أدى إخطار قواعد حماية البيانات الشخصية الرقمية 2025 إلى تفعيل أحكام قانون DPDP لعام 2023، مما يؤثر بشكل كبير على قطاع الرعاية الصحية. يصنف القانون المؤسسات الطبية كـ"وكلاء بيانات" ويمنح المرضى حقوقاً على بياناتهم. ومع ذلك، فإن الغموض في التفاصيل يشكل تحديات لمقدمي الرعاية الصحية.
يُمثل قانون حماية البيانات الشخصية الرقمي لعام 2023، مع قواعد 2025 المُخْطَرَة حديثاً، أكبر إصلاح للخصوصية في الهند منذ قانون تكنولوجيا المعلومات لعام 2000. تعزز هذه التدابير احترام حقوق الأفراد ومساءلة البيانات. في مجال الرعاية الصحية، يرتفع كل عيادة ومستشفى ومختبر وتطبيق طبي عن بعد إلى مرتبة "وكيل بيانات"، دون تمييز بناءً على الحجم. تخضع البيانات الشخصية في الشكل الرقمي، أو التي تُدْرَج لاحقاً، لنطاق القانون.
يصبح المرضى "أصحاب البيانات" المستحقين للوصول وتصحيح وحذف معلوماتهم الطبية. غالباً ما اعتمدت استمارات الموافقة في المستشفيات على الثقة العمياء بدلاً من الاختيار المستنير، لكن قانون DPDP يقدم الشفافية. خلال الحالات الطارئة الطبية أو الأزمات الصحية العامة، يُسمح بمعالجة البيانات دون موافقة. ومع ذلك، تستمر الغموضات في مجالات مثل الرعاية في وحدة العناية المركزة بعد العمليات، إدارة الأمراض المزمنة، والعلاجات المتابعة.
يخلق سحب الموافقة أو طلب حذف البيانات تعقيدات لمقدمي الرعاية الصحية. يجب على الوكلاء حذف البيانات وإيقاف معالجتها، مع بقاء الالتزامات القانونية في الرعاية الصحية سليمة. تعريف القانون لـ"المعالجة" يشمل "الحذف"، مما قد يتطلب موافقة حتى للحذف. تحدد الجدول الثالث من القواعد فترات الاحتفاظ بالبيانات للقطاعات المختلفة، لكن الرعاية الصحية غائبة بشكل ملحوظ، مما يترك المؤسسات في حيرة بشأن حفظ السجلات.
بالنسبة للبيانات المجمعة قبل بدء سريان القانون، يجب على الوكلاء إخطار أصحاب البيانات "في أقرب وقت معقول ممكن"، دون حد زمني محدد. وفقاً للمؤلفين تيشامباتي سين، محامٍ في المحكمة العليا، وهارش ماهاجان، مؤسس مختبرات ماهاجان ومرشد صحي في FICCI، يستحق قطاع الرعاية الصحية إرشادات خاصة بالقطاع نظراً لطبيعته الحرجة. بشكل عام، يُمكِّن القانون المرضى من خلال تأكيد حقوق البيانات الخاصة بهم ويذكِّر المقدمين بأن واجب الرعاية يمتد الآن إلى العوالم الرقمية.
