Compreenda a Lei de Proteção de Dados Pessoais Digitais da Índia (DPDPA)

A Lei de Proteção de Dados Pessoais Digitais é a regulamentação de dados mais abrangente da história da Índia, confirmando os direitos de privacidade de quase 1,5 bilhão de pessoas. Ela substitui o antigo mosaico de leis de proteção de dados do país, que incluía:

• Seção 43A e 87(2)(ob) da Lei de Tecnologia da Informação, promulgada em 2000.
• Regras de Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis e Dados ou Informações Pessoais Sensíveis), promulgadas em 2011.

Antes da DPDPA, a Índia não tinha uma única estrutura legislativa para governar a privacidade e a proteção de dados. Isso começou a mudar em 2017, quando a Suprema Corte do país decidiu que a privacidade é um direito fundamental, levando a anos de deliberações e negociações sobre um projeto de lei correspondente.

Por fim, em 11 de agosto de 2023, a Câmara do Parlamento da Índia aprovou a Lei DPDP após pouco mais de uma semana de aprovações finais. Ela abrange todas as entidades que processam “dados pessoais digitais” na Índia, independentemente do tamanho ou status privado.

O que são dados pessoais digitais?

A DPDPA inclui visivelmente o termo “digital” em seu nome, e isso é intencional. Ao contrário de outras regulamentações, ela se concentra especificamente em informações pessoais digitalizadas, que a lei define como “dados relativos a um indivíduo que podem ser usados para identificá-lo por ou em relação a tais dados”. Isso inclui:

• Nomes
• Endereços
• Números de telefone 
• Datas de nascimento
• E-mails
• Educação
• Detalhes financeiros
• Registros médicos
• Senhas

Há várias exceções, como dados disponibilizados publicamente por obrigação legal e dados processados para fins de pesquisa.

Quem deve cumprir o regulamento DPDPA?

A DPDPA se aplica a qualquer organização que processe dados pessoais dentro do território da Índia se essas informações forem coletadas:

• Em formato digital, ou;
• Em formato não digital, mas digitalizado posteriormente

Além disso, assim como outras regulamentações importantes, o projeto de lei é extraterritorial. Isso significa que também se aplica a qualquer empresa que processe dados pessoais para oferecer bens ou serviços na Índia, independentemente de onde a coleta de dados ocorra.

O não cumprimento da DPDPA pode resultar em sanções significativas, incluindo multas de até 4% do faturamento anual global ou INR 250 Crores (aproximadamente US$ 30 milhões), o que for maior.

Vamos analisar os principais conceitos, direitos e requisitos da DPDPA:

Definições sob a DPDPA

A Lei DPDP tem vários termos exclusivos que são semelhantes, mas diferentes de outras regulamentações importantes. Isso inclui:

• Fiduciário de dados: Isso inclui qualquer entidade responsável por atividades de coleta e processamento de dados. Este conceito é emprestado do Regulamento Geral de Proteção de Dados (RGPD), que se refere a esta entidade como o “controlador de dados”.
• Fiduciário de dados significativos (SDF): Os SDFs são fiduciários que o governo indiano identifica especificamente com base no volume de dados, confidencialidade, risco e impacto na segurança nacional. Os SDFs devem atender a requisitos adicionais de proteção de dados.
• Principal de dados: Como equivalente a um “titular dos dados”, isso se refere ao indivíduo cujos dados pessoais são coletados por um fiduciário.
• Gerente de consentimento: Um gerente de consentimento é uma organização terceirizada com autoridade para gerenciar, revisar e retirar de forma independente o consentimento do titular dos dados por meio de uma plataforma transparente. Essas entidades facilitam o cumprimento das exigências legais pelos fiduciários.

Direitos de privacidade

A DPDPA estabelece direitos padronizados que dão aos cidadãos controle sobre seus dados pessoais. Esses direitos também definem a base legal primária para regras e requisitos de processamento de dados. Elas incluem:

• O direito de acesso a informações pessoais: As organizações devem fornecer um meio para que os titulares dos dados solicitem acesso às suas informações pessoais, garantindo a transparência.
• O direito de solicitar a exclusão: Os indivíduos também podem solicitar que os fiduciários excluam seus dados pessoais digitais a qualquer momento.
• O direito de corrigir imprecisões: Os titulares dos dados podem solicitar correções ou atualizações de informações incompletas ou imprecisas.
• O direito de consentir com a coleta de dados: Os fiduciários de dados devem obter consentimento claro e informado, garantindo que os indivíduos estejam cientes e concordem com a coleta e o processamento de dados.
• O direito de reparação de queixas: Os indivíduos podem registrar reclamações e buscar reparação se acreditarem que seus direitos foram violados.

Requisitos de conformidade

De acordo com um relatório de janeiro de 2024, 85% dos fiduciários de dados começaram as etapas preliminares para se preparar para a conformidade com a DPDPA, que ainda não entrou em vigor. No entanto, “a sua preparação é dificultada pela ausência de regras que constituam a substância da implementação de muitas disposições” do regulamento.

Simplificando, os requisitos exatos ainda precisam ser determinados. Dito isto, algumas obrigações aprimoradas já são definitivas:

• Obter consentimento: As organizações devem obter consentimento claro, específico e informado dos indivíduos antes de coletar ou processar seus dados. Isso envolve notificá-los sobre quais dados serão coletados, por que estão sendo coletados e como serão usados.
• Limitar a coleta de dados: Os fiduciários só podem coletar dados necessários para a finalidade especificada e nada mais.
• Garantir a precisão dos dados: As empresas devem manter os dados coletados precisos e atualizados, corrigindo quaisquer imprecisões quando notificadas pelo indivíduo. Mais importante ainda, isso também significa que eles devem implementar mecanismos que permitam que os responsáveis pelos dados solicitem atualizações.
• Implementar medidas de segurança Os fiduciários são legalmente obrigados a proteger dados pessoais contra acesso não autorizado, violações e outros riscos de segurança implementando medidas técnicas e organizacionais apropriadas. Isso inclui criptografia, infraestrutura de chave pública (PKI) e proteções semelhantes.
• Notificação de violação: As entidades abrangidas devem notificar o Conselho de Proteção de Dados e os indivíduos afetados em caso de violação de dados. De acordo com a DPDPA, uma violação inclui processamento de dados não autorizado, divulgação, alteração, perda ou qualquer ação que comprometa a confidencialidade, integridade ou disponibilidade dos dados.
• Limitar a retenção de dados: Os fiduciários não podem manter dados pessoais por mais tempo do que o necessário para a finalidade especificada, a menos que exigido por lei, e devem excluir as informações adequadamente.

Regulamento geral de proteção de dados. No entanto, ele se desvia do RGPD de várias maneiras:

Escopo

• RGPD: Aplica-se ao processamento de dados pessoais de indivíduos dentro da UE, independentemente de onde o processamento ocorra.
• DPDPA: Aplica-se ao processamento de dados pessoais digitais na Índia e tem efeito extraterritorial se o processamento estiver relacionado à oferta de bens ou serviços a indivíduos na Índia.

Confidencialidade

• RGPD: Diferencia entre dados pessoais e categorias especiais de dados, que exigem maior proteção. Também define crianças sob diferentes limites de idade (geralmente menores de 16 anos) com disposições específicas para sua proteção de dados.
• DPDPA: Não diferencia entre dados pessoais e dados pessoais confidenciais. No entanto, define crianças como indivíduos menores de 18 anos e impõe obrigações mais rigorosas, incluindo a proibição de rastreamento ou monitoramento comportamental de crianças e publicidade direcionada a elas.

Transferência de dados

• RGPD: Exige mecanismos de transferência específicos, como cláusulas contratuais padrão para transferência de dados para fora da UE.
• DPDPA: Permite transferências de dados internacionais, exceto para países restritos pelo governo indiano.

A Entrust oferece uma ampla gama de produtos e soluções para ajudar você a simplificar a conformidade com a DPDPA e proteger dados pessoais em toda a organização.