Comprendere il Digital Personal Data Protection Act (DPDPA) dell’India

Il Digital Personal Data Protection Act è la normativa sui dati più completa nella storia dell'India, che conferma i diritti alla privacy per quasi 1,5 miliardi di persone. Sostituisce il precedente mosaico di leggi sulla protezione dei dati del Paese, che includeva:

• Sezione 43A e 87(2)(ob) dell'Information Technology Act (Legge sulla tecnologia informatica), emanato nel 2000.
• Norme sulla tecnologia informatica (prassi e procedure di sicurezza ragionevoli e dati o informazioni personali sensibili), emanate nel 2011.

Prima del DPDPA, in India non c'era un quadro legislativo unico per disciplinare la privacy e la protezione dei dati. Tutto ciò ha iniziato a cambiare nel 2017, quando la Corte Suprema del Paese ha stabilito che la privacy è un diritto fondamentale, dando il via ad anni di deliberazioni e negoziazioni su un disegno di legge corrispondente.

Infine, l'11 agosto 2023, la Camera del Parlamento indiano ha approvato il DPDP Act dopo poco più di una settimana di approvazioni finali. Copre tutte le entità che elaborano "dati personali digitali" in India, indipendentemente dalle dimensioni o dallo stato di privato.

Che cosa sono i dati personali digitali?

In particolare, il DPDPA include il termine "digitale" nel suo nome, e ciò è voluto. A differenza di altre normative, si concentra specificamente sulle informazioni personali digitalizzate, che la legge definisce come "dati riguardanti una persona che possono essere utilizzati per identificarlo tramite o in relazione a tali dati". Questo comprende:

• Nomi
• Indirizzi
• Numeri di telefono 
• Date di nascita
• Indirizzi e-mail
• Formazione scolastica
• Dettagli finanziari
• Cartelle cliniche
• Password

Esistono diverse eccezioni, come i dati resi disponibili al pubblico in base a un obbligo di legge e i dati trattati a fini di ricerca.

Chi deve rispettare il regolamento DPDPA?

Il DPDPA si applica a qualsiasi organizzazione che tratta dati personali all'interno del territorio indiano se tali informazioni sono raccolte:

• In formato digitale, oppure;
• In formato non digitale ma digitalizzato successivamente

Inoltre, come altre importanti normative, il disegno di legge è extraterritoriale. Ciò significa che si applica anche a qualsiasi azienda che elabora dati personali per offrire beni o servizi in India, indipendentemente dal luogo in cui avviene la raccolta dei dati.

Il mancato rispetto del DPDPA può comportare sanzioni significative, comprese multe fino al 4% del fatturato annuo globale o 250 milioni di rupie indiane (circa 30 milioni di dollari), a seconda di quale sia il valore più alto.

Analizziamo nel dettaglio i concetti chiave, i diritti e i requisiti del DPDPA:

Definizioni ai sensi del DPDPA

Il DPDP Act contiene diversi termini univoci che sono simili ma diversi da altre normative principali. Queste includono:

• Fiduciario dei dati: Ciò include qualsiasi entità responsabile delle attività di raccolta ed elaborazione dei dati. Questo concetto è mutuato dal Regolamento europeo in materia di protezione generale dei dati (GDPR), che si riferisce a questa entità come "titolare del trattamento dei dati".
• Fiduciario di dati significativi (SDF): Gli SDF sono fiduciari che il governo indiano individua specificamente in base al volume dei dati, alla sensibilità, al rischio e all'impatto sulla sicurezza nazionale. Gli SDF devono soddisfare ulteriori requisiti per la protezione dei dati.
• Principale dei dati: Equivalente a "interessato", si riferisce lla persona a i cui dati personali vengono raccolti da un fiduciario.
• Gestore del consenso: Il gestore del consenso è un'organizzazione di terze pareti con l'autorità di gestire, rivedere e revocare in modo indipendente il consenso del titolare dei dati tramite una piattaforma trasparente. Queste entità facilitano il rispetto degli obblighi legali da parte dei fiduciari.

Diritti alla privacy

Il DPDPA stabilisce diritti standardizzati che garantiscono ai cittadini il controllo sui propri dati personali. Tali diritti costituiscono inoltre la base giuridica primaria per le norme e i requisiti in materia di trattamento dei dati. Questi includono:

• Il diritto di accesso alle informazioni personali: Le organizzazioni devono fornire ai titolari dei dati un mezzo per richiedere l'accesso alle proprie informazioni personali, garantendo così la trasparenza.
• Il diritto di richiedere la cancellazione: Le persone possono anche richiedere in qualsiasi momento ai fiduciari di cancellare i propri dati personali digitali.
• Il diritto di correggere le inesattezze: I titolari del trattamento dei dati possono richiedere correzioni o aggiornamenti di informazioni incomplete o inesatte.
• Il diritto di acconsentire alla raccolta dei dati: I fiduciari dei dati devono ottenere un consenso chiaro e informato, assicurandosi che le persone siano consapevoli e acconsentano alla raccolta e al trattamento dei dati.
• Il diritto al ricorso in caso di reclamo: Le persone possono presentare reclami e chiedere un risarcimento se ritengono che i loro diritti siano stati violati.

Requisiti di conformità

Secondo un rapporto del gennaio 2024, l'85% dei fiduciari dei dati (titolare del trattamento) aveva avviato le fasi preliminari per prepararsi alla conformità al DPDPA, che deve ancora entrare in vigore. Tuttavia, "la loro preparazione è ostacolata dall'assenza di norme che costituiscono la sostanza dell'attuazione di molte disposizioni" del regolamento.

Detta semplicemente, i requisiti esatti devono ancora essere determinati. Detto questo, alcuni obblighi di alto livello sono già definitivi:

• Ottieni il consenso: Le organizzazioni devono ottenere il consenso chiaro, specifico e informato delle persone prima di raccogliere o elaborare i loro dati. Ciò implica informarli su quali dati verranno raccolti, perché vengono raccolti e come verranno utilizzati.
• Limita la raccolta dati: I fiduciari possono raccogliere solo i dati necessari allo scopo specificato e nient'altro.
• Garantisci l'accuratezza dei dati: Le aziende devono mantenere i dati raccolti accurati e aggiornati, correggendo eventuali inesattezze quando segnalate dalle singole persone. Fondamentalmente, questo significa anche che devono implementare meccanismi che consentano ai titolari dei dati di richiedere aggiornamenti.
• Implementa misure di sicurezza: I fiduciari sono tenuti per legge a proteggere i dati personali da accessi non autorizzati, violazioni e altri rischi per la sicurezza implementando misure tecniche e organizzative adeguate. Ciò include la crittografia, l'infrastruttura a chiave pubblica (PKI) e protezioni simili.
• Notifica di violazione: In caso di violazione dei dati, le entità interessate devono informare l'Autorità per la protezione dei dati e le persone coinvolte. Ai sensi del DPDPA, una violazione include il trattamento non autorizzato dei dati, la divulgazione, l'alterazione, la perdita o qualsiasi azione che comprometta la riservatezza, l'integrità o la disponibilità dei dati.
• Limita la conservazione dei dati: I fiduciari non possono conservare i dati personali più a lungo del necessario per lo scopo specificato, a meno che non sia richiesto dalla legge e devono eliminare le informazioni di conseguenza.

General Data Protection Regulation (Regolamento europeo in materia di protezione generale dei dati) Tuttavia, si discosta dal GDPR in diversi modi:

Ambito

• GDPR: Si applica al trattamento dei dati personali delle persone fisiche all'interno dell'UE, indipendentemente dal luogo in cui avviene il trattamento.
• DPDPA: Si applica al trattamento dei dati personali digitali in India e ha effetto extraterritoriale se il trattamento è correlato all'offerta di beni o servizi a individui in India.

Sensibilità

• GDPR: Distingue tra dati personali e categorie speciali di dati, che richiedono una maggiore protezione. Definisce inoltre i minori al di sotto di diversi limiti di età (generalmente al di sotto dei 16 anni) con disposizioni specifiche per la protezione dei loro dati.
• DPDPA: Non distingue tra dati personali e dati personali sensibili. Tuttavia, definisce bambini gli individui di età inferiore ai 18 anni e impone obblighi più severi, tra cui il divieto di tracciamento o monitoraggio comportamentale dei bambini e di pubblicità mirata a loro rivolta.

Trasferimento dati

• GDPR: Richiede meccanismi di trasferimento specifici, come clausole contrattuali standard, per il trasferimento di dati al di fuori dell'UE.
• DPDPA: Consente trasferimenti transfrontalieri di dati, ad eccezione dei paesi soggetti a restrizioni da parte del governo indiano.

Entrust offre un'ampia gamma di prodotti e soluzioni per aiutarti a semplificare la conformità al GDPR e a salvaguardare i dati personali in tutta l'organizzazione.