Descripción de la Ley de Protección de Datos Personales Digitales de la India (DPDPA)

La Ley de Protección de Datos Personales Digitales es la normativa sobre datos más completa de la historia de la India y, con ella, se confirman los derechos de privacidad de casi 1500 millones de personas. Sustituye al antiguo conjunto de leyes de protección de datos del país, en el que se incluía lo siguiente:

• Artículos 43A y 87(2)(ob) de la Ley de Tecnología de la Información, promulgada en el año 2000.
• El Reglamento sobre Tecnología de la Información (Prácticas y Procedimientos de Seguridad Razonables y Datos o Información Personal Confidencial), promulgado en 2011.

Antes de la DPDPA, India carecía de un marco legislativo único que regulara la privacidad y la protección de datos. Eso empezó a cambiar en 2017, cuando el Tribunal Supremo del país dictaminó que la privacidad es un derecho fundamental, lo que dio lugar a años de deliberaciones y negociaciones sobre el correspondiente proyecto de ley.

Finalmente, el 11 de agosto de 2023, la Cámara de Representantes de la India aprobó la Ley DPDP tras poco más de una semana de aprobaciones finales. Allí, se abarcan todas las entidades que procesan "datos personales digitales" en India, independientemente de su tamaño o condición privada.

¿Qué son los datos personales digitales?

En particular, la DPDPA incluye el término "digital" en su nombre, y eso es intencional. A diferencia de otros reglamentos, se centra específicamente en la información personal digitalizada, que la ley define como "los datos relativos a una persona que pueden utilizarse para identificarla, ya sea a partir de, o en relación con, ellos". Esto incluye lo siguiente:

• Nombres
• Dirección
• Números de teléfono 
• Fechas de nacimiento
• Direcciones de correo electrónico
• Educación
• Datos financieros
• Registros médicos
• Contraseñas

Hay varias excepciones, como los datos puestos a disposición del público en virtud de una obligación legal y aquellos que se manipulan con fines de investigación.

¿Quién debe cumplir la normativa de la DPDPA?

La DPDPA se aplica a cualquier organización que procese datos personales en el territorio de la India si se recopila esa información:

• En formato digital, o;
• En formato no digital, pero digitalizado posteriormente

Además, al igual que otras normativas importantes, el proyecto de ley es extraterritorial. Esto significa que también se aplica a cualquier empresa que procese datos personales para ofrecer bienes o servicios en India, independientemente de dónde se produzca su recopilación.

El incumplimiento de la DPDPA puede acarrear importantes sanciones, incluidas multas de hasta el 4 % de la facturación anual global o INR 250 millones (aproximadamente USD 30 millones), la cantidad que sea mayor.

Desglosemos los conceptos clave, los derechos y los requisitos de la DPDPA:

Definiciones de la DPDPA

La Ley DPDP incluye varios términos únicos que son similares, pero difieren de otros reglamentos importantes. Incluyen los siguientes:

• Fiduciarias de datos: Esto incluye cualquier entidad responsable de las actividades de recopilación y procesamiento de datos. Este concepto se toma del Reglamento General para la Protección de los Datos (GDPR), que se refiere a esta entidad como "controladora de datos".
• Fiduciaria de datos significativos (FDS): Las FDS son fiduciarias que el gobierno indio identifica específicamente en función del volumen de datos, la sensibilidad, el riesgo y el impacto en lo que se refiere a la seguridad nacional. Las FDS deben cumplir requisitos adicionales de protección de datos.
• Titular de los datos: Se trata de un equivalente de "sujeto de datos" y se refiere a la persona cuyos datos personales recopila una fiduciaria.
• Gerente de consentimiento: Un gerente de consentimiento es una organización externa con autoridad para gestionar, revisar y retirar de forma independiente el consentimiento del titular de los datos a través de una plataforma transparente. Estas entidades facilitan a las fiduciarias el cumplimiento de los requisitos legales.

Derechos de privacidad

La DPDPA establece derechos estandarizados que otorgan a los ciudadanos el control sobre sus datos personales. Estos derechos también establecen la base jurídica principal para las normas y requisitos del tratamiento de datos. Estos incluyen:

• Derecho de acceso a la información personal: Las organizaciones deben proporcionar un medio para que los titulares de los datos puedan solicitar el acceso a su información personal a fin de garantizar la transparencia.
• Derecho a solicitar la eliminación: Las personas también pueden solicitar a las fiduciarias que eliminen sus datos personales digitales en cualquier momento.
• Derecho a corregir cuestiones inexactas: Los titulares de los datos pueden solicitar correcciones o actualizaciones de la información que sea incompleta o inexacta.
• Derecho a consentir la recopilación de datos: Las fiduciarias de datos deben obtener un consentimiento claro e informado a fin de asegurarse de que las personas sean conscientes de la recopilación y el procesamiento de los datos, y que estén de acuerdo con eso.
• El derecho a la resolución de quejas: Las personas pueden presentar denuncias y solicitar reparación si creen que se vulneraron sus derechos.

Requisitos de conformidad

Según un informe de enero de 2024, el 85 % de los fiduciarios de datos había iniciado los pasos preliminares a fin de prepararse para el cumplimiento de la DPDPA, que aún no está vigente. Sin embargo, "su preparación se ve dificultada por la ausencia de normas que constituyan la esencia de la aplicación de muchas disposiciones" del Reglamento.

En pocas palabras, los requisitos exactos aún deben determinarse. Dicho esto, algunas obligaciones de alto nivel ya son definitivas:

• Obtener el consentimiento: Las organizaciones deben obtener el consentimiento claro, específico e informado de las personas antes de recopilar o procesar sus datos. Eso implica notificarles qué datos se recopilarán, por qué se recopilarán y cómo se utilizarán.
• Limitar la recopilación de datos: Los fiduciarios solo pueden recopilar los datos necesarios para el fin especificado y nada más.
• Garantizar la exactitud de los datos: Las empresas deben asegurarse de que los datos recopilados se mantengan exactos y actualizados, y deben corregir cualquier inexactitud cuando la persona lo notifique. Y lo que es más importante, también deben implementar mecanismos que permitan a los titulares de los datos solicitar actualizaciones.
• Implementar medidas de seguridad: Los fiduciarios están legalmente obligados a proteger los datos personales de accesos no autorizados, violaciones y otros riesgos de seguridad mediante la aplicación de medidas técnicas y organizativas adecuadas. Esto incluye cifrado, Public Key Infrastructure (PKI) y protecciones similares.
• Notificar sobre filtraciones de datos: Las entidades cubiertas deben notificar al Consejo de Protección de Datos y a las personas afectadas en caso de que existan filtraciones de datos. Según la DPDPA, una filtración incluye el procesamiento no autorizado de datos, su divulgación, alteración, pérdida o cualquier acción que comprometa la confidencialidad, integridad o disponibilidad de los datos.
• Limitar la retención de datos: Las fiduciarias no pueden conservar los datos personales más tiempo del necesario para el fin especificado, a menos que lo exija la ley, y deben eliminar la información de forma adecuada.

Reglamento General para la Protección de los Datos. Sin embargo, se desvía del GDPR en varios aspectos:

Alcance

• GDPR: Se aplica al procesamiento de datos personales de personas dentro de la UE, independientemente del lugar en el que este ocurra.
• DPDPA: Se aplica al procesamiento de datos personales digitales en India y tiene efecto extraterritorial si este se relaciona con la oferta de bienes o servicios a personas en India.

Sensibilidad

• GDPR: Distingue entre datos personales y categorías especiales de datos, que requieren una mayor protección. También define a los niños en función de diferentes límites de edad (generalmente menores de 16 años) con disposiciones específicas para proteger sus datos.
• DPDPA: No distingue entre datos personales y datos personales confidenciales. Sin embargo, define a los niños como personas menores de 18 años e impone obligaciones más estrictas, como la prohibición del seguimiento o de la supervisión del comportamiento de los niños y de la publicidad dirigida a ellos.

Transferencia de datos

• GDPR: Exige mecanismos específicos de transferencia, como cláusulas contractuales estándares, al momento de transferir datos fuera de la UE.
• DPDPA: Permite la transferencia transfronteriza de datos, salvo a países restringidos por el gobierno de la India.

Entrust ofrece una amplia gama de productos y soluciones para ayudar a simplificar el cumplimiento de la DPDPA y salvaguardar los datos personales en toda la organización.