L’India ha avuto nel tempo un approccio molto frammentario rispetto al tema della protezione dei dati. La regolamentazione su tale protezione è stata in passato contenuta in una serie di statuti, tra cui il più importante è stato il Technology Amendment Act, nel 2008, particolarmente incentrato sulla regolamentazione dei “dati personali sensibili”.

Nel mese di Maggio 2018 è entrato in vigore il Regolamento Europeo sulla Protezione dei Dati – GDPR. Al fine di adeguarsi alle disposizioni ad efficacia extraterritoriale del GDPR, il governo indiano ha emanato nel dicembre 2019 il Data Protection Bill (di seguito, anche solo “Bill”), con l’obiettivo di creare un primo complessivo sistema per la regolamentazione dei dati. Il Bill introduce un Sistema di protezione dei dati più articolato, prevenendo l’abuso dei dati da parte delle persone fisiche nonché imponendo sanzioni per le persone giuridiche indiane e straniere. Tra le principali imprese che processano dati personali ed informazioni sensibili vi sono certamente quelle appartenenti al mondo dei social network, tra cui Facebook, Twitter, WhatsApp etc. Con l’introduzione del nuovo Bill, tali multinazionali in India saranno soggette ad una nuova compliance a tutela della riservatezza e della sicurezza dei dati.

Principali caratteristiche del Bill

Sino ad oggi, le imprese multinazionali sono state libere di elaborare i dati dei cittadini indiani, che prestavano regolarmente il consenso all’utilizzo dei loro servizi. In molti casi, tali imprese trasferivano questi dati in altri Paesi, rendendo così difficile la tutela della privacy e della sicurezza sia per i cittadini che per lo Stato. Alcune delle principali novità del Bill, introdotte su modello delle disposizioni del GDPR e che garantiranno una maggiore tutela dei diritti degli individui sono:

  • l’informativa ed il rilascio del consenso per il trattamento dei dati personali;
  • nuove limitazioni al trattamento dei dati personali, in quanto esso sarà limitato ai servizi per i quali l’utente ha espressamente rilasciato il proprio consenso;
  • la localizzazione dei dati, inclusi quelli sensibili, che dovrà avvenire su server nel territorio indiano, comportando limitazioni nel trasferimento dei dati all’estero;
  • sanzioni finanziarie per le imprese che non rispetteranno la nuova regolamentazione sulla protezione dei dati; infatti, la sezione 33 e la n. 34 del Bill prevedono una penalità per coloro che violano la legge dell’entità di 1,73 milioni di Euro o del 4% del volume di affari del soggetto leso, dell’anno precedente a quello in cui è avvenuta la violazione.

 

Principali effetti negativi per le multinazionali a seguito dell’implementazione della nuova regolamentazione

 

In India, l’attuazione della nuova regolamentazione può generare un aumento dei costi per multinazionali e piccole e medie imprese. Inoltre, la necessaria localizzazione dei dati personali in server indiani o, comunque le restrizioni nel loro flusso transfrontaliero, potrebbero incidere sulle politiche di business delle predette imprese, dato che impedirebbero a queste la commercializzazione dei dati per le loro politiche di sviluppo e innovazione.

Inoltre, a causa del necessario adeguamento in termini di custodia dei dati nel territorio nazionale previsto dalla nuova normativa, il report di Canergie Mellon, del Maggio 2019, ha stimato in India una prossima perdita sino allo 0,8% del PIL e una riduzione sino al 1,4% degli investimenti nazionali.

 

Conclusioni

L’implementazione della nuova regolamentazione, strutturata su modello del GDPR, sarà certamente fonte di nuove criticità per le imprese multinazionali, a causa di un aumento dei costi da sostenere, delle restrizioni previste, dei vincoli amministrativi e di un impatto negativo sugli investimenti.

Ad ogni modo, il nuovo Bill è un importante passo verso la protezione dei diritti dei cittadini e della loro privacy, principio anche sancito per la sua rilevanza nell’Articolo 21 della Costituzione Indiana. Tuttavia, l’impatto positivo del Bill sui cittadini e sulle multinazionali potrà essere solamente determinato con esattezza al momento in cui il nuovo Bill diventerà legge.

Lo Studio D’Andrea and Partners, con il proprio team di esperti, continuerà a monitorare i cambiamenti nella legislazione indiana. Per ogni ulteriore commento o necessità di contatto, lo Studio potrà essere contattato all’indirizzo info@dandreapartners.com