Noticias

Darshil Surana
Socio, Kreston OPR Advisors

Join Darshil Surana on LinkedIn

www.krestonopr.com

Darshil Surana es un profesional experimentado y socio de O. P. Rathi & Co, donde ha desempeñado un papel decisivo en el impulso de las mejoras de los procesos empresariales y la implementación de transformaciones digitales estratégicas desde abril de 2023. Con un variado conjunto de competencias que incluye auditorías internas, tecnología de la información y contabilidad de gestión, Darshil es conocido por su experiencia en asesoramiento y análisis financieros en el dinámico mercado de Ahmedabad.

Antes de su cargo actual, Darshil era el propietario de Darshil Surana & Associates, testimonio de su espíritu emprendedor y su competencia en planificación estratégica, análisis financiero y fiscalidad integral. Su experiencia también incluye funciones fundamentales en Intech Systems, donde, como Jefe de SBU y Jefe de Entrega, dirigió equipos multifuncionales y gestionó el rendimiento estratégico de la unidad de negocio para MS Dynamics NAV/BC.

El ascenso de Darshil de Consultor Funcional a Director de Proyectos refleja sus excepcionales dotes de liderazgo y gestión de proyectos. Al principio de su carrera, sentó las bases en CA Pradeepkumar H. Shah & Co., donde perfeccionó sus conocimientos de contabilidad y auditoría. La carrera de Darshil Surana es una mezcla de sólida experiencia profesional y profundo conocimiento de los entresijos de las estrategias financieras y empresariales.

Ley de Protección de Datos Personales Digitales de la India, 2023 (Ley DPDP)

November 3, 2023

La Ley de Protección de Datos Personales Digitales de 2023 (Ley DPDP) se aprobó en la India el 11 de agosto de 2023. La Ley pretende proteger los datos personales y la intimidad de las personas en este mundo digital. Se trata de una legislación histórica que puede facultar a los particulares y al Estado para garantizar la privacidad de los datos. La Ley establece un marco para garantizar la utilización de los datos con fines adecuados y específicos y evitar su uso indebido. Darshil Surana, de Kreston OPR Advisors, lo explica.

Definiciones de la Ley de Protección de Datos Personales Digitales

La Ley hace hincapié en la “Protección de Datos Personales Digitales”. De ahí que los datos de cualquier persona en el mundo digital deban ser salvaguardados por los responsables de recopilarlos, almacenarlos y procesarlos. En primer lugar, tratemos de entender algunas definiciones del artículo 2 de la Ley:

  1. Datos – “una representación de información, hechos, conceptos, opiniones o instrucciones de una manera adecuada para la comunicación, interpretación o procesamiento por seres humanos o por medios automatizados” – Sección 2(h).
  2. Datos personales – “cualquier dato sobre un individuo que sea identificable por o en relación con dichos datos” – Sección 2(t).
  3. Datos personales digitales – “datos personales en formato digital” – Sección 2(n)

La primera serie de definiciones es bastante sencilla. Los datos, los datos personales y los datos personales digitales se han definido explícitamente para eliminar cualquier confusión y ambigüedad. Cabe destacar que los datos se han definido ampliamente como “… aptos para ser comunicados, interpretados o procesados por seres humanos o por medios automatizados”. Por lo tanto, tanto si los datos son manejados por inteligencia humana como por inteligencia artificial, ambos estarán cubiertos por la Ley. Algunos ejemplos de datos personales digitales son:
– Registros KYC como PAN, Aadhaar, permiso de conducir, etc.
– Datos de contacto, como dirección de correo electrónico, números de teléfono, etc.
– Identificaciones y perfiles de usuarios de redes sociales.
– Audio – Identificación visual de personas, como grabaciones de CCTV, imágenes de cámaras web, fotos y vídeos en redes sociales, etc.
– Datos biométricos como huellas dactilares, escáneres de iris, reconocimiento facial, etc.

  1. Titular de los datos – “la persona física a la que se refieren los datos personales y cuando dicha persona física sea-“.
    (i) un niño, incluye a los padres o al tutor legal de dicho niño;
    (ii) una persona con discapacidad, incluido su tutor legal, que actúe en su nombre”.
  • Sección 2(j).
  1. Fiduciario de datos – “toda persona que, por sí sola o en colaboración con otras, determine la finalidad y los medios del tratamiento de datos personales” – Artículo 2(i).
  2. Encargado del tratamiento de datos – “toda persona que trate datos personales por cuenta de un Fiduciario de datos” – Artículo 2(k).

Los datos principales

La siguiente serie de definiciones es importante. Sientan las bases del marco de protección de datos. La persona a la que se refieren los datos se denomina “Titular de los datos”. El responsable de los datos es el centro de la Ley. Por “fiduciario de datos” se entiende la persona que recoge, almacena y trata los datos, ya sea a título personal o junto con el “responsable del tratamiento”. Ambos términos se han definido ampliamente. Comprendamos las definiciones a través de un par de ejemplos:

Ilustración 1:
A Limited es un corredor de bolsa y la Sra. X desea abrir una cuenta Demat con ellos. A Limited recoge su nombre, dirección, número de contacto, PAN y Aadhaar y utiliza los servicios de B Limited, que es un repositorio de datos, para verificar el KYC. En este caso, la Sra. X es la titular de los datos, A Limited es el fiduciario de datos y B Limited es el procesador de datos.

Ilustración 2:
La Sra. X dirige una academia de música en la que enseña música clásica. Baby Y (10 años) es uno de sus alumnos. La Sra. X recoge el nombre, la dirección y los datos de contacto del bebé Y para sus archivos. En este caso, el bebé Y y sus padres son Datos Principales y la Sra. X es Datos Fiduciarios.

  1. Tratamiento – “en relación con los datos personales, una operación o conjunto de operaciones total o parcialmente automatizadas realizadas sobre datos personales digitales, e incluye operaciones como la recogida, registro, organización, estructuración, almacenamiento, adaptación, recuperación, utilización, cotejo o interconexión, indexación, intercambio, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, restricción, supresión o destrucción” – Artículo 2(x).

El tratamiento de datos abarca todos los modos y métodos, desde su recogida hasta su destrucción. Cualquier actividad intermedia realizada mediante la utilización de datos estará cubierta por la definición de Tratamiento. También incluirá programas y herramientas de reconocimiento facial o de voz utilizados para identificar a las personas.

Aplicación de la Ley de Protección de Datos Personales Digitales

La Ley de Protección de Datos Personales Digitales se aplica al tratamiento de datos personales digitales en el territorio de la India cuando los datos personales se recogen – en forma digital; o en forma no digital y digitalizados posteriormente. También se aplica al tratamiento de datos personales digitales fuera del territorio de la India, si dicho tratamiento está relacionado con cualquier actividad relacionada con la oferta de bienes o servicios a los titulares de los datos dentro del territorio de la India.

Si los datos del mandante son violados incluso fuera de la India, la Ley seguiría siendo aplicable si los bienes/servicios fueran adquiridos por el mandante dentro de la India. Por lo tanto, la Ley ha ampliado el ámbito de aplicación y no se limita dentro de las fronteras de la India.

Ilustración:
La Sra. X es una programadora afincada en Pune que trabaja como autónoma a través de un portal (registrado en EE.UU.) que actúa como agregador de proveedores y receptores de servicios y para ello recopila datos como nombre, dirección, información de contacto, datos bancarios, datos de tarjetas de crédito, etc. En este caso, el Portal estaría cubierto por las disposiciones de la Ley en caso de violación de los datos personales digitales de la Sra. X.

Sin embargo, esta Ley no se aplicaría si los datos personales fueran tratados por un individuo con fines personales y los datos fueran facilitados por el Mandante o por cualquier otra persona por obligación legal.

Obligaciones del fiduciario de datos

  1. Consentimiento – La Ley impone diversas obligaciones al Fiduciario de Datos en cuanto a la forma en que deben tratarse los datos y la protección de los mismos. La primera y principal obligación es obtener el “Consentimiento” del Titular de los datos. Según el artículo 6 de la Ley, el consentimiento dado por el Mandante debe ser “libre, específico, informado, incondicional e inequívoco, con una clara acción afirmativa”. Además, especifica que el “consentimiento significará que se está de acuerdo con el tratamiento de datos personales para fines específicos y se limitará a los datos personales que sean necesarios para dichos fines específicos”. Esto significa que incluso si el titular de los datos ha dado su consentimiento a datos pertinentes e irrelevantes, el consentimiento se limitaría únicamente a los datos pertinentes y el fiduciario de datos sería responsable del incumplimiento de la obligación por los datos irrelevantes.
    Ilustración:
    La Sra. X se registró como compradora en un portal de comercio electrónico. El portal de comercio electrónico le pidió su número de móvil, su dirección y su lista de contactos telefónicos. La Sra. X da su consentimiento a ambos. Sin embargo, la lista de contactos telefónicos no es necesaria para suministrar sus productos/servicios. Por lo tanto, su consentimiento se limitará a su número de móvil y a su dirección a efectos de obtener bienes y servicios del portal de comercio electrónico, aunque también puede haber dado su consentimiento explícito para proporcionar una lista de contactos.
    Así pues, si el fiduciario de datos trata datos para los que no se ha obtenido o se considera que no se ha obtenido el consentimiento conforme a lo dispuesto en la Ley, será responsable del incumplimiento de sus obligaciones.

Además, toda solicitud efectuada por el fiduciario de datos al mandante de los datos deberá ir acompañada o precedida de una notificación en la que se informe al mandante de los datos acerca de:
– Los datos personales y la finalidad del tratamiento.
– Cómo puede el titular de los datos retirar el consentimiento y presentar una reclamación.
– Cómo puede el interesado presentar una reclamación ante el Consejo de Protección de Datos de la India.
Si el consentimiento contiene algún elemento que infrinja las disposiciones de la Ley o de las normas dictadas en virtud de la misma, el consentimiento será nulo en la medida de dicha infracción.

Ilustración:
X, un particular, contrata una póliza de seguros a través de la aplicación móvil o el sitio web de Y, una aseguradora. Ella da a Y su consentimiento para (i) el tratamiento de sus datos personales por parte de Y con el fin de emitir la póliza, y (ii) renunciar a su derecho a presentar una reclamación ante el Consejo de Protección de Datos de la India. Pieza (ii) del consentimiento, relativo a la renuncia a su derecho a presentar una denuncia, no será válido.
El titular de los datos también tiene derecho a retirar el consentimiento para los datos personales para los que se haya concedido un consentimiento válido con anterioridad. Al retirar el consentimiento, el fiduciario de datos tendrá que borrar los datos de su base de datos y asegurarse de que ya no se utilizan para el tratamiento.

  1. Cierto uso legítimo de los datos personales – El fiduciario de datos puede tratar los datos personales del mandante para ciertos fines legítimos como:
    a. Cuando el interesado haya facilitado voluntariamente datos personales y no haya indicado explícitamente que no consiente en ello.
    b. Datos solicitados por el Estado a efectos de cualquier ley vigente.
    c. Cumplimiento de sentencia o decreto
    d. Respuesta a una emergencia médica que suponga una amenaza para la vida o una amenaza inmediata para la salud del titular de los datos o de cualquier otra persona
    e. Adopción de medidas para proporcionar tratamiento médico o servicios sanitarios
    f. Tomar medidas para proporcionar seguridad a cualquier persona durante una catástrofe o una alteración del orden público.
    g. Para fines laborales o relacionados con la protección del empleador frente a pérdidas o responsabilidades, como la prevención del espionaje empresarial, el mantenimiento de la confidencialidad de secretos comerciales, propiedad intelectual, información clasificada o la prestación de cualquier servicio o beneficio solicitado por un Titular de datos que sea empleado.
  2. Obligaciones generales del fiduciario de datos – El fiduciario de datos tiene ciertas obligaciones que cumplir para ajustarse a la Ley:
    a. El fiduciario de datos será responsable del cumplimiento de las disposiciones de la Ley con independencia del incumplimiento de los deberes del principal de datos en virtud de la Ley.
    b. El fiduciario de datos sólo podrá contratar a un encargado del tratamiento en virtud de un contrato válido.
    c. Garantizar la integridad, exactitud y coherencia de los datos.
    d. Aplicar las medidas técnicas adecuadas para garantizar el cumplimiento efectivo de las disposiciones de la Ley.
    e. Dispondrá de salvaguardias de seguridad razonables para proteger los datos personales que obren en su poder o estén bajo su control, incluidos los datos tratados por sí misma o por el encargado del tratamiento.
    f. Intimar a la Junta de Protección de Datos de la India en caso de violación de datos personales.
    g. Deberá borrar y hacer que el encargado del tratamiento borre los datos personales cuando el interesado retire su consentimiento o cuando ya no se cumplan los fines especificados.
  3. Datos personales de menores – El fiduciario de datos deberá:
    a. Obtener el consentimiento verificable del padre/madre/tutor legal de un menor antes de procesar cualquier dato personal.
    b. No realizar un seguimiento o control del comportamiento de los niños ni anuncios dirigidos a ellos.

Derechos y deberes del Mandante

La Ley otorga al titular de los datos diversos derechos y privilegios para mantener la privacidad de sus datos digitales personales. También están obligados a cumplir las disposiciones de la Ley.

  1. Derechos del titular de los datos:
    a. Derecho de acceso a la información sobre datos personales: El titular de los datos tiene derecho a obtener un resumen de los datos personales que son tratados por el fiduciario de datos.
    b. El titular de los datos tiene derecho a rectificar los datos personales o hacer que se borren retirando su consentimiento en virtud de la Ley.
    c. En caso de incumplimiento por parte de un fiduciario de datos, el titular de los datos tendrá derecho a presentar una reclamación a través del fiduciario de datos y del Consejo de Protección de Datos de la India.
  2. Funciones del Director de Datos:
    a. Cumplir las disposiciones de la Ley.
    b. No hacerse pasar por otra persona al facilitar datos personales para un fin determinado.
    c. No suprimir información material al facilitar datos personales para cualquier documento, identificador único, prueba de identidad o prueba de domicilio expedidos por el Estado o cualquiera de sus organismos.
    d. No registrar quejas o reclamaciones falsas o frívolas
    e. Facilite información verificable y auténtica.
    Sanciones por incumplimiento de las disposiciones de la Ley
    La Ley contiene disposiciones estrictas para su cumplimiento por parte de los fiduciarios de datos. También prevé sanciones severas en caso de incumplimiento de las disposiciones de la ley. Veamos algunas de las sanciones que impone la Ley:
    Sr. No. Sanción por incumplimiento
    1 El incumplimiento de la obligación del Fiduciario de datos de tomar las medidas de seguridad razonables para evitar una violación de datos personales en virtud de la subsección (5) de la sección 8 puede llegar a 250 millones de rupias indias.
    2 Incumplimiento de la obligación de notificar al Consejo o al interesado la violación de los datos personales con arreglo al apartado (6) del artículo 8. Puede llegar a 200 millones de rupias.
    3 El incumplimiento de las obligaciones adicionales en relación con los niños en virtud de la sección 9 puede alcanzar las 200 Crores INR.
    4 Incumplimiento de las obligaciones adicionales del Fiduciario de Datos Significativos en virtud de la sección 10. Puede llegar a 150 millones de INR.
    5 Incumplimiento de cualquier otra disposición de esta Ley o de las normas dictadas en virtud de la misma. Puede llegar a 50 millones de INR.

Como puede ver, la sanción puede oscilar entre 50 y 250 millones de rupias dependiendo del tipo de infracción. Esto exige que todas las organizaciones que entren en la definición de fiduciario de datos o procesador de datos tomen medidas para abordar el cumplimiento de la Ley y sus normas de manera oportuna. Se espera que el Gobierno establezca un periodo de transición para permitir la aplicación de medidas que garanticen el cumplimiento.

Conclusión

Las organizaciones deben realizar de forma proactiva una evaluación del impacto de la protección de datos y obtener un inventario de las medidas que deben adoptarse. Pueden abarcar los siguientes ámbitos:

  1. Diseñar mecanismos de consentimiento.
  2. Adoptar medidas de seguridad informática y cibernética.
  3. Nombrar responsables de cumplimiento adecuados dentro de la organización.
  4. Diseñar políticas de almacenamiento, archivo y depuración de datos y herramientas para aplicarlas.
    Las personas también deben informarse sobre la Ley y conocer sus derechos y privilegios. Han expuesto enormes cantidades de datos en línea a múltiples portales. Esta ley les permite controlar cómo se utilizan y protegen sus datos.

Si desea más información sobre la Ley de Protección de Datos Personales Digitales de la India, póngase en contacto con nosotros.