Bagaimana Undang-Undang Perlindungan Data yang Diusulkan Akan Mempengaruhi Startup Anda?

Komite Parlemen Gabungan (JPC) baru-baru ini mengajukan laporan tentang RUU Perlindungan Data Pribadi, 2019 (RUU 2019) merekomendasikan perluasan ruang lingkup undang-undang untuk membawa data non-pribadi (NPD) dalam lingkupnya, mengungkapkan keadilan algoritme, dan banyak lagi. Setelah undang-undang tersebut diperkenalkan, perusahaan rintisan akan diminta untuk memikirkan kembali praktik penanganan data mereka, dengan memperhitungkan biaya kepatuhan yang signifikan.

Untuk membantu para pemain dari ekosistem startup memecahkan kode dampak undang-undang perlindungan data yang diusulkan, Ikigai Law menyelenggarakan diskusi virtual interaktif, ' Unscramble: Impact of India's Data Protection Law on Startups ', pada 24 Februari.

Diskusi ini melibatkan partisipasi luas dari komunitas startup dengan perwakilan dari perusahaan fintech, edtech, healthtech, ecommerce, dan layanan AI terkemuka.

Dipimpin oleh Sreenidhi Srinivasan, associate utama di Ikigai Law, diskusi tersebut mengungkap dampak RUU 2019 pada startup. Ini menyentuh tantangan untuk mengkategorikan kumpulan data menjadi data pribadi dan NPD, bagaimana kepatuhan terhadap hukum dapat menghambat startup untuk berkembang, implikasi IPR dari pengungkapan tertentu, antara lain.

Mengatur NPD Dan Data Kepemilikan Lainnya Seperti Meminta Coke Untuk Mengungkapkan Formula 'Rahasia'-nya

Undang-undang perlindungan data pribadi telah bekerja selama hampir lima tahun sekarang. Sepanjang jalan, pemerintah menangkap gagasan untuk memanfaatkan data/informasi bisnis (NPD) yang dianonimkan untuk mendapatkan nilai ekonomi darinya. Saat ini, undang-undang mengusulkan untuk mengatur data pribadi dan NPD. Ini memungkinkan pemerintah pusat untuk mengarahkan perusahaan untuk berbagi NPD untuk tujuan pembuatan kebijakan. Sreenidhi mencari pandangan tentang cakupan undang-undang yang diperluas, kebutuhan untuk mengatur NPD, dan dampaknya terhadap startup yang mengandalkan parit data untuk keunggulan kompetitif mereka.

Ashutosh Senger, penasihat utama Florence Capital (platform pinjaman), berbicara tentang bagaimana dimasukkannya NPD adalah langkah menuju penyeimbangan akses ke data, tetapi keunggulan kompetitif yang disediakan oleh aset data eksklusif tidak dapat diabaikan. Mengisyaratkan perlunya menyeimbangkan kepentingan pemerintah dalam memanfaatkan NPD untuk tujuan sosial ekonomi dengan hak kekayaan intelektual (IP) bisnis, ia mengatakan “bagaimana kita memajukan kepentingan negara serta seluruh ekosistem atau lingkungan kewirausahaan dan inovasi.”

Manuj Garg, salah satu pendiri MyUpchar (platform perawatan kesehatan), menambahkan bahwa data adalah 'mata uang utama' untuk semua startup. “Segala sesuatu yang Anda hasilkan dari pekerjaan yang telah Anda lakukan adalah kekayaan intelektual Anda. Itulah yang memberi Anda keuntungan di pasar dan memungkinkan Anda melakukan apa yang Anda lakukan. Mengatakan bahwa data ini harus dipublikasikan, pada dasarnya membunuh bisnis.”

Ada ketentuan lain di bawah undang-undang yang diusulkan yang dapat merugikan hak IP bisnis, seperti meminta mereka untuk mengungkapkan 'kewajaran' algoritme. Belum ada ambang batas untuk mendefinisikan 'keadilan', dan bahkan jika klarifikasi semacam itu muncul di masa mendatang, pengetahuan teknis tentang algoritme bukanlah pengetahuan umum.

“Ini seperti meminta Coke untuk mengungkapkan formula rahasia mereka – menghilangkan insentifnya untuk beroperasi,” tambah Garg.

Megha Nambiar, penasihat hukum senior HyperVerge (platform verifikasi identitas dan deteksi penipuan), setuju bahwa memasukkan NPD menambahkan “banyak ketidakpastian ke dalam campuran karena ini pada dasarnya adalah data pribadi yang dirambah. Dan ada elemen wajib untuk berbagi data yang lagi-lagi menjadi masalah.” Dia menyinggung kurangnya insentif untuk mempromosikan berbagi data.

Nambiar mengajukan beberapa pertanyaan ke ruangan tersebut, dan bertanya-tanya apakah pembagian data semacam itu dapat dilakukan secara sukarela dan bagaimana hal ini akan dihargai, dihargai, dan dibagikan.

Sruthi Srinivasan, penasihat hukum Uni Cards, setuju dengan pembicara sebelumnya dan mempertanyakan perlunya mengatur kumpulan data turunan/anonim.

Startup Akan Menghadapi Tantangan Besar Dalam Cara Penyusunan Undang-Undang yang Diusulkan

Menjelang undang-undang tersebut, bisnis harus meninjau kembali kebijakan terkait data mereka dan menyesuaikan anggaran mereka untuk mematuhi undang-undang tersebut. Sreenidhi mencari pandangan tentang tantangan kepatuhan yang diantisipasi perusahaan.

Aditya Shamlal, kepala hukum Zeta (startup fintech), mengatakan undang-undang dalam bentuknya saat ini adalah 'kepatuhan yang berat'. Dan bahwa “gigi sebenarnya dari undang-undang ini akan ditunjukkan dalam peraturan dan kode praktik yang dikeluarkan tentang hal-hal seperti privasi dengan desain, hak untuk dilupakan, dan banyak lagi. Sampai peraturan itu muncul, Anda beroperasi di ruang yang samar-samar, di mana Anda membuat tebakan berdasarkan pengalaman Eropa seperti GDPR.” Dia percaya bahwa startup data centric yang lebih baru akan kesulitan memasuki pasar dan berkembang ketika undang-undang tersebut mulai berlaku.

Direkomendasikan untukmu:

Sumber daya

Bagaimana Kerangka Kerja Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India

Amit Daso

31 Juli 2022

Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Jaspreet K.

31 Juli 2022

Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Vaibhav S.

31 Juli 2022

Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Charnya L.

31 Juli 2022

Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Ankush S.

31 Juli 2022

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Tapanjana R.

31 Juli 2022

Peserta juga membahas interaksi antara regulator sektoral dan regulator data yang akan datang. Sruthi dari Uni Cards, mencatat bahwa banyak entitas yang diatur di ruang fintech sudah memasukkan hak untuk menarik persetujuan (dibayangkan di bawah undang-undang perlindungan data yang diusulkan) dalam praktik data standar mereka. Dia bertanya-tanya bagaimana penarikan persetujuan akan dimainkan di ruang yang diatur di mana pemain perlu menyimpan set data sebagai log data di sistem mereka untuk ditampilkan untuk tujuan audit.

Sruthi mengatakan bahwa regulator harus berurusan dengan pertanyaan tentang kuantum informasi yang dapat ditarik dan disimpan. “Di masa depan pelanggan dapat mendekati entitas yang diatur dan meminta penghapusan lengkap informasi mereka dari sistem. Namun, sebagai platform pinjaman, RBI mengharuskan Anda untuk menyimpan informasi itu untuk memvalidasi fakta bahwa Anda telah bergabung dengan pelanggan ini, ”katanya.

Vinita Varghese, kepala hukum, Urban Company (platform layanan ahli hyperlocal), setuju dengan Sruthi dan menambahkan bahwa, “Ketika Anda berbicara tentang menerapkan undang-undang seperti yang saat ini dirancang, itu adalah investasi biaya dan waktu untuk startup dan organisasi yang lebih kecil, sedangkan untuk organisasi besar — ​​yang belum memulai proses ini — ini adalah pekerjaan yang sangat mengerikan.”

Dia mengatakan undang-undang yang diusulkan mengharuskan perusahaan, terlepas dari ukurannya, untuk membuat inventaris data agar dapat memasukkan data ke dalam kategori yang berbeda. Ini bukan latihan hukum yang ketat karena akan melibatkan setiap vertikal dalam organisasi. Varghese juga mengatakan untuk memungkinkan perusahaan rintisan mematuhi hukum akan membutuhkan kesadaran dan pendidikan di tingkat lintas fungsi.

Berdasarkan masalah ini, Garg membahas bagaimana rata-rata salah satu pendiri tanpa keahlian hukum, akan berjuang dengan membongkar apa yang dimaksud dengan data pribadi, data pribadi sensitif dan penting dan termasuk. Dengan kategori data yang berbeda, datanglah ambang batas persetujuan yang berbeda (kewajiban yang lebih tinggi untuk mendapatkan persetujuan eksplisit jika ada data sensitif). Dia menyebutkan bagaimana di bawah pedoman telemedicine, jika pasien memulai konsultasi, aplikasi tidak perlu mengambil persetujuan eksplisit dari pasien. Tetapi di bawah undang-undang data yang diusulkan, “tidak jelas bagaimana persetujuan eksplisit akan dikelola.” Garg juga menunjukkan ambiguitas dalam memperoleh sertifikasi perangkat keras perangkat lunak (yang diperkenalkan untuk menjaga integritas data), dan kebutuhan untuk meninjau kembali sertifikasi tersebut ketika perangkat lunak diperbarui.

Panduranga Acharya, penasihat umum dari Girnarsoft.com (penyedia solusi TI), mengatakan bahwa “Kepatuhan tidak sulit, itu bisa mahal.”

Dia menyerukan dimasukkannya ambang batas untuk mengecualikan usaha kecil dari persyaratan kepatuhan yang lebih mahal. Acharya juga mengidentifikasi kesulitan dengan standar persetujuan yang berbeda untuk kategori data yang berbeda. Dia mengatakan bahwa “Kategorisasi seperti data sensitif, kritis, non-sensitif akan mengarah pada multiplisitas persetujuan atau akankah diperlukan mekanisme persetujuan tingkat bipolar. Menyebarkan mekanisme persetujuan semacam itu bisa sangat sulit untuk bisnis apa pun.”

Pengamanan yang Ditingkatkan untuk Data Anak-anak Berbiaya Besar untuk Bisnis Edtech

Sachin Ravi, salah satu pendiri Qshala (platform edtech), berbicara tentang bagaimana China dan India bekerja pada kebijakan untuk mengatur sektor edtech. Dia mencatat bahwa mendefinisikan anak-anak sebagai siapa pun di bawah 18 tahun mengkhawatirkan beberapa pemain di sektor ini. Dia mengatakan bahwa “panduan yang datang dari pemerintah untuk edtech tentang bagaimana data dapat dimainkan” dapat bermanfaat.

Shatakrutu Saha, penasihat hukum di KidsChaupal (platform edtech), mengatakan bahwa karena alasan untuk menetapkan usia pada 18 berasal dari ketentuan dalam Undang-Undang Kontrak India dan Undang-Undang Mayoritas, kemungkinan tidak akan diubah. Namun, dia mencatat bahwa Undang-Undang Keadilan Remaja memahami usia mayoritas secara berbeda.

Saha berbagi wawasan menarik tentang bagaimana seorang India berusia 16 tahun mengalahkan juara catur dunia Magnus Carlsen, “Bayangkan jika anak ini dibatasi oleh persetujuan walinya, yang menentang keputusan anak berbakat ini tentang kursus mana yang akan diambil secara online—itu adalah skenario kasus yang bermasalah.” Dia juga berbicara tentang perbedaan pendekatan antara India dan kerangka global lainnya seperti UE, yang mendefinisikan seorang anak sebagai siapa saja yang berusia antara 13-16 tahun.

Kurangnya kejelasan tentang mekanisme pembatasan usia dan ketentuan persetujuan orang tua juga dibahas. Ravi dari Qshala mengatakan bahwa orang tua dapat mengeksplorasi pembuatan akun pseudonim untuk anak-anak daripada memberikan informasi pribadi. Namun, pertanyaan tetap ada tentang modalitas menggunakan data anonim untuk membuat konten dan memberikan layanan kepada pengguna dewasa dan anak-anak. Saha dari KidsChaupal mencatat bahwa pembatasan usia dapat berbasis risiko, menjelaskan bahwa tindakan tersebut diterapkan untuk produk dan layanan yang menargetkan kelompok usia dan demografi tertentu seperti aplikasi kencan dan game online. Dalam aplikasi dan layanan ini, pembatasan usia dilakukan untuk melindungi anak di bawah umur dari risiko yang terkait dengan layanan tersebut.

Saha menambahkan bahwa penerapan fitur baru dapat memicu definisi kerugian atau pelacakan dalam undang-undang yang diusulkan. Larangan menyeluruh untuk melacak/membuat profil data anak-anak dan definisi luas tentang bahaya dapat menciptakan gesekan antara desain produk dan tim hukum di perusahaan rintisan edtech

Undang-Undang yang Diusulkan Harus Dapat Dioperasikan dengan Kerangka Global Untuk Mendorong Ekonomi Data India

Sreenidhi bertanya kepada ruangan apakah mereka merasa bahwa undang-undang yang diusulkan mempromosikan interoperabilitas dengan kerangka data global dan bagaimana kepatuhan terhadap undang-undang tersebut dapat berdampak pada akses ke pasar global.

Neelakshi Gupta, Rekan Hukum di Qure.ai (platform teknologi kesehatan), mengajukan beberapa pertanyaan terkait kepatuhan global — dia bertanya, “Apa yang dimaksud dengan transfer data lintas batas? Kapan Klausul Kontrak Standar (SCC) baru akan berlaku? Jika kami menandatangani SCC dengan pelanggan kami, dapatkah kami mengatakan bahwa kami mematuhi penilaian Schrems II ?”

Dalam hal strategi kepatuhan global, Nambiar dari HyperVerge mengatakan bahwa langkah menuju pelokalan data di beberapa kerangka perlindungan data secara global mengkhawatirkan karena bisnis melibatkan vendor di geografi yang berbeda. Dia mengatakan bahwa “jika kita melihat pelokalan data menjadi lebih dari tren global, maka memiliki pusat data lokal di masing-masing wilayah ini akan menjadi sangat mahal bagi kita.”

Varghese dari Urban Company setuju bahwa ketentuan pelokalan data akan menciptakan tantangan kepatuhan karena negara yang berbeda tampaknya memiliki ambang batas yang berbeda untuk pelokalan. Dia mengatakan bahwa standar emas untuk pelokalan data dapat dikembangkan yang ramah bisnis dan kompatibel di seluruh yurisdiksi.

Langkah Selanjutnya Untuk Terlibat Dengan Kekhawatiran Startup

Biaya kepatuhan dan kurangnya kejelasan seputar ketentuan tertentu menjadi perhatian utama bagi perusahaan rintisan. Tujuan pemerintah untuk memposisikan India sebagai pemain utama dalam ekonomi digital harus disertai dengan rezim perlindungan data yang memungkinkan. Ini harus memungkinkan startup untuk meningkatkan dan memasuki pasar global.

Saat ini, Kementerian TI sedang membahas rekomendasi dari JPC dan telah mengakui tantangan kepatuhan yang datang dengan hukum. Ini adalah peluang besar bagi perusahaan rintisan dan usaha kecil untuk terlibat dengan pembuat kebijakan dan menyerukan konsultasi publik yang lebih luas tentang hukum dan bekerja menuju solusi yang saling menguntungkan.

*Kutipan telah diedit dan disempurnakan agar sesuai dengan artikel dan konteksnya.

*Artikel ini telah ditulis bersama oleh Shrinidhi Rao dan Kanupriya Grover, rekanan di Ikigai Law