I grandi passi avanti in materia di protezione dei dati personali nell’Unione Europea, attuati con le General Data Protection Rules del 2016, hanno stimolato il legislatore indiano a dare un impulso decisivo per lo studio e lo sviluppo delle leggi sulla protezione dei dati in India. Il “disegno di legge sulla protezione dei dati personali”, precedentemente proposto nell’ultima sessione invernale, è stato approvato dal gabinetto ed è stabilito che venga presentato al Parlamento in questa sessione invernale.

La “Legge sulla Protezione dei Dati Personali del 2019” mira a integrare la protezione dei minori in merito ai dati personali delle persone e ai dati personali sensibili ai sensi dell’Information Technology Act, 2000 e delle conseguenti regole sui Personal Data and Information.

La sentenza storica della Corte suprema dell’India a decisione del caso Puttaswamy vs Unione dell’India, ha riconosciuto il diritto alla privacy era un aspetto del diritto alla vita e alla libertà personale, sancito dall’articolo 21 della Costituzione dell’India e tale diritto alla privacy comprende anche la riservatezza dei dati.

In seguito alla sentenza della Corte suprema e ai costanti progressi nel campo della protezione dei dati in altre parti del mondo, è stato istituito un comitato di esperti sulla protezione dei dati in India, guidato dal giudice B.N. Srikrishna. Il comitato ha presentato un Libro Bianco insieme al disegno di legge sulla protezione dei dati personali, avendo come linea guida le seguenti considerazioni: agnosticismo tecnologico, applicazione olistica, principio del consenso informato, minimizzazione dei dati, responsabilità del responsabile del trattamento, applicazione strutturata e sanzioni deterrenti.

Vi sono vari aspetti del progetto sui quali è opportuno soffermarsi. In primo luogo, il disegno di legge prevede motivi da stabilire per il trattamento di dati personali e motivi speciali per il trattamento di dati personali sensibili. La principale novità introdotta riguarda il consenso al trattamento dei dati, al fine di consentire un diretto controllo dei dati personali. Il progetto di legge determina chiaramente che il consenso, associato all’esecuzione di un contratto, fornirà un maggiore grado di controllo alle persone. Inoltre, è prevista l’istituzione di ulteriori garanzie nel trattamento dei dati personali dei minori, in merito alle modalità per conseguire il consenso.

Il testo elenca anche i vari diritti a disposizione dei Responsabili dei dati (denominati Data Subjects nel GDPR) e impone l’obbligo di trasparenza e responsabilità ai responsabili del trattamento e del controllo dei dati.

Un aspetto peculiare del disegno di legge è quello di imporre requisiti per il trattamento dei dati personali a livello locale e requisiti specifici per il loro trasferimento al di fuori dell’India, una regola che non è presente nel GDPR. Sebbene questa mossa previsione possa avere alcuni aspetti negativi, garantirebbe un’efficace applicazione della legge, ridurrebbe le lentezze burocratiche del trattare con le giurisdizioni straniere e proteggerebbe la sicurezza e gli interessi nazionali. Inoltre, nel contesto della protezione degli interessi nazionali e del contenimento del rischio di sorveglianza da parte di stati stranieri su dati critici, la nuova legge impedisce ai fiduciari dei dati di inviare dati personali “critici” al di fuori del territorio dell’India. Tuttavia, le autorità non hanno ancora fornito la definizione delle caratteristiche che qualificano i dati personali come tali.

Una previsione forse ancora più importante riguarda l’istituzione di un’autorità di protezione dei dati dell’India per garantire che le disposizioni siano rispettate, le sanzioni siano prontamente imposte e i rimedi siano liberamente disponibili.

Questo sarebbe un grande passo avanti per adeguarsi ai livelli già raggiunti da altri paesi in materia di protezione dei dati e Dandrea & Partners sta seguendo da vicino gli sviluppi della Legge sulla Protezione dei Dati Personali in Parlamento e l’attuazione dei nuovi requisiti.