Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Sobre consentimento e usos legais: onde a borracha encontra a estrada
Embora o conceito de consentimento, em consonância com o atual regime baseado no consentimento sob a Lei de Tecnologia da Informação de 2000 (“Lei de TI”)[1], bem como a primazia constitucional do consentimento e da autonomia sob várias decisões judiciais que tratam do direito à privacidade da informação, permaneceu firmemente arraigada como a base principal para a coleta e processamento de dados pessoais sob os vários projetos de proteção geral de dados pessoais legislação na Índia ao longo dos anos,[2] a recém-notificada Lei de Proteção de Dados Pessoais Digitais de 2023 (“Agir”)[3]também prevê o “uso legítimo” como principal base adicional disponível aos Fiduciários de Dados[4] para coleta e processamento de dados pessoais[5].
Como parte de nossa série sobre a Lei, examinamos agora como a Lei trata do consentimento, bem como do uso legítimo, em comparação com o projeto de Lei de Proteção de Dados Pessoais Digitais de 2022 (“Rascunho”)[6] e algumas estruturas globais.
A Lei continua a exigir que o consentimento seja livre, específico, informado, incondicional, expresso e expresso através de um ato afirmativo.[7]
Nos termos da Lei, esta notificação deve ser dada sempre que o consentimento for solicitado,[8] aumentando potencialmente a dimensão do tsunami de notificações (e a consequente fadiga) a que os indianos estarão sujeitos em breve.
A lei também continua a exigir que seja fornecida uma nova notificação quando o processamento tiver sido previamente consentido.[9] Na Índia, onde o consentimento só era necessário para processar um conjunto estritamente definido de “dados ou informações pessoais sensíveis” ao abrigo da Lei das TI,[10] os Fiduciários de Dados terão de examinar cuidadosamente os seus consentimentos anteriores, fornecer novos avisos e (potencialmente) tomar novos consentimentos após a entrada oficial da lei. Pode, portanto, ser útil clarificar a posição em torno dos dados pessoais legados que foram tratados sem consentimento específico, quando a lei não o exigia. Os Fiduciários de Dados podem continuar a processar dados pessoais cujo consentimento de processamento foi coletado antes da promulgação da Lei[11], fornecendo notificação na forma prescrita[12], e em uma medida que será bem recebida pelas empresas, a Lei esclarece que Dados Os agentes fiduciários podem continuar a processar dados pessoais até que o responsável pelos dados[13] retire o consentimento[14].
É importante ressaltar que, numa posição que é atualmente mais liberal do que muitas outras legislações em todo o mundo,[15] atualmente permite que o consentimento consolidado seja obtido mediante notificação (clara, compreensível, disponível em vários idiomas, listando as finalidades para as quais os dados podem ser processados, a maneira pela qual um Responsável pelos Dados pode exercer seus direitos e a maneira pela qual uma reclamação pode ser feita ao Conselho) de uma maneira que possa ser especificada.
Ao contrário do Projeto, a Lei não exige mais expressamente que esses avisos listem os propósitos de forma detalhada, mas exige que o aviso seja feito da maneira que será prescrita.[16]
Embora isto deixe aberta a possibilidade de um requisito mais oneroso para consentimentos granulares (ou seja, consentimentos separados para cada finalidade)[17], a Lei também parece abordar a preocupação de consentimentos agrupados do tipo “tudo ou nada” de uma maneira diferente.
Curiosamente, numa alteração que parece ter a intenção de codificar a limitação da finalidade e evitar a agregação, a lei inclui:
Embora o primeiro seja bem-vindo, o último é problemático por dois motivos:
A lei reflecte a posição sobre a retirada do consentimento especificada no projecto.[20] Os responsáveis pelos dados têm o direito de retirar o consentimento para o processamento de dados tão facilmente quanto a forma de consentimento. No entanto, tal retirada não afetaria a legalidade do processamento realizado antes da retirada.[21] Após a retirada, o Fiduciário dos Dados é obrigado a cessar o processamento de tais dados pessoais “dentro de um prazo razoável”, a menos que tal processamento seja autorizado por lei.[22] As consequências de tal retirada seriam suportadas pelo responsável pelos dados.[23] Noutra medida para reforçar o consentimento, a Lei alarga a obrigação de eliminação de dados após a retirada do consentimento tanto ao Fiduciário dos Dados como às entidades que processam dados em seu nome.[24]