Legea Indiei privind protecția datelor cu caracter personal digital, 2023: un reper pentru confidențialitatea digitală

Publicat: 2023-09-21

Noul Digital Personal Data Protection Act din India, 2023, se aplică oricărei organizații sau afaceri implicate în colectarea sau gestionarea datelor cu caracter personal. Legea nu acoperă numai prelucrarea datelor în India; are, de asemenea, autoritate asupra procesării datelor care are loc în afara Indiei.

Peisajul tehnologic în evoluție rapidă din India a atins o etapă semnificativă odată cu introducerea și adoptarea ulterioară a legii privind protecția datelor cu caracter personal digital (DPDP) în 2022. Această legislație esențială a obținut aprobarea de la Cabinetul Uniunii pe 5 iulie și a fost prezentată în timpul sesiunii musonice a Parlamentului. , care a început pe 20 iulie 2023. A trecut rapid prin procesul legislativ, obținând aprobare atât în ​​camera inferioară (Lok Sabha) pe 7 august, cât și în camera superioară (Rajya Sabha) pe 9 august.

Cu acordul oficial al președintelui acordat la 11 august 2023, așa cum se indică în notificarea Gazetei Guvernului Indiei, Legea privind protecția datelor cu caracter personal digital din 2022 a trecut oficial în Legea privind protecția datelor cu caracter personal digital din 2023.

Aria de aplicare a Digital Personal Data Protection Act, din 2023, se extinde dincolo de granițele Indiei, cuprinzând prelucrarea datelor digitale cu caracter personal chiar și atunci când este efectuată în străinătate.

Dl Rajarshi Bhattacharyya, președinte și director general al ProcessIT Global , a comparat legea cu Regulamentul general privind protecția datelor (GDPR) existent al Uniunii Europene (UE). El a spus: „Este mai avansat pentru că GDPR a apărut cu ceva timp în urmă. Această politică este mai avansată și mai cuprinzătoare, ceea ce va promova progresul Indiei.”

Rajarshi Bhattacharyya: Reziliență cibernetică, politică guvernamentală și informații despre securitatea datelor
Obțineți informații prețioase de la Rajarshi Bhattacharyya de la ProcessIT Global, în timp ce se adâncește în tărâmurile rezilienței cibernetice, implicațiile politicilor guvernamentale și aspectele cruciale ale securității datelor în peisajul digital de astăzi.
Sayantan Mondal StartupTalky

Conform unui raport de colaborare al organizației industriale IAMAI și al companiei de analiză a datelor de piață Kantar, cunoscut sub numele de „Internet in India Report 2022”, a fost dezvăluit că peste jumătate din populația Indiei, în valoare de 759 de milioane de persoane, a folosit în mod activ internetul, accesându-l cel puțin o dată pe lună în cursul anului 2022. Raportul subliniază, de asemenea, că dintre acești utilizatori activi, 399 de milioane locuiesc în India rurală, depășind cei 360 de milioane de utilizatori din zonele urbane. Acest lucru sugerează că expansiunea internetului în țară este propulsată în primul rând de India rurală.

Noua lege privind protecția datelor pune accent pe inteligența artificială etică și acoperirea globală
Obligații pentru Entități
Drepturile și îndatoririle dumneavoastră cu privire la datele dumneavoastră cu caracter personal
Sectorul de sănătate se pregătește pentru impact

Noua lege privind protecția datelor pune accent pe inteligența artificială etică și acoperirea globală

Deepika Loganathan, CEO al HaiVE , a declarat: „Suntem încântați să salutăm adoptarea Legii privind protecția datelor cu caracter personal digital, 2023 (DPDPA-2023) de către Parlamentul Indiei. Această legislație emblematică se aliniază perfect cu angajamentul nostru de lungă durată față de IA etică și protecția datelor. Suntem încântați să anunțăm că cadrul nostru existent pentru soluțiile de inteligență artificială on-premise aderă deja îndeaproape la cele șapte principii și obligații prezentate în lege.”

Legea se aplică oricărei organizații sau afaceri implicate în colectarea sau gestionarea datelor cu caracter personal. Ea clasifică aceste organizații în două grupe: cele care determină motivele și metodele de prelucrare (denumite Fiduciari de date ) și cele care efectuează prelucrarea pe baza instrucțiunilor Fiduciarilor de date (denumite Procesori de date ).

Legea nu acoperă numai prelucrarea datelor în India; are, de asemenea, autoritate asupra prelucrării datelor care are loc în afara Indiei, în special în ceea ce privește bunurile și serviciile oferite persoanelor fizice din India. Aceasta înseamnă că orice afacere care oferă bunuri sau servicii rezidenților indieni, indiferent de locația lor fizică, ar intra sub jurisdicția sa.

Domnul Nageen Kommu, CEO al Digitap , a declarat: „La Digitap, ne considerăm procesatori de date. Nu stocăm date; le procesăm în numele clienților noștri, care sunt fiduciari ai datelor. Deși este posibil să nu existe linii directoare specifice pentru procesatorii de date, adoptăm în mod voluntar aceleași politici și proceduri pe care le urmează fiduciarii de date. Dacă un client dorește să revoce consimțământul, ne asigurăm că datele sunt șterse, respectând cerințele Legii.”

El a menționat, de asemenea, că actul abordează și securitatea datelor în timpul stocării și transmiterii, iar Digitap are deja mecanisme de securitate robuste, deoarece se ocupă de normele de externalizare ale RBI, care impun localizarea datelor în India.

Obligații pentru Entități

Legea subliniază câteva obligații la care entitățile trebuie să le respecte atunci când vine vorba de manipularea datelor cu caracter personal. Unele dintre responsabilitățile cheie includ:

  1. Informarea persoanelor fizice înainte de colectarea datelor cu caracter personal, precizarea ce date vor fi colectate, scopurile pentru care vor fi utilizate și drepturile pe care le au persoanele fizice.
  2. Obținerea consimțământului sau bazarea pe motive legitime atunci când este necesar.
  3. Colectarea numai a datelor personale necesare în scopul declarat.
  4. Păstrarea datelor cu caracter personal doar atât timp cât este necesar pentru scopul propus și ștergerea lor ulterior.
  5. Stabilirea unui mecanism de abordare a nemulțumirilor și preocupărilor ridicate de indivizi.
  6. Implementarea măsurilor de securitate tehnice și organizatorice adecvate.
  7. Notificarea Consiliului pentru Protecția Datelor și a persoanelor afectate în cazul unei încălcări a datelor cu caracter personal.
  8. Solicitarea consimțământului părinților sau tutorelui și abținerea de la activități precum monitorizarea comportamentală, urmărirea sau procesarea care ar putea dăuna copiilor sau persoanelor cu dizabilități.
  9. Limitarea transferului de date cu caracter personal în afara Indiei către teritorii specificate.
  10. Efectuarea evaluărilor de impact privind protecția datelor, auditurile periodice ale datelor și numirea unui responsabil cu protecția datelor și a auditorilor pentru Fiduciarii semnificativi de date.
  11. Respectarea cerințelor privind transferul transfrontalier de date cu caracter personal și căutarea derogărilor aplicabile.

Pentru a se alinia și mai mult cu obligațiile din Legea privind protecția datelor cu caracter personal digital din 2023, Loganathan a declarat că HaiVE este în proces de ajustare a politicilor și proceselor companiei. „Dezvoltăm un Digital Personal Data Protection Act, 2023, cadru de conformitate care va servi drept ghid cuprinzător pentru echipa noastră și clienții noștri. Acest cadru se va aplica automat tuturor angajamentelor noastre viitoare din India, asigurând conformitatea fără probleme cu prevederile Legii”, a adăugat ea.

Drepturile și îndatoririle dumneavoastră cu privire la datele dumneavoastră cu caracter personal

Persoanelor fizice li s-au acordat drepturi specifice conform legii cu privire la modul în care sunt prelucrate datele lor personale. Aceste drepturi cuprind:

  • Dreptul de acces : Persoanele fizice au dreptul de a fi informate dacă datele lor personale sunt în curs de prelucrare. Aceștia pot solicita un rezumat al datelor în curs de prelucrare, detalii despre activitățile de prelucrare (cum ar fi utilizarea lor pentru publicitate direcționată), identitățile entităților cărora le-au fost partajate datele (cum ar fi procesatorii sau terții) și tipurile de date partajate. .
  • Dreptul la corectare și ștergere : Persoanele fizice au dreptul de a avea date inexacte sau înșelătoare corectate, datele incomplete completate și datele lor personale actualizate, în special atunci când aceste date sunt partajate cu alte entități sau utilizate pentru luarea deciziilor. De asemenea, aceștia pot solicita ștergerea datelor lor personale (sau își pot retrage consimțământul dacă consimțământul este baza), deși entitățile îl pot păstra dacă este necesar pentru conformitatea legală.
  • Dreptul la soluționarea plângerilor și nominalizarea : Legea introduce un mecanism de soluționare a plângerilor care permite persoanelor să depună plângeri la entități cu privire la respectarea legii. Entitățile trebuie să răspundă într-un interval de timp specificat. Dacă nu sunt mulțumiți de răspuns, persoanele pot escalada problema la Consiliul pentru Protecția Datelor. În plus, persoanele fizice pot desemna pe cineva care să își exercite drepturile cu privire la datele cu caracter personal în cazul incapacității sau dispariției acestora.
  • Îndatoriri : Legea subliniază, de asemenea, anumite responsabilități pentru persoane, cum ar fi furnizarea de informații exacte, abținerea de la uzurparea identității, reținerea de informații materiale sau depunerea de plângeri false la Consiliul pentru Protecția Datelor.

Facturi și acte: Legea privind protecția datelor cu caracter personal digital, 2023 | 19 august 2023

Sectorul de sănătate se pregătește pentru impact

Kapil Kumar, Chief Technology Officer - Medical Informatics, Artemis Hospitals Gurugram și- a exprimat îngrijorarea cu privire la implicațiile sale în sectorul sănătății. El a spus: „Datorită adoptării tot mai mari a tehnologiilor digitale de sănătate, cum ar fi fișele electronice de sănătate și telemedicina, Legea digitală pentru protecția datelor cu caracter personal, 2023 va avea un impact semnificativ asupra sectorului de sănătate.”

Potrivit domnului Kumar, această măsură urmărește să reglementeze colectarea, stocarea și distribuirea datelor sensibile ale pacienților, protejând astfel drepturile de confidențialitate ale persoanelor. El a făcut, de asemenea, referire la incidente anterioare care subliniază semnificația acestora. De exemplu, în 2019, a existat o încălcare a accesului neautorizat care a compromis fișele de sănătate a aproape 6,8 milioane de pacienți și medici. În mod similar, în 2021, o încălcare a site-urilor web ale guvernului indian a expus rezultatele de laborator COVID-19 a peste 1.500 de rezidenți. În Kerala, informațiile personale de la peste 200.000 de pacienți au fost dezvăluite din neatenție. Acest regulament apare ca un campion al confidențialității datelor în sectorul sănătății.

Legea este semnificativ diferită de legea existentă, care oferă protecție limitată, în principal în cazurile de încălcare a securității, și numai pentru anumite tipuri de date (date cu caracter personal sensibile). În schimb, legea oferă garanții extinse pentru datele cu caracter personal prin impunerea responsabilităților și acordarea persoanelor unui control și conștientizare mai mare asupra informațiilor lor personale.

În timp ce Legea marchează, fără îndoială, un progres substanțial în protejarea drepturilor digitale ale persoanelor, eforturile ulterioare de reglementare și de advocacy ale Comitetului pentru Protecția Datelor vor juca un rol crucial nu numai în consolidarea acestor drepturi, ci și în stabilirea unui cadru structurat pentru prelucrarea datelor.