Dopo un iter legislativo durato all’incirca quattro anni, nell’agosto 2023 il Parlamento indiano approva ufficialmente, con l’assenso presidenziale, la prima legge volta a regolare in maniera consolidata la protezione dei dati personali sul territorio: il Digital personal data protection Act 2023 (legge 22 del 2023, i.e., DPDPA).
Campo d applicazione del Digital personal data protection Act 2023
Il DPDPA diverrà direttamente applicabile una volta notificato dal Governo indiano, salvo che quest’ultimo non stabilisca termini differenti. Al pari della variegata normativa al momento applicabile, il DPDPA troverà applicazione in relazione a dati personali digitali o successivamente digitalizzati. In relazione, invece, al campo di applicazione soggettivo, la normativa troverà applicazione con riguardo a delle nuove figure introdotte dalla stessa: i data fiduciary ed i data processor, concetti tendenzialmente corrispondenti a quelli di data controller e data processor, come definiti dall’articolo 4 GDPR. Tale nuova normativa, a parere di chi scrive, riflette un tentativo parzialmente riuscito di avvicinamento alle normative e alle regolamentazioni in vigore, non soltanto negli altri Stati asiatici, ma anche europei.
Perché è utile conoscere la nuova normativa indiana
Il mercato risulta essere sempre più internazionalizzato sfidando i confini italici ed europei. Il lavoro da remoto, inoltre, amplia l’orizzonte anche in relazione alla ricerca di personale e competenze. L’India si caratterizza per un forte sviluppo tecnologico, con numerose aziende nel campo dell’information technology, elemento da non sottovalutare.
La conoscenza della normativa estera, ed in particolar modo quella in oggetto, risulta fondamentale in tutti quei casi in cui un’azienda abbia, ad esempio, delle affiliate estere stabilite in India.
La normativa applicabile è inoltre un criterio utile da tenere a mente nel caso in cui si vogliano aprire nuove sedi estere e/o si voglia entrare in un nuovo mercato. È rilevante, a tal proposito, l’effort richiesto in termini di costi e di risorse umane per la conformità normativa. Infine, ad esempio, risulta fondamentale nel caso in cui vi siano dei clienti stabiliti nel territorio indiano.
Il DPDPA, infatti, ha portata extraterritoriale e troverà applicazione anche nel caso di attività di trattamento di dati personali digitali al di fuori dell’India se tali attività sono in qualsiasi modo connesse all’offerta di beni o servizi agli interessati (i.e., data principals) nel territorio indiano.
Principali novità del DPDPA
Tra le novità, spicca sicuramente l’istituzione di una Data protection Authority, il Data Protection Board of India (DPBI) che avrà il compito di regolare l’intero regime di protezione dei dati personali digitali nel Paese. Il DPBI avrà, infatti, il compito di garantire la conformità alla legge e conseguentemente di imporre sanzioni nel caso di riscontrate violazioni della stessa da parte di una azienda.
Le basi giuridiche
Seconda novità rilevante riguarda le basi giuridiche, ed in particolare, il parziale superamento dell’approccio consenso-centrico sino ad ora seguito. Tra le deroghe al consenso, indicate dal DPDP Act in relazione alle finalità perseguite, sono sicuramente da segnalare, a titolo esemplificativo, l’adempimento di un obbligo di legge; la gestione dei lavoratori o la tutela del datore di lavoro in relazione al mantenimento della riservatezza dei segreti commerciali e/o della proprietà intellettuale. Dunque, non appena il DPDP Act sarà applicabile, non sarà più necessaria la raccolta del consenso dei propri dipendenti.
I data processing agreement
Un’ulteriore novità riguarda i data processing agreement (i.e., DPA) da stipulare tra data fiduciary e data processor. Al momento, la normativa applicabile non prevede alcun obbligo di stipula di tale accordo tra le parti. Il PDPA Act prevede, invece, che il data fiduciary potrà nominare un data processor solo in base a un contratto valido. Tra le obbligazioni a carico dei data fiduciary la normativa elenca, a titolo esemplificativo, garantire la completezza, accuratezza e coerenza dei dati; implementare misure tecniche e organizzative adeguate; proteggere i dati personali in suo possesso o sotto il suo controllo anche in relazione a qualsiasi trattamento effettuato da esso o per suo conto da un data processor; adottare ragionevoli misure di sicurezza per prevenire la violazione dei dati personali. È rilevante sottolineare come il data fiduciary è responsabile dell’intera catena; dunque, sarà responsabile nel caso di inadempimenti o violazioni da parte del data processor. Si resta molto lontani da quell’elenco puntuale che caratterizza l’articolo 28 GDPR e, inoltre, non si prevede la figura del sub-processor.
La definizione di data breach secondo il DPDPA
In tema di violazione dei dati personali, si introduce la definizione di data breach, ovvero, qualsiasi trattamento non autorizzato di dati personali o divulgazione accidentale, acquisizione, condivisione, uso, alterazione, distruzione o perdita di accesso ai dati personali, che comprometta la sicurezza, la riservatezza, l’integrità o la disponibilità dei dati personali. Ma la novità più prorompente riguarda l’introduzione della notifica obbligatoria della violazione dei dati sia al Data Protection Board che agli interessati. Si nota qui un netto distacco dal GDPR dove, come risaputo, non vi è la previsione di una notifica “automatica” ad Autorità ed interessati, ma ogni caso va valutato a sé.
L’introduzione del Data protection Officer
Infine, si introduce la figura del Data protection Officer (i.e., DPO). La normativa definisce il DPO come la persona nominata dai significant data fiduciary[1]. L’obbligo di nomina di un DPO (che deve essere stabilito in India) ricade dunque esclusivamente su questi ultimi, per tutti gli altri data fiduciary la sua nomina resta opzionale. Resta, tuttavia, obbligatoria la nomina di un Grievance Officer (che può essere stabilito anche al di fuori del territorio indiano) con il compito di rispondere e dar seguito alle richieste degli interessati.
Anche l’India si avvicina alla normativa europea
Da questa breve panoramica sulla prossima normativa applicabile in materia di protezione dei dati personali in India, emerge chiaramente, a parere di chi scrive, l’intento del legislatore di un tentativo di avvicinamento alla normativa europea, allineandosi con quanto già avvenuto da parte di alcuni stati della medesima area geografica. Continuano ad essere ancora molte le differenze che risultano a tratti attenuate se si pensa alle deroghe al consenso o all’introduzione della figura del DPO (anch’essa non sempre obbligatoria anche in base al GDPR), o ancora all’introduzione dell’obbligatorietà dei DPA. In passato era stata avanzata una richiesta di assessment da condurre da parte della Commissione europea, ma con dei risultati che non erano quelli sperati. Che possa magari questa nuova normativa essere il primo passo per una nuova e diversa valutazione?
I prossimi passi
Dovremo attendere la notifica del DPDP Act, insieme alle probabili implementing regulations accompagnatorie, per sciogliere qualche dubbio ed intravedere i prossimi possibili passi di un percorso, quello indiano, caratterizzato da una forte frammentarietà che finalmente verrà superata riportando ordine e chiarezza, oltre che un rafforzamento delle garanzie a tutela degli interessati.
Note
[1] La sezione 2 sottosezione z del DPDP Act (disponibile al seguente link Digital Personal Data Protection Act 2023.pdf (meity.gov.in) ) definisce tali soggetti come “any Data Fiduciary or class of Data Fiduciaries as may be notified by the Central Government under section 10”. La sezione 10 (1) del DPDP Act prevede che “the Central Government may notify any Data Fiduciary or class of Data Fiduciaries as Significant Data Fiduciary, on the basis of an assessment of such relevant factors as it may determine, including (a) the volume and sensitivity of personal data processed; (b) risk to the rights of Data Principal; (c) potential impact on the sovereignty and integrity of India; (d) risk to electoral democracy; (e) security of the State; and (f) public order.”
