Legge indiana 2023 sulla protezione dei dati personali digitali: Conformità alla privacy dei dati

Posted by Reading Time: 9 minutes

Dopo aver ricevuto l’approvazione da entrambe le Camere del Parlamento e aver ottenuto il consenso del Presidente, è stato promulgato nel 2023 il disegno di legge sulla protezione dei dati personali digitali del 2022. Questa norma è ora in vigore e regola il trattamento dei dati personali digitali in India, indipendentemente dal fatto che i dati siano stati originariamente raccolti in formato digitale o non, e che vengano successivamente digitalizzati. Secondo la legge DPDP, gli enti statali possono essere esentati dalle disposizioni della legge, a discrezione del Governo. Questa legislazione mira a consolidare la protezione dei dati e le responsabilità di realtà come aziende Internet, app mobili e società che gestiscono i dati dei cittadini. Inoltre, è importante sapere che il DPDP Act avrà una ricaduta sulle trattative commerciali tra l’India e gli altri Paesi. La nuova norma si allinea agli standard globali di protezione dei dati, ispirandosi a modelli come il GDPR dell’UE e il PIPL della Cina.

Il panorama tecnologico indiano in rapida evoluzione potrebbe aver raggiunto un traguardo significativo con l’introduzione e la successiva promulgazione del disegno di legge sulla protezione dei dati personali digitali (DPDP) del 2022. Il 5 luglio il Consiglio dei Ministri dell’Unione ha approvato questa legislazione fondamentale, che è stata presentata durante la sessione “Monsoon” del Parlamento (una delle tre sessioni parlamentari annuali in India), iniziato il 20 luglio 2023. Ha attraversato rapidamente l’iter legislativo, ricevendo l’approvazione dalla Camera bassa (Lok Sabha) il 7 agosto e dalla Camera alta (Rajya Sabha) il 9 agosto. Il disegno di legge DPDP del 2022 è diventato ufficialmente il Digital Personal Data Protection Act dopo aver ricevuto l’assenso del Presidente l’11 agosto 2023 (notifica sulla Gazzetta Ufficiale del governo indiano—DPDP Act ).

Questa legge ora si pone come una componente cruciale accanto al disegno di legge sull’India digitale e al progetto di legge indiana sulle telecomunicazioni del 2022, che affronta la governance dei dati personali in India. Nel complesso, questi sforzi legislativi rappresentano un passo in avanti significativo verso il rafforzamento della protezione dei dati nel panorama digitale in rapida evoluzione del Paese.

La legge DPDP mira fondamentalmente a stabilire un livello di responsabilità più elevato per le entità che operano in India, comprese le società Internet, le app mobili e le aziende coinvolte nella raccolta, archiviazione ed elaborazione dei dati dei cittadini. Con una forte enfasi sul “diritto alla privacy”, questa legislazione cerca di garantire che queste entità operino in modo trasparente e siano responsabili nella gestione dei dati personali, dando così priorità alla privacy e al diritto di protezione dei dati dei cittadini indiani.

L’ambito di applicazione della legge DPDP si estende oltre i confini dell’India e comprende le attività di trattamento dei dati personali digitali all’estero. Questo allargamento si applica specificamente ai fornitori di beni o servizi a soggetti indiani India o o chi si occupa della profilazione dei cittadini indiani. In tal modo, la legge rafforza le misure di protezione dei dati non solo all’interno dell’India, ma anche per quanto riguarda i dati dei cittadini indiani trattati all’estero.

Legge indiana sulla protezione dei dati personali digitali, 2023: Disposizioni principali

Introdotto inizialmente nel 2019, il Digital Personal Data Protection Act riveste notevole importanza come misura legislativa volta a salvaguardare il diritto alla privacy delle persone. Il suo obiettivo principale è quello di regolamentare la raccolta, l’archiviazione, l’elaborazione e il trasferimento dei dati personali nel panorama digitale. Dopo la sua introduzione iniziale, il disegno di legge DPDP ha subito 81 emendamenti che hanno portato ad un completo cambiamento, fino alla sua forma attuale.

Dando priorità alla privacy e alla sicurezza, la norma DPDP intende creare un quadro solido che affronti le sfide poste dalla gestione dei dati nell’era digitale. Le disposizioni principali del DPDP Act del 2023 sono le seguenti:

  • Definizioni:Sebbene molti concetti contenuti nel DPDP Act assomiglino molto a quelli contenuti nel quadro del Regolamento generale sulla protezione dei dati (GDPR) dell’UE, esistono differenze nel modo in cui viene utilizzata la terminologia.
    a) Fiduciario dei dati: Si tratta del soggetto che, in modo indipendente o in collaborazione con altri, stabilisce sia le finalità che i metodi di trattamento dei dati personali (simile a un Responsabile del Trattamento). Il Governo può classificare qualsiasi fiduciario di dati o un gruppo specifico di essi come “fiduciari di dati significativi (SDF). I criteri per la classificazione dei SDF comprendono la natura delle attività soggette al trattamento (come il volume e la sensibilità dei dati personali trattati e il potenziale impatto sui diritti dei titolari dei dati) e le più ampie preoccupazioni sociali e nazionali (come i potenziali effetti sulla sovranità e l’integrità dell’India, la democrazia elettorale, la sicurezza dello Stato e l’ordine pubblico). La designazione di SDF comporta obblighi di conformità più stringenti, come spiegato di seguito.
  1. b) Responsabile del trattamento dei dati: è un’entità responsabile del trattamento dei dati personali digitali per conto di un Fiduciario dei Dati.
    c) Titolare del trattamento: sono i soggetti i cui dati personali vengono raccolti e trattati (l’equivalente di un utente).
    d) Gestore del consenso: una persona registrata presso il Comitato per la Protezione dei Dati, che funge da punto di contatto unico per consentire al Titolare dei dati di fornire, gestire, rivedere e revocare il proprio consenso attraverso una piattaforma accessibile, trasparente e interoperabile.
  • Applicabilità: La legge DPDP si applica a tutti i dati, che siano online oppure offline e successivamente digitalizzati, in India. Inoltre, la legge si applica anche al trattamento dei dati personali digitali oltre i confini del Paese, in particolare quando comprende la fornitura di beni o servizi a individui che si trovano all’interno del territorio indiano.

Secondo quanto riportato da The Economic Times, ai sensi della nuova legge DPDP, i meccanismi di verifica dell’età saranno necessari per tutte le società in India (telecomunicazioni, banche, e-commerce, ecc.). Il requisito di conformità non si limita solo alle piattaforme di social media. Questo è essenziale per registrare il consenso verificabile degli utenti da parte degli esperti legali.

  • Violazione dei dati personali: Qualsiasi trattamento non autorizzato di dati personali o divulgazione, acquisizione, condivisione, utilizzo, alterazione, distruzione o perdita di accesso accidentale di dati personali compromette la riservatezza, l’integrità o la disponibilità dei dati personali.
  • Consenso individuale all’utilizzo dei dati e diritti del titolare dei dati: Secondo la nuova legislazione, i dati personali saranno inseriti e trattati solo con il consenso esplicito dell’individuo, a meno che circostanze specifiche relative alla sicurezza, alla legge e all’ordine nazionale non richiedano diversamente.
    In base ai diritti fondamentali sui dati, gli individui hanno anche il diritto all’informazione, il diritto alla rettifica e alla cancellazione, il diritto al ricorso e il diritto di nominare un’altra persona per l’esercizio di tali diritti in caso di morte o incapacità dell’individuo. Attualmente, non esiste una tempistica specifica per l’implementazione dei diritti di ricorso e del titolare dei dati.
  • Obblighi aggiuntivi delle SDF: A seconda della quantità e della sensibilità dei dati che gestiscono, i Fiduciari dei dati sono soggetti a obblighi aggiuntivi ai sensi della legge DPDP. Ogni Fiduciario di dati è tenuto a nominare un responsabile della protezione dei dati (DPO), responsabile di rispondere alle richieste e alle preoccupazioni dei titolari dei dati, ovvero alle persone i cui dati vengono raccolti ed elaborati. Per quanto riguarda i trasferimenti internazionali di dati, la legge sul DPDP consente ai Fiduciari di trasferire i dati personali per il trattamento in qualsiasi Paese o territorio al di fuori dell’India. Il Governo Centrale può tuttavia imporre restrizioni tramite avviso. Tali restrizioni saranno definite dopo aver valutato i principali fattori e stabilito i termini e le condizioni necessarie per garantire il mantenimento degli standard di protezione dei dati durante il trattamento internazionale.
  • Istituzione di un Comitato per la Protezione dei Dati: Il comitato per la protezione dei dati funzionerà come organo giudicante imparziale, responsabile della risoluzione dei reclami e delle controversie relativi alla privacy tra le parti interessate. In quanto soggetto indipendente, avrà l’autorità per accertare casi di non conformità alle disposizioni della legge e imporre sanzioni derivanti. La nomina dell’amministratore delegato e dei membri del Comitato per la Protezione dei Dati sarà effettuata dal Governo Centrale, garantendo un processo di selezione equo e trasparente. Per fornire modo agli utenti di contestare le decisioni prese dal Comitato per la Protezione dei Dati, il Governo istituirà un organo di appello. Questo organo d’appello potrà essere assegnato al Tribunale per la Risoluzione delle controversie e d’appello delle Telecomunicazioni (TDSAT), che sarà responsabile per il giudizio delle controversie relative alla protezione dei dati e per l’esame dei ricorsi contro le decisioni prese dal Comitato per la Protezione dei Dati.
  • Impegno volontario: Ai sensi di questa disposizione, il Comitato per la Protezione dei Dati ha il potere di accettare un impegno volontario per il rispetto delle disposizioni della legge DPDP, da parte di qualsiasi Fiduciario dei dati e in qualsiasi fase del procedimento di reclamo. Tale impegno volontario può comportare azioni specifiche da intraprendere o evitare dalla parte interessata. I termini dell’impegno volontario possono essere modificati dal Consiglio, se necessario. L’impegno volontario funge da barriera legale ai procedimenti riguardanti l’oggetto dell’impegno, a meno che il Fiduciario dei dati non si attenga ai suoi termini. In caso di inosservanza, tale violazione è considerata una violazione della legge DPDP e il Consiglio è autorizzato a imporre sanzioni per tale violazione. Peraltro, il Consiglio ha la facoltà di richiedere che l’impegno sia reso pubblico.
  • Meccanismo alternativo di divulgazione: Questo meccanismo consentirà a due parti di risolvere i loro reclami con l’aiuto di un mediatore.
  • Reati e sanzioni: I Fiduciari dei dati possono incorrere in sanzioni fino a 2,5 miliardi di rupie in caso di mancata osservanza delle disposizioni. Queste includono: sanzioni fino a 10.000 INR per la violazione dei doveri nei confronti dei Responsabili dei dati; sanzioni fino a 2,5 miliardi di INR per la mancata adozione di ragionevoli misure di sicurezza per la prevenzione della violazione dei dati personali; multe fino a 2 miliardi di INR per la mancata notifica al Comitato per la Protezione dei Dati e ai Responsabili dei dati interessati, in caso di violazione dei dati personali; sanzioni fino a 2 miliardi di INR per la violazione degli obblighi aggiuntivi relativi ai dati dei bambini; sanzioni fino a 1,5 miliardi di INR per il mancato rispetto degli obblighi aggiuntivi di un Fiduciario di dati sensibili; sanzioni fino a 500 milioni di INR per la violazione degli obblighi aggiuntivi di un Fiduciario di dati sensibili.5 miliardi di INR per il mancato rispetto degli obblighi aggiuntivi di un Fiduciario di dati sensibili; sanzione di 500 milioni di INR per la violazione di qualsiasi altra disposizione del DPDP Act, 2023 e delle relative norme emanate.
  • Conflitto con le leggi esistenti: Le disposizioni della legge DPDP si aggiungeranno e non sostituiranno ogni altra legge attualmente in vigore. Tuttavia, in caso di conflitto tra una disposizione della presente Legge e una disposizione di qualsiasi altra legge attualmente in vigore, la disposizione della presente Legge avrà la precedenza nell’ambito di tale conflitto.

Esenzioni ai sensi della legge DPDP

Le esenzioni previste sono le seguenti:

  • Per gli enti autorizzati, nell’interesse della sicurezza, della sovranità, dell’ordine pubblico, ecc.
  • Per scopi di ricerca, archiviazione o statistici.
  • Per start-up o altre categorie autorizzate dei Fiduciari dei dati.
  • Per far valere diritti e rivendicazioni legali.
  • Per svolgere funzioni giudiziarie o regolamentari.
  • Per prevenire, accertare, indagare o perseguire reati.
  • Per elaborare in India i dati personali di non residenti con contratto estero.
  • Per approvare fusioni, scissioni, ecc.
  • Per individuare gli inadempienti e le loro attività finanziarie, ecc.

Come possono prepararsi le aziende alla conformità con la legge sulla protezione dei dati personali digitali?

Seguendo i passaggi qui indicati, le aziende possono prepararsi alla conformità con la legge DPDP indiana e proteggere i dati personali secondo le linee guida indicate.

Valutare e creare una privacy dei dati:
– Valutare lo stato di conformità attuale.
– Creare un piano d’azione graduale che comprende governance, tecnologia, persone e processi.
– Istituire un’organizzazione per la privacy con ruoli definiti, incluso il DPO, soprattutto se lo stato del soggetto è un SDF.

Fare un inventario dei sistemi di gestione dei dati personali:
– Identificare i sistemi critici di archiviazione ed elaborazione dei dati.

Identificare i responsabili del trattamento:
– Elencare i terzi che trattano dati personali.
– Aggiornare gli accordi e comunicare le responsabilità.

Redigere documenti conformi al DPDP Act:
– Creare programmi e processi approvati sulla privacy dei dati.
– Aggiornare i documenti necessari.
– Sviluppare informative sulla privacy, moduli di consenso e clausole contrattuali standard.

Programmare meccanismi di consenso:
– Definire i tipi di consenso.
– Sviluppare processi consensuali di facile utilizzo.
– Implementare strumenti efficienti di gestione del consenso.

Stabilire la gestione dei diritti del titolare dei dati:
– Impostare procedimenti per gestire i diritti del titolare dei dati.
– Sviluppare procedure per la gestione delle richieste.
– Utilizzare strumenti per una gestione efficiente dei diritti.

Implementare le risposte alle violazioni dei dati:
– Creare processi di gestione delle violazioni.
– Integrazione con la gestione degli incidenti.

Definire i periodi di conservazione dei dati:
– Classificare i dati e allineare i periodi di conservazione ai requisiti.

Valutare e implementare le tecnologie per la privacy:
– Scegliere soluzioni tecnologiche adeguate.
– Valutare la compatibilità e la scalabilità.
– Implementare le soluzioni scelte.

Condurre programmi di comunicazione e sensibilizzazione:
– Sviluppare piani e materiali.
– Lanciare iniziative di sensibilizzazione.
– Erogare formazione alle parti interessate.

Monitorare le notifiche del Governo:
– Rimanere aggiornati sulle notifiche del Governo Centrale e su eventuali norme imminenti ai sensi della legge.
– Intraprendere le azioni necessarie sulla base delle direttive governative.

Modelli globali di protezione dei dati

  • Modello dell’Unione Europea (UE): Il GDPR dell’UE impone alle organizzazioni requisiti rigorosi per garantire l’attenta tutela dei dati personali e richiede prove di tale protezione. Il regolamento stabilisce standard rigorosi per ottenere il consenso, consentendo agli utenti di esercitare il controllo sul modo in cui i loro dati vengono gestiti e protetti. Ampiamente riconosciuto come un quadro legislativo innovativo e cruciale, il GDPR offre una guida preziosa ai Paesi nella definizione dei diritti e delle responsabilità fondamentali che dovrebbero essere integrati nelle proprie leggi sulla protezione dei dati. Il suo obiettivo primario è quello di rispondere efficacemente alle sfide poste da un mondo sempre più digitale e interconnesso.
  • Modello degli Stati Uniti (USA): Il modello statunitense enfatizza la salvaguardia della privacy personale di un individuo dalle intrusioni del Governo. Consente la raccolta di informazioni personali, a condizione che l’individuo sia informato di tale raccolta di dati e del suo utilizzo previsto. A differenza di altri Paesi, gli Stati Uniti non hanno una normativa unica sulla protezione dei dati; dispongono invece di una combinazione di leggi, sia a livello federale che statale, progettate per proteggere i dati dei residenti.
  • Modello cinese: In Cina, la legge sulla protezione delle informazioni personali (PIPL) introduce maggiori diritti per i titolari dei dati, con l’obiettivo di frenare l’uso improprio dei dati personali. La legge comprende nozioni chiave, come informazioni personali, informazioni personali sensibili ed il loro trattamento. In particolare, definisce esplicitamente la sua giurisdizione oltre i confini nazionali. Il PIPL incorpora elementi fondamentali della protezione dei dati, compresi i principi che regolano il trattamento dei dati personali, le disposizioni relative al consenso e ai motivi di trattamento non basati sul consenso, i meccanismi per il trasferimento transfrontaliero dei dati e i diritti degli interessati.

global legislation status for data protection