La notificación de las Digital Personal Data Protection Rules 2025 ha activado disposiciones de la DPDP Act 2023, impactando significativamente al sector sanitario. La ley designa a las instituciones médicas como fiduciarios de datos y otorga a los pacientes derechos sobre sus datos. Sin embargo, las ambigüedades en los detalles plantean desafíos para los proveedores de salud.
La Digital Personal Data Protection Act 2023, junto con las Rules de 2025 recientemente notificadas, marca la reforma de privacidad más significativa en India desde la IT Act 2000. Estas medidas promueven el respeto a los derechos individuales y la rendición de cuentas de los datos. En el ámbito sanitario, toda clínica, hospital, laboratorio y aplicación de telemedicina se eleva al estatus de "fiduciario de datos", sin distinción por tamaño. Los datos personales en forma digital, o digitalizados posteriormente, caen dentro del alcance de la Ley.
Los pacientes se convierten en "principales de datos" con derecho a acceder, corregir y borrar su información médica. Los formularios de consentimiento hospitalarios a menudo se basaban en fe ciega en lugar de elección informada, pero la DPDP Act introduce transparencia. Durante emergencias médicas o crisis de salud pública, se permite el procesamiento de datos sin consentimiento. Sin embargo, persisten ambigüedades en áreas como cuidados postoperatorios en UCI, manejo de enfermedades crónicas y tratamientos de seguimiento.
Retirar el consentimiento o solicitar la eliminación de datos crea complicaciones para los proveedores sanitarios. Los fiduciarios deben eliminar los datos y cesar su procesamiento, aunque las obligaciones legales en sanidad permanecen. La definición de "procesamiento" en la Ley incluye "eliminación", lo que podría requerir consentimiento incluso para borrados. El Anexo III de las Rules prescribe plazos de retención de datos para diversos sectores, pero la sanidad está notablemente ausente, dejando a las instituciones inciertas sobre la conservación de registros.
Para datos recogidos antes del comienzo de la Ley, los fiduciarios deben notificar a los principales "lo antes posible de manera razonable", sin límite de tiempo definido. Según los autores Tishampati Sen, abogado en la Corte Suprema, y Harsh Mahajan, fundador de Mahajan Labs y mentor de salud de FICCI, el sector sanitario merece directrices específicas por su naturaleza crítica. En general, la ley empodera a los pacientes al afirmar sus derechos sobre los datos y recuerda a los proveedores que el deber de cuidado ahora se extiende a los ámbitos digitales.