonezian al Informației și Tehnologiei (KOMINFO) pentru haosul generat.

Reglementarea privind ESO ar fi trebuit să protejeze datele cetățenilor indonezieni și să ofere autorităților abilitatea de a supraveghea operațiunile ESO. Cu toate acestea, au apărut îndoieli privind eficacitatea reglementărilor privind protecția datelor când guvernul a lansat PeduliLindung, o aplicație pentru monitorizarea cazurilor de COVID-19, care a fost obligatorie în timpul pandemiei pentru cei care doreau să zboare, să folosească transportul în comun, să intre în malluri sau să viziteze locuri publice. Aplicația a întâmpinat probleme tehnice de mai multe ori, în ciuda garanțiilor guvernului că va îmbunătăți aplicația. Activiștii spațiului digital au continuat să fie îngrijorați de modul în care aplicația procesa informațiile medicale sensibile, iar temerile lor că guvernul nu poate păstra în siguranță datele cetățenilor au revenit când certificatul de vaccinare al președintelui Joko Widodo a fost publicat online.

Tehnologia digitală e nelipsită din viața cotidiană, ceea ce presează guvernul indonezian să creeze legi care reglementează și protejează oamenii în spațiul virtual. Unele reglementări cibernetice, precum cunoscuta lege a tranzacțiilor și informațiilor electronice, au pus probleme la implementare.

În loc să protejeze oamenii de cyberbulling și fraudă, această reglementare a fost folosită pentru a-i ataca pe criticii reglementărilor și politicilor guvernamentale. Mai mult decât atât, victimizează oameni care îi critică pe alții în viața de zi cu zi. Unele postări ale internauților au fost incriminate doar pentru că includeau nemulțumiri despre ceva sau cineva de pe rețelele sociale. Nici jurnaliștii care raportează despre problemele statului nu au fost feriți de această reglementare. Institutul pentru Reforma Justiției Penale a declarat că guvernul ar trebui să acorde atenție celor cinci probleme fundamentale ale acestei legi, întrucât pun în pericol libertatea de exprimare.

Măsurile pentru protecția datelor continuă să fie insuficiente împotriva aplicațiilor digitale și platformelor de comerț electronic private, care colectează constant din ce în ce mai multe informații personale de la clienții lor. Când datele platformelor indoneziene de comerț electronic BukaLapak și Tokop au fost făcute publice și vândute pe dark web, potrivit surselor, guvernul nu a luat nicio măsură semnificativă. Platformele au declarat că își vor actualiza infrastructura de securitate. Cu toate acestea, consumatorii nu au primit nicio compensație sau vreun sprijin concret.

În septembrie 2022, a avut loc o altă scurgere semnificativă de date, fiind compromise informațiile a peste 105 milioane de cetățeni deținute de o instituție guvernamentală. Hackerii le vindeau prin intermediul unui forum. Reiterăm: nu există niciun mecanism care să le permită cetățenilor să facă sesizări sau să ia măsuri în privința incidentului, iar guvernul a întreprins prea puține acțiuni în urma acestuia.

Ce urmează?

Activiștii spun că ideal ar fi ca atunci când datele cetățenilor sunt colectate de actori din sectorul privat, guvern etc. pentru propriul interes, aceștia ar trebui obligați să declare cum gestionează informațiile, menționând măsuri de protecție și cum vor acționa în cazul unei breșe de securitate. De asemenea, consumatorii ar trebui să aibă dreptul de a intenta procese colective împotriva celor care neglijează protecția datelor.

Unele organizații ale societății civile din Indonezia și-au unit forțele și au adunat reclamații de la cetățeni sau grupuri care au fost afectate de scurgeri de date la scară mare. Acestea speră să faciliteze acțiunile colective în justiție împotriva guvernului, ca urmare a neglijenței în ce privește protecția datelor cetățenilor.

Însă dreptate se va face doar dacă există reglementări privind protecția datelor, care apără cetățenii copleșiți de traficul de date, practicile privind comerțul electronic și colectarea de informații personale de către instituții (inclusiv cele guvernamentale). De asemenea, e nevoie de un sistem prin care cetățenii să poate reclama utilizarea abuzivă a datelor. Apoi, sesizările acestea trebuie gestionate de autoritățile de reglementare și investigate, pentru a decide severitatea erorilor comise de instituții.

Sunt foarte multe de făcut în privința drepturile digitale acum că legea pentru protecția datelor cu caracter personal a fost aprobată. Organizațiile societății civile au precizat că guvernul pare scutit de la obligația de a proteja datele cetățenilor, deși colectează informațiile acestora la scară mare.

Totodată, încă nu este clar ce instituție va procesa datele și va fi trasă la răspundere în cazul unei breșe de securitate. Totuși, mai este mult până la consolidarea protecției datelor în Indonezia.

*Juliana Harsianti este o cercetătoare și jurnalistă independentă a cărei muncă se află la intersecția dintre tehnologia digitală și impactul social.