Nori aplikatzen zaio DPDP Legea

DPDP Legeak Indiako barnean egiten den datu pertsonal digitalen tratamendua arautzen du, baita Indiako pertsonei ondasunak edo zerbitzuak eskaintzearekin lotuta Indiaren mugetatik kanpo egiten den tratamendua ere. Praktikan, zure webgunea Indiako erabiltzaileentzat eskuragarri bada eta haren bidez datu pertsonalak biltzen badituzu — cookieak, SDKak, pixelak edo hatz-markak erabiliz barne —, ia ziur aski Legea aplikatzen zaizu.

Legeak bi rol nagusi erabiltzen ditu: Data Fiduciary (GDPRren controller kontzeptuaren baliokidea) eta Data Processor. Eragile handien kopuru txiki bat Significant Data Fiduciaries gisa izendatu daiteke; horrek betebehar gehigarriak dakartza, hala nola Datuen Babeserako Eraginaren Ebaluazioak egitea eta Indian bizi den Datuen Babeserako Arduradun bat izendatzea.

Nola tratatzen ditu DPDP Legeak cookieak eta jarraipen-tresnak

ePrivacy Zuzentarauaren ez bezala, DPDP Legeak ez ditu cookieak kategoria bereizi gisa aipatzen. Horren ordez, datu pertsonal digitalen edozein tratamendu arautzen du. Horrek esan nahi du cookieak, gailu-identifikatzaileak, IP helbideak, iragarki-IDak eta hash egindako helbide elektronikoak ere esparruaren barruan daudela, baldin eta pertsona identifikagarri batekin — zuzenean edo zeharka — lotuta badaude.

Argitaletxeentzat ondorioa zuzena da: zure gunean cookie edo etiketa batek datu pertsonalak biltzea edo partekatzea eragiten badu, legezko oinarri baliodun bat behar duzu. DPDP Legearen arabera, oinarri hori ia beti baimena da, Legeak definitutako "erabilera legitimo" jakin batzuetarako salbuespen estu batekin.

Zein den baimen baliodun baten itxura

DPDP Legeak oso maila altua ezartzen du baimenari dagokionez. Baimena askea, zehatza, informatua, baldintzarik gabea eta zalantzarik gabekoa izan behar da, eta ekintza afirmatibo argi baten bidez adierazia. Aurrez markatutako laukitxoak, nabigatzen jarraitzeagatik suposatutako baimena, eta sarbidea onarpenaren mende jartzen duten "cookie horma" diseinuak ez datoz bat betekizun horiekin.

DPDPri bereziki lotutako bi arau gehigarri garrantzitsuak dira baimenaren UXarentzat:

• Jakinarazpen xehea: Baimena eman aurretik edo ematean bertan, erabiltzaileari jakinarazpen argi bat eman behar diozu, biltzen diren datuak identifikatuz, tratamenduaren helburuak azalduz, eta nola ken dezakeen baimena edo nola jar dezakeen kexa Indiako Data Protection Board erakundearen aurrean.
• Hizkera ulerterraza eta hizkuntza anitzeko euskarria: Jakinarazpenak ingelesez eta Indiako 22 hizkuntza ofizialetako edozeinetan egon behar dira, erabiltzaileak hautatzen duenaren arabera. Eduki-baimena Hindi, Tamil, Bengali, Marathi eta beste hizkuntza nagusietan erakutsi ezin duen CMP batek zailtasun handiak izango ditu betetzeko.

Haurren datuak eta gurasoen baimena

DPDP Legearen arabera, 18 urtetik beherako edonor haurra da, eta haien datu pertsonalak tratatu aurretik gurasoen baimen egiaztagarria behar da. Halaber, haurrengan zuzendutako portaera-jarraipena eta publizitate segmentatua debekatzen ditu. Indian adingabeentzat eskuragarri den edozein webgunek — praktikan, ia edozein gunek — adin-iragazki edo arriskuetan oinarritutako estrategia bat behar du, eta gurasoen baimena ez dagoenean jarraipen-scriptak blokeatzeko gai izan behar du.

Zure CMPk onartu behar dituen erabiltzaile-eskubideak

Indiako Data Principal-ek (erabiltzaileek) eskubide sorta bat dute, eta horiek zure baimen eta hobespen geruzaren bidez gauzagarri izan behar dira:

• Sarbide eskubidea beren datu pertsonalen tratamenduaren laburpen baterako sarbidea izateko.
• Zuzentzeko eta ezabatzeko eskubidea beren datuei dagokienez.
• Baimena edozein unetan kentzeko eskubidea, ematea bezain erraza den prozesu baten bidez.
• Beste pertsona bat izendatzeko eskubidea, heriotza edo ezintasun kasuan bere eskubideak gauzatu ditzan.
• Kexak konpontzeko eskubidea, lehenik Data Fiduciary erakundearen aurrean eta ondoren Indiako Data Protection Board erakundearen aurrean.

Araudiarekin bat datorren CMP batek hobespenetarako esteka iraunkor bat eskaini behar du, klik bakarreko baimen-kenketa onartu, eta baimen-gertaerak erregistratu, ikerketa batean eskatu ahal izateko moduan.

Muga-zabaleko datu-transferentziak

DPDP Legeak "zerrenda negatibo" ikuspegia erabiltzen du nazioarteko transferentziei dagokienez: datu pertsonalak Indiaz kanpora transferitu daitezke, baldin eta helmuga-herrialdea ez badago Gobernu Zentralak berariaz mugatutakoen artean. Hori GDPRren egokitasun-erregimena baino baimentzaileagoa da, baina hala ere dokumentatu beharko zenuke zein hirugarren herrialdek jasotzen dituzten Indiako erabiltzaileen datuak, eta argitaratutako murrizketa-zerrenda etengabe zaindu.

Zigorrak eta betearazpena

DPDP Legearen araberako isun ekonomikoak oso handiak izan daitezke. Data Protection Board erakundeak ₹250 crore-rainoko isunak ezar ditzake (gutxi gorabehera 30 milioi dolar estatubatuar) segurtasun-neurri arrazoizkoak ez hartzeagatik, eta ₹200 crore-rainokoak haurren aurkako betebeharrak ez betetzeagatik. Baimenarekin lotutako hutsegiteek — baimen-bannerrak araudiarekin bat ez datozen moduan erabiltzea barne — ₹50 crore arteko isunak jasan ditzakete urraketa bakoitzeko.

DPDPra egokitutako baimena ezartzea zure CMPn

1. Geolokalizatu Indiako erabiltzaileak eta aplikatu DPDPri bereziki egokitutako baimen-txantiloi bat, GDPR banner bera berrerabili ordez. Jakinarazpenaren edukia eta hizkuntza-aukera desberdinak dira.
2. Erakutsi jakinarazpenak Indiako hainbat hizkuntzatan. Gutxienez, onartu Hindi eta ingelesa, eta gehitu eskualdeko hizkuntzak zure trafiko-banaketa kontuan hartuta.
3. Blokeatu lehenespenez ezinbestekoak ez diren jarraipen-tresna guztiak. Kargatu iragarkiak, analitika eta hirugarrenen SDKak soilik baimen afirmatiboa jaso ondoren.
4. Bereizi helburuak modu argian. Ez bildu publizitatea, analitika eta pertsonalizazioa "onartu" ekintza bakar batean, erabiltzaile batek arrazoiz helburu batzuetarako baimena eman eta beste batzuetarako ez eman nahi badu.
5. Erregistratu baimen eta baimen-kenketa gertaerak denbora-zigiluarekin, erakutsitako jakinarazpenaren bertsio zehatzarekin eta erabiltzaileak hautatutako hizkuntzarekin, arautzaileek ikerketa batean betetzea egiaztatzeko eskatzen badute aurkeztu ahal izateko.
6. Eman hobespenetarako esteka ikusgarri bat orrialde guztietan, erabiltzaileek edozein unetan baimena berrikusi, eguneratu edo ken dezaten.

DPDP vs. GDPR: alde praktikoak

• Ez dago "interes legitimoen" oinarri orokorrik. DPDP Legeak ez du aitortzen interes legitimoak GDPRk bezala legezko oinarri orokor gisa. Baimenak pisu handiagoa du, eta, beraz, UX diseinuak garrantzi handiagoa hartzen du.
• Haurren inguruko arau zorrotzagoak. Adin digitaleko baimena 18 urtekoa da, ez 13 edo 16, eta adingabeei zuzendutako publizitate segmentatua berariaz debekatuta dago.
• Jakinarazpen eleaniztunaren betekizuna DPDP Legearen berezitasuna da, eta ezin da bete ingelesezko banner soil batekin.
• Significant Data Fiduciary kategoriaren betebeharrek arrisku handiko eragileentzako bigarren betetze-maila bat sortzen dute, eta horrek ez du GDPRren parekorik.

Ondorioa

DPDP Legeak India datu-babesaren mundu mailako paisaia modernoan kokatzen du, bere ezaugarri propioekin: baimenean oinarritua, diseinuz eleaniztuna, eta adingabeak neurri bereziz babesten dituena. Dagoeneko GDPR mailako CMP bat duten argitaletxe eta plataformek abantaila dute, baina hala ere egokitu egin beharko dituzte banner-edukia, hizkuntza-euskarria, adin-kudeaketa eta erregistroak DPDPren betekizunetara. India "beste GDPR jurisdikzio bat" besterik ez balitz bezala tratatzea da Data Protection Board erakundearen aurrean amaitzeko biderik azkarrena.