Dopo l’Unione Europea ed il Giappone, anche l’India avvia un processo per garantire una maggiore tutela dei dati personali

Avv. Vincenzo Colarocco

Lo scorso 27 luglio, il comitato di Giustizia BN Srikrishna, che prende, appunto, il nome dal proprio presidente, il Giudice in pensione BN Srikrishna, ha pubblicato un rapporto intitolato “Un’economia digitale libera ed equa: proteggere la privacy, responsabilizzare gli indiani e una bozza di legge sulla protezione dei dati personali “Personal Data Protection Bill, 2018”.

Si tratta di una svolta importante per il governo indiano che, nell’agosto del 2017, a seguito della epocale decisione Aadhaar della Corte Suprema indiana, nella quale il diritto alla privacy è stato riconosciuto come un diritto fondamentale costituzionalmente tutelato, ha formato il comitato Srikrishna con l’obiettivo di introdurre una legge completa sulla protezione dei dati in India.

La relazione del Comitato riassume lo stato dell’arte della normativa in materia di protezione dei dati personali in India e raccomanda al governo indiano l’adozione di una legge completa sulla protezione dei dati, proponendo, altresì, un disegno di legge (Personal Data Protection bill).

In effetti, la disciplina sulla protezione dei dati in India è abbastanza risalente, essendo ad oggi disciplinata da disposizioni generiche della legge sulle tecnologie informatiche del 2008 (Information Tecnology Act).

A ciò si aggiunga che tale disciplina è particolarmente scarna e oscura. Ed, infatti, una forma di risarcimento per mancata protezione dei dati è stata introdotta con una modifica nel 2008, che stabilisce la responsabilità delle società in caso di negligenza nel mantenimento e protezione dei “dati sensibili“. Tuttavia, la legge non forniva una definizione di “dati sensibili” (introdotta solo nel 2011 con le regole IT) e, conseguentemente, l’applicabilità di tale disciplina sanzionatoria è stata sempre messa in discussione.

Lo sforzo di introdurre una seconda legislazione sulla protezione dei dati personali è in cantiere dal 2006. Diversi emendamenti sono stati apportati al disegno di legge e l’ultima bozza è stata introdotta a Rajya Sabha nel 2014. Tale disegno di legge fornisce una piccola definizione di “informazioni personali” e spiega, genericamente, il ruolo del “data controller”. E’ altresì, definito il “Responsabile del trattamento”.

Tuttavia, il disegno di legge del 2014 non prescrive doveri e responsabilità di tali soggetti, omettendo totalmente di disciplinare i casi in cui i dati vengono trasferiti tra società, e gli obblighi di sicurezza in capo alle organizzazioni aziendali che archiviano o conservano dati personali.

Il Personal Data Protection Bill proposto dal Comitato, diversamente dalle precedenti proposte di legge, prevede che vengano stabiliti i requisiti minimi per la raccolta e il trattamento dei dati personali, comprese particolari limitazioni sul trattamento dei dati personali sensibili e sul periodo di tempo durante il quale i dati personali possono essere conservati; Richiede alle organizzazioni di nominare un responsabile della protezione dei dati personali e l’obbligo di far svolgere audit annuali a soggetti terzi; impone alle organizzazioni l’attuazione di alcune misure di sicurezza delle informazioni, tra cui (se del caso) la pseudononimizzazione e la crittografia, nonché di adottare misure di salvaguardia per impedire l’uso improprio, l’accesso non autorizzato, la modifica, la divulgazione o la distruzione di dati personali.

Infine, il disegno di legge, sulla falsariga del GDPR, richiede la notifica all’autorità competente e, in determinate circostanze, una notifica individuale agli interessati, in caso di violazione dei dati.

Nei prossimi giorni il Personal Data Protection Bill verrà presentato per esame al Ministero dell’Elettronica e dell’Information Technology e, successivamente verrà presentato in Parlamento per il suo esame.