La notification des Digital Personal Data Protection Rules 2025 a activé les dispositions de la DPDP Act 2023, impactant fortement le secteur de la santé. La loi désigne les institutions médicales comme responsables de données et accorde aux patients des droits sur leurs données. Cependant, les ambiguïtés dans les détails posent des défis aux prestataires de soins.
La Digital Personal Data Protection Act 2023, accompagnée des Rules de 2025 récemment notifiées, marque la réforme de la confidentialité la plus significative en Inde depuis la IT Act 2000. Ces mesures favorisent le respect des droits individuels et la responsabilité des données. Dans le secteur de la santé, toute clinique, hôpital, laboratoire et application de télémédecine est élevée au statut de "responsable de données", sans distinction de taille. Les données personnelles sous forme numérique, ou numérisées ultérieurement, relèvent de la loi.
Les patients deviennent des "principaux de données" habilités à accéder, corriger et effacer leurs informations médicales. Les formulaires de consentement hospitaliers reposaient souvent sur une confiance aveugle plutôt que sur un choix éclairé, mais la DPDP Act introduit la transparence. En cas d’urgences médicales ou de crises de santé publique, le traitement des données sans consentement est autorisé. Toutefois, des ambiguïtés persistent dans des domaines comme les soins postopératoires en USI, la gestion des maladies chroniques et les traitements de suivi.
Le retrait du consentement ou la demande d’effacement des données crée des complications pour les prestataires de soins. Les responsables doivent supprimer les données et cesser leur traitement, tout en conservant les obligations légales en matière de santé. La définition de "traitement" dans la loi inclut l’"effacement", pouvant exiger un consentement même pour les suppressions. L’Annexe III des Rules prescrit des délais de conservation des données pour divers secteurs, mais la santé est notablement absente, laissant les institutions incertaines quant à la conservation des dossiers.
Pour les données collectées avant l’entrée en vigueur de la loi, les responsables doivent informer les principaux "dès que raisonnablement possible", sans délai défini. Selon les auteurs Tishampati Sen, avocat à la Cour suprême, et Harsh Mahajan, fondateur de Mahajan Labs et mentor santé de la FICCI, le secteur de la santé mérite des directives spécifiques en raison de sa nature critique. Globalement, la loi renforce les patients en affirmant leurs droits sur les données et rappelle aux prestataires que le devoir de soins s’étend désormais aux domaines numériques.