India: “Digital Personal Data Protection Act”, la legge privacy con il maggior impatto globale è stata approvata

Sempre più organizzazioni intraprendono attività di business in Asia o affidano determinati trattamenti (ad esempio, l’hosting di dati) su server ubicati nel continente asiatico. Fra i Paesi della regione APAC (Asia-Pacific region), l’India, di recente, si è dotata di una normativa ufficiale sulla protezione dei dati personali. Si tratta della legge privacy con il maggior impatto a livello globale, essendo l’India il Paese più popoloso al mondo. Quali novità introduce? Cosa sapere prima di fare affari in questo Paese?

La normativa con il maggior impatto globale

Fra il 2022 ed il 2023, l’India è diventata il Paese più popoloso al mondo, con 1 miliardo e 430 milioni di abitanti, superando anche la Cina. Ciò significa che sul territorio indiano risiede il 17,85% della popolazione mondiale, dato che è destinato a crescere almeno fino al 2050, secondo i principali Osservatori Statistici.

Al tempo stesso, il Paese indiano si è consolidato, in seguito alla pandemia, al quinto posto fra le principali economie globali (superando il Regno Unito), al terzo posto fra i Paesi asiatici per PIL generato e al primo posto fra i Paesi asiatici per numero totale di data center.

Sempre più imprese intraprendono affari in India e anche grandi colossi come Amazon (AWS), Google e Microsoft stanno realizzando data center qui, proprio per via della crescente digitalizzazione della regione. La mole di dati, anche personali, che circolano su questi archivi digitalizzati ha imposto all’India, ma anche ad altri Paesi (leggi qui), di ripensare la propria legislazione in materia di protezione dei dati personali.

Il Digital Personal Data Protection Act

Il processo di rinnovamento normativo in India è partito nel 2017, in seguito alla decisione della Corte Suprema indiana nella causa “Justice KS Puttaswamy vs Union of India”, con cui è stato ufficialmente riconosciuto il diritto alla privacy come diritto fondamentale che trova riconoscimento nell’articolo 21 della Costituzione indiana, in quanto connaturato al diritto alla vita ed alla libertà personale, nonché alle altre libertà garantite nella Parte III della stessa Costituzione. Da allora si sono susseguiti numerosi tentativi (formalizzati in diverse proposte di legge che si sono susseguite) di emanare una legislazione onnicomprensiva sulla protezione dei dati personali. Gli sforzi del legislatore indiano sono culminati con la promulgazione della Legge numero 22 del 2023, il “Digital Personal Data Protection Act”. L’11 agosto 2023 la proposta di Legge ha ricevuto l’assenso del Presidente indiano ed il 14 agosto 2023 è stata pubblicata in Gazzetta Ufficiale.

Caratteristiche e novità introdotte dalla normativa

Riassumiamo i principali elementi da attenzionare, e le principali differenze con il GDPR, nei punti a seguire.

Il “Digital Personal Data Protection Act”:

introduce una nuova nomenclatura per i ruoli chiave: i titolari del trattamento sono denominati “Fiduciari dei dati” (Data Fiduciary), gli interessati “mandanti dei dati” (Data Principal);
ha un ampio effetto extraterritoriale, forse più ampio del GDPR: è sufficiente che una società tratti dati personali al di fuori del territorio indiano, “in relazione a qualsiasi attività connessa all’offerta di beni o servizi” a persone in India (capitolo 1, par. 3), ma esclude dalla maggior parte della sua applicazione la situazione tipica di una società di outsourcing con sede in India che tratta i dati personali di persone al di fuori dell’India;
sembra essere strutturato in modo tale da non creare difficoltà per l’addestramento dell’IA sui dati personali, escludendo dal suo campo di applicazione la maggior parte dei dati personali disponibili al pubblico, così come il trattamento dei dati personali necessari per scopi di ricerca o statistici (a meno che non sia legato al prendere una decisione su un individuo);
riconosce due motivi legittimi per il trattamento dei dati personali, il consenso e “alcuni usi legittimi” (“certain legitimate uses”), che, ironia della sorte, non includono di fatto i “legittimi interessi”, ma comprendono la divulgazione volontaria dei dati personali, ad esempio nel contesto di una transazione (capitolo 2, par. 4 e 5);
crea obblighi aggiuntivi per i “Fiduciari dei dati significativi” (“Significant Data Fiduciary”), come la nomina di un DPO e la conduzione di DPIA e altri audit periodici (capitolo 2, par. 10);
sembra invertire il paradigma delle norme sui trasferimenti internazionali di dati, presumendo che i trasferimenti possano avvenire senza restrizioni, a meno che il governo centrale non limiti specificamente i trasferimenti a determinati Paesi tramite una blacklist (capitolo 4 par. 16);
crea un Consiglio indiano per la protezione dei dati “indipendente” (il Data Protection Board of India), ma allo stesso tempo conferisce ampi poteri al “Governo centrale” per richiedere qualsiasi informazione (presumibilmente anche dati personali) alle aziende o al Consiglio, nonché per ordinare il blocco delle informazioni da “qualsiasi risorsa informatica” per l’accesso del pubblico (capitolo 5);

se da un lato prevede una serie ridotta di diritti degli interessati (accesso, correzione e cancellazione, ma solo quando i dati personali sono basati sul consenso o sulla divulgazione volontaria), dall’altro lato prevede obblighi per gli interessati (“mandanti dei dati”) che, ad esempio, rischiano una sanzione se presentano un reclamo “falso o futile” (capitolo 6, par. 28).

I principali obblighi in capo ai Fiduciari dei dati

Il capitolo secondo della norma individua gli obblighi dei Fiduciari dei dati:

effettuare trattamenti di dati personali solo in presenza delle due basi giuridiche previste: il consenso o gli altri usi legittimi (in quanto non espressamente vietati dalla legge);
informare gli interessati rispetto alle finalità del trattamento, ai diritti riconosciuti dalla Legge e alla possibilità di rivolgere un reclamo al Board;
viene sancito l’obbligo generale di conformare tutti i trattamenti svolti alle disposizioni del Digital Personal Data Protection Act;
anche i trattamenti affidati a soggetti esterni, in questo caso denominati alla stregua del GDPR “Data Processors”, devono rispettare la norma ed essere disciplinati da un valido contratto;
i Fiduciari devono garantire la completezza, accuratezza e coerenza dei dati, in particolare in caso di utilizzo degli stessi per prendere decisioni che impattano direttamente sui Data Principal / interessati e in caso di diffusione dei dati ad altri Fiduciari;
i Fiduciari devono implementare appropriate misure tecniche ed organizzative per assicurare il rispetto della normativa;
i Fiduciari devono implementare ragionevoli salvaguardie di sicurezza (“reasonable security safeguards”) per prevenire il verificarsi di data breach;
nel caso in cui si verificasse un data breach lo stesso dovrà essere comunicato al Board e ai Data Principal / interessati;
i Fiduciari devono pubblicare i dati di contatto del DPO e i dati di un soggetto in grado di gestire le eventuali istanze dei Data Principal / interessati;
i Fiduciari devono istituire un meccanismo efficace per risolvere le istanze / reclami dei Data Principal / interessati.

I principali obblighi in capo ai Fiduciari dei dati significativi

Come anticipato, a differenza del GDPR, la Legge indiana prevede che il Governo centrale individui i Fiduciari dei dati maggiormente significativi “Significant Data Fiduciary” sulla base di una serie di fattori rilevanti, fra cui: la mole e il tipo di dati trattati, il rischio per gli interessati, l’impatto sulla sovranità e sull’integrità dell’India, l’ordine pubblico, etc.

In tal caso, al “Significant Data Fiduciary” spettano degli obblighi aggiuntivi, fra cui:

la nomina di un Data Protection Officer (DPO);
la nomina di un auditor dei dati indipendente, che dovrà valutare la conformità del Fiduciario Significativo dei Dati in conformità alle disposizioni della Legge;
la valutazione d’impatto sulla protezione dei dati (DPIA), ovvero un processo comprendente una descrizione dei diritti degli interessati e delle finalità del trattamento dei loro dati personali, la valutazione e la gestione del rischio e altre questioni relative a tale processo;
gli audit periodici;
altre misure che possono essere prescritte, che siano coerenti alle disposizioni della Legge.

Il ruolo del DPO nella legislazione Indiana

La normativa indiana delinea sinteticamente i compiti e la posizione del DPO in quattro punti:

il DPO deve rappresentare il Fiduciario Significativo ai sensi delle disposizioni della Legge;
il DPO deve avere sede in India;
il DPO deve essere una persona responsabile nei confronti del Consiglio di amministrazione o di un analogo organo direttivo del Fiduciario Significativo; e
il DPO deve essere il punto di contatto per il meccanismo di risoluzione dei reclami predisposto dal Fiduciario Significativo.

Violazioni e conseguenze

L’Allegato al Digital Personal Data Protection Act prevede l’elenco di sanzioni pecuniarie applicabili in caso di violazione delle disposizioni di cui alla norma. La sanzione massima prevista è pari a 250 crore INR (circa 31 milioni di dollari), in relazione a:

la mancata implementazione di salvaguardie volte a prevenire il verificarsi di data breach;
il mancato rispetto degli obblighi addizionali in capo ai Fiduciari significativi.

Considerazioni

Prossimamente il Governo centrale definirà la data di entrata in vigore del Digital Personal Data Protection Act, mediante pubblicazione in Gazzetta ufficiale della norma.

L’India è solo l’ultimo dei Paesi del continente asiatico ad aver aggiornato la propria Legge sulla protezione dei dati. Ma perché è così importante stare al passo rispetto alle ultime novità normative?

Negli ultimi anni, nonostante il periodo di crisi derivante dalla pandemia, l’economia asiatica ha continuato a crescere, gli investimenti hanno raggiunto cifre record negli ultimi due anni, con le aziende di e-commerce, logistica e pagamenti in testa. Il sud-est asiatico, in particolare, sta godendo di un’attenzione senza precedenti come nuovo focolaio globale di data center. Tutte le organizzazioni internazionali che intraprendono attività di business in Asia, o che, ad esempio, affidano determinati trattamenti (anche il solo hosting dei dati) su server ubicati nella regione dell’APAC (Asia-Pacific region), devono valutare attentamente le condizioni previste dalle nuove norme a tutela dei dati personali, per non incorrere in sanzioni. I DPO delle organizzazioni internazionali che operano in Asia o che offrono servizi a cittadini asiatici, sono quindi tenuti ad informarsi e a monitorare costantemente il quadro normativo di riferimento. Se, come nel caso dell’India, viene definita una nuova legislazione onnicomprensiva sulla protezione dei dati, le imprese dovranno necessariamente rivedere l’intero sistema di gestione, registrazione, trasmissione e protezione dei dati personali, per assicurarsi che sia conforme ai requisiti della normativa applicabile.

ASSO DPO mira a supportare i DPO anche nell’attività di raccolta di informazioni in merito alle fonti applicabili, mediante il confronto e lo scambio di informazioni tra gli associati. Se desideri associarti, clicca qui.

Altre news

Come definire il termine di conservazione dei metadati? Come conciliare le esigenze di impresa con le indicazioni del Garante?

Metadati e tutela dei diritti degli individuiLa gestione dei metadati di posta elettronica può sembrare un tema di secondaria importanza, se non si [...]