O governo da União divulgou na noite de sexta-feira (3 de janeiro de 2025) o projeto de Regras de Proteção de Dados Pessoais Digitais (DPDP) de 2025, que aplicará as disposições da Lei de Proteção de Dados Pessoais Digitais de 2023. Embora a lei tenha sido aprovada há mais de um ano. atrás, as regras que resultarão na sua aplicação estão até agora em desenvolvimento e só agora são submetidas a consulta pública. A Lei DPDP fornece um quadro jurídico para “fiduciários de dados” (entidades que recolhem dados pessoais de “principais de dados” ou utilizadores), a fim de proteger esses dados contra utilização indevida e penalizar empresas que violem os princípios de protecção de dados.

O projeto de regras está aberto para comentários públicos até 18 de fevereiro. “As submissões serão mantidas em caráter fiduciário na MeitY e não serão divulgadas a ninguém em nenhum momento”, afirmou o Ministério da Eletrônica e Tecnologia da Informação no portal MyGov, onde está aceitando submissões de interessados.

O projeto de regras especifica a natureza do aviso que os responsáveis ​​pela recolha de dados devem fornecer aos utilizadores quando recolhem os seus dados: que dados estão a recolher, por que os estão a recolher e “uma explicação justa dos detalhes necessários para permitir ao responsável pelo tratamento fornecer os dados consentimento específico e informado para o tratamento dos seus dados pessoais.”

Gerenciadores de consentimento

O projeto também prevê o registo dos chamados gestores de consentimento, que trabalham com fiduciários de dados para recolher o consentimento dos utilizadores no formato especificado. Sujeito a certas “normas”, o governo e os seus “instrumentos” podem recolher dados com a finalidade de fornecer subsídios e benefícios, diz o projecto de regras. Os dados recolhidos para fins “estatísticos” também estão isentos.

Um fiduciário de dados “deve proteger os dados pessoais em sua posse ou controle… adotando salvaguardas de segurança razoáveis ​​para evitar a violação de dados pessoais”, dizem as regras, estabelecendo salvaguardas técnicas e operacionais. De acordo com as regras, dentro de 72 horas após uma violação de dados, ela deve ser comunicada ao Conselho de Proteção de Dados da Índia (DPBI), que ainda não foi criado.

Em certos casos em que um utilizador deixe de utilizar um fornecedor de comércio eletrónico, plataforma de redes sociais ou serviço de jogos online por um período prolongado, dizem as regras, os seus dados devem ser eliminados, após aviso prévio de 48 horas e 48 horas depois. avançar. para interromper a exclusão. As informações de contato de um responsável pela proteção de dados devem ser fornecidas no site do fiduciário de dados. Os “principais” fiduciários de dados devem realizar periodicamente uma “avaliação de impacto na proteção de dados e auditoria para garantir o cumprimento efetivo das disposições desta Lei”, dizem as regras.

dados das crianças

Para os menores, “serão tomadas medidas técnicas e organizacionais adequadas para garantir que o consentimento verificável dos pais seja obtido antes do processamento de quaisquer dados pessoais de uma criança”, dizem as regras.

Para este efeito, os fiduciários de dados devem basear-se em “dados de identidade e idade fornecidos voluntariamente ou num token virtual que lhes seja atribuído, que é emitido por uma entidade à qual a lei ou o Governo Central ou um Governo do Estado tenha confiado a manutenção de tais detalhes ou uma pessoa designada ou autorizada por tal entidade para tal emissão, e inclui tais detalhes ou token verificados e disponibilizados por um provedor de serviços de Digital Locker”, ou detalhes “confiáveis” sobre o usuário que já possuem.

O processamento de dados de indianos no exterior está sujeito a “requisitos” que o governo poderá “especificar” em despachos futuros, dizem as regras.