O governo da Índia publicou uma versão preliminar das Regras de Proteção de Dados Pessoais Digitais (DPDP) para consulta pública.
"Os fiduciários de dados devem fornecer informações claras e acessíveis sobre como os dados pessoais são processados, permitindo o consentimento informado", disse o Bureau de Informações de Imprensa (PIB) da Índia em um comunicado divulgado no domingo.
Os cidadãos são empoderados com direitos de exigir a exclusão de dados, nomear indicados digitais e acessar mecanismos amigáveis para gerenciar seus dados.
As regras, que buscam operacionalizar a Lei de Proteção de Dados Pessoais Digitais de 2023, também dão aos cidadãos maior controle sobre seus dados, fornecendo-lhes opções para dar consentimento informado para o processamento de suas informações, bem como o direito de apagar com plataformas digitais e endereçar reclamações.
As empresas que operam na Índia são ainda obrigadas a implementar medidas de segurança, como criptografia, controle de acesso e backups de dados, para proteger os dados pessoais e garantir sua confidencialidade, integridade e disponibilidade.
Algumas das outras disposições notáveis da Lei DPDP que os fiduciários de dados são esperados a cumprir estão listadas abaixo:
-Implementar mecanismos para detectar e tratar violações e manutenção de logs;
No caso de uma violação de dados, fornecer informações detalhadas sobre a sequência de eventos que levaram ao incidente, ações tomadas para mitigar a ameaça e a identidade do(s) indivíduo(s), se conhecida, dentro de 72 horas (ou mais, se permitido) para o Data Protection Board (DPB)
-Excluir dados pessoais que não são mais necessários após um período de três anos e notificar os indivíduos 48 horas antes de apagar tais informações;
-Exibir claramente em seus sites/aplicativos os detalhes de contato de um Data Protection Officer (DPO) designado que é responsável por tratar quaisquer questões relativas ao processamento de dados pessoais dos usuários;
-Obter consentimento verificável de pais ou tutores legais antes de processar os dados pessoais de crianças menores de 18 anos ou pessoas com deficiências (exceções incluem profissionais de saúde, instituições educacionais e prestadores de cuidados infantis, mas apenas restritos a atividades específicas como serviços de saúde, atividades educacionais, monitoramento de segurança e rastreamento de transporte);
-Conduzir uma Avaliação de Impacto da Proteção de Dados (Data Protection Impact Assessment - DPIA) e uma auditoria abrangente uma vez por ano, e reportar os resultados ao DPB (limitado apenas a fiduciários de dados considerados "significativos");
Adere aos requisitos definidos pelo governo federal quando se trata de transferências de dados transfronteiriços (as categorias exatas de dados pessoais que devem permanecer dentro das fronteiras da Índia serão determinadas por um comitê especializado)
As regras preliminares também propuseram certas salvaguardas para os cidadãos quando seus dados estão sendo processados por agências governamentais federais e estaduais, exigindo que tal processamento aconteça de maneira legal, transparente e "em linha com padrões legais e políticos."
Organizações que utilizam mal ou falham em proteger os dados digitais dos indivíduos ou notificar o DPB de uma violação de segurança podem enfrentar penalidades monetárias de até ₹250 crore (quase $30 milhões).
O Ministério da Eletrônica e Tecnologia da Informação (MeitY) está solicitando feedback do público sobre as regulamentações preliminares até 18 de fevereiro de 2025.
Também disse que as submissões não serão divulgadas a terceiros.
A Lei DPDP foi formalmente aprovada em agosto de 2023, após ser retrabalhada várias vezes desde 2018.
A regulamentação de proteção de dados surgiu na esteira de uma decisão de 2017 do supremo tribunal da Índia, que reafirmou o direito à privacidade como um direito fundamental sob a Constituição da Índia.
O desenvolvimento ocorre mais de um mês depois que o Departamento de Telecomunicações emitiu as Regras de Segurança Cibernética de Telecomunicações (Telecom Cyber Security), 2024, sob a Lei de Telecomunicações, 2023, para proteger as redes de comunicação e impor diretrizes rigorosas de divulgação de violação de dados.
De acordo com as novas regras, uma entidade de telecomunicações deve reportar qualquer incidente de segurança que afete sua rede ou serviços ao governo federal dentro de seis horas após tomar conhecimento dele, com a empresa afetada também compartilhando informações relevantes adicionais dentro de 24 horas.
Além disso, as empresas de telecomunicações são obrigadas a nomear um Chefe de Segurança de Telecomunicações (Chief Telecommunication Security Officer - CTSO) que deve ser um cidadão indiano e residente na Índia, e compartilhar dados de tráfego – excluindo o conteúdo da mensagem – com o governo federal em um formato especificado para "proteger e garantir a cibersegurança de telecomunicações".
No entanto, a Internet Freedom Foundation (IFF) disse que a "formulação excessivamente ampla" e a remoção da definição de "dados de tráfego" do rascunho poderiam abrir a porta para o mau uso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...