Introduzione
Il governo indiano ha emanato per la prima volta una legge specifica sulla protezione dei dati personali. Il Digital Personal Data Protection Act, 2023 (anche chiamato “DPDP Act”), è stato promulgato nell’agosto 2023 ed è entrato in vigore a partire dal 1° settembre 2023.
Fino alla promulgazione e all’attuazione del DPDP Act, altre leggi come l’Information Technology Act, 2000 (IT Act), insieme alle Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 (SPDI Rules), sono state il fondamento della protezione dei dati in India.
Il DPDP Act è stato redatto prendendo in considerazione le leggi sulla privacy in tutto il mondo, come il GDPR dell’Unione Europea, e affronta quindi gli obblighi di privacy e protezione riguardanti i dati personali.
Principi Chiave del DPDP Act
La nuova legge si applica alle organizzazioni che trattano dati personali digitali e raccolgono i dati trattati in forma digitale.
La legge si applica alle organizzazioni che trattano dati personali all’interno del territorio indiano o al di fuori dell’India per attività che offrono beni o servizi a individui in India. Pertanto, la legge si applica al trattamento dei dati personali dei cittadini indiani, anche se i dati sono trattati al di fuori dell’India.
Tuttavia, la legge non si applica ai dati personali trattati in applicazione della legge, per fini di sicurezza nazionale o per scopi giornalistici o espressioni artistiche.
La legge definisce inoltre i dati personali come “qualsiasi dato che si riferisce a una persona fisica e che le permetta di essere identificata, direttamente o indirettamente, in particolare facendo riferimento a uno strumento di identificazione come un nome, un numero identificativo, dati di localizzazione o un riconoscimento online.”
Il DPDP Act si basa su sei principi fondamentali: i dati personali devono essere trattati in modo lecito, equo e trasparente solo con il consenso dei titolari dei dati o per specifici usi legittimi indicati. In secondo luogo, i dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non devono essere trattati ulteriormente in modo incompatibile con tali scopi. Inoltre, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per cui sono trattati. I dati personali devono essere accurati e aggiornati, e devono essere conservati in una forma che consenta l’identificazione dei dati. Infine, i dati personali devono essere trattati in modo da garantire una sicurezza adeguata, proteggendoli contro trattamenti non autorizzati o illegali e contro la perdita accidentale, distruzione o danni, utilizzando misure tecniche o organizzative appropriate.
Mentre il DPDP Act fornisce alcune linee guida su come devono essere trattati i dati, esso stabilisce anche determinati diritti degli individui in relazione ai loro dati personali. Questi diritti sono simili a quelli previsti dal GDPR per i soggetti interessati (ad esempio, diritti di accesso, correzione e rettifica, portabilità dei dati o cancellazione), ma includono anche alcuni diritti nuovi e unici della legge, come il diritto a un mezzo di risoluzione delle controversie prontamente disponibile ed efficace (ad esempio, tramite un responsabile per la risoluzione delle controversie), e il diritto di nominare una persona che possa esercitare i diritti del titolare dei dati in caso di morte o incapacità del titolare dei dati.
La legge impone inoltre alle organizzazioni di condurre “Valutazioni della Protezione dei Dati” per qualsiasi attività che possa rappresentare una grave minaccia alla privacy degli individui. Queste valutazioni sono finalizzate ad analizzare la necessità, la proporzionalità e la conformità delle aziende con le leggi sulla privacy dei dati. Attraverso queste valutazioni, le aziende che raccolgono dati possono adottare misure attive per identificare eventuali rischi per la privacy dei dati e affrontarli prima che si verifichino gravi violazioni.
Inoltre, nel trattare i dati, le organizzazioni devono ottenere il consenso esplicito dell’utente, che deve essere libero, incondizionato, inequivocabile, specifico e informato. L’utente ha il diritto di revocare il proprio consenso in qualsiasi momento.
Nel caso in cui gli individui forniscano volontariamente dati personali al responsabile del trattamento, ciò non implica necessariamente che non vogliano che i loro dati siano trattati. Questo può riguardare la fornitura di dati per ricevere un prodotto, ottenere assistenza clienti o situazioni simili.
La legge consente anche il trasferimento libero di dati al di fuori dell’India, a meno che il governo non abbia stabilito che i dati non devono essere trasferiti a uno specifico paese o organizzazione.
Infine, le sanzioni per la non conformità alla legge vanno da INR 500 milioni (5,7 milioni di euro) a INR 2,5 miliardi (28 milioni di euro). Il Consiglio per la Protezione dei Dati ha anche il potere di imporre misure urgenti di rimedio o mitigazione in caso di violazione dei dati personali.
Conclusione:
Il DPDP Act è una legge importante che avrà un profondo impatto sul modo in cui le organizzazioni raccolgono, utilizzano e condividono i dati personali in India. La legge offre agli individui un maggiore controllo sui propri dati personali e impone obblighi più rigorosi alle organizzazioni che trattano tali dati. Le organizzazioni dovrebbero prendere misure per assicurarsi di essere conformi alla legge.