Comprensión de la Ley de Protección de Datos Personales Digitales (DPDP) de la India para empresas

La Ley de Protección de Datos Personales Digitales (DPDP) es una regulación integral de protección de datos en la India. La ley establece un marco para el procesamiento de datos personales de residentes de la India.

El Gobierno Central de la India introdujo la Ley de Protección de Datos Personales Digitales el 9 de agosto de 2023 tras recibir la aprobación de ambas cámaras del parlamento. La ley será un hito en el cambiante panorama tecnológico de la India.

Explore esta guía detallada para obtener más información sobre la ley, las definiciones clave, los principios y cómo cumplirla.

Empecemos.

La Ley de Protección de Datos Personales Digitales es una ley diseñada para salvaguardar los derechos de privacidad de las personas. Se concentra en supervisar cómo se recopila, almacena, procesa y comparte la información personal de los ciudadanos indios.

Esta ley establece un marco sólido para abordar los desafíos que plantea el manejo de grandes cantidades de datos personales en la era digital. Se alinea con el Proyecto de Ley de la India Digital y el Proyecto de Ley de Telecomunicaciones de la India propuesto para fortalecer la protección de datos y mejorar la privacidad de los ciudadanos de la India.

El DPDP se inspira principalmente en el RGPD de la UE; sin embargo, algunas terminologías son diferentes. A continuación se presentan las definiciones clave de los diferentes términos utilizados en la Ley DPDP:

• Director de datos: Una persona cuyos datos se recopilan, almacenan o procesan.
• Fiduciario de datos: Una persona o grupo de personas que es responsable de determinar el propósito y los métodos de recopilación de datos.
• Fiduciario de datos significativos: Una persona o un grupo de personas que manejan datos confidenciales que pueden afectar preocupaciones sociales y nacionales más amplias, como la soberanía, la integridad, la democracia electoral, la seguridad del Estado y el orden público de la India.
• Procesador de datos: Persona que procesa los datos personales por cuenta del fiduciario de los datos.
• Administrador de consentimiento: Una persona registrada ante el Consejo de Protección de Datos que actúa como punto de contacto del Responsable de los Datos para otorgar, gestionar, revisar y retirar el consentimiento a través de una plataforma accesible, transparente e interoperable.

La Ley DPDP se aplica al procesamiento de datos personales recopilados dentro de las fronteras de la India, ya sea en forma digital o no digital que luego se digitaliza. La ley extiende su aplicabilidad fuera de la frontera india si la recopilación de datos se relaciona con la oferta de bienes o servicios a los responsables de datos que residen en la India.

La ley no se aplica al procesamiento de datos personales por parte de un individuo para fines personales o domésticos o si los datos están disponibles públicamente.

La DPDPA especifica claramente las obligaciones de un fiduciario de datos al recopilar información personal de ciudadanos de la India.

1. Un fiduciario de datos debe tener una propósito legal para la recogida de datos personales. En este contexto, propósito lícito significa cualquier propósito que no esté prohibido por la ley.
2. Un fiduciario de datos debe revelar al Responsable de datos sobre qué datos se recopilan y con qué propósito.
3. Un fiduciario de datos debe proporcionar información sobre los derechos del Responsable de los datos, junto con orientación sobre cómo ejercer esos derechos y ponerse en contacto con el Consejo de Protección de Datos.
4. Se requiere un fiduciario de datos para obtener el consentimiento del responsable de datos para el tratamiento de sus datos. El consentimiento debe ser informativo y otorgado libremente con una clara acción afirmativa.

La DPDPA proporciona ciertas pautas para el procesamiento de datos personales de niños o de una persona con discapacidad.

• Los Fiduciarios de Datos deben obtener el consentimiento de los padres o tutores legales para la recopilación o procesamiento de datos personales de menores o personas con discapacidad.
• Los fiduciarios de datos deben abstenerse de recopilar datos personales que puedan dañar el bienestar del niño.
• El seguimiento, la supervisión del comportamiento de los niños o la publicidad dirigida están estrictamente prohibidos bajo cualquier circunstancia.
• Si el Gobierno Central tiene la seguridad de que un Fiduciario de datos ha establecido un método verificablemente seguro para procesar los datos personales de los niños, puede emitir una notificación especificando la edad más allá de la cual el Fiduciario de datos está exento de ciertas obligaciones para procesar los datos personales de los niños.

La DPDPA otorga los siguientes derechos al Responsable de datos respecto del procesamiento de sus datos personales

1. Derecho de acceso a la información sobre datos personales: Los Responsables de Datos tienen derecho a obtener información sobre los datos personales recopilados por los Fiduciarios de Datos. Incluye información sobre qué datos se recopilan, por qué se recopilan y cualquier otra información relacionada con los datos personales. También tienen derecho a conocer las identidades de los Fiduciarios de Datos involucrados en el procesamiento de los datos personales.
2. Derecho de rectificación y supresión de datos personales: Los responsables de datos tienen derecho a corregir, completar, actualizar o eliminar sus datos personales. Podrán solicitar al Fiduciario de Datos que corrija, complete, actualice o elimine los datos para los cuales previamente había otorgado su consentimiento.
3. Derecho de reparación de agravios: Los responsables de datos tienen derecho a presentar una queja y obtener reparación si un fiduciario de datos o un administrador de consentimiento maneja mal sus datos personales o no cumple con sus obligaciones según la DPDPA. El Fiduciario de datos o el Administrador de consentimiento deben proporcionar una manera sencilla para que los Principales de datos aborden cualquier inquietud o queja.
4. Derecho a nominar: Los Responsables de los datos tienen derecho a designar a otra persona para que actúe en su nombre y ejerza sus derechos en caso de muerte o cualquier imposibilidad de ejercer los derechos.

La DPDPA describe ciertas exenciones para el procesamiento de datos personales de un Responsable de datos si:

• los datos personales son necesarios para hacer valer derechos o reclamaciones legales.
• el procesamiento de datos personales por parte de cualquier juzgado, tribunal u otro organismo autorizado en la India para el desempeño de sus funciones.
• Los datos personales se utilizan para prevenir, detectar, investigar o perseguir cualquier delito o violación de las leyes vigentes.
• el procesamiento de datos personales de los responsables de datos fuera de la India, que se lleva a cabo en base a un contrato con una persona fuera de la India por una persona con sede en la India.
• el procesamiento es necesario para esquemas como compromiso, acuerdo, fusión, fusión, reconstrucción, escisión o cualquier acción relacionada que involucre a empresas aprobadas por un tribunal, tribunal o autoridad según las leyes vigentes.
• el procesamiento tiene como objetivo determinar la información financiera, los activos y los pasivos de una persona que ha incumplido los pagos de un préstamo a una institución financiera, siempre que se ajuste a las disposiciones de divulgación de otras leyes aplicables.

DPDPA es la primera regulación de protección de datos en la India. La ley tiene como objetivo proteger la privacidad de los ciudadanos indios en el mundo digital. Si hace negocios en la India, debe seguir los pasos a continuación para cumplir con la DPDPA de la India.

1. Revise sus prácticas de recopilación de datos

Como primer paso, debe identificar cuáles son las formas en que recopila información de los visitantes de su sitio. Puede ser en forma de formulario de contacto, cookies de sitios web, campos de inicio de sesión y más. Analice toda la información recopilada y realice una auditoría completa de cómo procesa la información de los visitantes de su sitio.

Para tener una mejor comprensión, aquí hay algunas preguntas que debe considerar:

• ¿Qué información personal estás recopilando?
• ¿Cuál es el propósito de la información recopilada?
• ¿Cuánto tiempo necesitas esta información?
• ¿Está utilizando la información para algún otro propósito distinto al previsto?
• ¿Recopilas información de menores?
• ¿Está compartiendo la información con terceros?

Después de revisar sus prácticas de recopilación de datos, realice un análisis para determinar qué medidas debe tomar para cumplir con la DPDPA.

2. Informar a los usuarios sobre la recopilación de datos

Informa a tus clientes, clientes o usuarios sobre la recogida de sus datos y las finalidades concretas que hay detrás de la misma. Proporcionar información clara sobre la recopilación, el almacenamiento y el procesamiento de datos para garantizar que los usuarios comprendan por qué se manejan sus datos. Puede crear una página de política de privacidad en su sitio web para divulgar esta información.

Si comparte datos con terceros, revele las entidades que tienen acceso a esta información. Además, si maneja información personal de niños o personas con discapacidad, comparta los detalles de recopilación de datos con sus tutores legales.

3. Obtener el consentimiento de los usuarios

Debe obtener el consentimiento de los visitantes, usuarios y clientes de su sitio para recopilar, procesar y almacenar su información personal. Puede solicitar consentimiento en diferentes puntos de origen de recopilación de datos en su sitio web a través de casillas de verificación.

Si su sitio web utiliza cookies, puede solicitar su consentimiento mediante un banner de consentimiento de cookies.

Las cookies son pequeños archivos de texto que los sitios web envían a los navegadores web para rastrear la actividad de los visitantes del sitio. Puede haber posibilidades de que su sitio web recopile información personal de los visitantes de su sitio sin su conocimiento.

Para solucionar este problema, considere utilizar una plataforma de gestión de consentimiento, como nuestro plugin de consentimiento de cookies GDPR, para gestionar el consentimiento de cookies en su sitio web sin problemas. Explicaremos más sobre nuestro plugin en la última parte de este artículo.

4. Informar a los usuarios sobre sus derechos

Debe informar a los usuarios sobre sus derechos e informarles cómo pueden ejercerlos para garantizar que sus datos estén protegidos. Permítales solicitar la edición, actualización o eliminación de cualquier dato personal almacenado en su sitio web. Además, puede nombrar un Delegado de Protección de Datos que debería poder manejar cualquier inquietud que las personas puedan tener sobre sus datos.

5. Revise sus medidas de seguridad

Debe asegurarse adecuadamente de que los datos que ha recopilado de sus usuarios estén seguros dentro de su sitio web. Implementar las medidas de seguridad y protocolos de cifrado necesarios para restringir el acceso de terceros. Además, en caso de cualquier violación de datos, usted está legalmente obligado a informar a las autoridades pertinentes y a sus usuarios sobre la violación de datos.

Lea también: Ley de Protección de Información Personal de China (PIPL)

El plugin de consentimiento de cookies GDPR es un plugin de WordPress para ayudar a los sitios web a cumplir con las principales leyes de privacidad, como GDPR y CCPA. Si está utilizando WordPress como CMS para su sitio web, no podrá encontrar un plugin mejor que este. Este plugin GDPR de WordPress está diseñado para funcionar dentro del ecosistema de WordPress, por lo que no es necesario crear una cuenta para acceder a las funciones de este plugin.

Con este plugin, puede administrar el cumplimiento de cookies para su sitio web. El plugin le permite mostrar un banner de cookies a los visitantes de su sitio y mostrar botones Aceptar/Rechazar para obtener el consentimiento de los visitantes de su sitio. Dado que el plugin está desarrollado para cumplir con las obligaciones de leyes de protección de datos mucho más avanzadas, como GDPR, puede ayudarlo a cumplir con la DPDPA y cualquier enmienda futura a la ley.

Características clave de este plugin:

• Crear un banner de cookies
• Funciona dentro del CMS de WordPress
• Personaliza el banner de cookies
• Crear una política de cookies
• Escanee y enumere las cookies en su sitio web
• Bloquear las cookies de terceros hasta que los usuarios den su consentimiento
• Obtener el consentimiento explícito e implícito
• & más

La Ley de Protección de Datos Personales Digitales es la primera regulación de protección de datos de la India. La ley tiene como objetivo proteger la privacidad de los ciudadanos indios en el mundo digital. Dado que se trata de una legislación recientemente aprobada, existen algunos desafíos obvios con la ley, y la nación aún tiene que nombrar una Junta de Protección de Datos para regular la ley.

Hay discusiones sobre cómo proporcionar un período de gracia de un año para las empresas. Sin embargo, Rajeev Chandrasekhar, Ministro de Estado de Electrónica y Tecnología de la Información de la India, ha dicho que cualquier incumplimiento durante este período será abordado por el DPB una vez que sus miembros estén en sus puestos.

A medida que haya más información disponible, actualizaremos este artículo en consecuencia. Mientras tanto, recomendamos tomar las medidas necesarias para evitar posibles sanciones y multas para su negocio.

Descargo de responsabilidad: Este artículo está destinado únicamente a fines informativos y no representa asesoramiento legal. No tenemos intención de obtener ningún tipo de relación abogado-cliente. Si buscas asesoramiento jurídico, te recomendamos contactar con un profesional.