El gobierno de la India ha publicado el viernes una versión preliminar de la esperada regulación de protección de datos, convirtiéndola en el cuarto esfuerzo de este tipo desde que se propuso por primera vez en julio de 2018.

El Proyecto de Ley de Protección de Datos Personales Digitales de 2022 (Digital Personal Data Protection Bill, 2022), como se denomina, tiene como objetivo asegurar los datos personales, al tiempo que solicita el consentimiento de los usuarios en lo que el proyecto afirma que es un «lenguaje claro y sencillo» que describe los tipos exactos de información que se recopilarán y para qué propósito.

«El proyecto de ley establecerá el marco jurídico completo que regirá la protección de los datos personales digitales en la India», afirma el gobierno. «El proyecto de ley prevé el tratamiento de los datos personales digitales de forma que se reconozca el derecho de las personas a proteger sus datos personales, los derechos de la sociedad y la necesidad de tratar los datos personales con fines lícitos».

La legislación, en su forma actual, exige a las empresas (es decir, a los data processors) que sigan las suficientes salvaguardias para proteger la información de los usuarios, alertar a los usuarios en caso de que se produzca una brecha de datos y que dejen de conservar los datos de sus usuarios si estos optan por eliminar las cuentas de sus servicios.

El borrador también propone que las empresas sólo utilicen los datos que han recogido sobre los usuarios para el fin que los obtuvieron originalmente. También pide que las empresas no almacenen los datos a perpetuidad por defecto. «El almacenamiento debe limitarse a la duración necesaria para la finalidad declarada para la que se recogieron los datos personales», dice una nota del ministerio.

El proyecto propone una sanción de hasta 250 millones de rupias (30,6 millones de dólares) en caso de que una empresa no ofrezca «garantías de seguridad razonables para evitar la brecha de los datos personales». Y una sanción multas de hasta a 500 millones de rupias (61,3 millones de dólares) si la empresa no notifica a la autoridad local y a los usuarios la brecha de datos.

Los usuarios de los servicios de internet, por su parte, pueden solicitar a las empresas que compartan las categorías de datos personales que se han cedido a terceros, así como solicitar el borrado de sus datos o su actualización en caso de que la información sea «inexacta o engañosa».

Al igual que el Reglamento General de Protección de Datos y la CCPA/CPRA (Ley de Privacidad del Consumidor de California) en Estados Unidos, la propuesta de Ley de Protección de Datos Personales Digitales 2022 de la India se aplicará a las empresas que operan en el país y a cualquier entidad que procese los datos de los ciudadanos indios.

Hay que remarcar que la legislación ya no obliga a la localización de los datos, lo que permite a los gigantes tecnológicos transferir datos personales fuera de las fronteras geográficas de la India a países y territorios específicos.

Por último, la nueva medida pretende establecer un Consejo de Protección de Datos, un organismo nombrado por el gobierno que supervisará el núcleo de los esfuerzos de cumplimiento.

Veremos si este borrador sale adelante ya que el último presentado en diciembre de 2021, se deshechó en agosto de 2022 tras decenas de enmiendas y recomendaciones. La legislación sobre protección de datos en la India se viene elaborando desde 2017, cuando el Tribunal Supremo reafirmó por unanimidad el derecho a la privacidad como un derecho fundamental en virtud de la Constitución de la India, tras un histórico veredicto que se aprobó por una petición presentada por el juez del Tribunal Superior K. S. Puttaswamy en 2012.

¿Encontraste este artículo interesante? Sigue a DDR en Twitter, Mastodon, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.

2 Comentarios

Comments are closed.