El Equipo de Respuesta a Emergencias Informáticas de la India emitió una directiva en abril en la que pedía a las empresas tecnológicas que informaran de las violaciones de datos en un plazo de seis horas tras "darse cuenta de tales incidentes" y que mantuvieran los registros informáticos y de comunicaciones durante seis meses.

También ordenó a los proveedores de servicios en la nube, como Amazon, y a las empresas de redes privadas virtuales (VPN) que conservaran los nombres de sus clientes y las direcciones IP durante al menos cinco años, incluso después de que dejaran de utilizar los servicios de la empresa.

Las medidas han suscitado preocupación en el sector por la creciente carga de cumplimiento y el aumento de los costes.

El ministro indio de Tecnologías de la Información, Rajeev Chandrasekhar, dijo que no habrá cambios a pesar de las preocupaciones, afirmando que las empresas tecnológicas tienen la obligación de saber quién utiliza sus servicios.

India ha endurecido la regulación de las grandes empresas tecnológicas en los últimos años, lo que ha provocado el rechazo de la industria y, en algunos casos, incluso ha tensado los lazos comerciales entre Nueva Delhi y Washington.

Nueva Delhi ha afirmado que las nuevas normas eran necesarias, ya que los incidentes de ciberseguridad se notificaban con regularidad, pero la información necesaria para investigarlos no siempre estaba disponible en los proveedores de servicios.

Pero las normas han provocado un descontento generalizado. En una reunión a puerta cerrada celebrada esta semana, muchos ejecutivos de empresas tecnológicas y de medios de comunicación social discutieron estrategias para instar a Nueva Delhi a dejar en suspenso las normas, según una fuente con conocimiento directo.

La fuente dijo que las autoridades europeas exigen que las violaciones de datos se notifiquen en un plazo de unas 72 horas, y añadió que era difícil notificar los incidentes en seis horas.

Sin embargo, Chandrasekhar dijo que India estaba siendo generosa, ya que algunos países exigen la notificación inmediata.

Las normas se aplicarán a partir de finales de junio. Tras su anuncio, NordVPN, uno de los mayores proveedores de VPN del mundo, dijo que podría retirar sus servidores de la India.

Los activistas de la privacidad han dicho que las normas contradicen la idea de la VPN, que es salvaguardar la identidad de individuos como los denunciantes de la vigilancia.

"Si no quieren seguir estas normas, y si quieren retirarse, entonces francamente... tienen que retirarse", dijo Chandrasekhar a los periodistas.