Lei de Proteção de Dados Pessoais Digitais da Índia, 2023: Um Marco para a Privacidade Digital

Publicados: 2023-09-21

A nova Lei de Proteção de Dados Pessoais Digitais da Índia, de 2023, aplica-se a qualquer organização ou empresa envolvida na recolha ou gestão de dados pessoais. A lei não cobre apenas o tratamento de dados na Índia; também tem autoridade sobre o processamento de dados que ocorre fora da Índia.

O cenário tecnológico em rápida evolução da Índia alcançou um marco significativo com a introdução e subsequente aprovação do Projeto de Lei de Proteção de Dados Pessoais Digitais (DPDP) em 2022. Esta legislação fundamental foi aprovada pelo Gabinete da União em 5 de julho e foi apresentada durante a Sessão das Monções do Parlamento. , que começou em 20 de julho de 2023. Avançou rapidamente no processo legislativo, obtendo aprovação tanto na câmara baixa (Lok Sabha) em 7 de agosto quanto na câmara alta (Rajya Sabha) em 9 de agosto.

Com o consentimento oficial do Presidente concedido em 11 de agosto de 2023, conforme indicado na notificação do Diário do Governo da Índia, a Lei de Proteção de Dados Pessoais Digitais de 2022 foi oficialmente transferida para a Lei de Proteção de Dados Pessoais Digitais de 2023.

O alcance da Lei de Proteção de Dados Pessoais Digitais, de 2023, estende-se além das fronteiras da Índia, abrangendo o processamento de dados pessoais digitais mesmo quando realizado no exterior.

Rajarshi Bhattacharyya, presidente e diretor administrativo da ProcessIT Global , comparou a lei com o Regulamento Geral de Proteção de Dados (GDPR) existente da União Europeia (UE). Ele disse: “É mais avançado porque o GDPR foi lançado há algum tempo. Esta política é mais avançada e abrangente, o que promoverá o progresso da Índia.”

Rajarshi Bhattacharyya: resiliência cibernética, políticas governamentais e insights de segurança de dados
Obtenha insights valiosos de Rajarshi Bhattacharyya, da ProcessIT Global, enquanto ele se aprofunda nos domínios da resiliência cibernética, nas implicações das políticas governamentais e nos aspectos cruciais da segurança de dados no cenário digital atual.
Sayantan Mondal StartupTalky

De acordo com um relatório colaborativo da organização industrial IAMAI e da empresa de análise de dados de mercado Kantar, conhecido como 'Internet in India Report 2022', foi revelado que mais da metade da população da Índia, totalizando 759 milhões de indivíduos, usava ativamente a Internet, acessá-lo pelo menos uma vez por mês durante 2022. O relatório também destaca que desses usuários ativos, 399 milhões residem na Índia rural, ultrapassando os 360 milhões de usuários em áreas urbanas. Isto sugere que a expansão da Internet no país está a ser impulsionada principalmente pela Índia rural.

Nova Lei de Proteção de Dados Enfatiza IA Ética e Alcance Global
Obrigações das Entidades
Seus direitos e deveres em relação aos seus dados pessoais
Setor de saúde se prepara para impacto

Nova Lei de Proteção de Dados Enfatiza IA Ética e Alcance Global

Deepika Loganathan, CEO da HaiVE , disse: “Temos o prazer de dar as boas-vindas à promulgação da Lei de Proteção de Dados Pessoais Digitais de 2023 (DPDPA-2023) pelo Parlamento da Índia. Esta legislação histórica alinha-se perfeitamente com o nosso compromisso de longa data com a IA ética e a proteção de dados. Temos o prazer de anunciar que a nossa estrutura existente para soluções de IA no local já adere estreitamente aos sete princípios e obrigações descritos na Lei.”

A Lei se aplica a qualquer organização ou empresa envolvida na coleta ou gerenciamento de dados pessoais. Ela categoriza essas organizações em dois grupos: aquelas que determinam os motivos e métodos de processamento (referidas como Fiduciários de Dados ) e aquelas que realizam o processamento com base nas instruções dos Fiduciários de Dados (referidas como Processadores de Dados ).

A lei não cobre apenas o tratamento de dados na Índia; também tem autoridade sobre o processamento de dados que ocorre fora da Índia, especialmente no que diz respeito a bens e serviços oferecidos a indivíduos na Índia. Isto significa que quaisquer empresas que ofereçam bens ou serviços a residentes indianos, independentemente da sua localização física, estarão sob a sua jurisdição.

Nageen Kommu, CEO da Digitap , disse: “Na Digitap, nos consideramos processadores de dados. Não armazenamos dados; nós os processamos em nome de nossos clientes, que são os fiduciários dos dados. Embora possa não haver diretrizes específicas para processadores de dados, adotamos voluntariamente as mesmas políticas e procedimentos que os fiduciários de dados seguem. Se um cliente desejar revogar o consentimento, garantimos que os dados serão excluídos, cumprindo os requisitos da Lei."

Ele também mencionou que a lei também aborda a segurança dos dados durante o armazenamento e transmissão e a Digitap já possui mecanismos de segurança robustos em vigor, uma vez que tratam das normas de terceirização do RBI, que exigem a localização de dados na Índia.

Obrigações das Entidades

A lei descreve várias obrigações que as entidades devem cumprir quando se trata de tratamento de dados pessoais. Algumas das principais responsabilidades incluem:

  1. Informar os indivíduos antes de coletar seus dados pessoais, especificando quais dados serão coletados, as finalidades para as quais serão utilizados e os direitos dos indivíduos.
  2. Obter consentimento ou confiar em motivos legítimos quando necessário.
  3. Recolhemos apenas os dados pessoais necessários para a finalidade indicada.
  4. Conservar os dados pessoais apenas durante o tempo necessário para a finalidade pretendida e apagá-los posteriormente.
  5. Estabelecer um mecanismo para abordar queixas e preocupações levantadas por indivíduos.
  6. Implementar medidas de segurança técnicas e organizacionais adequadas.
  7. Notificar o Conselho de Proteção de Dados e os indivíduos afetados em caso de violação de dados pessoais.
  8. Buscar o consentimento dos pais ou responsáveis ​​e abster-se de atividades como monitoramento, rastreamento ou processamento comportamental que possam prejudicar crianças ou indivíduos com deficiência.
  9. Limitar a transferência de dados pessoais fora da Índia para territórios específicos.
  10. Realização de avaliações de impacto na proteção de dados, auditorias periódicas de dados e nomeação de um Diretor de Proteção de Dados e auditores para Fiduciários de Dados Significativos.
  11. Cumprir os requisitos relativos à transferência transfronteiriça de dados pessoais e procurar isenções aplicáveis.

Para se alinhar ainda mais às obrigações da Lei de Proteção de Dados Pessoais Digitais, de 2023, Loganathan afirmou que a HaiVE está em processo de ajuste fino nas políticas e processos da empresa. “Estamos desenvolvendo uma Lei de Proteção de Dados Pessoais Digitais de 2023, uma estrutura de conformidade que servirá como um guia completo para nossa equipe e nossos clientes. Este quadro aplicar-se-á automaticamente a todos os nossos compromissos futuros na Índia, garantindo o cumprimento perfeito das disposições da Lei”, acrescentou.

Seus direitos e deveres em relação aos seus dados pessoais

Foram concedidos aos indivíduos direitos específicos ao abrigo da lei relativamente à forma como os seus dados pessoais são tratados. Esses direitos abrangem:

  • Direito de Acesso : Os indivíduos têm o direito de ser informados se os seus dados pessoais estiverem sendo processados. Eles podem solicitar um resumo dos dados que estão sendo processados, detalhes sobre as atividades de processamento (como seu uso para publicidade direcionada), as identidades das entidades com as quais seus dados foram compartilhados (como processadores ou terceiros) e os tipos de dados compartilhados .
  • Direito à correção e apagamento : Os indivíduos têm o direito de corrigir dados imprecisos ou enganosos, completar dados incompletos e atualizar seus dados pessoais, especialmente quando esses dados são compartilhados com outras entidades ou usados ​​para a tomada de decisões. Podem também solicitar a eliminação dos seus dados pessoais (ou retirar o consentimento se o consentimento for a base), embora as entidades possam retê-los se necessário para cumprimento legal.
  • Direito à reparação de queixas e nomeação : A Lei introduz um mecanismo de reparação de queixas que permite aos indivíduos apresentar reclamações junto de entidades relativamente ao cumprimento da Lei. As entidades devem responder dentro de um prazo especificado. Se não ficarem satisfeitos com a resposta, os indivíduos podem encaminhar o assunto para o Conselho de Proteção de Dados. Além disso, os indivíduos podem nomear alguém para exercer os seus direitos relativos aos dados pessoais em caso de incapacidade ou falecimento.
  • Deveres : A lei também descreve certas responsabilidades para os indivíduos, como fornecer informações precisas, abster-se de falsificação de identidade, reter informações materiais ou enviar reclamações falsas ao Conselho de Proteção de Dados.

Projetos de Lei e Leis: Lei de Proteção de Dados Pessoais Digitais, 2023 | 19 de agosto de 2023

Setor de saúde se prepara para impacto

Kapil Kumar, Diretor de Tecnologia - Informática Médica, Artemis Hospitals Gurugram levantou preocupações sobre suas implicações no setor de saúde. Ele disse: “Devido à crescente adoção de tecnologias digitais de saúde, como registros eletrônicos de saúde e telemedicina, a Lei de Proteção de Dados Pessoais Digitais de 2023 terá um impacto significativo no setor de saúde”.

De acordo com o Sr. Kumar, esta medida visa regular a recolha, armazenamento e distribuição de dados sensíveis dos pacientes, salvaguardando assim os direitos de privacidade dos indivíduos. Ele também fez referência a incidentes anteriores que sublinham a sua importância. Por exemplo, em 2019, houve uma violação de acesso não autorizado que comprometeu os registos de saúde de quase 6,8 milhões de pacientes e médicos. Da mesma forma, em 2021, uma violação dos websites do governo indiano expôs os resultados laboratoriais da COVID-19 de mais de 1.500 residentes. Em Kerala, informações pessoais de mais de 200 mil pacientes foram divulgadas inadvertidamente. Este regulamento surge como um defensor da privacidade de dados no setor da saúde.

A lei é significativamente distinta da lei existente, que oferece proteção limitada, principalmente em casos de violações de segurança, e apenas para tipos específicos de dados (dados pessoais sensíveis). Em contraste, a Lei oferece amplas salvaguardas para os dados pessoais, impondo responsabilidades e concedendo aos indivíduos maior controlo e consciência sobre as suas informações pessoais.

Embora a Lei marque inquestionavelmente um avanço substancial na salvaguarda dos direitos digitais dos indivíduos, os subsequentes esforços de regulamentação e defesa do Conselho de Proteção de Dados desempenharão um papel crucial não só no reforço desses direitos, mas também no estabelecimento de um quadro estruturado para o processamento de dados.