TUTELA DEI DATI PERSONALI
L'india approva una legge organica sulla protezione dei dati personali.
L’India è il nuovo, grande Paese sullo scacchiere internazionale, a dotarsi di una legge organica sulla protezione dei dati.
Dopo l’approvazione da parte della Camera Alta del Parlamento, la proposta di “Digital Personal Data Protection Act” ha concluso il suo percorso e ora attende l’assenso presidenziale per entrare in vigore.
Dopo anni di tentativi, abortiti all’ultimo miglio, il DPDP vede ora la luce. La nuova legge riguarda sia i “dati personali” (definizione che coincide con quella del GDPR) sia i “dati” (definizione che coincide - in parte - con quella delle leggi UE del Decennio Digitale: “qualsiasi rappresentazione di informazioni, fatti, concetti, opinioni o istruzioni adatta ad essere oggetto di comunicazione, trattamento o interpretazione da parte di essere umani o mediante mezzi automatizzati”).
Inoltre, la nuova legge indiana disciplina l’ambito digitale, come se nel GDPR vi fossero anche le norme (attese da anni) sulla tutela dei dati oggi disciplinati dalla direttiva 2002/58.
L'India ha approvato una legge moderna (anche nel rispetto del “gender”: il pronome “her” è specificato che viene utilizzato indipendentemente dal genere dell’interessato). Titolare (“Data Fiduciary”) e Responsabile del trattamento coincidono con quelli del GDPR. Esiste la figura del DPO, che però va nominato solo da parte dei “Significant Data Fiduciary” notificati dal Governo centrale (es: titolari che trattano ingenti volumi di dati o categorie di dati sensibili, etc).
Interessante la figura - sconosciuta al GDPR - del “Consent Manager”, che può essere nominato dall’interessato (detto, "Data Principal") per gestire la prestazione del consenso (una figura analoga la si ritrova nel DGA, Reg. 2022/868 per il cd “altruismo dei dati”).
Echi del GDPR si sentono nelle norme sui diritti degli interessati, sulla gestione del data breach, sul trasferimento internazionale dei dati al di fuori dell’India.
La legge istituisce l’Indian Data Protection Board e prevede sanzioni (in uno specifico allegato) fino a circa 30 milioni di Euro.
Dopo l’approvazione da parte della Camera Alta del Parlamento, la proposta di “Digital Personal Data Protection Act” ha concluso il suo percorso e ora attende l’assenso presidenziale per entrare in vigore.
Dopo anni di tentativi, abortiti all’ultimo miglio, il DPDP vede ora la luce. La nuova legge riguarda sia i “dati personali” (definizione che coincide con quella del GDPR) sia i “dati” (definizione che coincide - in parte - con quella delle leggi UE del Decennio Digitale: “qualsiasi rappresentazione di informazioni, fatti, concetti, opinioni o istruzioni adatta ad essere oggetto di comunicazione, trattamento o interpretazione da parte di essere umani o mediante mezzi automatizzati”).
Inoltre, la nuova legge indiana disciplina l’ambito digitale, come se nel GDPR vi fossero anche le norme (attese da anni) sulla tutela dei dati oggi disciplinati dalla direttiva 2002/58.
L'India ha approvato una legge moderna (anche nel rispetto del “gender”: il pronome “her” è specificato che viene utilizzato indipendentemente dal genere dell’interessato). Titolare (“Data Fiduciary”) e Responsabile del trattamento coincidono con quelli del GDPR. Esiste la figura del DPO, che però va nominato solo da parte dei “Significant Data Fiduciary” notificati dal Governo centrale (es: titolari che trattano ingenti volumi di dati o categorie di dati sensibili, etc).
Interessante la figura - sconosciuta al GDPR - del “Consent Manager”, che può essere nominato dall’interessato (detto, "Data Principal") per gestire la prestazione del consenso (una figura analoga la si ritrova nel DGA, Reg. 2022/868 per il cd “altruismo dei dati”).
Echi del GDPR si sentono nelle norme sui diritti degli interessati, sulla gestione del data breach, sul trasferimento internazionale dei dati al di fuori dell’India.
La legge istituisce l’Indian Data Protection Board e prevede sanzioni (in uno specifico allegato) fino a circa 30 milioni di Euro.
