In che modo la proposta di legge sulla protezione dei dati influirà sulla tua startup?

Il rapporto della Commissione parlamentare mista (JPC) sul progetto di legge sulla protezione dei dati personali del 2019 (disegno di legge del 2019) ha raccomandato di ampliare l'ambito di applicazione della legge per portare i dati non personali (NPD) nel suo ambito, rivelando l'equità degli algoritmi e altro ancora. Una volta introdotta, la legge richiederebbe alle startup di riconsiderare le proprie pratiche di gestione dei dati, tenendo conto dei costi di conformità significativi.

Per aiutare i giocatori dell'ecosistema delle startup a decodificare l'impatto della proposta di legge sulla protezione dei dati, Ikigai Law ha organizzato una discussione virtuale interattiva, " Unscramble: Impact of India's Data Protection Law on Startups ", il 24 febbraio.

La discussione ha visto un'ampia partecipazione da parte della comunità delle startup con rappresentanti delle principali società di servizi fintech, edtech, healthtech, e-commerce e AI.

Guidata da Sreenidhi Srinivasan, principale associato di Ikigai Law, la discussione ha svelato l'impatto del disegno di legge 2019 sulle startup. Ha affrontato le sfide della categorizzazione dei set di dati in dati personali e NPD, il modo in cui il rispetto della legge potrebbe impedire alle startup di espandersi, le implicazioni sui diritti di proprietà intellettuale di determinate divulgazioni, tra le altre.

Regolamentare NPD e altri dati proprietari è come chiedere alla coca cola di rivelare la sua formula "segreta"

La legge sulla protezione dei dati personali è in lavorazione da quasi cinque anni. Lungo la strada il governo ha colto l'idea di utilizzare dati anonimi/informazioni aziendali (NPD) per ricavarne un valore economico. Attualmente, la legge propone di regolamentare sia i dati personali che l'NPD. Consente al governo centrale di indirizzare le aziende a condividere l'NPD ai fini della definizione delle politiche. Sreenidhi ha cercato opinioni sull'ampio campo di applicazione della legge, sulla necessità di regolamentare l'NPD e sul suo impatto sulle startup che fanno affidamento sui fossati dei dati per il loro vantaggio competitivo.

Ashutosh Senger, lead counsel di Florence Capital (una piattaforma di prestito), ha parlato di come l'inclusione di NPD sia un passo verso il bilanciamento dell'accesso ai dati, ma il vantaggio competitivo fornito dalle risorse di dati proprietari non può essere ignorato. Suggerendo la necessità di bilanciare gli interessi del governo nell'utilizzare l'NPD per scopi socio-economici con i diritti di proprietà intellettuale (PI) delle imprese, ha affermato: "come promuoviamo l'interesse dello stato così come l'intero ecosistema o l'ambiente dell'imprenditorialità e dell'innovazione".

Manuj Garg, cofondatore di MyUpchar (una piattaforma sanitaria), ha aggiunto che i dati sono una "valuta chiave" per tutte le startup. “Tutto ciò che generi dal lavoro che hai svolto è la tua proprietà intellettuale. È ciò che ti dà un vantaggio sul mercato e ti permette di fare quello che stai facendo. Dire che questi dati devono poi essere resi pubblici, sostanzialmente uccide l'azienda".

Ci sono altre disposizioni nella proposta di legge che potrebbero danneggiare i diritti di proprietà intellettuale delle aziende, come chiedere loro di rivelare l'"equità" degli algoritmi. Non esiste ancora una soglia per definire l'"equità", e anche se tale chiarimento arriverà in futuro, il know-how tecnico sugli algoritmi non è di dominio pubblico.

"È come chiedere alla Coca-Cola di rivelare la loro formula segreta, togliendogli l'incentivo ad operare", ha aggiunto Garg.

Megha Nambiar, consulente legale senior di HyperVerge (una piattaforma di verifica dell'identità e rilevamento delle frodi), ha convenuto che l'inclusione di NPD aggiunge "molta incertezza nel mix perché si tratta essenzialmente di dati privati ​​​​che vengono invasi. E c'è un elemento obbligatorio nella condivisione dei dati che diventa di nuovo un problema". Ha alluso alla mancanza di incentivi per promuovere la condivisione dei dati.

Nambiar ha posto alcune domande alla stanza e si è chiesto se tale condivisione dei dati potesse essere volontaria e come sarebbe stata valutata, valutata e condivisa.

Sruthi Srinivasan, consulente legale di Uni Cards, è d'accordo con i precedenti oratori e ha messo in dubbio la necessità di regolamentare i set di dati derivati/anonimizzati.

Le startup dovranno affrontare enormi sfide nel modo in cui è strutturata la proposta di legge

Nel periodo che precede la legge, le aziende dovrebbero rivedere le proprie politiche relative ai dati e modificare i propri budget per conformarsi alla legge. Sreenidhi ha cercato opinioni sulle sfide di conformità che le aziende prevedono.

Aditya Shamlal, responsabile legale di Zeta (una startup fintech), ha affermato che la legge nella sua forma attuale è "pesante della conformità". E che “i veri denti di questa legge saranno mostrati nei regolamenti e nei codici di condotta emanati su cose come la privacy by design, il diritto all'oblio e altro ancora. Fino all'arrivo di tali normative, operi in uno spazio nebuloso, in cui fai ipotesi plausibili sulla base di esperienze europee come il GDPR". Credeva che le nuove startup incentrate sui dati avrebbero avuto difficoltà a entrare nel mercato ed espandersi quando la legge entrerà in vigore.

Raccomandato per te:

Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Amit Das

31 luglio 2022

Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Jaspreet K.

31 luglio 2022

Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Vaibhav S.

31 luglio 2022

Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

Charanja L.

31 luglio 2022

Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Ankush S.

31 luglio 2022

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Tapanjana R.

31 luglio 2022

I partecipanti hanno anche discusso l'interazione tra le autorità di regolamentazione del settore e l'imminente regolamentazione dei dati. Sruthi di Uni Cards, ha osservato che molte entità regolamentate nello spazio fintech stanno già incorporando il diritto di revocare il consenso (previsto dalla proposta di legge sulla protezione dei dati) nelle loro pratiche standard in materia di dati. Si chiedeva come si svolgerebbe la revoca del consenso in uno spazio regolamentato in cui i giocatori devono conservare i set di dati come registri di dati nel loro sistema da mostrare a fini di audit.

Sruthi ha affermato che le autorità di regolamentazione dovranno affrontare questioni sul quantum di informazioni che possono essere ritirate e conservate. “In futuro i clienti potranno rivolgersi a soggetti regolamentati e chiedere la cancellazione completa delle proprie informazioni dal sistema. Tuttavia, come piattaforma di prestito, RBI richiede che tu conservi tali informazioni per convalidare il fatto che hai inserito questo cliente", ha osservato.

Vinita Varghese, Head of Legal, Urban Company (una piattaforma di servizi di esperti iperlocali), concorda con Sruthi e ha aggiunto che: “Quando si parla di implementare la legge nel modo in cui è attualmente redatta, è un investimento di costi e tempo per le startup e organizzazione più piccola, mentre per le grandi organizzazioni - che non hanno iniziato questo processo - è un'impresa assolutamente mostruosa".

Ha affermato che la legge proposta richiede alle aziende, indipendentemente dalle loro dimensioni, di creare inventari di dati per poter raggruppare i dati in diverse categorie. Questo non è un esercizio strettamente legale in quanto coinvolgerebbe ogni verticale dell'organizzazione. Varghese ha anche affermato che consentire alle startup di conformarsi alla legge richiederebbe consapevolezza e istruzione a livello interfunzionale.

Basandosi sulla questione, Garg ha discusso di come un cofondatore medio senza esperienza legale, avrebbe difficoltà a decomprimere ciò che i dati personali, i dati personali sensibili e critici significano e includono. Con diverse categorie di dati, derivano diverse soglie di consenso (obblighi accresciuti per ottenere il consenso esplicito in caso di dati sensibili). Ha menzionato come, secondo le linee guida sulla telemedicina, se un paziente avvia la consultazione, l'app non deve richiedere il consenso esplicito del paziente. Ma secondo la proposta di legge sui dati, "non è chiaro come verrà gestito il consenso esplicito". Garg ha anche sottolineato l'ambiguità nell'ottenere la certificazione del software hardware (che viene introdotta per mantenere l'integrità dei dati) e la necessità di rivedere tale certificazione quando il software viene aggiornato.

Panduranga Acharya, consigliere generale di Girnarsoft.com (un fornitore di soluzioni IT), ha affermato che "La conformità non può essere difficile, può essere costosa".

Ha chiesto l'inclusione di soglie per escludere le piccole imprese dai requisiti di conformità più costosi. Acharya ha anche identificato le difficoltà con diversi standard di consenso per diverse categorie di dati. Ha affermato che “La categorizzazione come dati sensibili, critici e non sensibili porterebbe a una molteplicità di consensi o richiederebbe meccanismi di consenso a tasso bipolare. L'implementazione di tali meccanismi di consenso potrebbe essere molto difficile per qualsiasi azienda".

Le misure di salvaguardia rafforzate per i dati dei bambini hanno un costo elevato per le aziende Edtech

Sachin Ravi, cofondatore di Qshala (una piattaforma edtech), ha parlato di come sia la Cina che l'India stiano lavorando su politiche per regolamentare il settore edtech. Ha osservato che definire i bambini come chiunque abbia meno di 18 anni è preoccupante per diversi attori del settore. Ha affermato che "la guida che viene dal governo per l'edtech su come utilizzare i dati" potrebbe essere utile.

Shatakrutu Saha, consulente legale di KidsChaupal (una piattaforma edtech), ha osservato che, poiché la motivazione per fissare l'età a 18 anni deriva dalle disposizioni dell'Indian Contract Act e del Majority Act, non è probabile che venga modificata. Tuttavia, ha notato che il Juvenile Justice Act interpreta la maggiore età in modo diverso.

Saha ha condiviso un'interessante intuizione su come un indiano di 16 anni ha battuto il campione del mondo di scacchi Magnus Carlsen: "Immagina se questo bambino è limitato dal consenso del suo tutore, che si oppone alla decisione di questo ragazzo di talento su quali corsi seguire online: è un scenario problematico”. Ha anche parlato della differenza di approccio tra l'India e altri quadri globali come l'UE, che definisce un bambino come chiunque abbia un'età compresa tra 13 e 16 anni.

È stata anche discussa la mancanza di chiarezza sui meccanismi di determinazione dell'età e sulle disposizioni sul consenso dei genitori. Ravi di Qshala ha affermato che i genitori potrebbero esplorare la creazione di account pseudonimi per i bambini piuttosto che rinunciare alle informazioni personali. Tuttavia, permangono domande sulle modalità di utilizzo dei dati anonimi per creare contenuti e fornire servizi sia agli utenti adulti che ai bambini. Saha di KidsChaupal ha osservato che la determinazione dell'età potrebbe essere basata sul rischio, spiegando che tali misure sono in atto per prodotti e servizi rivolti a gruppi di età e dati demografici specifici come app di incontri e giochi online. In queste app e servizi, l'age-gating viene effettuato per proteggere i minori dai rischi associati a tali servizi.

Saha ha aggiunto che l'implementazione di nuove funzionalità potrebbe innescare la definizione di danno o tracciamento nella legge proposta. Il divieto generale di tracciare/profilare i dati dei bambini e l'ampia definizione di danno potrebbero creare attrito tra la progettazione del prodotto e i team legali nelle startup edtech

La proposta di legge deve essere interoperabile con i quadri globali per guidare l'economia dei dati dell'India

Sreenidhi ha chiesto all'aula se ritenessero che la legge proposta promuova l'interoperabilità con le strutture di dati globali e in che modo il rispetto della legge potrebbe influire sull'accesso ai mercati globali.

Neelakshi Gupta, Legal Associate presso Qure.ai (una piattaforma di tecnologia sanitaria), ha posto diverse domande in termini di conformità globali - ha chiesto: "Che cosa costituisce un trasferimento di dati transfrontaliero? Quando si applicheranno le nuove clausole contrattuali standard (SCC)? Se firmiamo gli SCC con i nostri clienti, possiamo dire di essere conformi alla sentenza Schrems II ?"

In termini di strategie di conformità globale, Nambiar di HyperVerge ha affermato che il passaggio alla localizzazione dei dati in diversi framework di protezione dei dati a livello globale è preoccupante poiché l'attività coinvolge fornitori in diverse aree geografiche. Ha affermato che "se vediamo che la localizzazione dei dati diventa più una tendenza globale, avere data center locali in ciascuna di queste aree geografiche sarà molto costoso per noi".

Varghese di Urban Company ha convenuto che le disposizioni sulla localizzazione dei dati creeranno problemi di conformità perché i diversi paesi sembrano avere una soglia diversa per la localizzazione. Ha affermato che potrebbe essere sviluppato un gold standard per la localizzazione dei dati che sia favorevole alle imprese e compatibile tra le giurisdizioni.

I prossimi passi per coinvolgere le startup

I costi della conformità e la mancanza di chiarezza su alcune disposizioni sono preoccupazioni fondamentali per le startup. L'obiettivo del governo di posizionare l'India come uno dei principali attori dell'economia digitale dovrebbe essere accompagnato da un regime di protezione dei dati abilitante. Dovrebbe consentire alle startup di espandersi e attingere ai mercati globali.

Attualmente, il Ministero dell'informatica sta discutendo le raccomandazioni del JPC e ha riconosciuto le sfide di conformità che derivano dalla legge. Questa è una grande opportunità per le start-up e le piccole imprese di impegnarsi con i responsabili politici e richiedere consultazioni pubbliche più ampie sulla legge e lavorare per soluzioni reciprocamente vantaggiose.

*Le citazioni sono state modificate e perfezionate per adattarsi all'articolo e al contesto.

*Questo articolo è stato co-scritto da Shrinidhi Rao e Kanupriya Grover, soci di Ikigai Law