privacy

L’India adotta il Digital Personal Data Protection Act: perché è utile conoscerlo



Indirizzo copiato

Dopo quattro anni di iter legislativo, l’India introduce il Digital Personal Data Protection Act 2023, mirato a regolare la protezione dei dati personali. La legge, che si avvicina alle normative europee, include nuove figure come i data fiduciary e data processor e stabilisce obblighi di notifica per le violazioni dei dati

Pubblicato il 29 ott 2024

Marzia Piscopo

Global Data Protection specialist



email privacy (1)

Dopo un iter legislativo durato all’incirca quattro anni, nell’agosto 2023 il Parlamento indiano approva ufficialmente, con l’assenso presidenziale, la prima legge volta a regolare in maniera consolidata la protezione dei dati personali sul territorio: il Digital personal data protection Act 2023 (legge 22 del 2023, i.e., DPDPA).

Campo d applicazione del Digital personal data protection Act 2023

Il DPDPA diverrà direttamente applicabile una volta notificato dal Governo indiano, salvo che quest’ultimo non stabilisca termini differenti. Al pari della variegata normativa al momento applicabile, il DPDPA troverà applicazione in relazione a dati personali digitali o successivamente digitalizzati. In relazione, invece, al campo di applicazione soggettivo, la normativa troverà applicazione con riguardo a delle nuove figure introdotte dalla stessa: i data fiduciary ed i data processor, concetti tendenzialmente corrispondenti a quelli di data controller e data processor, come definiti dall’articolo 4 GDPR.  Tale nuova normativa, a parere di chi scrive, riflette un tentativo parzialmente riuscito di avvicinamento alle normative e alle regolamentazioni in vigore, non soltanto negli altri Stati asiatici, ma anche europei.

Perché è utile conoscere la nuova normativa indiana

Il mercato risulta essere sempre più internazionalizzato sfidando i confini italici ed europei. Il lavoro da remoto, inoltre, amplia l’orizzonte anche in relazione alla ricerca di personale e competenze. L’India si caratterizza per un forte sviluppo tecnologico, con numerose aziende nel campo dell’information technology, elemento da non sottovalutare.

La conoscenza della normativa estera, ed in particolar modo quella in oggetto, risulta fondamentale in tutti quei casi in cui un’azienda abbia, ad esempio, delle affiliate estere stabilite in India.

La normativa applicabile è inoltre un criterio utile da tenere a mente nel caso in cui si vogliano aprire nuove sedi estere e/o si voglia entrare in un nuovo mercato. È rilevante, a tal proposito, l’effort richiesto in termini di costi e di risorse umane per la conformità normativa. Infine, ad esempio, risulta fondamentale nel caso in cui vi siano dei clienti stabiliti nel territorio indiano.

Il DPDPA, infatti, ha portata extraterritoriale e troverà applicazione anche nel caso di attività di trattamento di dati personali digitali al di fuori dell’India se tali attività sono in qualsiasi modo connesse all’offerta di beni o servizi agli interessati (i.e., data principals) nel territorio indiano.

Principali novità del DPDPA

Tra le novità, spicca sicuramente l’istituzione di una Data protection Authority, il Data Protection Board of India (DPBI) che avrà il compito di regolare l’intero regime di protezione dei dati personali digitali nel Paese. Il DPBI avrà, infatti, il compito di garantire la conformità alla legge e conseguentemente di imporre sanzioni nel caso di riscontrate violazioni della stessa da parte di una azienda.

Le basi giuridiche

Seconda novità rilevante riguarda le basi giuridiche, ed in particolare, il parziale superamento dell’approccio consenso-centrico sino ad ora seguito. Tra le deroghe al consenso, indicate dal DPDP Act in relazione alle finalità perseguite, sono sicuramente da segnalare, a titolo esemplificativo, l’adempimento di un obbligo di legge; la gestione dei lavoratori o la tutela del datore di lavoro in relazione al mantenimento della riservatezza dei segreti commerciali e/o della proprietà intellettuale. Dunque, non appena il DPDP Act sarà applicabile, non sarà più necessaria la raccolta del consenso dei propri dipendenti.

I data processing agreement

Un’ulteriore novità riguarda i data processing agreement (i.e., DPA) da stipulare tra data fiduciary e data processor. Al momento, la normativa applicabile non prevede alcun obbligo di stipula di tale accordo tra le parti. Il PDPA Act prevede, invece, che il data fiduciary potrà nominare un data processor solo in base a un contratto valido. Tra le obbligazioni a carico dei data fiduciary la normativa elenca, a titolo esemplificativo, garantire la completezza, accuratezza e coerenza dei dati; implementare misure tecniche e organizzative adeguate; proteggere i dati personali in suo possesso o sotto il suo controllo anche in relazione a qualsiasi trattamento effettuato da esso o per suo conto da un data processor; adottare ragionevoli misure di sicurezza per prevenire la violazione dei dati personali. È rilevante sottolineare come il data fiduciary è responsabile dell’intera catena; dunque, sarà responsabile nel caso di inadempimenti o violazioni da parte del data processor. Si resta molto lontani da quell’elenco puntuale che caratterizza l’articolo 28 GDPR e, inoltre, non si prevede la figura del sub-processor.

La definizione di data breach secondo il DPDPA

In tema di violazione dei dati personali, si introduce la definizione di data breach, ovvero, qualsiasi trattamento non autorizzato di dati personali o divulgazione accidentale, acquisizione, condivisione, uso, alterazione, distruzione o perdita di accesso ai dati personali, che comprometta la sicurezza, la riservatezza, l’integrità o la disponibilità dei dati personali. Ma la novità più prorompente riguarda l’introduzione della notifica obbligatoria della violazione dei dati sia al Data Protection Board che agli interessati. Si nota qui un netto distacco dal GDPR dove, come risaputo, non vi è la previsione di una notifica “automatica” ad Autorità ed interessati, ma ogni caso va valutato a sé.

L’introduzione del Data protection Officer

Infine, si introduce la figura del Data protection Officer (i.e., DPO). La normativa definisce il DPO come la persona nominata dai significant data fiduciary[1]. L’obbligo di nomina di un DPO (che deve essere stabilito in India) ricade dunque esclusivamente su questi ultimi, per tutti gli altri data fiduciary la sua nomina resta opzionale. Resta, tuttavia, obbligatoria la nomina di un Grievance Officer (che può essere stabilito anche al di fuori del territorio indiano) con il compito di rispondere e dar seguito alle richieste degli interessati.

Anche l’India si avvicina alla normativa europea

Da questa breve panoramica sulla prossima normativa applicabile in materia di protezione dei dati personali in India, emerge chiaramente, a parere di chi scrive, l’intento del legislatore di un tentativo di avvicinamento alla normativa europea, allineandosi con quanto già avvenuto da parte di alcuni stati della medesima area geografica. Continuano ad essere ancora molte le differenze che risultano a tratti attenuate se si pensa alle deroghe al consenso o all’introduzione della figura del DPO (anch’essa non sempre obbligatoria anche in base al GDPR), o ancora all’introduzione dell’obbligatorietà dei DPA. In passato era stata avanzata una richiesta di assessment da condurre da parte della Commissione europea, ma con dei risultati che non erano quelli sperati. Che possa magari questa nuova normativa essere il primo passo per una nuova e diversa valutazione?

I prossimi passi

Dovremo attendere la notifica del DPDP Act, insieme alle probabili implementing regulations accompagnatorie, per sciogliere qualche dubbio ed intravedere i prossimi possibili passi di un percorso, quello indiano, caratterizzato da una forte frammentarietà che finalmente verrà superata riportando ordine e chiarezza, oltre che un rafforzamento delle garanzie a tutela degli interessati.

Note


[1] La sezione 2 sottosezione z del DPDP Act (disponibile al seguente link Digital Personal Data Protection Act 2023.pdf (meity.gov.in) ) definisce tali soggetti come “any Data Fiduciary or class of Data Fiduciaries as may be notified by the Central Government under section 10”. La sezione 10 (1) del DPDP Act prevede che “the Central Government may notify any Data Fiduciary or class of Data Fiduciaries as Significant Data Fiduciary, on the basis of an assessment of such relevant factors as it may determine, including (a) the volume and sensitivity of personal data processed; (b) risk to the rights of Data Principal; (c) potential impact on the sovereignty and integrity of India; (d) risk to electoral democracy; (e) security of the State; and (f) public order.”

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4