Related Posts

Lei de Proteção de Dados da Índia: navegando pelo DPDP

  • 29/06/2024 18:09:12

A partir de agosto de 2023, a Índia possui oficialmente uma lei de proteção de dados em vigor, após a aprovação do Ato de Proteção de Dados Pessoais Digitais (DPDP) em ambas as casas do parlamento em apenas uma semana.


Isso terminou uma jornada de seis anos na criação de regulamentos de proteção de dados, que teve início após o marco de agosto de 2017, quando a Suprema Corte do país reconheceu o direito constitucional à privacidade, incluindo a das informações pessoais. Esse reconhecimento pressionou o Parlamento indiano a estabelecer regulamentos semelhantes ao GDPR da União Europeia, que já havia sido aprovado alguns meses antes.


A concepção do DPDP foi debatida por muitos anos, com projetos anteriores falhando no Parlamento em 2019 e 2022. Mesmo esta versão aprovada do projeto encontrou forte oposição de partidos de oposição no Parlamento, com muitos preocupados com as amplas isenções governamentais que poderiam resultar em vigilância estatal dos cidadãos.


Essas preocupações podem persistir à medida que o DPDP encontra sua base e passa pelas primeiras etapas de implementação, mas, até o momento, o projeto de lei traz benefícios significativos para a Índia, substituindo a Seção 43A da Lei de Tecnologia da Informação, que era a principal regulamentação de proteção de dados do país, por uma lei verdadeiramente abrangente.


Definições-Chave do DPDP:


Embora muitas de suas ideias e disposições se assemelhem ao GDPR, a lei de privacidade de dados da Índia não usa sempre a mesma linguagem que outras regulamentações em todo o mundo. Em vez do termo "titular dos dados" usado na Europa e nos Estados Unidos, o projeto de lei da Índia se refere às pessoas como "principais de dados".


Da mesma forma, em vez de usar os termos "processadores de dados" e "controladores de dados" do GDPR, ele se refere às organizações como "fiduciários de dados" e "fiduciários de dados significativos" (SDF).


Uma grande diferença em relação à maioria das regulamentações globais é que o DPDP não faz distinção entre níveis de dados pessoais. Não há conceito de "dados sensíveis" que normalmente recebe proteções adicionais em outras leis, oferecendo em vez disso uma proteção geral para dados pessoais, definidos como "qualquer dado sobre um indivíduo identificável por meio desses dados ou em relação a tais dados".


A nova lei se aplica tanto ao processamento de dados pessoais digitais dentro da Índia quanto ao processamento extraterritorial desses dados fora da Índia, desde que esteja relacionado à "oferta de bens ou serviços aos titulares de dados na Índia". Não diferencia entre entidades públicas e privadas, tratando ambas de forma igual.


É importante observar que a redação de nenhuma das definições faz referência a residentes ou cidadãos, o que faz com que alguns interpretem que a lei se aplica também a estrangeiros dentro da Índia, semelhante à cobertura extraterritorial do GDPR.


Ao contrário do GDPR, a lei de privacidade de dados da Índia não restringe de forma alguma a transferência de dados para outros países. Isso contrasta fortemente com a maioria das regulamentações atuais de privacidade de dados, que normalmente têm linguagem indicando que apenas países com medidas de proteção adequadas podem receber transferências de dados.


A lei de privacidade de dados da Índia oferece os seguintes direitos de dados:


  1. O direito de acessar informações sobre dados pessoais processados; 
  2. O direito de correção e exclusão de dados; 
  3. O direito de retirar o consentimento a qualquer momento; 
  4. O direito de reparação de reclamações; e
  5. O direito de nomear uma pessoa para exercer os direitos em caso de morte ou incapacidade.


O direito à portabilidade de dados, o direito de se opor ao processamento com base em fundamentos diferentes do consentimento e o direito de não ser sujeito apenas a decisões automatizadas não são previstos.


Requisitos de Conformidade do DPDP:


Os fiduciários de dados têm várias obrigações, embora os SDFs tenham requisitos de conformidade mais extensos. Uma vez que um dos princípios fundamentais da regulamentação é o consentimento, a maioria dos requisitos gira em torno desse aspecto ou da segurança dos dados, de alguma forma.


Os requisitos para os fiduciários de dados são os seguintes:


  1. Ter salvaguardas de segurança para evitar violações de dados pessoais; 
  2. A necessidade de informar os indivíduos e a Autoridade de Proteção de Dados da nação sobre violações de dados que comprometeram dados pessoais; 
  3. Excluir dados pessoais quando não forem mais necessários para o propósito especificado; 
  4. Excluir dados pessoais ao retirar o consentimento; e
  5. Estabelecer sistemas de reparação de reclamações e um Oficial de Proteção de Dados para responder a solicitações de Principais de Dados; 
  6. Seguir todas as outras obrigações especificadas exigidas dos Fiduciários de Dados classificados como Fiduciários de Dados Significativos, incluindo nomear um auditor de dados independente e conduzir Avaliação de Impacto de Proteção de Dados periódica.

Embora especialistas em privacidade de dados na Índia não esperem que a DPB aplique multas em um futuro próximo, à medida que a Autoridade se estabelece, a falta de uma data concreta para aplicação da regulamentação complica a situação. A faixa de multas é bastante ampla. Até o momento, as multas pela não conformidade com o DPDP variam de US$ 120 USD a cerca de US$ 30 milhões USD.


Embora a Índia tenha inicialmente proposto sua lei de proteção de dados para seguir de perto o GDPR, o resultado final, seis anos depois, apresenta várias divergências significativas e uma linguagem única no mundo das regulamentações de privacidade de dados.


Práticas padrão de proteção de dados, como ferramentas automatizadas de DSR e mapeamento avançado de dados, certamente ajudarão as organizações a obter uma imagem mais clara de seu processamento de dados dentro da Índia, bem como a satisfazer Avaliações de Impacto de Proteção de Dados, mas incentivamos fortemente qualquer organização que faça negócios na Índia a explorar soluções de proteção de dados e também buscar expertise legal local para determinar se precisam cumprir e quais mudanças operacionais podem ser necessárias.