Il progetto di legge sulla protezione dei dati personali 2018 (disegno di legge PDP) è di pubblico dominio e sta generando molti dibattiti, critiche e feedback da varie parti interessate. Il disegno di legge avrà un impatto di vasta portata su tutti gli aspetti di un'azienda, inclusi la raccolta, l'elaborazione, l'archiviazione e i trasferimenti di dati transfrontalieri.

Inc42, insieme allo studio legale di Delhi Ikigai Law (precedentemente TRA Law), sta avviando un dialogo sull'impatto del disegno di legge sulle startup. "The Dialogue: A Roundtable Discussion" fornirà una piattaforma per far sentire la tua voce da coloro che fanno la politica e svolgono un ruolo attivo nel plasmare come questo disegno di legge influenzerà l'ecosistema indiano.

Invitiamo tutte le startup, gli investitori e gli altri stakeholder dell'ecosistema delle startup indiane a venire ad arricchire la tavola rotonda.

Compila questo modulo per partecipare alla discussione

I dati sono supremi. Indipendentemente dalla tecnologia che stai sfruttando - intelligenza artificiale, IoT, blockchain, analisi dei big data, soluzioni basate su SaaS o deeptech - se sei una startup tecnologica in India, probabilmente sei coinvolto nella raccolta o nel funzionamento dei dati.

Con l'obiettivo di regolamentare il modo in cui i dati degli utenti indiani dovrebbero essere gestiti, elaborati e trasferiti oltre confine dai fiduciari dei dati, il 27 luglio un comitato di esperti di 10 membri presieduto dall'ex giudice della Corte suprema BN Srikrishna ha presentato la sua relazione e una bozza sulla protezione dei dati personali Progetto di legge, 2018. Il comitato è stato precedentemente incaricato dal governo centrale di creare un quadro completo per la protezione dei dati in India.

Il progetto di legge PDP impone il mirroring o la localizzazione dei dati in tempo reale (il che significa che almeno una copia di tutti i dati personali degli utenti deve essere archiviata in India), il che aumenterà i costi per le aziende. Le startup dovranno condurre revisioni periodiche delle loro pratiche di sicurezza e valutazioni dell'impatto sulla protezione dei dati.

Il progetto di legge PDP prescrive anche sanzioni pesanti e persino un elenco di reati penali non soggetti a cauzione e riconoscibili per violazione della legge e vuole che tutti i grandi fiduciari dei dati nominino responsabili della protezione dei dati.

Oltre a ciò, propone la creazione di un'Autorità per la protezione dei dati (DPA) con poteri generali per affrontare tutte le questioni relative ai dati nel paese, il che potrebbe comportare la ricreazione dell'ex "License Raj" nel settore tecnologico .

Tutte queste disposizioni rischiano di disincentivare l'innovazione e incentivare l'era del raj delle licenze.

Mentre la maggior parte delle aziende mantiene una sorta di salvadanaio e sono in grado di assumere funzionari per la protezione dei dati per affrontare le questioni legali, la maggior parte delle startup indiane gestisce "salvadanaio" raccolto dai propri investitori e non ha fondi da spendere continuamente per gli adempimenti legali.

Allora, qual è la strada da seguire per le startup? Quali sono i passi essenziali da compiere nel periodo di transizione per assicurarsi che siano preparati quando il disegno di legge sarà implementato?

Consentiremo ai partner dell'ecosistema di discutere e cercare le risposte.

Con The Dialogue — A Roundtable on the Draft Personal Data Protection Bill, Inc42 e Ikigai Law stanno fornendo una piattaforma per le parti interessate per discutere il disegno di legge e le sue implicazioni per le startup indiane.

Compila questo modulo per partecipare alla discussione

Localizzazione dei dati: "Effetto di raffreddamento" sulle startup

Qual è il problema più grande con il progetto di legge PDP per le startup? Localizzazione dei dati e costi che ne derivano per le aziende. Tuhina Joshi, Associate, Ikigai Law spiega che, secondo un rapporto McKinsey, l'80% delle startup tecnologiche in tutto il mondo sono "nate globali", utilizzando clienti, finanziamenti e fornitori stranieri sin dal primo giorno. Si stima che l'interruzione dell'accesso ai servizi di cloud computing globali, attraverso la localizzazione, costringerà le aziende locali in Brasile e nell'UE a pagare dal 10,5 al 62,5% in più per alcuni servizi di cloud computing.

Aggiunge: "L'applicazione dei requisiti di localizzazione dei dati aumenterebbe enormemente i costi operativi per le startup, poiché dovrebbero investire in data center locali. Ciò avrebbe un effetto raggelante sull'innovazione da parte delle startup avviate, imponendo un'elevata barriera all'ingresso per i nuovi operatori locali in un'ampia gamma di settori nel mercato indiano".

Sebbene la localizzazione dei dati sia in gran parte vista come un livello aggiuntivo per la protezione dei dati indiani introdotto dai think tank filogovernativi, Pooja Sareen, caporedattore di Inc42 Media, ritiene che un passo così grande non possa essere fatto semplicemente sotto il abito di misure di sicurezza e protezione.

"Sebbene la clausola sulla localizzazione dei dati nel disegno di legge potrebbe aiutare a guidare BharatNet e progetti simili in tutto il paese, sarà un affare costoso per le startup tecnologiche indiane che vogliono soddisfare il mercato globale", afferma Sareen.

Garante per la protezione dei dati: un'altra autorità, un altro mal di testa

Il progetto di legge sulla protezione dei dati personali propone l'istituzione di un'Autorità per la protezione dei dati (DPA) separata per implementare, regolamentare e supervisionare la protezione dei dati nel paese.

Questo non fa ben sperare per le startup poiché l'Autorità per la protezione dei dati è dotata di poteri ampi e generali per svolgere funzioni quasi esecutive, quasi legislative e quasi giudiziarie, secondo Joshi. "Ciò include l'obbligo di controlli obbligatori per tutti i dati personali da parte di revisori esterni, l'assegnazione di punteggi di fiducia pubblica, la presenza di severe sanzioni penali, onerosi obblighi di segnalazione al DPA, ecc.", afferma.

Dato che le startup di solito sono a corto di risorse come tempo, manodopera e, soprattutto, denaro che utilizzerebbero per rispettare gli adempimenti in tempo, ciò avrà implicazioni negative per le startup. Sareen afferma: "Rispettare le norme e gli ordini come indicato dal DPA sarà un compito noioso per le startup. In caso di controversie sulla GST, abbiamo visto come la Telangana Authority for Advance Ruling (AAR) e la West Bengal AAR non solo hanno emesso verdetti contrastanti, ma hanno anche utilizzato metodologie diverse per arrivare alle loro conclusioni. "

Quindi, chi trae vantaggio dal disegno di legge PDP? Difficile da dire

Il rispetto delle disposizioni del progetto di legge PDP richiederà ingenti investimenti da parte delle aziende su più fronti, che alla fine aumenteranno il costo del relativo prodotto/servizio. “Alla fine, il costo di tutta la regolamentazione ricadrà sul consumatore. In uno scenario alternativo, se l'entità regolamentata sostiene i costi, i suoi profitti saranno erosi fino a quando non sarà più redditizio o addirittura possibile rimanere in attività. Entrambi questi scenari sarebbero controproducenti per l'interesse degli utenti ", afferma Joshi.

La tavola rotonda sulla legge Inc42-Ikigai sul progetto di legge sulla protezione dei dati discuterà e cercherà risposte alle questioni sopra menzionate, tra le altre. Decodificherà anche il disegno di legge proposto per facilità di comprensione. Quindi, per ascoltarlo dagli esperti, presentare le tue opinioni e discutere con loro le tue preoccupazioni, ti invitiamo a partecipare alla prossima tavola rotonda il 7 settembre.

Compila questo modulo per partecipare alla discussione