Draft Data Protection Rules Mandate Due Diligence, Explicit Consent for Processing Children

El proyecto de normas de protección de datos exige diligencia debida y consentimiento explícito para el procesamiento de datos de niños

El gobierno publicó el viernes el tan esperado borrador de las Reglas de Protección de Datos Personales Digitales que especifican que se deberá obtener el consentimiento verificable de los padres a través de las redes sociales o plataformas en línea antes de que los niños puedan crear cualquier cuenta. Además, la identidad y la edad de los padres también deberán validarse y verificarse mediante una prueba de identidad proporcionada voluntariamente “emitida por una entidad encargada por la ley o el Gobierno”, según el proyecto de normas.

Según las reglas, las entidades podrán usar y procesar datos personales solo si las personas han dado su consentimiento a los administradores de consentimiento, que serán entidades encargadas de administrar los registros de consentimiento de las personas.

En el caso del procesamiento de datos de niños, las plataformas digitales deberán llevar a cabo la debida diligencia para verificar que la persona que se identifica como padre del niño sea un adulto y sea identificable si es necesario en relación con cualquier cumplimiento legal.

“Un fiduciario de datos adoptará medidas técnicas y organizativas apropiadas para garantizar que se obtenga el consentimiento verificable de los padres antes del procesamiento de cualquier dato personal de un niño”, decía el proyecto de norma.

Comercio electrónico, redes socialesy juego de azar Las plataformas entrarán en la categoría de fiduciarios de datos.

Según el proyecto de reglas, los fiduciarios de datos deberán conservar los datos solo por el momento para el cual se haya otorgado el consentimiento y eliminarlos posteriormente.

El proyecto de reglas se publicó después de 14 meses de que el Parlamento aprobara el Proyecto de Ley de Protección de Datos Digitales de 2023.

“Proyecto de normas propuesto para ser elaborado por el gobierno central en ejercicio de las facultades conferidas por los incisos (1) y (2) del artículo 40 de la Ley de Protección de Datos Personales Digitales de 2023 (22 de 2023), a partir de la fecha de entrada en vigor de la Ley, se publican por la presente para información de todas las personas que puedan verse afectadas”, dice el borrador de notificación.

El proyecto de reglas menciona el proceso de suspender o cancelar el registro del administrador de consentimiento en caso de violación repetida, pero no menciona las sanciones aprobadas en virtud de la Ley DPDP de 2023. La Ley tiene la disposición de imponer una sanción de hasta 250 millones de rupias en fiduciarios de datos.

Shreya Suri, socia de IndusLaw, dijo que se anticipaba la introducción de umbrales para los informes de violaciones de datos, donde las violaciones menores podrían haber tenido menos obligaciones de cumplimiento.

“Sin embargo, el borrador actual trata todas las infracciones de manera uniforme, exigiendo el mismo nivel de informes y notificaciones a la Junta de Protección de Datos y a los directores de datos afectados, sin otorgar discreción alguna a los fiduciarios de datos. Además, si bien las reglas describen ciertas consideraciones para prácticas de seguridad razonables , la falta de orientación detallada deja lugar a interpretaciones variadas”, afirmó Suri.

El borrador de las reglas, que se publicó para consultas públicas, se tomará en consideración para elaborar la regla final después del 18 de febrero. El borrador está disponible en el sitio web MyGov para comentarios públicos.

Mayuran Palanisamy, socio de Deloitte India, dijo que el borrador de las reglas es bastante detallado y brinda una dirección muy necesaria a las empresas en la India al exponer el cumplimiento que deben llevar a cabo, como las medidas de obligaciones para los fiduciarios de datos importantes, el registro y las obligaciones de consentimiento. Gerentes, el establecimiento y funcionamiento de la Junta de Protección de Datos, incluidos los detalles de la notificación de violación de datos a los Principios de Datos y la Junta, el proceso para que los Principales ejerzan sus derechos y los plazos para que los Fiduciarios de Datos respondan a agravios.

“Prevemos que las empresas enfrentarán algunos desafíos complejos en la gestión del consentimiento, ya que constituye el corazón de la ley. Mantener los artefactos de consentimiento y ofrecer la opción de retirar el consentimiento para propósitos específicos podría requerir cambios a nivel de diseño y arquitectura de aplicaciones y plataformas”. dijo Palanisamy.

Además, las organizaciones necesitarán invertir tanto en infraestructura técnica como en procesos para cumplir los requisitos de manera efectiva. Esto incluye revisar las prácticas de recopilación de datos, implementar sistemas de gestión del consentimiento, establecer protocolos claros del ciclo de vida de los datos y, de hecho, filtrar estas prácticas a un nivel de implementación, añadió Palanisamy.

(Esta historia no ha sido editada por el personal de NDTV y se genera automáticamente a partir de un feed sindicado).

Vea lo último del Consumer Electronics Show en Gadgets 360, en nuestro CES 2025 centro.

fuente