חוק הגנת הפרטיות בהודו, שאושר ביום שישי האחרון על ידי נשיא הודו, מהווה נדבך משמעותי בהגנה על מידע אישי בהודו ומחוץ לגבולותיה. החוק, שאושר לאחר דיונים ממושכים שארכו שש שנים, מאמץ גישה שונה מה-GDPR, וכולל דרישות משמעותיות מ"נאמני מידע" (data fiduciary, בדומה ל-data controller), כמו חובה למסור הודעת פרטיות באנגלית וב-22 שפות נוספות, דרישה כמעט-גורפת לעיבוד מידע על בסיס הסכמה שאינה מותנית, חובת דיווח לנושאי מידע בכל אירוע אבטחת מידע, ואיסור על מסירת מידע אישי במסגרת בקשת חופש מידע. החוק חל גם על מידע אישי הודי מחוץ לגבולות המדינה והקנס על אי עמידה בהוראות החוק יכול להגיע לשלושים מיליון דולרים.

עם זאת, החוק בעייתי במספר מובנים ומאפשר ניצול לרעה על ידי נאמני המידע, בשל החוסר בהגדרה של מקרים בהם המידע נמסר באופן חופשי לנאמני המידע או באופן אוטומטי, החרגה רחבה מדי של החוק על גורמי ממשל, שלא מוגבלת בסבירות ומידתיות, אי-תחולה על מידע אישי זר (באופן שאינו מתיישב עם החלטת Schrems II) ומחסור בכלי אכיפה אפקטיביים כלשהם למועצת הגנת הפרטיות של הודו (Data Protection Board of India, או DPBI), שאחראית לפקח על יישום החוק. החוק משקף למעשה את המאמץ ארוך השנים של הממשל ליצור איזון בין ההגנה על הפרטיות ויעילות.

החוק משתמש במונחים חדשים כמו "נושאי מידע" (data principal, בדומה ל-data subject) ו"נאמני מידע משמעותיים" (Significant Data Fiduciary). רק נאמני מידע משמעותיים יידרשו למנות קצין אבטחת מידע (DPO), אך כל נאמן מידע יידרש למנות איש קשר עבור פניות הציבור בנושאי פרטיות. החוק חל על מידע אישי דיגיטלי בהודו, ועל עיבוד מידע אישי הודי מחוץ לגבולות המדינה (אך לא על מידע זר). התחולה האקס-טריטוריאלית של החוק חלה ככל שעיבוד המידע האישי ההודי קשור לאספקת סחורות או שירותים בתוך הודו. מנגנון ההסכמה נשאר הבסיס העיקרי הנדרש עבור עיבוד הנתונים, ועל ההסכמה להיות מפורשת, מיודעת, בלתי תלויה וחד משמעית. החוק גם מאפשר עיבוד מידע ללא הסכמה עבור שימושים לגיטימיים צרים (ולא אינטרסים לגטימיים כפי שנהוג ב-GDPR), לצרכי תעסוקה או כאשר נושא המידע מסר את את המידע באופן חופשי למטרה מוגדרת, או כאשר לא התנגד לשימוש במידע האישי שלו שנאסף באופן אוטומטי.

זכויות הפרטיות של נושאי המידע זוכות לדגש עיקרי בחוק, לרבות הזכות לגשת, לתקן ולמחוק את המידע האישי, כאשר המידע נמסר באופן חופשי או בהסכמה, והזכות לקבל הודעת פרטיות על עיבוד המידע לגביו באנגלית וב-22 שפות נוספות. יחד עם הזכויות, החוק מטיל גם מספר חובות על נושאי המידע, כמו החובה לספק מידע מדויק ולהימנע מהגשת תלונות סרק. החוק מחייב דיווח על אירועי אבטחת מידע הן ל-DPBI והן לנושאי המידע שנפגעו בכל אירוע. החוק לא כולל פירוט לגבי מנגנון לפיצוי נושאי מידע שנפגעו מאירוע אבטחת מידע, אך כולל גובה קנס מרבי של שלושים מיליון דולרים על הפרתו. העברת מידע תתאפשר לכל מדינה שלא נכללת ב"רשימה השחורה" - יהיה ניתן להעביר מידע למדינות הנמצאות ברשימה השחורה רק בהסכמת נושאי המידע או תחת הוראות חוזיות אחידות.

החוק כולל מספר חריגים עבור גורמים ממשלתיים וסטארטאפים, הפוטרים אותם מהוראות מסוימות בחוק על בסיס נימוקים חוקיים מוגדרים. חריגים אלו מעוררים חששות לגבי הפרות פרטיות, אך מדגישים גם את הדיאלוג הרחב שמתקיים בין דיני הפרטיות והממשל, ורצון הממשל להקל על סטארטאפים בציות לחוק. מקור: Kochhar & Co., Technology Law Advisory - Digital Personal Data Protection Act, 2023. (מאת: Stephen Mathias, Suhas Srinivasiah, Arun Babu)