Ley de protección de datos personales digitales de la India, 2023: un hito para la privacidad digital

Publicado: 2023-09-21

La nueva Ley de Protección de Datos Personales Digitales de la India de 2023 se aplica a cualquier organización o empresa involucrada en la recopilación o gestión de datos personales. La Ley no sólo cubre el manejo de datos dentro de la India; también tiene autoridad sobre el procesamiento de datos que se realiza fuera de la India.

El panorama tecnológico en rápida evolución de la India ha logrado un hito importante con la introducción y posterior aprobación del proyecto de ley de protección de datos personales digitales (DPDP) en 2022. Esta legislación fundamental obtuvo la aprobación del Gabinete de la Unión el 5 de julio y se presentó durante la sesión del Parlamento del Monzón. , que comenzó el 20 de julio de 2023. Avanzó rápidamente por el proceso legislativo y obtuvo la aprobación tanto en la cámara baja (Lok Sabha) el 7 de agosto como en la cámara alta (Rajya Sabha) el 9 de agosto.

Con el consentimiento oficial del Presidente otorgado el 11 de agosto de 2023, como se indica en la notificación de la Gaceta del Gobierno de la India, el Proyecto de Ley de Protección de Datos Personales Digitales de 2022 pasó oficialmente a la Ley de Protección de Datos Personales Digitales de 2023.

El alcance de la Ley de Protección de Datos Personales Digitales, de 2023, se extiende más allá de las fronteras de la India y abarca el procesamiento de datos personales digitales incluso cuando se realiza en el extranjero.

El Sr. Rajarshi Bhattacharyya, presidente y director general de ProcessIT Global , comparó la ley con el Reglamento general de protección de datos (GDPR) existente de la Unión Europea (UE). Dijo: “Está más avanzado porque el GDPR salió hace algún tiempo. Esta política es más avanzada e integral, lo que impulsará el progreso de la India”.

Rajarshi Bhattacharyya: Resiliencia cibernética, políticas gubernamentales y conocimientos sobre seguridad de datos
Obtenga información valiosa de Rajarshi Bhattacharyya de ProcessIT Global mientras profundiza en los ámbitos de la resiliencia cibernética, las implicaciones de las políticas gubernamentales y los aspectos cruciales de la seguridad de los datos en el panorama digital actual.
StartupTalky de Sayantan Mondal

Según un informe colaborativo de la organización industrial IAMAI y la empresa de análisis de datos de mercado Kantar, conocido como el 'Informe de Internet en la India 2022', se reveló que más de la mitad de la población de la India, que asciende a 759 millones de personas, utilizaba activamente Internet. accediendo a él al menos una vez al mes durante 2022. El informe también destaca que de estos usuarios activos, 399 millones residen en la India rural, superando los 360 millones de usuarios en áreas urbanas. Esto sugiere que la expansión de Internet en el país está siendo impulsada principalmente por la India rural.

La nueva ley de protección de datos enfatiza la IA ética y el alcance global
Obligaciones para Entidades
Sus derechos y deberes respecto de sus datos personales
El sector sanitario se prepara para el impacto

La nueva ley de protección de datos enfatiza la IA ética y el alcance global

Deepika Loganathan, directora ejecutiva de HaiVE , dijo: “Estamos encantados de dar la bienvenida a la promulgación de la Ley de Protección de Datos Personales Digitales de 2023 (DPDPA-2023) por parte del Parlamento de la India. Esta legislación histórica se alinea perfectamente con nuestro compromiso de larga data con la IA ética y la protección de datos. Nos complace anunciar que nuestro marco existente para soluciones de IA locales ya se adhiere estrechamente a los siete principios y obligaciones descritos en la Ley”.

La Ley se aplica a cualquier organización o empresa involucrada en la recopilación o gestión de datos personales. Clasifica a estas organizaciones en dos grupos: aquellas que determinan los motivos y métodos de procesamiento (denominadas Fiduciarios de datos ) y aquellas que llevan a cabo el procesamiento con base en las instrucciones de los Fiduciarios de datos (denominadas Procesadores de datos ).

La Ley no sólo cubre el manejo de datos dentro de la India; también tiene autoridad sobre el procesamiento de datos que ocurre fuera de la India, particularmente en relación con bienes y servicios ofrecidos a individuos en la India. Esto significa que cualquier empresa que ofrezca bienes o servicios a residentes indios, independientemente de su ubicación física, estaría bajo su jurisdicción.

Nageen Kommu, director ejecutivo de Digitap , dijo: “En Digitap, nos consideramos procesadores de datos. No almacenamos datos; los procesamos por cuenta de nuestros clientes, quienes son los fiduciarios de los datos. Si bien es posible que no existan pautas específicas para los procesadores de datos, adoptamos voluntariamente las mismas políticas y procedimientos que siguen los fiduciarios de datos. Si un cliente desea revocar el consentimiento, nos aseguramos de que los datos sean eliminados, cumpliendo con los requisitos de la Ley."

También mencionó que la ley también aborda la seguridad de los datos durante el almacenamiento y la transmisión y que Digitap ya cuenta con mecanismos de seguridad sólidos, ya que se ocupan de las normas de subcontratación del RBI, que exigen la localización de datos dentro de la India.

Obligaciones para Entidades

La Ley describe varias obligaciones que las entidades deben cumplir cuando se trata de manejar datos personales. Algunas de las responsabilidades clave incluyen:

  1. Informar a las personas antes de recopilar sus datos personales, especificando qué datos se recopilarán, los fines para los que se utilizarán y los derechos que tienen las personas.
  2. Obtener el consentimiento o invocar motivos legítimos cuando sea necesario.
  3. Recopilar únicamente los datos personales necesarios para la finalidad indicada.
  4. Conservar los datos personales sólo durante el tiempo necesario para el fin previsto y eliminarlos posteriormente.
  5. Establecer un mecanismo para abordar las quejas y preocupaciones planteadas por las personas.
  6. Implantar medidas de seguridad técnicas y organizativas adecuadas.
  7. Notificar al Patronato de Protección de Datos y a las personas afectadas en caso de violación de datos personales.
  8. Buscar el consentimiento de los padres o tutores y abstenerse de realizar actividades como monitoreo, seguimiento o procesamiento del comportamiento que puedan dañar a niños o personas con discapacidades.
  9. Limitar la transferencia de datos personales fuera de la India a territorios específicos.
  10. Realizar evaluaciones de impacto de la protección de datos, auditorías periódicas de datos y nombrar un Delegado de Protección de Datos y auditores para los Fiduciarios de Datos Importantes.
  11. Cumplir con los requisitos relacionados con la transferencia transfronteriza de datos personales y solicitar las exenciones aplicables.

Para alinearse aún más con las obligaciones de la Ley de Protección de Datos Personales Digitales de 2023, Loganathan afirmó que HaiVE está en el proceso de ajustar las políticas y procesos de la empresa. “Estamos desarrollando un marco de cumplimiento de la Ley de Protección de Datos Personales Digitales de 2023 que servirá como una guía integral para nuestro equipo y nuestros clientes. Este marco se aplicará automáticamente a todos nuestros compromisos futuros en la India, garantizando el cumplimiento perfecto de las disposiciones de la Ley”, añadió.

Sus derechos y deberes respecto de sus datos personales

A las personas se les han otorgado derechos específicos según la ley con respecto a cómo se manejan sus datos personales. Estos derechos abarcan:

  • Derecho de Acceso : Las personas físicas tienen derecho a ser informadas si se están tratando sus datos personales. Pueden solicitar un resumen de los datos que se procesan, detalles sobre las actividades de procesamiento (como su uso para publicidad dirigida), las identidades de las entidades con las que se han compartido sus datos (como procesadores o terceros) y los tipos de datos compartidos. .
  • Derecho a corrección y eliminación : las personas tienen derecho a que se corrijan datos inexactos o engañosos, se completen datos incompletos y se actualicen sus datos personales, particularmente cuando estos datos se comparten con otras entidades o se utilizan para la toma de decisiones. También pueden solicitar la eliminación de sus datos personales (o retirar el consentimiento si el consentimiento es la base), aunque las entidades pueden conservarlos si así lo requiere el cumplimiento legal.
  • Derecho a la reparación de quejas y a la nominación : La Ley introduce un mecanismo de reparación de quejas que permite a las personas presentar quejas ante entidades con respecto al cumplimiento de la Ley. Las entidades deben responder dentro de un plazo específico. Si no están satisfechos con la respuesta, las personas pueden elevar el asunto a la Junta de Protección de Datos. Además, las personas pueden designar a alguien para que ejerza sus derechos en materia de datos personales en caso de incapacidad o fallecimiento.
  • Deberes : La Ley también describe ciertas responsabilidades de las personas, como proporcionar información precisa, abstenerse de suplantar personas, retener información material o presentar quejas falsas a la Junta de Protección de Datos.

Proyectos de ley y leyes: Ley de protección de datos personales digitales, 2023 | 19 agosto, 2023

El sector sanitario se prepara para el impacto

Kapil Kumar, director de tecnología e informática médica de Artemis Hospitals Gurugram, ha expresado su preocupación por sus implicaciones en el sector de la salud. Dijo: "Debido a la creciente adopción de tecnologías de salud digitales como los registros médicos electrónicos y la telemedicina, la Ley de Protección de Datos Personales Digitales de 2023 tendrá un impacto significativo en el sector de la salud".

Según Kumar, esta medida tiene como objetivo regular la recopilación, el almacenamiento y la distribución de datos confidenciales de pacientes, salvaguardando así los derechos de privacidad de las personas. También hizo referencia a incidentes anteriores que subrayan su importancia. Por ejemplo, en 2019, hubo una violación de acceso no autorizado que comprometió los registros médicos de casi 6,8 millones de pacientes y médicos. De manera similar, en 2021, una vulneración de los sitios web del gobierno indio expuso los resultados de laboratorio de COVID-19 de más de 1.500 residentes. En Kerala, se reveló inadvertidamente información personal de más de 200.000 pacientes. Esta regulación emerge como un defensor de la privacidad de datos en el sector de la salud.

La Ley se diferencia significativamente de la ley existente, que ofrece protección limitada, principalmente en casos de violaciones de seguridad, y sólo para tipos específicos de datos (datos personales sensibles). Por el contrario, la Ley ofrece amplias salvaguardias para los datos personales al imponer responsabilidades y otorgar a las personas un mayor control y conocimiento sobre su información personal.

Si bien la Ley marca sin duda un avance sustancial en la salvaguardia de los derechos digitales de las personas, los esfuerzos posteriores de la Junta de Protección de Datos en materia de reglamentación y promoción desempeñarán un papel crucial no sólo para reforzar estos derechos sino también para establecer un marco estructurado para el procesamiento de datos.