Il disegno di legge sulla protezione dei dati deve bilanciare l'interesse delle imprese e la privacy individuale
Pubblicato: 2020-07-18Nel linguaggio comune, i dati non personali includono set di dati aggregati e raccolti da varie app mobili, siti Web e dispositivi
In India, con una miriade di problemi di sviluppo, la portata che i set di dati potrebbero avere nel guidare gli interventi politici è ampia
Poiché i dati sono stati definiti per includere "intuizioni raccolte dai dati", tale accesso ai dati da parte del governo violerebbe i diritti di proprietà intellettuale
I dati personali includono tutti i dati su o relativi a una persona che è direttamente o indirettamente identificabile da tali dati. Tutti i dati raccolti da un organismo, che non possono essere classificati come dati personali di qualcuno, possono essere definiti dati non personali. Nel linguaggio comune, i dati non personali includono set di dati aggregati e raccolti da varie applicazioni mobili e siti Web e dispositivi su Internet, derivanti dalla traccia digitale che gli individui (data principal) lasciano sulla scia del loro utilizzo di Internet.
Ciò potrebbe includere i dati generati dagli individui sui loro modelli comportamentali, le preferenze sui social media e gli intermediari che sono stati raccolti e ulteriormente resi anonimi. Inoltre, potrebbe anche includere grandi quantità di dati sulle tendenze climatiche generate da un'app meteo, i modelli di traffico generati da un'app taxi che, proveniva o meno da un individuo, o non può essere identificata da un individuo.
A differenza dei dati personali, che possono essere ricondotti a un individuo, la differenza fondamentale tra dati personali e non personali deriva dal fatto che mette in discussione la nozione di controllo individuale sui dati poiché è improbabile che gli individui siano consapevoli di ciò che i loro dati personali i dati possono rivelarsi se aggregati con un multiverso di altri punti dati.
In quanto risorsa collettiva, i dati aggregati devono essere sfruttati per una migliore governance. Può guidare i responsabili politici verso soluzioni innovative ai problemi odierni, mantenendo i dati come prove.
Disegno di legge sulla protezione dei dati personali, 2019
Utilizzo di dati non personali nella governance
Il disegno di legge sulla protezione dei dati personali del 2019 conferisce al governo il potere (clausola 91 (1)) di definire le politiche con l'ausilio di dati non personali per la crescita, la sicurezza e l'integrità dell'economia digitale e per la prevenzione dell'uso improprio dei dati. A tal fine, il governo avrà anche il potere di indirizzare qualsiasi fiduciario/responsabile del trattamento dei dati affinché fornisca dati non personali per "consentire un migliore targeting della fornitura di servizi o la formulazione di politiche basate sull'evidenza".
In India, con una miriade di problemi di sviluppo, la portata che i set di dati potrebbero avere nel guidare gli interventi politici è ampia. Ad esempio, industrie come la tecnologia sanitaria, la fintech e le telecomunicazioni hanno iniziato a fare affidamento sui set di dati per innovare e fornire soluzioni new age.
Secondo questa clausola, il governo può accedere ai dati sia dei fiduciari dei dati che dei responsabili del trattamento, che include dati non personali o dati anonimi. Ciò pregiudica le pratiche commerciali esistenti in cui il responsabile del trattamento dei dati è contrattualmente vincolato dal fiduciario dei dati e non può condividere i dati (personali o non personali) o eventuali informazioni sugli stessi, poiché appartengono al cliente del responsabile del trattamento per conto del quale l'entità del trattamento dei dati sta svolgendo attività di trattamento dei dati come da istruzioni e contratto.
Ciò avrà un enorme impatto sulla fiducia delle imprese di clienti e cittadini stranieri, delle società di elaborazione dati in India poiché sarebbero preoccupati per l'accesso ai dati da parte del governo.
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
È probabile che una tale disposizione scoraggi l'innovazione e gli investimenti in India, poiché il governo chiede dati non personali e dati personali anonimi. Vi sono anche preoccupazioni sul fatto che le informazioni aziendali sensibili, compresi i segreti commerciali, possano essere ricercate nell'ambito del disegno di legge.
Poiché i dati sono stati definiti per includere "intuizioni raccolte dai dati", tale accesso ai dati da parte del governo violerebbe i diritti di proprietà intellettuale di aziende e altre attività. È probabile che questa clausola aggiri il controllo del fiduciario dei dati e gli obblighi del responsabile del trattamento ai sensi del suo contratto con il fiduciario dei dati.
De-anonimizzazione dei dati personali da parte del Gov
Ai sensi della clausola 91(2) del progetto di legge sulla protezione dei dati personali, 2019, il governo, in consultazione con l'Autorità per la protezione dei dati, ha il potere di ordinare a qualsiasi fiduciario dei dati di fornire dati personali anonimi ai fini dell'elaborazione di politiche basate su prove. La definizione di anonimizzazione contenuta nel disegno di legge prevede un processo irreversibile ma, data la natura della crittografia, l'anonimizzazione, così come le tecniche di de-anonimizzazione dei dati, stanno parallelamente crescendo. Sebbene l'obiettivo sia quello di ottenere l'assoluta irreversibilità dei dati resi anonimi, non si può prescindere dal fatto che anche la tecnologia per la de-anonimizzazione è in crescita.
Inoltre, l'ambito di applicazione di questo disegno di legge dovrebbe essere limitato alla protezione dei dati personali e della privacy individuale. Avventurarsi nel territorio dei dati non personali non dovrebbe essere l'obiettivo di questo disegno di legge. Pertanto, tale disposizione dovrebbe essere soppressa e fino a quando non sarà pubblicata la relazione sui dati non personali da parte del comitato di esperti, il governo dovrebbe astenersi dal prendere decisioni politiche in merito ai dati non personali.
Sfide e opportunità
È importante che qualsiasi regolamentazione che si occupa di dati non personali debba consentire il loro libero flusso e consentire l'accesso ai set di dati per vantaggi comuni e nella costruzione di un'economia digitale. Deve aiutare l'innovazione e la creazione di un ecosistema più ampio che circonda i dati. Consentire un quadro di condivisione dei dati e il libero flusso dei dati consente agli utenti dei servizi di elaborazione dati di utilizzare i dati raccolti in diversi mercati per migliorare la propria produttività e competitività.
Gli utenti possono, quindi, sfruttare appieno le economie di scala fornite dal grande mercato, migliorando la loro competitività globale e aumentando l'interconnettività dell'economia dei dati.
Lo scopo della nuova legge deve essere quello di assicurare che i diritti dei cittadini alla protezione dei propri dati personali siano sempre rispettati, anche quando i loro dati siano mischiati con altre tipologie di dati, o che i loro dati siano adeguatamente anonimi.
La legge deve bilanciare l'interesse delle imprese e la privacy e la sicurezza individuali su due lati. Sebbene sia positivo vedere il governo fare sempre più affidamento sui dati aggregati per sfruttare il proprio potenziale nel guidare cambiamenti politici efficaci, è necessario un quadro più forte e dettagliato che esamini la possibilità di eccessi di potere e i suoi effetti sul mercato.
Inoltre, l'inserimento di disposizioni relative ai dati non personali in una proposta di legge sulla protezione dei dati personali è una discrepanza. Il Garante per la protezione dei dati personali ha il mandato di disciplinare le materie relative alla privacy e ai dati personali degli utenti. In questo contesto, non è chiaro come rendere operativa la disposizione, in assenza di un'autorità di regolamentazione autorizzata a mantenere un controllo.
[L'articolo è stato co-autore di Karthik Venkatesh e Kazim Rizvi, il team di The Dialogue]