A partir de agosto de 2023, a Índia possui oficialmente uma lei de proteção de dados em vigor, após a aprovação do Ato de Proteção de Dados Pessoais Digitais (DPDP) em ambas as casas do parlamento em apenas uma semana.
Isso terminou uma jornada de seis anos na criação de regulamentos de proteção de dados, que teve início após o marco de agosto de 2017, quando a Suprema Corte do país reconheceu o direito constitucional à privacidade, incluindo a das informações pessoais. Esse reconhecimento pressionou o Parlamento indiano a estabelecer regulamentos semelhantes ao GDPR da União Europeia, que já havia sido aprovado alguns meses antes.
A concepção do DPDP foi debatida por muitos anos, com projetos anteriores falhando no Parlamento em 2019 e 2022. Mesmo esta versão aprovada do projeto encontrou forte oposição de partidos de oposição no Parlamento, com muitos preocupados com as amplas isenções governamentais que poderiam resultar em vigilância estatal dos cidadãos.
Essas preocupações podem persistir à medida que o DPDP encontra sua base e passa pelas primeiras etapas de implementação, mas, até o momento, o projeto de lei traz benefícios significativos para a Índia, substituindo a Seção 43A da Lei de Tecnologia da Informação, que era a principal regulamentação de proteção de dados do país, por uma lei verdadeiramente abrangente.
Definições-Chave do DPDP:
Embora muitas de suas ideias e disposições se assemelhem ao GDPR, a lei de privacidade de dados da Índia não usa sempre a mesma linguagem que outras regulamentações em todo o mundo. Em vez do termo "titular dos dados" usado na Europa e nos Estados Unidos, o projeto de lei da Índia se refere às pessoas como "principais de dados".
Da mesma forma, em vez de usar os termos "processadores de dados" e "controladores de dados" do GDPR, ele se refere às organizações como "fiduciários de dados" e "fiduciários de dados significativos" (SDF).
Uma grande diferença em relação à maioria das regulamentações globais é que o DPDP não faz distinção entre níveis de dados pessoais. Não há conceito de "dados sensíveis" que normalmente recebe proteções adicionais em outras leis, oferecendo em vez disso uma proteção geral para dados pessoais, definidos como "qualquer dado sobre um indivíduo identificável por meio desses dados ou em relação a tais dados".
A nova lei se aplica tanto ao processamento de dados pessoais digitais dentro da Índia quanto ao processamento extraterritorial desses dados fora da Índia, desde que esteja relacionado à "oferta de bens ou serviços aos titulares de dados na Índia". Não diferencia entre entidades públicas e privadas, tratando ambas de forma igual.
É importante observar que a redação de nenhuma das definições faz referência a residentes ou cidadãos, o que faz com que alguns interpretem que a lei se aplica também a estrangeiros dentro da Índia, semelhante à cobertura extraterritorial do GDPR.
Ao contrário do GDPR, a lei de privacidade de dados da Índia não restringe de forma alguma a transferência de dados para outros países. Isso contrasta fortemente com a maioria das regulamentações atuais de privacidade de dados, que normalmente têm linguagem indicando que apenas países com medidas de proteção adequadas podem receber transferências de dados.
A lei de privacidade de dados da Índia oferece os seguintes direitos de dados:
Requisitos de Conformidade do DPDP:
Os fiduciários de dados têm várias obrigações, embora os SDFs tenham requisitos de conformidade mais extensos. Uma vez que um dos princípios fundamentais da regulamentação é o consentimento, a maioria dos requisitos gira em torno desse aspecto ou da segurança dos dados, de alguma forma.
Os requisitos para os fiduciários de dados são os seguintes: