27 oct 2023 - 19:08 CET

Tras varios años de debates, aplazamientos y negociaciones, la Ley de Protección de Datos Personales Digitales de la India (LPDPD) fue publicada en el Boletín Oficial el viernes 11 de agosto de 2023. India, el país más poblado del mundo con más de 1.400 millones de habitantes, es la mayor democracia y el decimonoveno país de los miembros del G20 en aprobar una ley integral de protección de datos personales, algo que ha hecho durante su mandato en la Presidencia del G20.

La aprobación de la LPDPD se produce 6 años después del caso del juez K.S. Puttaswamy contra la Unión de la India, un caso histórico en el que el Tribunal Supremo de la India reconoció un derecho fundamental a la privacidad en la India, incluida la privacidad informativa, dentro de la disposición sobre el "derecho a la vida" de la Constitución de la India. En esta sentencia, un grupo de nueve jueces del Tribunal Supremo instó al Gobierno indio a establecer "un régimen cuidadosamente estructurado" para la protección de los datos personales.

La LPDPD, tiene un amplio ámbito de aplicación, tomando prestado el enfoque del Reglamento General de Protección de Datos (RGPD) de la UE a la hora de definir los "datos personales" y ampliando la cobertura a todas las entidades que tratan datos personales, independientemente de su tamaño o condición privada. La ley también tiene una importante aplicación extraterritorial y crea obligaciones de gran alcance, imponiendo motivos legales estrictamente definidos para el tratamiento de cualquier dato personal en formato digital, estableciendo obligaciones de limitación de la finalidad y su corolario: el deber de borrar los datos una vez cumplida la finalidad, sin dejar aparentemente espacio para usos secundarios de los datos personales, y crea una autoridad supervisora, la Junta de Protección de Datos de la India (Junta), que está facultada para investigar denuncias e imponer multas, pero no para dictar directrices o reglamentos.

Al mismo tiempo, la LPDPD prevé importantes excepciones para la mayoría de los datos personales disponibles públicamente, el tratamiento con fines estadísticos y de investigación, y el tratamiento de datos personales de extranjeros por empresas en India en virtud de un contrato con una empresa extranjera (como las empresas de subcontratación).

La LPDPD tiene un amplio efecto extraterritorial y casi ninguna restricción para las transferencias internacionales de datos. Aplica al tratamiento de "datos personales digitales" dentro de la India pero también se aplica extra-territorialmente al tratamiento de datos personales digitales fuera de India, si dicho tratamiento está relacionado con cualquier actividad relacionada con la oferta de bienes o servicios a los titulares de los datos dentro de India. El efecto extraterritorial tiene un alcance similar al del RGPD, y puede dejar margen para una interpretación más amplia mediante la inclusión del concepto “cualquier actividad” relacionada con la oferta de bienes o servicios.

La LPDPD no restringe actualmente la transferencia de datos personales fuera de la India. Así, invierte el paradigma típico de las disposiciones sobre transferencia internacional de datos en leyes como el GDPR, al presumir que las transferencias pueden producirse sin restricciones, a menos que el Gobierno restrinja específicamente las transferencias a determinados países (listas negras) o promulgue cualquier otra forma de restricción (Sección 16). Sin embargo, no menciona ningún criterio para tales restricciones. Se trata de un cambio significativo con respecto a instancias anteriores del proyecto de ley, que en un momento dado contenía obligaciones de data localization(2018), y en otro momento evolucionó hacia la "lista blanca" de países (2022).

También hay que tener en cuenta que otras leyes sectoriales existentes (por ejemplo, las que regulan industrias específicas como la banca y las telecomunicaciones) ya contienen restricciones a las transferencias transfronterizas de determinados tipos de datos. La LPDPD aclara que los mandatos de data localization existentes no se verán afectados por la nueva ley.

Las excepciones para los datos disponibles públicamente y el tratamiento con fines de investigación son notables para el entrenamiento de la inteligencia artificial. Dado que esta ley llega en medio de una conversación global sobre cómo regular la inteligencia artificial y la toma de decisiones automatizada, es fundamental destacar las disposiciones de la ley que parecen dirigidas a facilitar el desarrollo de la inteligencia artificial entrenada con datos personales. En concreto, la Ley excluye de su aplicación la mayoría de los datos personales disponibles públicamente, siempre y cuando hayan sido puestos a disposición del público por el titular de los datos o por otra persona que tenga la obligación legal de publicar los datos, como los datos personales de los accionistas de una empresa que las empresas reguladas deben hacer públicos por ley.

Aunque la Ley no establece un derecho a no ser objeto de una toma de decisiones automatizada (al estilo del RGPD), sí exige que cuando los datos personales se utilicen para tomar cualquier decisión individual, presumiblemente incluidas las decisiones automatizadas o algorítmicas, dichos datos deben ser exactos, coherentes y completos.

En el ámbito de su interacción con la libertad de expresión, la LPDPD no exime el tratamiento de datos personales con fines periodísticos, hecho criticado por el Gremio de Editores de la India. Y es que, en versiones anteriores del proyecto de ley esta exención estaba presente. En todo caso, es posible que el Gobierno Central aborde esta cuestión mediante legislación delegada en el futuro.

Aún quedan muchos detalles de esta Ley por aclarar cuando se cree la nueva Junta de Protección de Datos de la India, se redacten y notifiquen oficialmente otras normas de concreción de la LPDPD y, especialmente, cuando el Gobierno indique una fecha de entrada en vigor para la LPDPD.

Toda la información está disponible aquí y la Ley en cuestión aquí.