Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Del consenso e degli usi leciti: dove la gomma incontra la strada
Mentre il concetto di consenso, in consonanza con l’attuale regime basato sul consenso ai sensi dell’Information Technology Act, 2000 (“Legge sull'informatica”)[1] così come il primato costituzionale del consenso e dell'autonomia in varie decisioni dei tribunali che trattano il diritto alla riservatezza delle informazioni è rimasto saldamente radicato come base primaria per la raccolta e il trattamento dei dati personali nei vari progetti di protezione generale dei dati personali legislazione in India nel corso degli anni,[2] il Digital Personal Data Protection Act, 2023 recentemente notificato (“Atto”)[3]prevede inoltre l'“uso legittimo” come base aggiuntiva fondamentale a disposizione dei fiduciari dei dati[4] per la raccolta e il trattamento dei dati personali[5].
Nell'ambito della nostra serie sulla legge, esaminiamo ora il modo in cui la legge tratta il consenso e l'uso legittimo, rispetto al progetto di legge sulla protezione dei dati personali digitali, 2022 ("Bozza”)[6] e alcuni quadri globali.
La legge continua a richiedere che il consenso sia libero, specifico, informato, incondizionato, espresso e significato attraverso un atto affermativo.[7]
Secondo la legge, questo avviso deve essere dato ogni volta che viene richiesto il consenso,[8] aumentando potenzialmente la dimensione dello tsunami di avvisi (e la conseguente fatica) a cui gli indiani saranno presto soggetti.
La legge continua inoltre a richiedere che venga fornita una nuova informativa qualora il trattamento sia stato precedentemente acconsentito.[9] In India, dove il consenso era richiesto solo per il trattamento di un insieme strettamente definito di "dati o informazioni personali sensibili" ai sensi della legge IT,[10] i fiduciari dei dati dovranno esaminare attentamente i loro precedenti consensi, fornire nuovi avvisi e (potenzialmente) prendere nuovi consensi dopo l’entrata in vigore ufficiale della legge. Potrebbe quindi essere utile chiarire la posizione sui dati personali legacy che sono stati trattati senza un consenso specifico, laddove la legge non lo richiedeva. I fiduciari dei dati possono continuare a trattare i dati personali per i quali è stato raccolto il consenso al trattamento prima della promulgazione della legge[11], fornendo avviso nella forma prescritta[12], e con una mossa che sarà accolta favorevolmente dalle imprese, la legge chiarisce che i dati I fiduciari possono continuare a trattare i dati personali fino a quando il Titolare[13] non revoca il consenso[14].
È importante sottolineare che, in una posizione attualmente più liberale rispetto a gran parte delle altre legislazioni nel mondo,[15] attualmente consente di prendere il consenso consolidato fornendo un avviso (chiaro, comprensibile, disponibile in più lingue, che elenca gli scopi per i quali i dati vengono raccolti) possono essere trattati, il modo in cui il Titolare del trattamento può esercitare i suoi diritti e il modo in cui può presentare reclamo al Consiglio) in una modalità che può essere specificata.
A differenza del Progetto, la Legge non richiede più espressamente che tali avvisi elenchino gli scopi in forma dettagliata, ma richiede piuttosto che l'avviso avvenga in una maniera che sarà prescritta.[16]
Sebbene ciò lasci aperta la possibilità di requisiti più onerosi per i consensi granulari (vale a dire, consensi separati per ciascuna finalità)[17], la legge sembra anche affrontare la preoccupazione dei consensi raggruppati "tutto o niente" in modo diverso.
È interessante notare che, in una modifica che sembra intesa a codificare la limitazione dello scopo ed evitare il raggruppamento, la legge include:
Mentre il primo è il benvenuto, il secondo è problematico per due motivi:
La legge rispecchia la posizione sulla revoca del consenso specificata nel progetto.[20] I titolari dei dati hanno il diritto di revocare il consenso al trattamento dei dati con la stessa facilità con cui lo si ottiene. Tuttavia, tale revoca non pregiudicherebbe la liceità del trattamento effettuato prima della revoca[21]. In caso di recesso, il Fiduciario dei dati è tenuto a cessare il trattamento di tali dati personali “entro un termine ragionevole”, a meno che tale trattamento non sia autorizzato dalla legge.[22] Le conseguenze di tale recesso ricadranno a carico del Titolare.[23] In un'altra mossa per rafforzare il consenso, la legge estende l'obbligo di cancellazione dei dati in caso di revoca del consenso sia al fiduciario dei dati, sia alle entità che trattano i dati per suo conto.[24]