Del consentimiento y los usos legales: donde la goma se encuentra con el camino

Si bien el concepto de consentimiento, en consonancia con el actual régimen basado en el consentimiento según la Ley de Tecnología de la Información de 2000 (“Ley de TI”)[1] así como la primacía constitucional del consentimiento y la autonomía en virtud de diversas decisiones judiciales que tratan del derecho a la privacidad de la información ha permanecido firmemente arraigada como la base principal para la recopilación y el procesamiento de datos personales en los diversos proyectos de protección general de datos personales. legislación en la India a lo largo de los años,[2] la recién notificada Ley de Protección de Datos Personales Digitales de 2023 (“Acto”)[3]también prevé el “uso legítimo” como base adicional clave disponible para los Fiduciarios de datos[4] para la recopilación y el procesamiento de datos personales[5].

Como parte de nuestra serie sobre la Ley, ahora examinamos cómo la Ley aborda el consentimiento y el uso legítimo, en comparación con el proyecto de ley de protección de datos personales digitales de 2022 ("Borrador”)[6] y algunos marcos globales.

La Ley sigue exigiendo que el consentimiento sea libre, específico, informado, incondicional, expreso y manifestado mediante un acto afirmativo.[7]

Según la ley, este aviso debe darse cada vez que se solicite el consentimiento,[8] aumentando potencialmente el tamaño del tsunami de avisos (y la consiguiente fatiga) al que pronto estarán sujetos los indios.

La Ley también sigue exigiendo que se proporcione una nueva notificación cuando el procesamiento haya sido consentido previamente.[9] En la India, donde el consentimiento sólo era necesario para procesar un conjunto estrictamente definido de "datos o información personal sensible" según la Ley de TI,[10] los fiduciarios de datos tendrán que examinar cuidadosamente sus consentimientos anteriores, proporcionar nuevos avisos y (potencialmente) tomar medidas. nuevos consentimientos después de que la Ley entre oficialmente en vigor. Por lo tanto, puede resultar útil aclarar la situación en torno a los datos personales heredados que han sido procesados sin un consentimiento específico, cuando la ley no lo exigiera. Los Fiduciarios de Datos pueden continuar procesando datos personales para cuyo procesamiento se obtuvo el consentimiento antes de la promulgación de la Ley[11], notificando en la forma prescrita[12], y en una medida que será bien recibida por las empresas, la Ley aclara que los Datos Los fiduciarios pueden continuar procesando datos personales hasta que el Responsable de los datos[13] retire el consentimiento[14].

Es importante destacar que, en una posición que actualmente es más liberal que gran parte de otras legislaciones en todo el mundo,[15] actualmente permite que se obtenga el consentimiento consolidado mediante notificación (clara, comprensible, disponible en varios idiomas, enumerando los propósitos para los cuales se utilizan los datos). pueden ser procesados, la manera en que un Responsable de Datos puede ejercer sus derechos y la manera en que se puede presentar una queja a la Junta) de la manera que se pueda especificar.

A diferencia del Proyecto de Ley, la Ley ya no exige expresamente que esas notificaciones enumeren los propósitos en forma detallada, sino que exige que la notificación se realice de la manera prescrita.[16]

Si bien esto deja abierta la posibilidad de un requisito más oneroso para los consentimientos granulares (es decir, consentimientos separados para cada propósito)[17], la Ley también parece abordar la preocupación de los consentimientos agrupados “todo o nada” de una manera diferente.

Curiosamente, en un cambio que parece destinado a codificar la limitación de propósitos y evitar la agrupación, la Ley incluye:

Si bien lo primero es bienvenido, lo segundo es problemático por dos razones:

La Ley refleja la posición sobre la retirada del consentimiento especificada en el proyecto.[20] Los responsables de datos tienen derecho a retirar el consentimiento para el procesamiento de datos tan fácilmente como lo hacen para obtener el consentimiento. Sin embargo, dicha retirada no afectaría la legalidad del procesamiento realizado antes de la retirada.[21] Tras el retiro, el Fiduciario de datos debe dejar de procesar dichos datos personales “dentro de un tiempo razonable”, a menos que dicho procesamiento esté autorizado por la ley.[22] Las consecuencias de dicha retirada correrían a cargo del Responsable de los Datos.[23] En otra medida para fortalecer el consentimiento, la Ley extiende la obligación de borrar datos tras retirar el consentimiento tanto al Fiduciario de datos como a las entidades que procesan datos en su nombre.[24]

La introducción del consentimiento "supuesto", potencialmente de la Ley de Protección de Datos Personales de Singapur de 2012 ("PDPA ”)[25], en lugar de las excepciones por “fines razonables” previstas en el Proyecto, fue el centro de mucho debate. La Ley reemplaza este concepto con un concepto más aceptable de “uso legítimo” y también introduce cambios significativos, algunos de los cuales pueden resultar problemáticos:

Un cambio algo problemático en la Ley puede ser la eliminación de excepciones de consentimiento consideradas para lo que erróneamente se denominaron fines de interés público[36] pero que se tradujeron en procesamientos con “fines razonables” en gran parte del mundo.

Se omiten por completo las excepciones clave con fines razonables, como la prevención del fraude, la seguridad de la red y la información y el funcionamiento de los motores de búsqueda.

Si bien la exclusión de todos los datos personales que han sido hechos públicos por el Responsable de los datos (o por ministerio de la ley) del ámbito de la Ley puede resolver algunos de estos propósitos, esta no es de ninguna manera una solución integral.

Otras excepciones se reducen significativamente. Por ejemplo,

La omisión y limitación de los tipos de excepciones antes mencionados que son comunes a nivel internacional[42], y la eliminación del mecanismo a través del cual se podrían especificar propósitos “justos y razonables” adicionales[43], no sólo es contraria al principio general flexible y empresarial tono amistoso de la Ley, pero también puede resultar difícil de manejar en los próximos años.

[1] Ley de tecnología de la información de 2000 (“Ley de TI”) leído junto con la Regla 5, Reglas de tecnología de la información (prácticas y procedimientos de seguridad razonables y datos o información personal confidencial), 2011 (“SPDI Reglas”), disponible aquí.[2] El Borrador, disponible aquí, el Informe del Comité Conjunto sobre la Ley de Protección de Datos Personales de 2019 (“Ley 2021”), disponible aquí, la Ley de Protección de Datos Personales de 2019 (“Ley de 2019 ”), disponible aquí y la Ley de Protección de Datos Personales de 2018, disponible aquí.[3] La Ley de Protección de Datos Personales Digitales de 2023 (“Acto ”), disponible aquí.[4] Sección 2(i), Ley: “Fiduciario de datos” significa cualquier persona que sola o junto con otras personas determina el propósito y los medios de procesamiento de datos personales.[5] Sección 2(t), Ley: “datos personales” significa cualquier dato sobre un individuo que sea identificable por o en relación con dichos datos.[6] Proyecto de Ley de Protección de Datos Personales Digitales de 2022 (“Borrador ”), aquí.[7] Sección 6(1), Ley.

[8] Artículo 5(1), Ley.[9] Sección 5(2), Ley[10] Ley de TI leída con la Regla 5, Reglas SPDI.

[11] Artículo 5(2), Ley.[12] Artículos 5(2) y 40(2)(b), Ley.[13] Sección 2(j), Ley: “Principal de datos” significa la persona con quien se relacionan los datos personales y cuando dicha persona es: un niño, incluye a los padres o tutor legal de dicho niño; yii una persona con discapacidad, incluye a su tutor legal. , actuando en su nombre.[14] Artículo 5(2)(b), Ley.[15] Artículo 7, Reglamento General de Protección de Datos (“RGPD ”), disponible aquí.[16] Artículo 5(2), Ley.[17] Sección 6(2), Ley.

[18] Artículo 6(1), Ley.[19] Ilustración de la Sección 6(1), Ley.

[20] Artículos 6(4), 6(5) de la Ley y 6(4), Proyecto.[21] Artículo 6(5), Ley.[22] Artículo 6(6), Ley.[23] Artículo 6(5), Ley.[24] Sección 8(7), Ley[25] Sección 15, PDPA, disponible aquí.[26] Artículo 7(a), Ley.[27] Artículo 8(9)(c), Proyecto.[28] Artículo 7(a), Ley.[29] Ilustración de la Sección 7(b), Ley.

[30] Artículo 7(b), Ley.[31] Artículo 7(c), Ley.[32] Artículo 7(d), Ley.[33] Artículo 7(e), Ley.[34] Sección 7(i), Ley.

[35] Artículo 8(7), Proyecto.[36] Sección 8(8), Proyecto.

[37] En comparación con el artículo 8(8)(b), Proyecto.[38] Artículo 17(1)(e), Ley.[39] Artículo 8(8)(d), Proyecto.[40] Artículo 8(8)(a), Proyecto.[41] Artículo 17(1)(f), Ley.[42] Sección 6, Parte 3, PDPA; Considerando 47, RGPD.[43] Sección 8(9), Proyecto.

Socio director de Cyril Amarchand Mangaldas. Con más de 37 años de experiencia, Cyril es considerado la figura líder y autorizada en derecho corporativo en la India. Puede comunicarse con él en [email protected].

Socio (Jefe de Tecnología y Telecomunicaciones) de la oficina de Bengaluru de Cyril Amarchand Mangaldas. Arun forma parte del grupo Tecnología, Medios y Telecomunicaciones (TMT) y tiene especial experiencia en asesorar a clientes en los sectores de electrónica, servicios habilitados para tecnología de la información, subcontratación y tecnología de la información. También fue miembro del grupo de trabajo del Gobierno de la India sobre la habilitación legal de los sistemas de tecnología de la información y las comunicaciones. Chambers and Partners describió a Arun como un abogado “muy eficaz y con grandes conocimientos” en 2011. Puede comunicarse con él en [email protected]

Director y responsable de la Práctica de Políticas Públicas de Cyril Amarchand Mangaldas. Tiene una rica experiencia en el asesoramiento a clientes del sector público y del sector privado sobre cuestiones de políticas relacionadas con ESG, infraestructura, tecnología y finanzas. Puede ser contactado en [email protected]

Socio de la Práctica Corporativa General de la oficina de Bengaluru de Cyril Amarchand Mangaldas, y forma parte de la práctica de Tecnología, Medios y Telecomunicaciones de la Firma.

Anirban asesora periódicamente a clientes de diversos sectores, incluidos la atención sanitaria, la fabricación, la banca, la tecnología de la información, el automóvil, los medios de servicios financieros y la radiodifusión, en cuestiones transaccionales y de asesoramiento. Anirban respalda las transacciones manejando todo el proceso de documentación para transacciones de tecnología a gran escala y brinda asesoramiento sobre tendencias emergentes en el espacio de protección de datos y privacidad. Anirban trabaja estrechamente con los equipos comerciales de los clientes para idear y desarrollar documentación legal, políticas y mejores prácticas basadas en los requisitos comerciales de los clientes y las interacciones con reguladores como la Autoridad Reguladora de Telecomunicaciones de la India (“TRAI”).

Se graduó en la Universidad Nacional de Ciencias Jurídicas de Bengala Occidental y se unió a la firma por primera vez en 2012. Puede comunicarse con él en [email protected].

Asociado Senior de Práctica Corporativa General en la oficina de Bengaluru de Cyril Amarchand Mangaldas. Puede comunicarse con ella en [email protected]

Asociado senior designado en la práctica corporativa general en la oficina de Ahmedabad de Cyril Amarchand Mangaldas. Mahim se especializa en asuntos de blockchain, protección de datos y tecnologías de la información. Puede ser contactado en [email protected]

Asociado de la Práctica General Corporativa (Tecnología y Telecomunicaciones) en la oficina de Bengaluru de Cyril Amarchand Mangaldas. Puede comunicarse con ella en [email protected]

Asociado de la Práctica General Corporativa (Tecnología y Telecomunicaciones) en la oficina de Bengaluru de Cyril Amarchand Mangaldas. Puede comunicarse con ella en [email protected].

Asociado de Práctica Corporativa General en la oficina de Bengaluru de Cyril Amarchand Mangaldas. Puede comunicarse con ella en [email protected]

Ley de TIActoBorradorPDPALey de TISPDI“Ley 2021”Ley de 2019ActoBorradorRGPDTRAI