Proyecto de ley de protección personal de la India de 2019

El Proyecto de Ley de Protección de Datos Personales de la India es una ley integral de privacidad de datos que se aprobó en la India en 2018. El proyecto de ley de protección de datos personales se aprobó en respuesta a la histórica sentencia del Tribunal Supremo de la India en el caso K.S. Puttaswamy contra la Unión de la India en 2017, en la que se dictaminó que la privacidad era un derecho fundamental. Es más, el Tribunal Supremo indio también invitó al gobierno a construir “un régimen de protección de datos.” La ley establece normas de protección de datos y privacidad en relación con los ciudadanos de India, e introduce auditorías anuales obligatorias de datos. Como es el caso de muchas leyes de privacidad que se han aprobado en países de todo el mundo, el Proyecto de Ley de Protección de Datos Personales también está estrechamente alineado con el Reglamento General de Protección de Datos de la UE o GDPR.

¿Cuál es el ámbito jurisdiccional del proyecto de ley de protección de datos personales?

Aunque el Proyecto de Ley de Protección de Datos Personales es similar en su naturaleza al GDPR de la UE, el Proyecto de Ley de Protección de Datos Personales impone obligaciones a las entidades y organizaciones empresariales que en muchos casos superan las del GDPR. Con este fin, la aplicación del ámbito territorial o jurisdiccional en virtud del Proyecto de Ley de Protección de Datos Personales es potencialmente más amplia que la del GDPR, ya que el Proyecto de Ley de Protección de Datos Personales se aplica tanto a entidades situadas dentro como fuera de la India. Más concretamente, el proyecto de ley se aplica a:

• El tratamiento de datos e información personales que se recojan, compartan, divulguen o procesen de cualquier otro modo en el territorio de la India.
• El tratamiento de datos personales e información por parte de ciudadanos indios, empresas o cualquier otra persona, organismo o entidad constituida con arreglo a la legislación india.
• El tratamiento de datos personales o información por parte de “fiduciarios de datos” que no estén presentes en el territorio de la India, si dicho tratamiento está relacionado con una entidad comercial en la India, la oferta sistemática de bienes y servicios en la India, mandantes de datos en la India o la elaboración de perfiles de mandantes de datos en la región.

¿Cómo se definen los datos personales en la Ley de Protección Personal?

Otra forma en que el proyecto de ley de protección personal difiere del RGPD es la forma en que el proyecto de ley define los datos personales. En el proyecto de ley de protección personal se definen los términos “datos personales” y “datos personales sensibles”. Además, el proyecto de ley también protege los “datos personales críticos” de los ciudadanos indios, aunque la definición de este término queda a discreción del gobierno indio. Las definiciones de “datos personales” y “datos personales sensibles” son las siguientes:

• El proyecto de ley define los datos personales como “los datos “sobre o relativos a una persona física directa o indirectamente identificable”. Sin embargo, el proyecto de ley no tiene en cuenta la “probabilidad razonable” de que una persona sea identificable en relación con sus datos personales, a diferencia del RGPD. Además, las inferencias de datos relacionadas con los datos personales de un individuo también se incluyen en la definición de datos personales en virtud del proyecto de ley, si dichas inferencias se utilizan en el contexto de la elaboración de perfiles. Con arreglo a esta definición, las inferencias de datos personales también pueden considerarse datos personales con arreglo al proyecto de ley, incluso si dichas inferencias no permiten la identificación de ninguna persona concreta.
• El proyecto de ley define los datos personales sensibles como los relativos a la salud, la religión, la vida sexual, las convicciones políticas y los datos biométricos y genéticos. En particular, los datos financieros se consideran datos personales sensibles en virtud del proyecto de ley.

¿Cuáles son los requisitos de los fiduciarios de datos con arreglo al proyecto de ley de protección personal?

En virtud de la Ley de Protección de Datos Personales, los fiduciarios de datos se definen como una persona o entidad que “sola o en conjunción con otras determina los fines y medios del tratamiento de datos personales”. El proyecto de ley también ordena que los datos personales de los ciudadanos indios no puedan ser procesados salvo para un “fin específico, claro y lícito”. El proyecto de ley también establece los fundamentos jurídicos por los que pueden tratarse los datos personales. Estos fundamentos jurídicos son los siguientes

• Consentimiento.
• Obligaciones legales.
• Las emergencias médicas implican una amenaza para la vida de una persona o una amenaza grave para su salud.
• La prestación de tratamiento médico o servicios relacionados con la salud.
• Protección de la seguridad de una persona durante una catástrofe.
• Fines relacionados con el empleo.
• Otros fines razonables que puedan especificar las normativas legales de la India.

Al procesar los datos personales de ciudadanos indios, los fiduciarios de datos deben adherirse al siguiente marco de acuerdo con la Ley de Protección Personal. Este marco incluye lo siguiente

• Consentimiento– Según el proyecto de ley, “el consentimiento válido debe ser libre, teniendo en cuenta si cumple con la Sección 14 de la Ley de Contratos india, informado, específico, claro y susceptible de ser retirado”. El artículo 14 de la Ley de Contratos india establece que el consentimiento es libre cuando “no se debe a coacción, influencia indebida, fraude, tergiversación o error”. Con arreglo al proyecto de ley, los fiduciarios de datos no están obligados a obtener un consentimiento separado para cada finalidad del tratamiento.
• Fines razonables– Según el proyecto de ley, los datos personales de un ciudadano indio pueden tratarse sin su consentimiento si el tratamiento tiene “fines razonables”, según la definición de la Autoridad de Protección de Datos de la India. Ejemplos de estos fines razonables son la seguridad de la información, la prevención del fraude, los datos personales que puedan compartirse en el contexto de adquisiciones o fusiones de empresas y el tratamiento de datos personales que ya se hayan hecho públicos.
• Datos personales sensibles – Según el proyecto de ley, cuando se requiera el consentimiento para el tratamiento de datos personales sensibles, los fiduciarios de datos están obligados a obtener el consentimiento “explícitamente y no inferido de otra conducta, por separado de otros tratamientos, y después de informar al titular de los datos de la finalidad del tratamiento que puede causar un daño significativo”. El proyecto de ley también establece que la información personal sensible no podrá utilizarse con fines laborales sin el consentimiento de dicha persona.

El Proyecto de Ley de Protección de Datos Personales también exige a los fiduciarios de datos que elaboren y apliquen una serie de medidas internas que tengan en cuenta los riesgos que entraña el tratamiento de datos, así como la responsabilidad y el cumplimiento del Proyecto de Ley. Estas medidas internas deben incluir las siguientes disposiciones:

• Fiduciarios de datos significativos – En virtud del proyecto de ley, la APD permite a los fiduciarios de datos designar una clase de fiduciarios de datos definidos como “significativos ” en función de criterios como el volumen de datos personales tratados, la sensibilidad de los datos personales tratados, el volumen de negocios del fiduciario de datos, el riesgo de perjuicio que plantea el tratamiento, el uso de nuevas tecnologías para el tratamiento y cualquier otro factor que cause perjuicio de dicho tratamiento”. Los fiduciarios de datos que han sido designados como significativos deben seguir requisitos adicionales de responsabilidad, como se indica a continuación.
• Requisitos de auditoría– Los fiduciarios de datos significativos también deben trabajar con un auditor independiente que puede seleccionarse de una lista previamente aprobada por la APD para llevar a cabo una auditoría anual de las actividades de tratamiento de dichos fiduciarios de datos. Sobre esta base, los auditores podrán asignar una “puntuación de confianza en los datos” en función de sus conclusiones en relación con un fiduciario de datos. Esta puntuación de confianza en los datos deberá comunicarse a todos los interesados. La APD también conserva el derecho de ordenar a los fiduciarios de datos que lleven a cabo una auditoría, si considera que el tratamiento de datos por parte de un fiduciario puede perjudicar a los interesados.
• En virtud del proyecto de ley, los fiduciarios de datos importantes también están obligados a designar a un responsable de la protección de datos con sede en la India, que representará al fiduciario de datos ante la ley. Los fiduciarios de datos significativos también deben registrarse en la APD.
• Política de privacidad desde el diseño – El proyecto de ley exige que todos los fiduciarios de datos desarrollen una “política de privacidad desde el diseño” que detalle las “prácticas empresariales, organizativas y de gestión y los sistemas técnicos diseñados para anticipar, identificar y evitar daños”, entre otras cosas.
• Acuerdos con procesadores de datos– Todos los contratos entre fiduciarios de datos y procesadores deben especificar que dicho procesador procesará todos los datos personales de acuerdo con las instrucciones o requisitos de dichos fiduciarios de datos. Los datos personales también deben ser confidenciales, y no se pueden designar subencargados del tratamiento o terceros sin su aprobación.
• Seguridad y notificación de violaciones– Los fiduciarios y procesadores de datos también deben aplicar las salvaguardias de seguridad necesarias para proteger los datos personales de los interesados. Esto incluye “métodos para desidentificar y encriptar los datos, así como impedir el acceso no autorizado a la información personal o su destrucción”. Según el proyecto de ley, los fiduciarios de datos también deben notificar a la APD cualquier violación de datos. Esta notificación debe tener lugar “h “tan pronto como sea posible” si es probable que cause daño a cualquier titular de los datos, pero da a la APD discreción para determinar el calendario de las notificaciones de violaciones posteriores. La APD también puede ordenar al fiduciario de datos que publique una notificación de la violación en el sitio web de la APD o de la empresa. No se aplica ninguna obligación de notificación de violación directamente a los procesadores de datos (aunque, presumiblemente, los fiduciarios de datos pueden imponer tal obligación por contrato)”.

La Ley de Protección de Datos Personales también otorga a los interesados una serie de derechos. Estos derechos incluyen el derecho a la transparencia, el acceso, la portabilidad y la corrección en relación con los datos personales. Además, hay una serie de sanciones que pueden imponerse como resultado del incumplimiento de la Ley de Protección Personal. Las sanciones incluyen responsabilidad penal que puede llevar hasta tres años de prisión y una multa de hasta 3000 dólares, multas administrativas que pueden ascender hasta 2 millones de dólares o el 4% de los ingresos globales anuales de las entidades comerciales, sanciones cautelares como la capacidad de bloquear el procesamiento, y compensaciones tanto individuales como grupales.

El proyecto de ley de protección personal de 2018 contribuirá en gran medida a garantizar la privacidad de los datos de los ciudadanos indios en los próximos años. Dado que la privacidad se ha convertido en una preocupación cada vez mayor para muchos países y gobiernos de todo el mundo, leyes como el Proyecto de Ley de Protección Personal seguirán aprobándose a medida que pase el tiempo. Aunque el Reglamento General de Protección de Datos (RGPD) de la UE ha influido sin duda en el proyecto de ley, al igual que en muchas otras leyes sobre privacidad aprobadas en los últimos años, el proyecto de ley de protección personal es en muchos aspectos más restrictivo que el RGPD. Como tal, los ciudadanos indios pueden estar seguros de que se está haciendo todo lo posible para garantizar su privacidad personal.