India no cambiará las próximas reglas de seguridad cibernética que obligan a las redes sociales, las empresas de tecnología y los proveedores de servicios en la nube a informar rápidamente sobre violaciones de datos, a pesar de las crecientes preocupaciones de la industria, dijo el miércoles el gobierno.

El Equipo de Respuesta a Emergencias Informáticas de la India emitió una directiva en abril solicitando a las empresas tecnológicas que informen las violaciones de datos dentro de las seis horas posteriores a la «observación de tales incidentes» y que mantengan registros de TI y comunicaciones durante seis meses.

También ordenaron a los proveedores de servicios en la nube como Amazon y las empresas de redes privadas virtuales (VPN) que conserven los nombres de sus clientes y las direcciones IP durante al menos cinco años, incluso después de que dejen de usar los servicios de la empresa.

Las medidas han generado preocupaciones dentro de la industria sobre una creciente carga de cumplimiento y costos más altos.

El ministro de TI junior de India, Rajeev Chandrasekhar, dijo que no habrá cambios a pesar de las preocupaciones, y dijo que las empresas de tecnología tienen la obligación de saber quién está utilizando sus servicios.

India ha endurecido la regulación de las empresas de Big Tech en los últimos años, lo que provocó el rechazo de la industria y, en algunos casos, incluso tensó los lazos comerciales entre Nueva Delhi y Washington.

Nueva Delhi ha dicho que las nuevas reglas eran necesarias ya que los incidentes de seguridad cibernética se informaban regularmente, pero los proveedores de servicios no siempre disponían de la información necesaria para investigarlos.

Pero las reglas han causado un descontento generalizado. En una reunión a puertas cerradas esta semana, muchos ejecutivos de empresas de tecnología y redes sociales discutieron estrategias para instar a Nueva Delhi a suspender las reglas, según una fuente con conocimiento directo.

La fuente dijo que las autoridades europeas requieren que las violaciones de datos se informen dentro de las 72 horas, y agregó que era difícil informar incidentes en seis horas.

Chandrasekhar, sin embargo, dijo que India estaba siendo generosa, ya que algunos países exigen informes inmediatos.

Las reglas entrarán en vigor a partir de finales de junio. Después de que se anunciaran, NordVPN, uno de los proveedores de VPN más grandes del mundo, dijo que podría eliminar sus servidores de la India.

Los activistas de la privacidad han dicho que las reglas contradicen la idea de VPN, que es proteger la identidad de las personas, como los denunciantes, de la vigilancia.

«Si no quieres seguir estas reglas y quieres retirarte, entonces, francamente… tienes que retirarte», dijo Chandrasekhar a los periodistas.

Con Reuters