• Homepage
  • Articoli
  • Marketing
  • Legge indiana sulla protezione dei dati personali digitali, 2023: un punto di riferimento per la privacy digitale

Legge indiana sulla protezione dei dati personali digitali, 2023: un punto di riferimento per la privacy digitale

Pubblicato: 2023-09-21

Il nuovo Digital Personal Data Protection Act, 2023, dell'India si applica a qualsiasi organizzazione o azienda coinvolta nella raccolta o nella gestione dei dati personali. La legge non copre solo il trattamento dei dati in India; ha anche l’autorità sul trattamento dei dati che avviene al di fuori dell’India.

Il panorama tecnologico indiano in rapida evoluzione ha raggiunto un traguardo significativo con l'introduzione e la successiva approvazione del disegno di legge sulla protezione dei dati personali digitali (DPDP) nel 2022. Questa legislazione fondamentale ha ottenuto l'approvazione del gabinetto dell'Unione il 5 luglio ed è stata presentata durante la sessione monsonica del Parlamento , iniziato il 20 luglio 2023. Ha attraversato rapidamente l'iter legislativo, ottenendo l'approvazione sia nella Camera bassa (Lok Sabha) il 7 agosto che nella Camera alta (Rajya Sabha) il 9 agosto.

Con l'assenso ufficiale del Presidente concesso l'11 agosto 2023, come indicato nella notifica sulla Gazzetta ufficiale del governo indiano, la legge sulla protezione dei dati personali digitali del 2022 è passata ufficialmente alla legge sulla protezione dei dati personali digitali del 2023.

La portata del Digital Personal Data Protection Act, del 2023, si estende oltre i confini dell’India, comprendendo il trattamento dei dati personali digitali anche se condotto all’estero.

Rajarshi Bhattacharyya, presidente e amministratore delegato di ProcessIT Global , ha confrontato la legge con l'attuale regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE). Ha detto: “È più avanzato perché il GDPR è uscito qualche tempo fa. Questa politica è più avanzata e globale e favorirà il progresso dell’India”.

Rajarshi Bhattacharyya: resilienza informatica, politica governativa e approfondimenti sulla sicurezza dei dati
Ottieni preziose informazioni da Rajarshi Bhattacharyya di ProcessIT Global mentre approfondisce i regni della resilienza informatica, le implicazioni delle politiche governative e gli aspetti cruciali della sicurezza dei dati nel panorama digitale di oggi.
Sayantan Mondal StartupTalky

Secondo un rapporto collaborativo dell'organizzazione industriale IAMAI e della società di analisi dei dati di mercato Kantar, noto come "Internet in India Report 2022", è emerso che oltre la metà della popolazione indiana, pari a 759 milioni di individui, utilizza attivamente Internet, accedendovi almeno una volta al mese nel corso del 2022. Il rapporto evidenzia inoltre che di questi utenti attivi, 399 milioni risiedono nelle zone rurali dell’India, superando i 360 milioni di utenti nelle aree urbane. Ciò suggerisce che l’espansione di Internet nel paese è alimentata principalmente dall’India rurale.

La nuova legge sulla protezione dei dati sottolinea l’intelligenza artificiale etica e la portata globale
Obblighi per gli Enti
I tuoi diritti e doveri riguardo ai tuoi dati personali
Il settore sanitario si prepara all’impatto

La nuova legge sulla protezione dei dati sottolinea l’intelligenza artificiale etica e la portata globale

Deepika Loganathan, CEO di HaiVE , ha dichiarato: “Siamo lieti di accogliere con favore la promulgazione del Digital Personal Data Protection Act, 2023 (DPDPA-2023) da parte del Parlamento indiano. Questa legislazione fondamentale si allinea perfettamente con il nostro impegno di lunga data nei confronti dell’IA etica e della protezione dei dati. Siamo lieti di annunciare che il nostro quadro esistente per le soluzioni di IA on-premise aderisce già strettamente ai sette principi e obblighi delineati nella legge”.

La legge si applica a qualsiasi organizzazione o azienda coinvolta nella raccolta o nella gestione dei dati personali. Classifica tali soggetti in due gruppi: quelli che determinano le ragioni e le modalità del trattamento (c.d. Fiduciari del trattamento ) e quelli che effettuano il trattamento sulla base delle istruzioni dei Fiduciari del trattamento (c.d. Responsabili del trattamento ).

La legge non copre solo il trattamento dei dati in India; ha inoltre autorità sul trattamento dei dati che avviene al di fuori dell'India, in particolare per quanto riguarda beni e servizi offerti a individui in India. Ciò significa che qualsiasi azienda che offra beni o servizi ai residenti indiani, indipendentemente dalla loro ubicazione fisica, rientrerebbe nella sua giurisdizione.

Nageen Kommu, CEO di Digitap , ha affermato: “In Digitap ci consideriamo responsabili del trattamento dei dati. Non memorizziamo dati; li elaboriamo per conto dei nostri clienti, che sono i fiduciari dei dati. Anche se potrebbero non esserci linee guida specifiche per i responsabili del trattamento dei dati, adottiamo volontariamente le stesse politiche e procedure seguite dai fiduciari dei dati. Se un cliente desidera revocare il consenso, ci assicuriamo che i dati vengano cancellati, rispettando i requisiti della legge."

Ha anche affermato che la legge affronta anche la sicurezza dei dati durante l'archiviazione e la trasmissione e che Digitap dispone già di robusti meccanismi di sicurezza in atto, poiché si occupano delle norme di outsourcing della RBI, che impongono la localizzazione dei dati in India.

Obblighi per gli Enti

La legge delinea diversi obblighi a cui le entità devono attenersi quando si tratta di gestire i dati personali. Alcune delle responsabilità chiave includono:

  1. Informare le persone prima di raccogliere i loro dati personali, specificando quali dati saranno raccolti, gli scopi per i quali verranno utilizzati e i diritti di cui godono le persone.
  2. Ottenere il consenso o far valere motivi legittimi quando necessario.
  3. Raccogliere solo i dati personali necessari per lo scopo dichiarato.
  4. Conservare i dati personali solo per il tempo necessario allo scopo previsto e successivamente cancellarli.
  5. Stabilire un meccanismo per affrontare le lamentele e le preoccupazioni sollevate dai singoli individui.
  6. Implementazione di adeguate misure di sicurezza tecniche e organizzative.
  7. Informare il comitato per la protezione dei dati e le persone interessate in caso di violazione dei dati personali.
  8. Richiedere il consenso dei genitori o del tutore e astenersi da attività come il monitoraggio, il tracciamento o l'elaborazione comportamentale che potrebbero danneggiare bambini o persone con disabilità.
  9. Limitazione del trasferimento di dati personali al di fuori dell'India a territori specifici.
  10. Condurre valutazioni d'impatto sulla protezione dei dati, audit periodici dei dati e nominare un responsabile della protezione dei dati e revisori dei conti per i fiduciari di dati significativi.
  11. Rispettare i requisiti relativi al trasferimento transfrontaliero di dati personali e richiedere le esenzioni applicabili.

Per allinearsi ulteriormente agli obblighi del Digital Personal Data Protection Act del 2023, Loganathan ha dichiarato che HaiVE sta mettendo a punto le politiche e i processi aziendali. “Stiamo sviluppando un Digital Personal Data Protection Act, 2023, un quadro di conformità che fungerà da guida completa per il nostro team e i nostri clienti. Questo quadro si applicherà automaticamente a tutti i nostri futuri impegni in India, garantendo il rispetto continuo delle disposizioni della legge”, ha aggiunto.

I tuoi diritti e doveri riguardo ai tuoi dati personali

Agli individui sono concessi diritti specifici ai sensi della legge riguardo al modo in cui vengono gestiti i loro dati personali. Questi diritti comprendono:

  • Diritto di accesso : gli individui hanno il diritto di essere informati se è in corso un trattamento dei loro dati personali. Possono richiedere un riepilogo dei dati trattati, dettagli sulle attività di trattamento (come il loro utilizzo per pubblicità mirata), l'identità delle entità con cui i loro dati sono stati condivisi (come responsabili del trattamento o terze parti) e i tipi di dati condivisi .
  • Diritto alla correzione e alla cancellazione : gli individui hanno il diritto di correggere dati inesatti o fuorvianti, di completare dati incompleti e di aggiornare i propri dati personali, in particolare quando questi dati vengono condivisi con altre entità o utilizzati per il processo decisionale. Possono anche richiedere la cancellazione dei propri dati personali (o revocare il consenso se il consenso è la base), sebbene le entità possano conservarli se richiesto per conformità legale.
  • Diritto al risarcimento dei reclami e alla nomina : la legge introduce un meccanismo di risarcimento dei reclami che consente agli individui di presentare reclami alle entità in merito al rispetto della legge. Le entità devono rispondere entro un periodo di tempo specificato. Se insoddisfatti della risposta, gli individui possono inoltrare la questione al Comitato per la protezione dei dati. Inoltre, gli interessati possono designare un soggetto cui esercitare i diritti relativi ai dati personali in caso di loro incapacità o morte.
  • Doveri : la legge delinea inoltre alcune responsabilità per gli individui, come fornire informazioni accurate, astenersi dall'impersonare identità, nascondere informazioni materiali o presentare falsi reclami al Comitato per la protezione dei dati.

Fatture e atti: legge sulla protezione dei dati personali digitali, 2023 | 19 agosto 2023

Il settore sanitario si prepara all’impatto

Kapil Kumar, Chief Technology Officer – Medical Informatics, Artemis Hospitals Gurugram ha espresso preoccupazione per le sue implicazioni nel settore sanitario. Ha affermato: “A causa della crescente diffusione delle tecnologie sanitarie digitali come le cartelle cliniche elettroniche e la telemedicina, il Digital Personal Data Protection Act del 2023 avrà un impatto significativo sul settore sanitario”.

Secondo Kumar, questa misura mira a regolamentare la raccolta, l'archiviazione e la distribuzione dei dati sensibili dei pazienti, salvaguardando così i diritti alla privacy degli individui. Ha anche fatto riferimento ad incidenti precedenti che ne sottolineano il significato. Nel 2019, ad esempio, si è verificata una violazione di accesso non autorizzato che ha compromesso le cartelle cliniche di quasi 6,8 milioni di pazienti e medici. Allo stesso modo, nel 2021, una violazione dei siti web del governo indiano ha rivelato i risultati di laboratorio sul COVID-19 di oltre 1.500 residenti. In Kerala, le informazioni personali di oltre 200.000 pazienti sono state inavvertitamente divulgate. Questo regolamento emerge come un campione della privacy dei dati nel settore sanitario.

La legge è significativamente distinta dalla legge esistente, che offre una protezione limitata, principalmente in caso di violazioni della sicurezza, e solo per tipi specifici di dati (dati personali sensibili). Al contrario, la legge offre ampie garanzie per i dati personali imponendo responsabilità e garantendo agli individui maggiore controllo e consapevolezza sulle proprie informazioni personali.

Sebbene la legge segni indiscutibilmente un progresso sostanziale nella salvaguardia dei diritti digitali degli individui, i successivi sforzi normativi e di advocacy del Data Protection Board svolgeranno un ruolo cruciale non solo nel rafforzare questi diritti ma anche nello stabilire un quadro strutturato per l’elaborazione dei dati.