Dopo anni di dibattiti, negoziazioni e rinvii, l’11 agosto è stato pubblicato il Digital Data Protection Bill e l’India ha infine raggiunto l’obiettivo di dotarsi di una legge digitale sulla protezione dei dati che ritiene al passo coi tempi.
Lo scopo principale del provvedimento è quello di proteggere i dati personali dei cittadini indiani, riconosciuto ora come diritto dopo la storica sentenza Puttaswamy della Corte Suprema indiana, e l’obbligo di trattare questi dati solo in base a scopi legittimi, introducendo nuovi diritti e doveri per i fiduciari dei dati.
Indice degli argomenti
India, i punti chiave della legge sulla protezione dei dati
Nonostante le premesse, però, tra gli esperti del settore il provvedimento suscita non poche perplessità, in particolare su come esso potrà influire, positivamente o negativamente, nel complesso mondo digitale indiano.
Analizziamone, dunque, i punti chiave.
Ambito di applicazione
Il provvedimento ha un ampio ambito di applicazione, prendendo in prestito l’approccio del Regolamento generale sulla protezione dei dati (GDPR) europeo nel definire i “dati personali” ed estendendo la copertura a tutte le entità che trattano dati personali indipendentemente dalle dimensioni o dall’area geografica.
Ha anche una significativa applicazione extra territoriale, infatti le sue disposizioni si applicano in primis ai dati personali raccolti online e off line all’interno del territorio indiano, e successivamente digitalizzati, ma anche a quei trattamenti di dati personali condotti al di fuori dell’India se tale trattamento è finalizzato all’offerta di beni o servizi a soggetti interessati indiani.
Definizione di dato personale, data principal e data fiduciary
I dati personali vengono definiti come “qualsiasi dato riguardante un individuo identificabile tramite o in relazione a tali dati”, in maniera simile al GDPR europeo, ma non viene prevista nessuna protezione rafforzata per alcuna categoria speciale di dati.
La legge si applica solo ai dati personali “digitali” o ai dati personali raccolti tramite mezzi non digitali che sono stati successivamente digitalizzati.
Il “data principal” è equivalente alla figura dell’interessato del GDPR, mentre un “data fiduciary” (o fiduciario dei dati) è l’entità che determina le finalità e i mezzi del trattamento, da solo o insieme ad altri, pertanto equivalente al titolare del trattamento del GDPR europeo.
Sebbene la definizione di fiduciario includa un riferimento anche a potenziali contitolarità nel trattamento dei dati personali, la legge al momento non fornisce altri dettagli su questa relazione.
La definizione di fiduciario non fa distinzione tra persone private e pubbliche, persone fisiche e giuridiche, estendendosi di fatto a qualsiasi soggetto purché siano soddisfatte le altre condizioni di legge.
La legge autorizza il governo a designare qualsiasi fiduciario di dati o classe di fiduciari di dati come “fiduciario di dati significativi” (SDF – significant data fiduciary) in base a dei criteri specifici, quali quelli relativi alla natura del trattamento, alla sovranità nazionale, alla sicurezza nazionale o all’ordine pubblico, prevedendo così obblighi rafforzati per un SDF, che dovranno nominare un responsabile della protezione dei dati, con sede in India, il quale agirà come punto di contatto tra l’ente e gli interessati, e un revisore dei dati indipendente, che effettuerà audit dei dati ed eventualmente intraprenderà valutazioni periodiche di impatto sulla protezione dei dati o altre azioni atte a valutare la conformità del SDF.
Il responsabile del trattamento
La legge appena approvata riconosce la figura del responsabile del trattamento, e chiarisce che i fiduciari possono assumere, nominare o altrimenti coinvolgere i responsabili del trattamento per trattare i dati personali per loro conto “solo in base a un contratto valido”, anche se non chiarisce che cosa dovrebbe contenere un contratto per essere considerato “valido”.
Va detto, però, che tutti gli obblighi sono in capo ai fiduciari, che rimangono responsabili del rispetto della legge, indipendentemente da qualsiasi accordo contrattuale, anche contrario, con i responsabili del trattamento.
Data Protection Board of India (DPB)
La legge conferisce al Governo il potere di istituire il Data Protection Board of India (DPB o Consiglio) come agenzia indipendente che sarà responsabile dell’applicazione della nuova legge.
Il Consiglio sarà guidato da un presidente e avrà membri nominati dal governo con un mandato di due anni rinnovabile.
Avrà compiti investigativi e sanzionatori e potrà, ad esempio, emettere ordini vincolanti contro coloro che violano la legge, impartire misure urgenti per porre rimedio o mitigare una violazione dei dati, imporre sanzioni pecuniarie e indirizzare le parti alla mediazione.
Non avrà, però, la facoltà di emanare regolamenti o linee guida, poiché il potere normativo rimane in capo al governo centrale.
Condizioni di liceità del trattamento
A differenza del Regolamento europeo che prevede sei possibili condizioni di liceità del trattamento (Art. 6 GDPR), la legge indiana ne prevede solo due: il “consenso” rigorosamente definito o il cosiddetto “uso legittimo”.
In maniera analoga al GDPR, il consenso al trattamento dei dati personali deve essere “libero, specifico, informato, incondizionato e inequivocabile con una chiara azione affermativa”.
Per soddisfare il criterio “informato”, la legge richiede che venga data la comunicazione agli interessati o prima o nel momento in cui viene loro chiesto di dare il consenso.
Tale comunicazione deve includere informazioni sui dati personali da raccogliere, lo scopo per il quale verranno trattati, il modo in cui gli interessati possono esercitare i propri diritti e come presentare un reclamo al Consiglio.
Agli interessati deve essere data la possibilità di ricevere le informazioni in inglese o in una lingua locale tra quelle specificate nella Costituzione.
I fiduciari possono trattare i dati personali solo per lo scopo specifico fornito e devono ottenere un consenso separato per trattare i dati per scopi diversi.
Se il consenso viene revocato, i dati personali devono essere cancellati a meno che non sussista un obbligo legale di conservazione degli stessi, e i fiduciari devono richiedere a tutti i responsabili coinvolti nel trattamento di cessare il trattamento dei dati personali per i quali è stato revocato il consenso, in assenza di obblighi legali che impongono la conservazione dei dati.
La legge prevede l’introduzione dei “Consent Managers”, che non costituiscono una novità in India, i quali dovranno fornire una piattaforma accessibile, trasparente e interoperabile agli interessati e saranno responsabili nei confronti dei fiduciari, agendo per loro conto nella raccolta e conservazione del consenso.
Il Governo renderà note successivamente le condizioni necessarie affinché una società possa registrarsi come Consent Manager, come ad esempio il rispetto di specifici criteri tecnici o finanziari minimi.
Come unica alternativa al consenso, è possibile utilizzare l’“uso legittimo” dei dati: a parte quelli relativi al contesto governativo, di emergenza o di sanità pubblica, i più rilevanti sono la “condivisione volontaria” dei dati personali e l’uso per “scopi di lavoro”.
La “condivisione volontaria” in particolare ha sollevato più di una perplessità interpretativa: essa permette a un fiduciario di trattare dati personali di un interessato, il quale li ha volontariamente forniti, per uno scopo specifico, senza che il fiduciario ne abbia ottenuto il consenso, e per i quali l’interessato non ha indicato al fiduciario un’opposizione a tale uso.
Come esempio, la legge cita il caso di un ipotetico acquirente che richiede che una ricevuta di acquisto presso un negozio venga inviata al suo numero di telefono, consentendo al negozio di utilizzare il numero a tale scopo.
Diritti degli interessati
La legge fornisce agli interessati una serie di diritti che però a ben vedere sono limitati rispetto a quelli offerti dal GDPR.
Essa garantisce il diritto di accesso e il diritto alla cancellazione e rettifica, oltre al diritto di essere informati prima che venga richiesto il consenso, ma al momento mancano il diritto alla portabilità dei dati, il diritto di opporsi al trattamento basato su motivi diversi dal consenso e il diritto a non essere soggetti a un processo decisionale esclusivamente automatizzato.
Lo stesso diritto di accesso, pur presente, ha una portata piuttosto limitata: gli interessati potranno solo richiedere e ottenere un riepilogo dei dati personali trattati e delle relative attività di trattamento, ma non ottenere una copia dei dati personali.
Ancor più importante, poiché i diritti di accesso, cancellazione e correzione sono limitati al trattamento dei dati personali basato sul consenso o sulla “divulgazione volontaria” (uno degli usi legittimi), quando gli enti governativi o altri fiduciari utilizzeranno un altro uso legittimo, non sarà necessario rispondere.
Risulta poi del tutto mancante il “diritto all’oblio” (art. 17 GDPR), pertanto i dati degli utenti potrebbero ancora essere conservati per un tempo indefinito, in particolar modo dalle piattaforme digitali.
La legge introduce poi il diritto alla “riparazione del reclamo”, che comporta il diritto di avere un punto di contatto facilmente accessibile fornito dal fiduciario per rispondere ai reclami dell’interessato, e il diritto di “nominare un prestanome”, che consente all’interessato di nominare qualcuno che possa esercitare diritti per suo conto in caso di morte o incapacità.
Obblighi degli interessati
Tra gli obblighi previsti dalla legge appena approvata vi è il divieto di impersonare qualcun altro nel fornire dati personali per uno scopo specifico, di non occultare alcuna informazione nel fornire dati personali per qualsiasi documento rilasciato dal Governo e, soprattutto, di non dare informazioni false.
Obblighi dei fiduciari e principio di accountability
Gli obblighi in capo ai fiduciari, che sono molteplici, fanno riferimento al principio di accountability, ovvero di responsabilizzazione nell’adottare misure tecniche e organizzative adeguate a garantire l’effettiva attuazione della legge.
La sicurezza dei dati è di particolare importanza, considerando che i fiduciari devono sia adottare ragionevoli misure di sicurezza per prevenire violazioni dei dati personali, sia informare il DPB e ciascuna parte interessata quando tali violazioni si verificano.
Esistono obblighi specifici per i fiduciari in merito al trattamento dei dati personali dei bambini, dove con il termine “bambini” si definiscono i minori di 18 anni, senza alcuna distinzione tra adolescenti e bambini. I fiduciari non possono trattare dati personali che “potrebbero causare effetti dannosi sul benessere del bambino”, e prima di procedere al trattamento devono ottenere il consenso verificabile dei genitori.
Analogamente, prima di trattare i dati di una persona con disabilità, i fiduciari devono ottenere il consenso di un tutore legale. Infine, la legge prevede il divieto per i fiduciari di impegnarsi nel tracciamento o nel monitoraggio comportamentale dei bambini, o nella pubblicità mirata diretta ai bambini, anche se il Governo potrà prevedere esenzioni in tal senso.
Infine, un ulteriore obbligo dei fiduciari è quello di stabilire un meccanismo “prontamente disponibile” per rimediare in modo tempestivo alle “lamentele” degli interessati.
Esenzioni
Il provvedimento contiene significative esenzioni: alcune di esse riguardano trattamenti specifici, come i dati personali disponibili al pubblico o i trattamenti per scopi statistici o di ricerca, altre conferiscono al governo centrale ampie deroghe e poteri.
In base alla legge, infatti, il governo può agire su notifica del Consiglio e richiedere l’accesso a qualsiasi informazione gestita da un’entità che tratta dati personali, da un intermediario (come definito dall’Information Technology Act, 2000 – la “Legge IT”) o dal Consiglio stesso, nonché disporre la sospensione dell’accesso del pubblico a specifiche informazioni. Il governo centrale ha anche il potere di adottare una moltitudine di “regole” (simili alle normative previste dalle leggi statali sulla privacy degli Stati Uniti) che dettagliano l’applicazione della legge, e di esentare attività che sono nell’interesse della sovranità e dell’integrità dell’India, della sicurezza dello Stato o del mantenimento dell’ordine pubblico.
Un aspetto molto criticato è l’assenza di una esenzione per il trattamento dei dati personali per scopi giornalistici, che invece era presente nei disegni di legge precedenti.
Alcune esenzioni riguardano anche le aziende, come l’“esenzione di outsourcing”, secondo cui vengono esonerate dall’applicazione della legge le società con sede in India che trattano dati personali di persone al di fuori dell’India in base a un contratto con una società con sede al di fuori dell’India (come le società di outsourcing).
In queste esenzioni potrebbero anche rientrare alcuni trattamenti da parte delle startup, se notificati dal governo centrale, poiché il governo ha il potere di esentare qualsiasi categoria di fiduciari da alcune o tutte le leggi.
Trasferimenti
Al momento, non vi è alcuna limitazione al trasferimento di dati personali al di fuori dell’India, andando un po’ controcorrente rispetto alle disposizioni contenute nel GDPR o in altri recenti regolamenti in materia di trasferimenti, e presuppone che tali trasferimenti possano avvenire senza restrizioni a meno che il governo non decida di apporre dei limiti, che al momento non sono stati definiti.
Si tratta di un tema che è stato molto dibattuto durante l’iter legislativo, e le bozze del disegno di legge negli anni hanno subito modifiche significative: in passato il testo della legge conteneva obblighi di localizzazione dei dati (2018) e successivamente prevedeva una “lista bianca” dei paesi con i quali si poteva effettuare un trasferimento (2022).
Dobbiamo però tenere in conto che esistono in India delle leggi di settore che limitano già il trasferimento transfrontalieri di particolari tipi di dati, come quelle che disciplinano il settore bancario e delle telecomunicazioni e la legge chiarisce che i mandati di localizzazione esistenti non saranno influenzati dalla nuova legge.
Sanzioni
Le sanzioni per le violazioni vanno dall’equivalente in rupie di 120 dollari a 30,2 milioni di dollari nei casi più gravi.
Il Consiglio può determinare l’importo della sanzione in base al reato contestato.
Conclusioni
Indubbiamente, dopo molti anni di dibattiti, l’approvazione di una legge sulla protezione dei dati non può che essere accolta con favore. Il Governo non ha al momento ancora comunicato la data di entrata in vigore, e non è previsto alcun periodo transitorio, ma potrebbe decidere di mettere in atto un approccio progressivo, identificando quali sezioni del provvedimento dovranno entrare in vigore per prime.
Sebbene la struttura della legge sia simile al GDPR o ad altre leggi recenti sulla protezione dei dati, esistono delle sostanziali differenze: condizioni di liceità al trattamento limitate, ampie esenzioni per gli enti governativi, ampi poteri normativi al governo, che avrà facoltà, come unico attore, di stabilire o specializzare ulteriormente la legge e aggiungere esenzioni, oltre a poter chiedere l’accesso alle informazioni detenute dai fiduciari, la mancanza di alcuni diritti consideranti elementi chiave di una legge sulla protezione dei dati, come il diritto all’oblio, e la mancanza di garanzie per il trattamento di categorie speciali di dati, sollevano molte perplessità.
Non è poi chiaro, soprattutto nel medio periodo, come la legge potrà influire sulle strategie di pubblicità mirata, in quanto potrebbe limitare l’elaborazione dei dati per la profilazione e il targeting e far lievitare i costi dei piccoli publisher.
Sarà molto importante vedere cosa accadrà dopo l’istituzione del nuovo Data Protection Board of India, che vigilerà sull’applicazione della legge, e dopo che il Governo completerà l’intero quadro legislativo introducendo le norme e le specificità ad oggi ancora mancanti.
