El gobierno de la India publicó el pasado 22 de noviembre, una versión preliminar de la esperada regulación de protección de datos, la “Digital Personal Data Protection Bill”, la cual permanecerá abierta a consulta pública hasta el 17 de diciembre.
Al igual que el Reglamento General de Protección de Datos (en adelante, “RGPD”), y otros normativas de protección de datos (como la “CCPA” y la “CPRA” de California), la ley se aplicará a las empresas que operan en el país y a cualquier entidad que trate datos de ciudadanos indios.
Por otro lado, ha de destacarse que la propuesta contempla sanciones de hasta hasta 250 millones de rupias (casi tres millones de euros) en caso de que una empresa no ofrezca “garantías de seguridad razonables para evitar la brecha de los datos personales” y multas de hasta a 500 millones de rupias (alrededor de 5,7 millones de euros), si una organización no notifica a la autoridad local y a los usuarios una brecha en materia de protección de datos.
Por otro lado, debemos subrayar que la nueva propuesta ya no obliga a la localización de los datos, lo cual permitirá a los gigantes tecnológicos transferir datos personales fuera de las fronteras geográficas de la India a países y territorios específicos.
Ha de tenerse en cuenta que la legislación sobre protección de datos en la India se viene elaborando desde 2017, cuando el Tribunal Supremo reafirmó por unanimidad el derecho a la privacidad como un derecho fundamental en virtud de la Constitución de la India.
Este proyecto constituirá el cuarto intento, por lo que tendremos que esperar para ver si sale adelante este borrador de ley, ya que el último, presentado en diciembre de 2021, fue desechado en agosto de 2022 tras decenas de enmiendas y recomendaciones.