In che modo il disegno di legge sulla protezione dei dati dell'India influirà sui prestiti e sulla fintech?
Pubblicato: 2020-07-05I prestatori raccolgono, elaborano e analizzano una serie di dati sui clienti durante tutto il ciclo di vita di un prestito
Il passaggio preliminare di qualsiasi operazione di prestito è il processo Know-Your-Customer (KYC).
Il disegno di legge PDP obbliga ogni fiduciario dei dati a costruire un solido sistema di privacy per l'archiviazione e l'elaborazione dei dati personali
Efficaci salvaguardie della privacy dei dati sono oggi diventate un'importante fonte di vantaggio competitivo nell'era moderna, poiché i consumatori hanno iniziato a preferire sempre più trattare con organizzazioni che diano loro una parvenza di controllo sui propri dati.
Inoltre, i singoli consumatori sono oggi più che mai consapevoli dei propri diritti in merito ai propri dati personali. Questa consapevolezza è stata catalizzata da un movimento globale per discutere, rifiutare o adottare nuove leggi per proteggere i dati personali. Anche l'India dovrebbe approvare un regolamento che disciplina i dati personali quest'anno.
Mentre leggiamo il disegno di legge 2019 sulla protezione dei dati personali (PDP) dell'India, diventa evidente che i prestiti di banche, NBFC e società fintech new age sono destinati a essere influenzati da una combinazione di clausole di conformità incluse nel progetto di legge.
Partiamo dal riconoscimento che l'acquisizione dei dati è centrale nell'operazione di prestito. I prestatori raccolgono, elaborano e analizzano una serie di dati sui clienti durante tutto il ciclo di vita di un prestito. Ciò aiuta l'ente che concede il prestito a valutare il rischio e ad offrire servizi personalizzati adattati alle esigenze del richiedente il prestito.
Per rimanere conformi, questi fiduciari dei dati devono assicurarsi di comprendere le norme di conformità e i diritti dei titolari dei dati (o dei proprietari dei dati). Di seguito, esploriamo i diritti sui dati proposti nella bozza di legge che si traducono direttamente in aree di conformità durante il processo di prestito.
I diritti primari che incidono sulla conformità per i prestatori sono spiegati di seguito:
| Diritto del titolare dei dati | Definizione |
| Consenso informato | I dati personali saranno trattati solo previo esplicito consenso prestato dal titolare del trattamento all'inizio del trattamento. Pertanto, i prestatori non possono presumere il consenso implicito per l'elaborazione dei dati dei clienti. |
| Scopo specifico | I dati personali saranno raccolti solo nella misura necessaria alle finalità del trattamento. Ciò significa che non può essere raccolto per motivi non noti o dichiarati. |
| Cancellazione dei dati | I dati personali devono essere cancellati una volta raggiunta la finalità per la quale sono stati condivisi. Il titolare del trattamento ha il diritto di chiedere la cancellazione dei propri dati personali. |
| Portabilità dei dati | Quando il trattamento dei dati personali è effettuato con modalità automatizzate, il titolare del trattamento ha diritto di ricevere copia dei propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. |
Questi diritti incidono sui diversi tipi di dati raccolti nelle diverse fasi del processo di prestito. Sebbene RBI e SEBI debbano ancora rilasciare linee guida separate e dettagliate per il settore fintech, possiamo ragionevolmente anticipare l'impatto del disegno di legge PDP sulla conformità come di seguito:
Processo KYC
Il passaggio preliminare di qualsiasi operazione di prestito è il processo Know-Your-Customer (KYC). I documenti di base richiesti per questo sono (a) prova di identità e (b) prova dell'indirizzo. Questo è già un processo basato sul consenso .
Le clausole del progetto di legge che possono influenzare il processo KYC sono:
- Limitazione di conservazione: dopo il rimborso del prestito, il mandante dei dati può richiedere la cancellazione di tutti i dati KYC
- Portabilità dei dati: con l'adozione di eKYC e VideoKYC, l'elaborazione automatizzata sta diventando comune. Il fiduciario dei dati deve conservare una copia dei dati nel caso sia richiesto dal titolare dei dati
Sottoscrizione del credito
Nell'ambito del processo di sottoscrizione del credito vengono esaminate numerose fonti di dati. Questi possono essere suddivisi in:
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
Fonti pubbliche
Ciò include articoli di notizie su un cliente, profili di social media pubblici ecc. Poiché questa categoria di dati personali è pubblica, i prestatori non devono preoccuparsi della non conformità.
Fonti private
Ci sono un certo numero di fonti private che possono essere raschiate per la sottoscrizione di crediti. Qui ne discutiamo alcuni che sollevano la preoccupazione della conformità.
Lettura SMS
Questo metodo di valutazione del credito è notevolmente nuovo e richiederebbe un consenso esplicito per il trattamento. È ancora da determinare se il consenso dovrebbe essere preso da entrambe le parti associate allo scambio di SMS.
Pull basato sull'accesso alla banca
Per valutare la storia finanziaria di una persona, molti istituti di credito eseguono un pull basato sull'accesso alla banca. A parte il fatto che è necessario il consenso esplicito per accedere a questa fonte di dati, la questione qui è se ciò costituirebbe una violazione della fiducia del fiduciario dei dati (della banca) e se sarebbe richiesto anche il consenso da parte di questi.
Pull basato sull'accesso tramite e-mail
A volte i candidati devono fornire le credenziali di accesso a un'origine dati come un account di posta elettronica personale. Fino ad ora è stato solitamente richiesto il permesso esplicito perché ciò seguisse, ma non sempre. Con la fattura in vigore, lo scaping basato sull'accesso e-mail dovrebbe essere basato al 100% sul consenso.
Accesso all'ufficio crediti
I prestatori sono spesso obbligati a condividere i dati personali di un cliente con agenzie di credito e altre terze parti durante la manutenzione di un prestito. Secondo le disposizioni del disegno di legge, le transazioni, i dettagli delle società coinvolte e la giustificazione di questo trasferimento di dati devono essere spiegati dagli istituti di credito ai propri clienti.
Sebbene il credit scoring sia una " eccezione per finalità ragionevoli" nella fattura che consente il trattamento dei dati personali senza consenso, non è certo se conceda un'eccezione al diritto alla cancellazione dei dati. La memorizzazione delle informazioni di identificazione personale (PII) implica che un titolare dei dati può richiederne la cancellazione completa.
Tipi di dati non tradizionali
Le società di presidenza erano precedentemente incaricate dal Credit Information Companies (Regulation) Act (CIC Act), che non consente alle agenzie di credito di utilizzare dati alternativi per generare punteggi di credito. Solo i dati del conto prestito del sistema bancario principale potrebbero essere utilizzati dalle agenzie di credito.
Ciò includeva la cronologia degli inadempimenti, l'entità degli inadempimenti e il tempo di rimborso dei prestiti. Con un numero crescente di fonti di dati, è ancora da stabilire se le fonti alternative siano consentite dalla nuova proposta di legge. E come si applicherebbero le norme di conformità al loro trattamento. Potenzialmente, tali fonti potrebbero essere:
- Google Places/ Yelp
- Processori di pagamento
- Piattaforme di e-commerce
- Spedizionieri
Privacy in base alla progettazione
Il disegno di legge obbliga ogni fiduciario dei dati a costruire un solido sistema di privacy per l'archiviazione e l'elaborazione dei dati personali. Un sistema di protezione dei dati dovrebbe essere implementato fin dall'inizio. Questa politica “Privacy by Design” è un requisito obbligatorio e deve essere certificata dal Garante per la Protezione dei Dati Personali. La politica deve essere pubblicata sul sito web dell'organizzazione e dell'autorità.
Sanzioni
L'inosservanza è passibile di sanzione. Questa sanzione potrebbe arrivare fino a 15 crore rupie o al 4% del fatturato mondiale totale di un fiduciario di dati dell'anno finanziario precedente, a seconda di quale sia il più alto. È quindi indispensabile che le società e le banche fintech inizino a prepararsi per queste misure di conformità.
Dissenso dai finanziatori
Il disegno di legge nella sua forma attuale riconosce tutte le forme di dati finanziari personali come "dati personali sensibili". Questa definizione di dati personali sensibili nel disegno di legge è restrittiva e solleva preoccupazioni per gli istituti di credito. La Digital Lenders Association of India (DLAI) aveva presentato raccomandazioni per ridurre le potenziali restrizioni imposte dal disegno di legge.
Per rendere il processo di prestito meno soggetto a frodi, i prestatori devono accedere ad aspetti dei dati dei consumatori. Ciò include la storia creditizia, la posizione finanziaria e alcuni dati alternativi dei clienti. In base alle disposizioni dell'attuale disegno di legge PDP, questo processo diventerebbe noioso. Sebbene le norme di conformità siano necessarie per la protezione dei dati personali, tale definizione danneggerà inavvertitamente l'operazione di prestito.
Conclusione
Il settore bancario e fintech ha bisogno di una chiara checklist di conformità. C'è poca comprensione quando si tratta di come l'attuale disegno di legge influirà sulla conformità per i processi incentrati sui dati come il prestito. Questo perché non sono ancora state rilasciate norme specifiche per lo spazio fintech. La RBI e il governo dovranno elaborare linee guida per il settore per garantire che la funzione e la conformità non siano in contrasto.