Tras años de negociación en su parlamento y diversas rondas de consultas junto a la sociedad civil, India finaliza los debates sobre la creación de un régimen de protección de la privacidad de sus ciudadanos (casi 1.500 millones de individuos) con la publicación, el último 11 de agosto, del “Digital Personal Data Protection Act (DPDP)”.
El sistema de protección definido se asemeja, en gran medida, a los conceptos y estructuras del RGPD europeo, especialmente en lo que se refiere al concepto de “dato personal” y la amplia responsabilidad para entidades que llevan a cabo actividades de tratamiento.
Además, algunos pilares de la normativa europea poseen obligación correspondiente en India, como la necesidad de indicación de una base legal para el tratamiento (con preponderancia del consentimiento del interesado sobre algunas excepciones), la garantía de derechos de privacidad (como acceso, actualización y corrección, y la supresión de datos personales) y la creación de una autoridad supervisora que detiene poderes de fiscalización y aplicación de sanciones administrativas.
Sin embargo, el reglamento indio ha adoptado un paradigma distinto sobre las posibles transferencias internacionales: como regla, la comunicación de datos a terceros países es permitida por la legislación, excepto si el gobierno determina de manera expresa la restricción para determinados países. La normativa, entretanto, no determina ningún criterio para la adopción de referidas restricciones.