Casi cuatro años después de que el gobierno encomendó por primera vez al Comité de Justicia Srikrishna la promulgación de una ley de protección de datos, India finalmente está cada vez más cerca de cumplirla. El Comité Parlamentario Conjunto ( JPC) presentó recientemente su tan esperado informe sobre el Proyecto de Ley de Protección de Datos Personales de 2019 (Proyecto de Ley 2019). También ha formulado su propia versión de la ley propuesta, denominándola Proyecto de Ley de Protección de Datos (Proyecto de Ley DP). El cambio de nombre refleja la decisión de la JPC de ampliar el alcance de la ley para incluir datos no personales dentro de su ámbito.

La ley propuesta establece qué hacer y qué no hacer para todas las empresas que manejan datos. Entonces, para cumplir con la ley, las nuevas empresas deben repensar cómo recopilan, almacenan, usan y comparten datos. Deben adoptar un enfoque de 'privacidad por diseño', es decir, integrar la privacidad en el diseño mismo de su sistema o sistemas y garantizar su seguridad. También deberán crear procesos para gestionar las solicitudes de los usuarios que deseen ejercer determinados derechos en relación con sus datos. Además de esto, requiere desarrollar la capacidad técnica para compartir los datos con el gobierno con fines de formulación de políticas, obtener certificaciones para su hardware y software y almacenar localmente datos confidenciales, entre otras cosas. Estos cambios traen consigo importantes costos de cumplimiento que las empresas deberán tener en cuenta y es esencial que las nuevas empresas tengan suficiente tiempo para cumplir con la ley propuesta.

Además de los cambios al texto del proyecto de ley de 2019, la JPC también plantea recomendaciones generales como tratar las plataformas de redes sociales como editores de contenido, hacer cumplir la verificación obligatoria de los usuarios de las redes sociales, formular una política estricta de localización de datos, entre otras. Si bien es posible que las recomendaciones generales no se traduzcan en una acción regulatoria inmediata, pueden impulsar el pensamiento del gobierno a largo plazo. Es importante que las nuevas empresas se comprometan con estas recomendaciones para que tengan una idea de lo que podría deparar el futuro de la regulación.

Para ayudar a las nuevas empresas a comprender el impacto de la ley propuesta, Ikigai Law está organizando una mesa redonda virtual: " Unscramble: Impacto de la ley de protección de datos de la India en las nuevas empresas ", el 24 de febrero de 2022 a las 3 p.m. IST. Algunos de los temas que se profundizarán durante la sesión incluyen el intercambio obligatorio de datos no personales con el gobierno, restricciones en el flujo transfronterizo de datos, la divulgación de la imparcialidad de los algoritmos y el desafío general de cumplimiento para las nuevas empresas.

Aplicar aquí para asistir

Impacto de incluir datos no personales en una ley de privacidad

El Proyecto de Ley DP busca regular los datos no personales ( NPD) en el ámbito de un marco de protección de datos personales. Otorga al gobierno central amplios poderes para acceder a NPD para formular políticas para la economía digital y faculta a la Autoridad de Protección de Datos (DPA) para investigar violaciones de NPD.

Pero, ¿por qué debería importar esto a las nuevas empresas?

Se prevé que NPD incluya una amplia variedad de datos, incluidos datos que no contienen información de identificación personal, datos anónimos y datos que nunca tuvieron ningún vínculo con datos personales, como datos meteorológicos, datos geoespaciales, datos de telemetría, datos de viajes. etc. Las empresas invierten recursos técnicos y financieros para obtener valor de NPD al someterlo a herramientas de procesamiento y análisis de datos. Dichos datos incluyen datos sin procesar (datos recopilados en la fuente), datos inferidos, información comercial clave (que es de naturaleza patentada).

Permitir que el gobierno acceda a datos patentados podría interferir con los derechos de propiedad intelectual ( IP ) de las empresas sobre sus conjuntos de datos. Esto también podría afectar a las empresas emergentes que dependen de los conocimientos de los datos para obtener una ventaja competitiva en el mercado. Exigir a las empresas que renuncien a NPD podría disuadirlas de invertir en recopilación, agregación, almacenamiento y análisis de datos. Puede obstaculizar la innovación, impedir el desarrollo del mercado de datos e impedir que las empresas experimenten con datos y otros activos relacionados con datos.

El objetivo de regular los datos personales es asegurar la privacidad individual, y el de regular el NPD es extraer valor económico. Es probable que regular los datos personales y el NPD bajo un mismo paraguas diluya ambos objetivos.

Desafíos de incertidumbre y cumplimiento

El proyecto de ley DP, al igual que el proyecto de ley de 2019, clasifica los datos como datos personales confidenciales y datos personales críticos. Los datos confidenciales incluyen una lista no exhaustiva de información procesada de forma rutinaria, como datos financieros, datos de salud, datos genéticos y más. Los datos personales críticos aún no han sido definidos por el gobierno. El procesamiento de datos confidenciales conlleva obligaciones de cumplimiento más estrictas, incluido el requisito de obtener el consentimiento explícito de los usuarios.

La naturaleza excesivamente amplia de los datos confidenciales y críticos, y la capacidad del gobierno para notificar categorías adicionales, podría generar incertidumbre. Podría dificultar que las nuevas empresas evalúen cómo clasificar los datos y cómo vincular los cumplimientos para diferentes categorías.

A diferencia de las leyes de protección de datos de otras jurisdicciones, la ley india propuesta se centra en gran medida en el consentimiento del usuario como base legal para procesar los datos. La ley propuesta requeriría que las empresas obtengan el consentimiento incluso para operaciones de rutina como la mejora del producto, la corrección de errores, etc., lo que generaría un exceso de notificaciones y fatiga de consentimiento para los usuarios. También crea dos estándares, consentimiento y consentimiento explícito, sin una explicación clara de la diferencia entre los dos, lo que aumenta la incertidumbre.

El regulador de datos propuesto tendrá el poder de designar a cualquier fiduciario de datos (nuestro equivalente a lo que el RGPD llama "controladores de datos", entidades que deciden el propósito y los medios de recopilar datos) como un fiduciario de datos significativo (SDF), según ciertos criterios. . Esto incluye el volumen y la sensibilidad de los datos procesados, el uso de nuevas tecnologías, el procesamiento de datos de niños, las empresas de redes sociales por encima de un cierto umbral de usuarios, entre otros.

Los SDF han aumentado los requisitos de cumplimiento, como la realización de evaluaciones de impacto de protección de datos y el nombramiento de oficiales de protección de datos. Las fintech que procesan datos financieros, y cualquier startup que utilice nuevas tecnologías, permanecerán al tanto de su clasificación como SDF.

Además, en un esfuerzo por crear salvaguardas adicionales para proteger los datos de los niños, la ley exige que todas las empresas en línea establezcan límites de edad en sus servicios de alguna manera. Sin embargo, la guía sobre los estándares de las técnicas de control de edad solo vendrá del regulador en una etapa posterior, lo que dificulta la planificación del cumplimiento.

Los requisitos de almacenamiento local podrían afectar la competitividad de las empresas emergentes

Una gran cantidad de nuevas empresas indias dependen de las transferencias de datos transfronterizas, por ejemplo, para utilizar los servicios de proveedores de servicios en la nube ubicados fuera de la India. Las disposiciones que impiden el libre flujo de datos crearán dificultades para las nuevas empresas, que no podrán acceder a tecnologías e infraestructura rentables y de primera clase. Además, los requisitos de almacenamiento local podrían representar obstáculos para las nuevas empresas de tecnología profunda (AI/ML, análisis de datos) con ambiciones de atender a los consumidores de todo el mundo.

El proyecto de ley de 2019 ya impuso varias restricciones a las transferencias de datos transfronterizas. El JPC, en el proyecto de ley DP, ha propuesto obstáculos burocráticos adicionales en las transferencias de datos, como requerir la aprobación del gobierno central para las transferencias de conformidad con un contrato o esquemas intragrupo.

El libre flujo de datos actúa como un ecualizador, lo que permite a las empresas emergentes competir globalmente en precio y calidad, independientemente de su tamaño. Por otro lado, las restricciones desproporcionadas en las transferencias de datos podrían cerrar el acceso a servicios más baratos y tecnología de punta que ofrecen las plataformas globales en la nube y los mercados internacionales para nuevas empresas.

Revelar la 'equidad' de los algoritmos y los secretos comerciales podría afectar los derechos de propiedad intelectual de las empresas emergentes

La ley propuesta requiere que las entidades compartan información sobre la 'equidad del algoritmo' con el regulador de datos. Esto es para garantizar la transparencia en el procesamiento y evitar el mal uso de los algoritmos. No está claro qué significa 'equidad' o cuánta información se requeriría divulgar. También podría tener implicaciones para los derechos de propiedad intelectual de una empresa, especialmente si el regulador interpreta que el algoritmo significa código fuente algorítmico.

El proyecto de ley DP también permite que una persona solicite a las empresas que transfieran sus datos personales a sí mismos oa otra empresa. El alcance de los datos personales que se pueden transferir es amplio, ya que incluye los datos generados en el curso de la prestación de servicios a los usuarios y cualquier dato que forme parte de cualquier perfil de los usuarios. Esto podría incluir información comercial confidencial.

Si bien el proyecto de ley de 2019 permitió a las empresas rechazar estas solicitudes, si fuera necesario para proteger los secretos comerciales, el JPC sugiere eliminar la exención del secreto comercial, exponiendo la información comercial confidencial de la empresa a los competidores. Dado que las nuevas empresas dependen significativamente de sus fosos de datos para mantener la competitividad, esto podría perjudicar sus perspectivas de crecimiento.

Más Certificaciones

El proyecto de ley DP también propone establecer un régimen de certificación y prueba para el software y el hardware de los dispositivos informáticos para evitar la fuga de datos o la amenaza a la seguridad nacional en los dispositivos digitales. Esto podría conducir a la creación de nuevos estándares de hardware/software, además de los estándares locales y globales existentes. Esto puede interrumpir las operaciones de producción y solo será una carga para las nuevas empresas, que pueden tener que modificar sus sistemas de hardware y software, lo que resulta en un aumento de los costos.

Entonces, ¿qué sigue?

Aunque el informe de JPC recomienda que el regulador de datos tenga en cuenta los intereses de las nuevas empresas y las pequeñas empresas para fomentar la innovación, los cumplimientos inciertos, los estrictos requisitos de almacenamiento local, entre otras cosas, podrían frustrar esta intención. Por lo tanto, es crucial comunicar las preocupaciones de las nuevas empresas al gobierno, mientras delibera sobre el proyecto de ley DP.

Con este fin, Ikigai Law invita a todas las partes interesadas del ecosistema a discutir el impacto del marco de protección de datos personales propuesto en una mesa redonda virtual: Unscramble: Impact Of India's Data Protection Framework For Startups el 24 de febrero de 2022 a las 3 p.m. IST.

Reserve sus tragamonedas ahora