Indiens dataskyddslag närmar sig – startups agerar i olika takt
Indiens nya lag om skydd för digital personuppgifter (DPDP) rullas ut i faser. Startups förbereder sig i varierande grad, trots potentiella böter uppgående till hundratals miljoner rupier för bristande efterlevnad.

Indiens nya lag om skydd för digital personuppgifter (Digital Personal Data Protection, DPDP) håller snabbt på att implementeras i faser. Företag har drygt fyra månader fram till den första efterlevnadspunkten och cirka 10 månader innan lagen träder i kraft fullt ut. Böterna för bristande efterlevnad är betydande, med potentiella straff på upp till 250 miljoner rupier (cirka 2,7 miljoner euro) för otillfredsställande säkerhetsåtgärder och 200 miljoner rupier (cirka 2,1 miljoner euro) för underlåtenhet att rapportera dataintrång eller felaktig hantering av barns uppgifter.
Förberedelserna för lagen visar dock en ojämn bild. Enligt en undersökning från EY India har endast en minoritet av företagen uppdaterat sina integritetspolicyer för att följa DPDP. Sektorer som fintech, bank, försäkring och telekom ligger längre fram i processen, delvis på grund av befintliga regelverk. Globala företag anpassar även sina befintliga GDPR-processer för den indiska marknaden.
Däremot släpar traditionella branscher som tillverkning, detaljhandel och fastigheter efter, liksom många medelstora företag. Dessa företag kämpar ofta med den grundläggande uppgiften att kartlägga vilka personuppgifter de samlar in, var de lagras och hur de delas. För mikro-, små- och medelstora företag (MSME) är situationen särskilt utmanande, då de ofta saknar den budget och tillgång till specialistkonsulter som krävs för att implementera full efterlevnad.