El gobierno indio ha publicado un borrador de las Reglas de Protección de Datos Personales Digitales (DPDP) para consulta pública.
“Los fiduciarios de datos deben proporcionar información clara y accesible sobre cómo se procesan los datos personales, permitiendo el consentimiento informado”, Oficina de Información de Prensa de la India (PIB) dicho en un comunicado emitido el domingo.
“Los ciudadanos tienen derecho a exigir la eliminación de datos, nombrar candidatos digitales y acceder a mecanismos fáciles de usar para gestionar sus datos”.
Las reglas, que buscan hacer operativa la Ley de Protección de Datos Personales Digitales de 2023, también brindan a los ciudadanos un mayor control sobre sus datos, brindándoles opciones para dar consentimiento informado para procesar su información, así como el derecho a borrar con plataformas y direcciones digitales. agravios.
Además, las empresas que operan en la India deben implementar medidas de seguridad, como cifrado, control de acceso y copias de seguridad de datos, para salvaguardar los datos personales y garantizar su confidencialidad, integridad y disponibilidad.
Algunas de las otras disposiciones notables de la Ley DPDP que se espera que cumplan los fiduciarios de datos se enumeran a continuación:
- Implementar mecanismos para detectar y abordar infracciones y mantener registros.
- En caso de una violación de datos, proporcione información detallada sobre la secuencia de eventos que llevaron al incidente, las acciones tomadas para mitigar la amenaza y la identidad de las personas, si se conocen, dentro de las 72 horas (o más, si permitido) al Comité de Protección de Datos (DPB)
- Eliminar los datos personales que ya no sean necesarios después de un período de tres años y notificar a las personas 48 horas antes de borrar dicha información.
- Mostrar claramente en sus sitios web/aplicaciones los datos de contacto de un Delegado de Protección de Datos (DPO) designado que es responsable de abordar cualquier pregunta relacionada con el procesamiento de datos personales de los usuarios.
- Obtener el consentimiento verificable de los padres o tutores legales antes de procesar los datos personales de niños menores de 18 años o personas con discapacidades (las exenciones incluyen profesionales de la salud, instituciones educativas y proveedores de cuidado infantil, pero solo restringidas a actividades específicas como servicios de salud, actividades educativas, monitoreo de seguridad). y seguimiento del transporte)
- Realizar una Evaluación de Impacto de la Protección de Datos (DPIA) y una auditoría integral una vez al año, e informar los resultados a la DPB (limitado únicamente a los fiduciarios de datos considerados “significativos”)
- Cumplir con los requisitos que establece el gobierno federal cuando se trata de transferencias de datos transfronterizas (las categorías exactas de datos personales que deben permanecer dentro de las fronteras de la India serán determinadas por un comité especializado)
El proyecto de reglas también ha propuesto ciertas salvaguardias para los ciudadanos cuando sus datos son procesados por agencias gubernamentales federales y estatales, exigiendo que dicho procesamiento se realice de una manera que sea legal, transparente y “de acuerdo con las normas legales y
normas políticas.”
Las organizaciones que hagan mal uso o no protejan los datos digitales de las personas o notifiquen a la DPB sobre una violación de seguridad pueden enfrentar sanciones monetarias de hasta 250 millones de rupias (casi 30 millones de dólares).
El Ministerio de Electrónica y Tecnología de la Información (MeitY) solicita comentarios del público sobre el proyecto de reglamento hasta el 18 de febrero de 2025. También dijo que las presentaciones no serán reveladas a ninguna de las partes.
La Ley DPDP se aprobó formalmente en agosto de 2023 después de haber sido revisada varias veces desde 2018. La regulación de protección de datos surgió a raíz de un fallo de 2017 del tribunal superior de la India que reafirmó el derecho a la privacidad como un derecho fundamental según la Constitución de la India.
El avance se produce más de un mes después de que el Departamento de Telecomunicaciones emitido las Reglas de Telecomunicaciones (Ciberseguridad de Telecomunicaciones) de 2024, bajo el Ley de Telecomunicaciones de 2023para proteger las redes de comunicación e imponer estrictas pautas de divulgación de violaciones de datos.
Según las nuevas reglas, una entidad de telecomunicaciones debe informar cualquier incidente de seguridad que afecte su red o servicios al gobierno federal dentro de las seis horas posteriores a tener conocimiento del mismo, y la empresa afectada también debe compartir información adicional relevante dentro de las 24 horas.
Además, las empresas de telecomunicaciones deben nombrar un Director de Seguridad de las Telecomunicaciones (CTSO), que debe ser ciudadano indio y residente en la India, y compartir datos de tráfico (excluido el contenido de los mensajes) con el gobierno federal en un formato específico para “proteger y garantizar la ciberseguridad de las telecomunicaciones”.
Sin embargo, la Internet Freedom Foundation (IFF) dicho la “frase demasiado amplia” y la eliminación de la definición de “datos de tráfico” del borrador podrían abrir la puerta a un uso indebido.
About the Author
