Resumen y resultado del caso

Un tribunal de cinco jueces de la Corte Suprema de la India ratificó la validez constitucional de la Ley de entrega dirigida de subsidios, beneficios y servicios financieros y de otro tipo de 2016 («Ley Aadhaar») al tiempo que derogó ciertas disposiciones de la ley. Aadhaar, un número de identificación de 12 dígitos emitido por la Autoridad de Identificación Única de la India («UIDAI», por sus siglas en inglés) a los residentes de la India, permite un proceso más eficiente de prestación de varios planes de asistencia social. El programa fue objetado principalmente por motivos de invasión de los derechos fundamentales en virtud de los artículos 14, 19 y 21 de la Constitución de la India. La Corte consideró que el uso de Aadhaar para los planes de asistencia social era constitucional, ya que la Ley Aadhaar resistió las pruebas constitucionales de objetivo estatal legítimo, necesidad y proporcionalidad. También consideró que dado que el objetivo de la ley era crear una identificación única para que los beneficiarios merecedores pudieran acceder a subsidios o servicios (cuyo gasto se desembolsa del Fondo Consolidado de la India), la Ley Aadhaar fue aprobada válidamente como un proyecto de ley de carácter financiero. La Corte también ratificó la vinculación obligatoria de Aadhaar con las tarjetas PAN, al tiempo que declaró que la vinculación obligatoria de Aadhaar a cuentas bancarias era inconstitucional y desproporcionada. Más importante aún, la Corte consideró que las empresas privadas no podían exigir a los ciudadanos que brinden sus números de Aadhaar para la prestación de servicios.

---

Hechos

En 2012, el juez KS Puttaswamy presentó una solicitud de expedición de un mandamiento judicial objetando la validez constitucional del proyecto Aadhaar, que tenía como objetivo construir una base de datos de información biométrica e identidad personal de cada persona de nacionalidad india. Aadhaar es un número de identificación de 12 dígitos emitido por la Autoridad de Identificación Única de la India («UIDAI») a los residentes de la India y está vinculado con varios planes de asistencia social, lo que permite un proceso más eficiente de prestación de servicios y evita los falsos beneficiarios («proyecto Aadhaar”). El proyecto tenía como objetivo construir una base de datos de información biométrica e identidad personal de cada residente de la India; y para el 2018 tenía más de 1.100 millones de personas inscritas en la India.

Conceptualizado en 2006 para un proyecto preliminar para identificar familias que se encontraban por debajo de la línea de pobreza, el proyecto Aadhaar pasó por múltiples iteraciones antes de ser lanzado a nivel nacional a través de una acción administrativa en el año 2009. El 25 de marzo de 2016, el proyecto Aadhaar recibió la sanción legal con la promulgación de la ley de Entrega dirigida de subsidios, beneficios y servicios financieros y de otro tipo de 2016 (“Ley Aadhaar”). En virtud de la ley, la UIDAI se estableció como un organismo estatutario para desarrollar la política, el procedimiento y los sistemas para la emisión de los números Aadhaar a las personas y también para realizar la autenticación de acuerdo con las disposiciones de la ley. Todos los residentes de la India debieron enviar a una agencia de inscripción información demográfica (nombre, fecha de nacimiento y dirección) e información biométrica (fotografía, huella digital y escaneo del iris) en el momento de la inscripción («proceso de inscripción»). Notablemente, la agencia de inscripción es una entidad privada. Los datos se almacenan en el Repositorio Central de Datos de Identidad (“CIDR”, por sus siglas en inglés), que son bases de datos centralizadas que contienen todos los números Aadhaar, detalles demográficos e información biográfica de dichos individuos.

Si bien el proyecto está destinado a ayudar a recibir subsidios, beneficios y servicios al proporcionar una prueba de posesión de un número Aadhaar, un requisito adicional para las personas que solicitan tal beneficio es someterse a una autenticación cada vez, presentando no solo un número Aadhaar sino también proporcionando información biométrica a la agencia. Al recibir la información, la agencia (referida en la ley como “Entidad solicitante”) está obligada a enviar la solicitud a la UIDAI, que posteriormente realiza el acto de confirmar la identidad de la persona (“proceso de autenticación”). Una vez completado con éxito el proceso, la persona tiene derecho a recibir el beneficio.

Dada la imposición y el alcance de la ley para impactar en la privacidad de los residentes, el esquema atrajo un serio escrutinio público, lo que eventualmente llevó a una serie de casos presentados en su contra. El primero de estos casos fue presentado en 2012 por el juez KS Puttaswamy (un juez retirado del Tribunal Superior del estado indio de Karnataka) y Pravesh Khanna (un defensor), quienes presentaron una solicitud de expedición de un mandamiento judicial objetando la validez constitucional del proyecto Aadhaar principalmente por motivo de violación del derecho a la privacidad en virtud de la Parte III de la Constitución de la India.

En respuesta a la propuesta del gobierno de hacer que el esquema Aadhaar sea obligatorio para el acceso a los servicios y beneficios del gobierno, también se presentaron otras peticiones, objetando distintos aspectos del proyecto. La objeción se hizo inicialmente ante un tribunal de tres jueces de la Corte Suprema. En su orden del 11 de agosto de 2015, el tribunal señaló que las normas y la recopilación de datos biométricos demográficos por parte del gobierno fueron cuestionadas principalmente por violar el derecho a la privacidad. Sin embargo, el Fiscal General argumentó en nombre de la Unión de la India que la Constitución de la India no otorga protección específica al derecho a la privacidad. Basó esto en las observaciones hechas en el caso de M.P. Sharma v. Satish Chandra (un tribunal de ocho jueces) y Kharak Singh v. Uttar Pradesh (un tribunal de cinco jueces). Sin embargo, los demandantes objetaron que ambas sentencias se basaron en principios establecidos en 1950 en A.K. Gopalan v. el Estado de Madrás («Gopalan»), que fue desestimado por un tribunal de once jueces en Rustom Cavasji Cooper v. Unión de la India («Cooper») en 1970. En Cooper, el tribunal determinó que los derechos fundamentales no debían interpretarse como derechos distintos y no relacionados, por lo que defendió la opinión disidente en Kharak Singh. Esto también sentó la base de las decisiones posteriores de tribunales más pequeños de la Corte Suprema que reconocieron expresamente el derecho a la privacidad.

Ante una situación difícil y dada la importancia de la cuestión, se consideró conveniente una remisión a un tribunal más grande para decidir si existía un “derecho fundamental protegido constitucionalmente” a la privacidad. Fue en este contexto que se instaló una sala de cinco jueces por una orden del 11 de agosto de 2015. El 18 de julio de 2017, un Tribunal Constitucional consideró apropiado que el asunto fuera resuelto por un tribunal más grande de nueve jueces para decidir si la posición registrada por la Corte Suprema en M.P. Sharma y Kharak Singh (es decir, que no existe un derecho fundamental a la privacidad según la Constitución de la India) era la posición constitucional correcta. El tribunal de nueve jueces en Puttaswamy v. Unión de la India (“Puttaswamy I”) dio una respuesta unánime y determinó que el derecho a la privacidad es parte de los derechos fundamentales que se remontan a los artículos 14, 19 y 21 de la Constitución de la India. Después de la sentencia en Puttaswamy I, la Corte Suprema envió el asunto para la audiencia final ante el tribunal de cinco jueces en este caso.

---

Análisis de la Decisión

El tribunal de cinco jueces de la Corte Suprema de la India dictó sentencia. La cuestión principal ante la Corte era evaluar si las disposiciones de la Ley Aadhaar violaban el derecho fundamental a la privacidad en virtud de los artículos 14, 19 y 21 de la Constitución de la India.

Según la Constitución de la India, el artículo 14 garantiza el derecho a la igualdad, el artículo 19 garantiza el derecho a la libertad de palabra, expresión y reunión, y el artículo 21 garantiza a todas las personas el derecho a la vida y la libertad personal. La sentencia en Puttaswamy I garantizó el derecho a la privacidad como parte intrínseca del derecho a la vida y la libertad personal en virtud del artículo 21 de la Constitución de la India. Según la Ley Aadhaar de 2016, el capítulo II se ocupa de la inscripción y exige que todos los residentes obtengan el número Aadhaar enviando su información demográfica e información biométrica (sección 3). El capítulo III trata de la «autenticación», en el que la sección 7 establece que para recibir ciertos subsidios, beneficios y servicios, etc. será necesario presentar la prueba de un número Aadhaar. Otras secciones cruciales de la ley incluyen el capítulo IV que trata sobre el establecimiento de la UIDAI y el capítulo VI que delinea la seguridad de la información y los registros de autenticación de las personas y la restricción del intercambio de información biométrica. Notablemente, la información recopilada y almacenada se trata como un «registro electrónico» y «datos o información personal sensible» en virtud de la sección 30 de la ley. La sección 33 de la ley también pone un embargo sobre la UIDAI para recopilar, conservar o mantener cualquier información sobre el «propósito de la autenticación», excepto (a) en circunstancias en las que haya una orden de un tribunal no inferior a la de un juez de distrito para revelar dicha información (subsección 1) y (b) cuando sea necesario revelar la información en interés de la seguridad nacional (subsección 2). El artículo 57 de la ley establece que la Ley Aadhaar no impediría el uso de un número Aadhaar para establecer la identidad de una persona para cualquier propósito.

También se enmarcaron varias regulaciones según la ley, incluyendo (a) Regulaciones de Aadhaar (inscripción y actualización) de 2016 para recopilar información demográfica de todas las personas; (b) Regulaciones de Aadhaar (autenticación) de 2016 para proporcionar facilidades de autenticación y capturar, almacenar y mantener información biométrica; (c) Regulaciones de Aadhaar (seguridad de datos) de 2016 para garantizar la seguridad de la información; y (d) Regulaciones de Aadhaar (intercambio de información) de 2016 para regular el intercambio de información demográfica recopilada por la UIDAI.

En virtud de una mayoría unánime en Puttaswamy I, la Corte Suprema de la India declaró el derecho a la privacidad como un derecho fundamental. Con base en esta premisa, los demandantes argumentaron ante la Corte que el esquema Aadhaar era invasivo y “obligaba” a una persona que pretendía inscribirse a divulgar su información biométrica básica y entregarla a una entidad privada encargada de la recolección de dichos datos. Esto presentaba un riesgo grave de uso indebido de información privada vital, particularmente durante el proceso de autenticación cuando una persona no solo divulgaba su información biométrica a una entidad solicitante, sino que también revelaba a esa entidad el propósito y la naturaleza de la transacción que se supone que debía realizar la persona en ese momento. Dado que la información sobre el individuo y sus transacciones estaba conectada a una base de datos central, esto representaba un riesgo de vigilancia estatal al permitirle al Estado perfilar a los ciudadanos, rastrear sus movimientos, evaluar sus hábitos e influir en su comportamiento. Además, no había garantía de la protección de datos a ningún nivel. El proyecto tenía la propensión a causar la «muerte civil» de un individuo al interrumpir su Aadhaar. Así considerado, el proyecto rompía el equilibrio y sesgaba la relación entre el ciudadano y el Estado, permitiendo que el Estado dominara totalmente al individuo.

En términos generales, las objeciones se formularon por los siguientes motivos:

Vigilancia: que el proyecto creaba una arquitectura para la vigilancia masiva generalizada, permitiendo al Estado rastrear la ubicación de la persona que busca la autenticación y permitiéndole construir perfiles completos de los individuos a través de la convergencia de datos [basándose en Kharak Singh v State of UP (1964) 1 SCR 332, EE. UU. v. Jones 132 S.Ct. 945 (2012) (US), Zakharov v. Rusia (2015) Solicitud núm. 47143/2006 (ECtHR), Digital Rights Ireland Ltd. v. Ministerio de Comunicaciones, Asuntos Marítimos y Recursos Naturales [2014] All ER (D) 66 ( Apr) y S y Marper v. Reino Unido (2008) ECHR 1581].

Violación del derecho a la privacidad en virtud del artículo 19: que el proyecto violaba el derecho fundamental a la privacidad con respecto a la información demográfica y biométrica personal recopilada, almacenada y compartida; vulneraba la autonomía y dignidad individual; y violaba el derecho a la privacidad de la información al exigir que las personas se sometan a una autenticación obligatoria a través de la plataforma Aadhaar sin la opción de utilizar un modo alternativo de identificación. Específicamente, los demandantes también reclamaron que la ley permitía la recolección de datos de manera indiscriminada sobre todos los aspectos de una persona (datos biométricos, detalles demográficos, registros de autenticación, metadatos relacionados con la transacción), aunque dichos datos no tienen nexo con el supuesto objeto de los subsidios, por lo que violaba el principio de minimización de datos.

Violación del principio de autoridad limitada del Gobierno: que el proyecto rompía el principio de soberanía de las personas con autoridad limitada del Gobierno, que es la característica fundamental de la Constitución, al permitir un estado totalitario. Al hacer que Aadhaar sea obligatorio para diversos servicios públicos, el proyecto tenía un efecto desalentador en la autonomía de la gente.

Legislación colusoria: los peticionarios alegaron que la ley no seguía el procedimiento constitucional y se disfrazaba de «Money Bill» (un proyecto de ley que sólo se refiere a la fiscalidad nacional, al dinero público o a los préstamos), lo que hace que la ley sea nula por ser una legislación colusoria. Además, el objetivo del proyecto como “ejercicio de identificación” era ilegal y ultra vires.

Violación del artículo 14 y del artículo 21: que el procedimiento adoptado por la parte demandada para promulgar la Ley Aadhaar violaba el derecho a la igualdad en virtud del artículo 14 y el derecho a la vida y la libertad personal en virtud del artículo 21 ya que (a) no había consentimiento informado en el momento de la inscripción y el modelo fue invasivo, excesivo y desproporcionado, (b) los datos recopilados y cargados en el CIDR no fueron verificados por ningún funcionario del Gobierno designado por la UIDAI, (c) el procedimiento habilitaba tanto a la agencia de inscripción como a la Entidad Solicitante a capturar, almacenar y hacer mal uso de la información biométrica y demográfica sin que la UIDAI tenga ningún control sobre dicho uso y (d) la arquitectura de Aadhaar, por su propia naturaleza, al ser probabilística daba como resultado la exclusión de casos genuinos. La ley también viola el derecho a la protección contra la autoincriminación [declarado como un componente de la libertad personal en Selvi y Ors. v. Estado de Karnataka (2010) 7 SCC 263].

En respuesta al reclamo, la parte demandada argumentó principalmente tres motivos. En primer lugar, sólo se almacenan datos biométricos mínimos en el CIDR y no se recopilan «otros» datos con respecto a la religión, casta, tribu, idioma, registros de derechos, ingresos o historial médico de un individuo. En segundo lugar, dado que la información biométrica en el ecosistema de inscripción se transmite de forma encriptada, tanto el proceso de inscripción como el de autenticación eran infalibles, ya que UIDAI se limitaba a cotejar los datos biométricos y no almacenaba ni recibía ninguna otra información con respecto a la ubicación, el propósito o la naturaleza de la transacción. Finalmente, la información se recopila en silos y permanece archivada fuera de línea, y los datos se envían a los sistemas automáticos de identificación biométrica (“ABIS”, por sus siglas en inglés) en los centros de inscripción completamente anonimizados para garantizar la seguridad y privacidad de los datos.

El fallo mayoritario fue pronunciado por Sikri J., con quien coincidieron el jefe de justicia de la Corte Suprema de la India, Misra J. y Khanwilkar J.. Ashok Bhushan J. emitió una opinión separada pero concurrente. Chandrachud J. emitió la opinión disidente. Estas opiniones se resumen a continuación:

Opinión mayoritaria de Sikri J., del Jefe de justicia de la Corte Suprema de India Misra J. y de Khanwilkar J. que concurrieron:

La opinión mayoritaria comenzó analizando la jurisprudencia sobre diversas facetas de la privacidad, afirmando tres aspectos del derecho fundamental a la privacidad: (i) intromisión con el cuerpo físico de una persona; (ii) privacidad de la información; y (iii) privacidad de elección. Posteriormente, la Corte intentó categorizar varios enfoques al formular la privacidad, clasificando la privacidad en función del perjuicio (es decir, la privacidad como un concepto de semejanza familiar), de los intereses (es decir, la privacidad del reposo, la privacidad del santuario y la privacidad de la decisión íntima) y como agregación de derechos (es decir, que no se limita a un derecho fundamental sino que se asocia a varios otros) [pág. 168]. Luego, la Corte pasó a preguntarse: ¿cuál es el alcance del derecho a la privacidad y en qué circunstancias dicho derecho puede ser limitado?

Al declarar que cualquier acción del Estado debe ser probada en la piedra de toque de los artículos 14, 19 y 21 de la Constitución de la India, la Corte señaló que una restricción a cualquier derecho también debe satisfacer la prueba de revisión judicial según (a) los motivos especificados en virtud del artículo 19(2) de la Constitución (principalmente en interés de la soberanía y la seguridad del Estado, el orden público, la decencia, la moral, etc.) y (b) la restricción debe ser razonable. Sobre esto último, la Corte buscó aplicar diversos estándares, entre ellos la aplicación de la prueba del fin legítimo y la doctrina de la proporcionalidad. En particular, la Corte también analizó si debería aplicar el estándar de “escrutinio estricto” o el estándar de “justo, equitativo y razonable” para determinar la legalidad de la ley. Estos aspectos se analizan en detalle a continuación:

Doctrina de proporcionalidad:

Según el principio de proporcionalidad, una acción del Estado que presuntamente viola el derecho a la privacidad debe ser probada sobre tres parámetros: (a) la acción debe ser sancionada por la ley; (b) la acción propuesta debe ser necesaria en una sociedad democrática para un objetivo legítimo; y (c) el alcance de dicha interferencia debe ser proporcional a la necesidad de dicha interferencia. Posteriormente a una exposición del entendimiento de proporcionalidad en varias jurisdicciones, la Corte resolvió que cuatro subcomponentes de la proporcionalidad deben ser satisfechos, estos incluyen:

(a) una medida que restrinja un derecho debe tener un objetivo legítimo (etapa de objetivo legítimo);

(b) debe ser un medio adecuado para promover este objetivo (etapa de conexión racional o pertinencia);

(c) no debe haber ninguna alternativa menos restrictiva pero igualmente efectiva (etapa de necesidad); y

(d) la medida no debe tener un impacto desproporcionado en el titular del derecho (etapa de balance) [pág. 125].

Al determinar la aplicación del principio de proporcionalidad con respecto a la etapa de necesidad (componente ‘c’), la Corte, basándose en la sentencia en Puttaswamy I, adoptó el análisis de David Bilchitz para declarar que se puede adoptar lo siguiente para preservar un papel significativo pero no indebidamente estricto para la etapa de necesidad. Primero, se debe identificar una gama de posibles alternativas a la medida empleada por el Gobierno. En segundo lugar, se debe identificar individualmente la eficacia de estas medidas; la prueba aquí no es si cada medida respectiva logra el objetivo del gobierno en el mismo grado, sino más bien si la logra de «manera real y sustancial». En tercer lugar, se debe determinar el impacto de las respectivas medidas sobre el derecho en cuestión. Por último, se debe realizar un juicio general sobre si, a la luz de las conclusiones de los pasos anteriores, existe una alternativa que sea preferible. Al hacerlo, la Corte también enfatizó la importancia de tener un objetivo legítimo que sea lo suficientemente importante como para justificar la invalidación de un derecho protegido constitucionalmente.

Al aplicar la prueba de proporcionalidad, la Corte consideró que (a) dado que la Ley Aadhaar sirve a un objetivo legítimo del Estado (objetivo legítimo), la restricción del derecho a la privacidad está justificada, (b) ya que no existe una medida alternativa «menos restrictiva» que pueda lograr el mismo propósito, la Ley Aadhaar también pasó el examen de necesidad (etapa de necesidad), (c) había un nexo racional entre las disposiciones de la ley y los objetivos que buscaba alcanzar (etapa de conexión racional), y (d) la Ley Aadhaar logró un equilibrio justo entre los derechos fundamentales en competencia (es decir) (etapa de balance).

En lo que respecta al equilibrio, la mayoría examinó el asunto en dos niveles: (i) si el «interés legítimo del Estado» garantizaba una «adaptación razonable»; y (ii) si se logró el equilibrio de dos derechos fundamentales en competencia, el derecho a la privacidad por un lado y el derecho a la alimentación, la vivienda y el empleo por el otro. Sobre el primero, declaró que hay una mínima intromisión en la privacidad y la ley está enmarcada de manera estrecha para lograr el objetivo. En cuanto al segundo, la Corte analizó la relación entre el derecho a la privacidad de la persona con el derecho a la vida de la misma persona como beneficiaria, aunque los argumentos de la Corte no son claros en este frente, ya que osciló a menudo entre el enfrentamiento de los dos derechos individuales anteriores y los derechos entre el individuo y «en el interés público general». La Corte determinó que como la información recopilada en el momento de la inscripción y de la autenticación es mínima, se cumplió con el equilibrio en el primer nivel. En el segundo nivel, es decir, cuando se trata del equilibrio de dos derechos fundamentales en competencia [es decir, dignidad en la forma de autonomía (privacidad de la información) y dignidad en la forma de aseguramiento de mejores estándares de vida de la misma persona], la Corte consideró que la inscripción en Aadhaar por parte del sector desfavorecido y marginado de la sociedad les permitió a esas personas aprovechar los frutos de los programas de bienestar social del Gobierno y, de este modo, el programa garantizaba la dignidad de esas personas.

Vigilancia estatal:

Sobre la cuestión de si el proyecto Aadhaar creó o tuvo tendencia a crear un estado de vigilancia, la Corte buscó responder dos preguntas: (a) si la arquitectura del proyecto Aadhaar permite al Estado crear un régimen de vigilancia; y (b) si existían disposiciones adecuadas para la protección de datos a fin de salvaguardarlos [pág. 235]. Sobre la pregunta (a), la Corte respondió negativamente, señalando que el proceso de inscripción y autenticación estaba fuertemente regulado hasta el punto de ser seguro y, por lo tanto, era muy difícil crear un perfil de una persona simplemente sobre la base de la información biométrica y demográfica almacenada en el CIDR. La Corte también recapituló los mecanismos de seguridad para señalar que había garantías adecuadas integradas en el diseño del programa [pág. 153].

Sobre la pregunta (b), después de examinar la jurisprudencia sobre el asunto en los EE.UU., UE e India, la Corte llegó a una respuesta similar a la de la pregunta (a), considerando que el programa Aadhaar era compatible en gran medida con los principios de protección de datos. Específicamente sobre el argumento de la minimización de datos, la Corte concluyó que se siguió el principio de minimización de datos ya que la sección 2(k) de la Ley Aadhaar prohibía la recopilación de información sensible como raza, religión, casta, tribu, etnia, idioma, registros de derecho, ingresos o historial médico. Además, la sección 32(3) de la ley, junto con la Disposición 26 de las Regulaciones de Autenticación, también prohibía a UIDAI recopilar, almacenar o mantener, ya sea directa o indirectamente, cualquier información sobre el propósito de la autenticación.

En particular, la mayoría también encontró que, en casos específicos, las disposiciones de la ley no eran compatibles con los principios de protección de datos. Esto incluyó:

(a) Disposiciones 26 y 27 de las Regulaciones Aadhaar (Autenticación), 2016 (que ordena el almacenamiento de metadatos por un período de siete años): la Corte acordó con los demandantes que se permitió que los datos se retengan durante un período de tiempo irrazonablemente largo. Tampoco hubo limitación de propósito, ya que era posible que la información de identidad recopilada para un propósito en virtud de la ley se pudiera utilizar para cualquier otro (nuevo) propósito. Por lo tanto, en interés del derecho del ciudadano a la supresión de datos y del derecho al olvido, la Corte acotó el alcance para retener solo los «metadatos del proceso» (es decir, limitado al momento de la autenticación, la entidad solicitante y la respuesta afirmativa/negativa a las solicitudes de autenticación) por un período limitado de seis meses.

(b) Sección 33 de la Ley Aadhaar de 2016 (que permite la divulgación de información, incluidos los registros de identidad y autenticación, si así lo ordena un tribunal, así como la divulgación en interés de la seguridad nacional): también se acotó el alcance de la sección 33(1) de la ley, aclarando que una persona, cuya información se solicita para ser divulgada, tendrá la oportunidad de una audiencia. La Corte derogó la sección 33(2), que permite el intercambio de información por motivos de seguridad nacional, por considerarla inconstitucional.

(c) Sección 57 de la Ley Aadhaar de 2016 (que permite a las partes privadas exigir Aadhaar): en virtud de la sección 57 de la ley, el Estado, un organismo o cualquier persona tenían derecho a utilizar la función de autenticación y acceder a la información contenida en el CIDR. La Corte consideró que esto violaba el principio del consentimiento informado al momento de la inscripción y, por lo tanto, lo declaró inconstitucional.

Derecho a la privacidad según la Constitución de la India:

Sobre la cuestión de si la Ley Aadhaar violó el derecho a la privacidad, los demandantes argumentaron que no existía un interés estatal imperioso en conocer los detalles del lugar y la hora durante el proceso de autenticación. Además, si bien la ley estaba enmarcada como un derecho voluntario para establecer la identidad, las acciones del ejecutivo y de las entidades privadas (al exigir Aadhaar como condición previa para aprovechar los servicios, subsidios y beneficios) habían hecho que la posesión de Aadhaar fuera obligatoria de facto: esta forma de exclusión de los sectores marginados violaba el derecho fundamental a la igualdad consagrado en los artículos 14 y 21 de la Constitución. La invasión de la privacidad tampoco estaba justificada por el principio de proporcionalidad.

Por otro lado, la parte demandada argumentó que no había una expectativa razonable de privacidad con respecto a la información de identidad recopilada en virtud de la Ley Aadhaar para fines de autenticación y, por lo tanto, el artículo 21 no fue atraído [pág. 318]. En base a lo anterior, las pruebas de proporcionalidad menos invasivas y de escrutinio estricto no eran aplicables. La parte demandada también argumentó que el interés estatal legítimo que cumple la Ley Aadhaar es la prevención de fugas y la disipación de subsidios y beneficios de bienestar social que están cubiertos según la sección 7 de la Ley Aadhaar, y sobre esta base, cumplió la prueba de proporcionalidad.

La Corte observó, basándose en Puttaswamy I, que el artículo 21 protege sólo aquellos asuntos sobre los que existe una expectativa de privacidad razonable. La mayoría probó esto en dos etapas: primero, el individuo o los individuos que reclaman un derecho a la privacidad deben establecer que su reclamo involucra una preocupación acerca de algún perjuicio que podrían sufrir debido al presunto acto; en segundo lugar, la preocupación no debe ser irrazonable [p. 330]. También consideró que se realizó la prueba triple establecida para declarar la razonabilidad de la invasión a la privacidad, ya que (a) el programa Aadhaar estaba respaldado por el estatuto, es decir, la Ley Aadhaar, (b) cumplía el objetivo estatal legítimo de asegurar la entrega selectiva de subsidios a los beneficiarios, a través de una identificación precisa y (c) era proporcionado.

En particular, al considerar la dignidad humana como una faceta de la privacidad, la Corte señaló:

“Es el equilibrio de dos facetas de la dignidad de un mismo individuo. Mientras que, por un lado, el derecho a la autonomía personal es parte de la dignidad (y el derecho a la privacidad), otra parte de la dignidad del mismo individuo es llevar una vida digna también (que es nuevamente una faceta del artículo 21 de la Constitución). Por lo tanto, en un escenario donde el Estado emerge con programas asistenciales, que se esfuerzan por brindar una vida digna en armonía con la dignidad humana y en el proceso se sacrifica algún aspecto de la autonomía, el equilibrio de los dos se convierte en una tarea importante que la Corte debe lograr. Porque no puede haber una intromisión indebida en la autonomía con el pretexto de otorgar beneficios económicos» [pág. 540].

Es importante señalar que la mayoría identificó que toda la arquitectura del programa era “única” y eliminaba cualquier posibilidad de duplicación. Sostuvo que “una vez que se almacena la información biométrica sobre la que se emite la tarjeta Aadhaar, permanece en el sistema con la Autoridad. Siempre que hubiera un segundo intento de inscripción en Aadhaar y, para este propósito, la misma persona proporciona su información biométrica, se cotejará inmediatamente con la misma información biométrica que ya está en el sistema y la segunda solicitud será rechazada» [pág. 529].

Proyecto de ley de carácter financiero y legislación con apariencia de derecho:

Vale la pena recordar que la Ley Aadhaar fue aprobada como un «proyecto de ley de carácter financiero» lo que la hace vulnerable a la validez legal debido a la doctrina de la legislación con apariencia de derecho. Según el artículo 110(3) de la Constitución de la India, la decisión del presidente de Lok Sabha se considera definitiva en los casos en que surja una disputa sobre si un proyecto de ley se trata de un proyecto de ley de carácter financiero o no. Basándose en esta disposición, la parte demandada había argumentado que la decisión del presidente no estaba sujeta a revisión judicial. Además, dado que los fondos para los gastos derivados de la «entrega selectiva de subsidios, beneficios y servicios» son desembolsados del Fondo Consolidado de la India, la intención legislativa y el objeto de la ley eran válidos como el «corazón y el alma de la ley» en virtud de que el artículo 7 se refería a identificar y llegar a los beneficiarios de dichos subsidios, beneficios y servicios. En cambio, los demandantes argumentaron que ciertas disposiciones de la ley no estaban comprendidas dentro del ámbito del artículo 110 y, dada la ausencia de una cláusula de divisibilidad, toda la ley estaba obligada a ser declarada nula.

En cuanto a la justiciabilidad del presidente, los demandantes también alegaron que la Corte estaba facultada para decidir si la decisión del presidente era constitucionalmente correcta.

Sobre este tema, la mayoría primero consideró si el proyecto de ley cumplía los requisitos del artículo 110(1). Sostuvo que la sección 7 era la disposición principal de la Ley Aadhaar y, dado que la autenticación de Aadhaar exigida por la sección 7 de la ley para la recepción de un subsidio, beneficio o servicio y dado que tales subsidios, beneficios y servicios surgían del Fondo Consolidado de la India, la disposición cumplía las condiciones del artículo 110 de la Constitución [págs. 483-484]. Además, otras disposiciones de la ley [es decir, las secciones 23(2)(h), 54(2)(m) y 57 de la Ley Aadhaar] permitieron a la Autoridad especificar la forma de uso de Aadhaar con un propósito específico en mente, a saber, para proporcionar o hacer uso de diversos subsidios, beneficios y servicios. En consecuencia, la Corte consideró adecuado que el proyecto de ley Aadhaar se presentara como proyecto de ley de carácter financiero. No abordó otras disputas de los demandantes después de decidir sobre el asunto preliminar, a saber, si la certificación por parte del presidente respecto de que el proyecto de ley es proyecto de ley de carácter financiero está sujeta a revisión judicial o no y si una disposición que no se relaciona con el proyecto de ley de carácter financiero es divisible o no.

Exclusión, gobierno limitado y otras cuestiones complementarias:

Sobre el aspecto de la exclusión específicamente, la Corte también observó el argumento del peticionario respecto de que el proceso de autenticación era de naturaleza probabilística, lo que a menudo conducía a una falla en la autenticación en casos genuinos. Sin embargo, rechazó esta línea de razonamiento, considerando en cambio que la sección 7 de la ley era una disposición habilitante y, en caso de falla, se le permitiría a dicha persona establecer su identidad por medios alternativos. La Corte también tomó constancia de la declaración del Fiscal General de la India de que a ninguna persona que lo mereciera se le negaría el beneficio de un programa por falta de autenticación.

Sobre esta cuestión de gobierno limitado, los demandantes habían reclamado que el proyecto Aadhaar destruye el gobierno limitado, el constitucionalismo y la confianza constitucional. Estas presentaciones se basaban en la premisa de que la arquitectura de Aadhaar era constitucionalmente invasiva, lo que amenazaba la autonomía de los individuos y tenía una tendencia a crear un estado de vigilancia. Sin embargo, la Corte consideró que estos reclamos eran amplios, junto con la acotación del alcance de las disposiciones contenciosas de la ley, consideró que el régimen estatutario regiría en general a la ciudadanía y rechazó los argumentos sobre esa base.

La Corte también advirtió, en respuesta al argumento de los demandantes que la expresión “beneficios” era abierta y permitía a la parte demandada incorporar en su ámbito cualquier tipo de actividad gubernamental en nombre del bienestar de las comunidades, que los “beneficios” deberían ser aquellos que tienen la naturaleza de programas de asistencia social para los que se extraerán recursos del Fondo Consolidado de la India.

Notablemente, la mayoría también analizó el impacto del programa en los niños y consideró que, si bien sería esencial que los niños tuvieran el consentimiento de sus madres/padres/tutores para inscribirse en el programa, al alcanzar la mayoría de edad, dichos niños inscritos en Aadhaar con el consentimiento de sus madres/padres, tendrán derecho a salir de Aadhaar [pág. 401]. En lo que respecta a la admisión escolar de los niños, el requisito de Aadhaar no sería obligatorio ya que no es un servicio ni una subsidio.

Además, la sentencia por mayoría también analizó la constitucionalidad de varias disposiciones específicas de la Ley Aadhaar, y consideró que la mayoría de esas disposiciones eran válidas [págs. 402-442]. Sin embargo, como se indicó anteriormente, derogó la sección 57 en la medida en que permite a las partes privadas hacer que Aadhaar sea obligatorio para los residentes.

Con respecto a otras leyes, en particular la sección 139AA de la Ley del Impuesto sobre la Renta de 1961 (que requiere vincular el número Aadhaar con otras formas de identidad como el Número de Cuenta Personal (PAN)), la Corte consideró que la ley pasó las pruebas aplicables, a saber, la existencia jurídica, de derecho, interés estatal legítimo y proporcionalidad. Sin embargo, con respecto a la Norma 9 de las Normas de Prevención del Blanqueo de Capitales (Mantenimiento de Registros), 2005 (que vincula el número Aadhaar con la cuenta bancaria), la Corte consideró que la disposición no cumplía con la prueba de proporcionalidad y, por lo tanto, violaba el derecho a privacidad de una persona que se extiende a los datos bancarios. La mayoría también consideró inconstitucional la circular aprobada con fecha 23 de marzo de 2017 que obligaba a vincular el número de teléfono móvil con Aadhaar.

Opinión disidente de Chandrachud, J.:

El juez Chandrachud no estuvo de acuerdo con la suposición fundamental de la mayoría sobre la singularidad del programa de Aadhaar, declarando que la singularidad de los datos biométricos era relativa y seguía siendo una suposición “sin prueba indisputable” [p. 779]. Señaló que la ley plantea problemas de privacidad importantes, en particular:

(a) ausencia de consentimiento durante la inscripción y autenticación, ya que antes de la promulgación de la Ley Aadhaar, no se imponía a los funcionarios del registro ni a las agencias de inscripción ninguna obligación de (i) obtener el consentimiento informado de los residentes antes de registrar sus datos biométricos, (ii) ) informarles cómo se almacenarían y utilizarían los datos biométricos y (iii) sobre la existencia de salvaguardias adecuadas para proteger los datos,

(b) la extensión expansiva de la información divulgada durante la autenticación y el intercambio de información biométrica básica,

(c) con respecto al alcance expansivo de la información biométrica y

(d) eficacia cuestionable del modelo biométrico (incluido el robo de identidad).

Específicamente, el juez Chandrachud otorgó una gran consideración a la autodeterminación como una faceta esencial del artículo 21 y enfatizó la incoherencia entre el modelo biométrico desplegado por Aadhaar y el derecho al anonimato de los ciudadanos. Sobre esto último, dado que el anonimato era fundamental para el sentido de libertad y autonomía de una persona, el uso generalizado de datos biométricos socavaba el derecho a permanecer en el anonimato. En conjunto, el juez Chandrachud consideró que el marco de Aadhaar violaba las normas esenciales relativas a la privacidad de la información, la autodeterminación y la protección de datos.

Con respecto a la proporcionalidad, si bien aceptó la decisión de la mayoría de que la sección 7 de la Ley Aadhaar cumplía un propósito estatal legítimo, el juez Chandrachud no estuvo de acuerdo en que el programa resistiera la prueba de proporcionalidad. Dada la falta de rendición de cuentas, la ausencia de propósitos adecuados de manejo de excepciones, la ausencia de normas claras y la naturaleza abierta de la sección 7 (como se desprende de la definición de “beneficio” en la sección 2[f] y de “servicio” en la sección 2[w]), consideró al programa excesivamente desproporcionado. La opinión minoritaria observó que la Ley Aadhaar y los reglamentos que la componen carecían del procedimiento mediante el cual una persona puede acceder a la información relacionada con su registro de autenticación. La arquitectura de Aadhaar debería tener, pero no ha logrado incorporar dentro de la ley, el establecimiento de una autoridad de control independiente. También es importante señalar el párrafo 255 de la sentencia donde menciona:

“No existe antinomia entre el derecho a la privacidad y los objetivos legítimos del Estado. Una invasión de la privacidad debe ser proporcional y cuidadosamente adaptada para lograr un objetivo legítimo. Si bien el derecho a la alimentación es un derecho importante y su promoción es una obligación constitucional del Estado, el derecho a la privacidad no puede simple y automáticamente ceder ante él. Ningún objetivo legítimo del Estado puede permitirse a costa de la vulneración de un derecho fundamental sin pasar la prueba de constitucionalidad.” [pág. 919].

En conjunto, el juez Chandrachud consideró que el programa Aadhaar era capaz de destruir diferentes identidades constitucionales, era inadecuado para proteger la integridad de los datos personales, el derecho a la autodeterminación de la información y los derechos atribuibles a la trilogía privacidad-dignidad-autonomía. Dado que la tecnología biométrica, que es el núcleo del programa Aadhaar, es de naturaleza probabilística, conduce a fallas de autenticación, dichas fallas llevaron a la denegación de derechos y beneficios legales. El programa también causaba una invasión injustificada en las libertades fundamentales garantizadas por la Constitución de la India, mientras que la exclusión financiera provocada por los errores en la autenticación de Aadhaar también violaba el derecho a la dignidad del individuo.

Sobre el tema de la vigilancia, observó que el programa permitía vincular diferentes bases de datos (administradas por entidades estatales o privadas), de esta manera, el “número Aadhaar [se convirtió] en la característica unificadora central que conecta[ba] el teléfono celular con datos de geolocalización, la presencia y el movimiento de una persona con una cuenta bancaria y declaraciones de impuestos, el consumo de alimentos y estilo de vida con historiales médicos”[p. 903]. En consecuencia, consideró que vincular Aadhaar con diferentes bases de datos conlleva el potencial de ser perfilado en un sistema, que podría usarse con fines comerciales. También tenía la capacidad de influir en los patrones de comportamiento de las personas, al afectar su privacidad y libertad. La elaboración de perfiles de individuos podría usarse para crear correlaciones entre vidas humanas, que generalmente no están conectadas. Dado que Aadhaar se convierte en un puente entre silos de datos discretos, permitía a cualquier persona con acceso a esta información reconstruir un perfil de la vida de un individuo. Mientras que la sección 2(k) de la ley excluía el almacenamiento de información relacionada con la raza, religión, casta, tribu, etnia, idioma, ingresos o historial médico en el CIDR, la vinculación obligatoria de Aadhaar con varios programas permitía el mismo resultado en efecto [p. 907].

El juez Chandrachud también analizó el tema de la exclusión causada como consecuencia de que los dispositivos biométricos tengan un impacto desproporcionado en la vida de las personas marginadas y pobres. Sostuvo que “el destino de las personas no se puede dejar en manos de las vulnerabilidades de los algoritmos o dispositivos tecnológicos” [p. 930] y también señaló que la exclusión arbitraria de los beneficios o subsidios correspondientes era una violación a la dignidad. Según él, tal denegación de subsidios y beneficios causada por las debilidades de la tecnología biométrica era una amenaza para el buen gobierno y la paridad social [p. 932]. En el párrafo 263, comenta:

“La cuestión de la exclusión debe considerarse en tres niveles diferentes: (i) antes de la implementación de la Ley Aadhaar, cuando se utilizaban datos biométricos desde 2009; (ii) conforme a las disposiciones de la ley; y (iii) a nivel práctico durante la implementación del programa Aadhaar… Ningún índice de fallos en la provisión de beneficios de bienestar social puede considerarse aceptable. Los derechos básicos en asuntos tales como los cereales para el consumo humano no pueden tolerar ningún error. Negar la comida es llevar a una familia a la indigencia, la desnutrición e incluso la muerte.”

Sobre la cuestión del proyecto de ley de carácter financiero y el desafío de la legislación con apariencia de derecho, la opinión minoritaria señaló que el lenguaje utilizado en el artículo 110(3) no excluía la revisión judicial de la decisión del presidente, si la decisión del presidente adolece de ilegalidad o viola disposiciones constitucionales. Además, subrayó que para ser certificado como proyecto de ley de carácter financiero, un proyecto de ley debe contener “sólo disposiciones” que traten de todos o cualquiera de los asuntos establecidos en los incisos (a) a (g) del artículo 110(1). En consecuencia, un proyecto de ley como Aadhaar en el que determinadas disposiciones caen más allá del alcance de los incisos (a) a (g) del artículo 110(1) y no pueden separarse, no califica como proyecto de ley de carácter financiero. Dado que la Ley Aadhaar crea un marco legal para la obtención de un número de identidad único que se puede utilizar para «cualquier» propósito, entre los que se encuentran los beneficios, subsidios y servicios, cuyos gastos son desembolsados del Fondo Consolidado de la India, es sólo uno de los fines previstos en la sección 7, no cumple con el requisito del artículo 110(1). Alternativamente, el juez Chandrachud también destacó que incluso si se considera que la sección 7 tenía un nexo con los gastos desembolsados del Fondo Consolidado de la India, las otras disposiciones de la ley no entran dentro del dominio del artículo 110(1).

En otros frentes, la opinión minoritaria también declaró que las enmiendas a las Normas de Prevención del Blanqueo de Capitales (Mantenimiento de Registros), 2005 no cumplieron con la prueba de proporcionalidad, mientras que la sección 139AA de la Ley del Impuesto sobre la Renta de 1962 era inválida porque su validez dependía de la legalidad de la Ley Aadhaar, que en sí misma era inconstitucional. La decisión de vincular los números de Aadhaar con las tarjetas SIM de los teléfonos móviles también fue declarada inconstitucional.

Opinión separada pero concurrente de Ashok Bhushan, J.: 

Según la opinión disidente del juez Bhushan, el requisito de la Ley Aadhaar de proporcionar información demográfica y biométrica no viola el derecho fundamental a la privacidad. Además, las disposiciones de la Ley Aadhaar que requieren información demográfica y biométrica de un residente para el número Aadhaar pasaron la prueba triple según lo establecido en Puttaswamy I y, por lo tanto, no eran inconstitucionales. Notablemente, el juez Bhushan también señaló que la recopilación de datos, su almacenamiento y uso no violaba el derecho a la privacidad.

La opinión minoritaria estuvo de acuerdo con la Corte en que el programa no creaba una arquitectura para la vigilancia generalizada, sino que proporcionaba protección y seguridad a los datos recibidos de las personas. Además, también consideró que las secciones 7, 29, 33 y 47 de Aadhaar eran constitucionales, mientras que la sección 57 se consideraba inconstitucional en la medida en que permitía el uso de Aadhaar por parte del Estado o de cualquier organismo o persona, de conformidad con cualquier contrato a tal efecto. También declaró constitucional la sección 139AA de la Ley del Impuesto sobre la Renta de 1961 y la norma 9 modificada por las Normas de la PMLA (Segunda Enmienda) de 2017.

Además, aunque no es inmune a la revisión judicial, el juez Bhushan consideró que la Ley Aadhaar fue aprobada correctamente como un proyecto de ley de carácter financiero. Con respecto a los niños, consideró que el consentimiento de los padres/madres para proporcionar información biométrica en virtud de la disposición 3 e información demográfica en virtud de la disposición 4 de las Regulaciones de Aadhaar (Inscripción y Actualización) de 2016 debía ser leído para la inscripción de niños de entre 5 y 18 años para ratificar la constitucionalidad de esas disposiciones.

---