En agosto, India promulgó la Ley de Protección de Datos Personales Digitales . La legislación, que entrará en vigor en una fecha posterior que decidirá el gobierno indio, proporciona una manera para que las empresas eviten obtener el consentimiento para buscar datos personales durante una investigación.
En una investigación típica que involucra fraude de empleados, que requiere una recopilación extensa y un examen forense de computadoras portátiles, correos electrónicos y datos móviles, la legislación orienta sobre si se requiere el consentimiento del sujeto para el procesamiento de datos personales. El procesamiento abarca actividades tales como imágenes forenses e indexación de dispositivos, y divulgación a terceros.
Por el contrario, los datos personales, que normalmente forman parte del universo de datos recopilados para las investigaciones, incluyen cualquier dato mediante el cual se pueda identificar a una persona. La recopilación de datos implica invariablemente la recopilación de datos personales, como identificaciones de correo electrónico, firmas y números de teléfono; ocasionalmente, se trata de datos personales (más sensibles), como detalles de cuentas bancarias, números de identificación, registros médicos, información de pasaportes, etc.
Según el esquema de la legislación, salvo algunos casos, las empresas ahora deberán obtener el consentimiento previo del principal de los datos (el individuo con el que se relacionan los datos personales) de una manera específica o procesar los datos para «ciertos usos legítimos». ”como alternativa al consentimiento. La nueva ley proporciona un argumento interesante que disipa el requisito del consentimiento personal en ciertos casos, incluida la protección del empleador contra pérdidas o responsabilidad.
Esto es interesante porque se puede argumentar que el procesamiento de datos personales en el contexto de una investigación interna encargada por un empleador puede considerarse esencial para identificar malas prácticas y proteger al empleador de pérdidas o responsabilidades continuas debido a las acciones de sus empleados. En tales casos, el consentimiento previo sobre el procesamiento de datos de los empleados no sería práctico y no será necesario.
La nueva legislación también establece que el procesamiento de datos personales para prevenir, detectar o investigar delitos o contravenciones según las leyes indias, incluidas esencialmente las investigaciones internas, no requerirá el consentimiento previo de los responsables de los datos. Esto significa que si se lleva a cabo una investigación para determinar la veracidad de ciertos actos que pueden generar exposición o responsabilidades legales, la empresa no estará obligada a obtener el consentimiento de los responsables de los datos, incluidos terceros.
Por ejemplo, si se encuentran extractos bancarios o detalles de un tercero en el buzón de correo electrónico de un empleado durante una investigación interna, la empresa podrá procesar dichos datos sin obtener el consentimiento previo del tercero en cuestión. Sin embargo, en todos estos casos, las empresas deben tomar medidas de seguridad razonables para evitar violaciones de datos personales.
Considerando lo anterior, aún puede ser prudente incluir en los acuerdos y órdenes de trabajo con terceros disposiciones, entre otros requisitos prescritos por la nueva legislación, que establezcan que sus datos personales pueden ser procesados para investigaciones internas, sujeto a su aprobación si es necesario. . Esto debe cubrir todas las situaciones en las que se llevan a cabo investigaciones en relación con actos que no necesariamente atraen exposición legal, como violaciones de las políticas internas de una empresa.
Además, cualquier revisión interna proactiva o debida diligencia anticorrupción en fusiones y adquisiciones no necesariamente puede estar sujeta a las excepciones previstas por la legislación. Por lo tanto, para todas estas revisiones, es prudente obtener el consentimiento de los responsables de los datos de una manera prescrita antes de procesar sus datos personales.
En general, la nueva legislación flexibiliza los requisitos de consentimiento para el procesamiento de datos en asuntos de investigación. Sin embargo, esto está sujeto a cualquier postura más estricta que las empresas puedan adoptar en sus políticas internas, que deben ser examinadas antes de que se produzca el procesamiento de datos.