Il 9 agosto il Parlamento indiano ha approvato una nuova legge sulla protezione dei dati – il c.d. Digital Personal Data Protection Act – che fornisce il quadro normativo per il nuovo regime di protezione dei dati.
Questa nuova legge è a sostituzione di una precedente bozza e si discosta dal modello GDPR relativo alle leggi sulla privacy.
Il governo ha annunciato che implementerà la legge entro 10 mesi, ma non ha ancora fissato una data di entrata in vigore.
Basi giuridiche
Il consenso continua ad essere la base giuridica primaria per il trattamento dei dati personali. Il consenso deve essere “liberamente prestato”, “specifico”, “informato”, “incondizionato”, una “indicazione inequivocabile di consenso” attraverso una “chiara azione affermativa” e deve poter essere revocato. La legge consente al titolare dei dati di utilizzare un gestore del consenso per gestire il processo di consenso.
La legge prevede ulteriori motivi per il trattamento dei dati personali senza consenso, anche per “usi legittimi”, come il rispetto della legge e delle ordinanze del tribunale, nonché in relazione a emergenze mediche, epidemie e questioni di pubblica sicurezza. Inoltre, il trattamento dei dati personali per determinati scopi lavorativi o per proteggere un datore di lavoro dalla responsabilità costituisce ciascuno un uso legittimo ai sensi della legge per il quale non è richiesto il consenso.
Un altro uso legittimo è quello in cui il titolare dei dati fornisce volontariamente i propri dati personali al fiduciario dei dati (ovvero al responsabile del trattamento dei dati) per uno scopo specifico (ad esempio, quando una persona visita una farmacia e fornisce i propri dati personali).
Come nelle precedenti proposte di legge, la legge non prevede un motivo di “legittimo interesse” per il trattamento dei dati come stabilito nel GDPR. Fatta eccezione per i limitati motivi di “uso legittimo”, il consenso sembra essere l’unico motivo su cui basarsi per il trattamento dei dati personali.
Trasferimento dati
Il DPDP Act consente trasferimenti transfrontalieri verso tutti i paesi, a meno che non siano stati espressamente limitati dal governo indiano. Questo tipo di approccio appare molto più semplicistico rispetto alla complessa matrice di adeguatezza attualmente in vigore sotto il GDPR.
Applicabilità
La legge si applica solo ai dati personali conservati in formato digitale e si applica al trattamento dei dati personali al di fuori dell’India solo se tale trattamento è “in connessione con un’attività correlata all’offerta di beni o servizi ai titolari dei dati (vale a dire, interessati) nel territorio dell’India.”
La legge definisce bambino un individuo di età inferiore a 18 anni. Per la raccolta dei dati personali dei bambini è richiesto il consenso verificabile dei genitori. La legge vieta inoltre la pubblicità mirata rivolta ai bambini e le attività di trattamento che potrebbero avere un effetto dannoso sul benessere di un bambino. Il Governo ha tuttavia il potere di esentare alcune di queste restrizioni attraverso una notifica.
Categorie di dati speciali
Il DPDP si applica a tutti in maniera uniforme a tutte le tipologie di dati personali digitali e non risultano controlli aggiuntivi sul trattamento di dati personali sensibili o di dati personali critici. Su questo tema, le differenze con il GDPR risultano sostanziali: secondo la normativa europea, i c.d. “dati particolari” possono essere trattati solamente per determinate finalità e con specifiche garanzie.
Violazioni e notifiche
I titolari del trattamento dei dati sono tenuti ad attuare severe misure di sicurezza al fine di evitare violazioni dei dati personali.
La legge definisce una “violazione dei dati personali” come qualsiasi trattamento non autorizzato o divulgazione, utilizzo, alterazione o distruzione accidentale di dati personali che ne comprometta la riservatezza, l’integrità o la disponibilità. In caso di violazione dei dati personali, il fiduciario dei dati deve informare sia il Data Protection Board of India (“DPBI”) che i titolari dei dati interessati secondo le modalità prescritte dal governo. La definizione ampia di violazione dei dati personali coprirebbe qualsiasi violazione, indipendentemente dal numero di persone interessate.
Sanzioni
A differenza del GDPR, le sanzioni per le violazioni e la non conformità della legge DPDP sono indipendenti dal fatturato.
La legge prevede sanzioni in caso di inosservanza e stabilisce sanzioni massime per violazioni specifiche. Ad esempio, la mancata adozione di ragionevoli misure di sicurezza per prevenire una violazione dei dati personali può comportare una sanzione fino a Rs. 2,5 miliardi (circa 30 milioni di dollari). La legge non prevede la concessione di un risarcimento agli interessati.
