• Homepage
  • Articoli
  • Tech
  • 'The Dialogue' di Inc42 e legge Ikigai: il disegno di legge PDP segna una chiara divisione tra le mentalità di decisori politici e startup

'The Dialogue' di Inc42 e legge Ikigai: il disegno di legge PDP segna una chiara divisione tra le mentalità di decisori politici e startup

Pubblicato: 2018-09-09

"The Dialogue" ha discusso in dettaglio il disegno di legge PDP, comprese le modifiche che le startup dovranno apportare alle pratiche di raccolta ed elaborazione dei dati

Ha anche discusso di come il mandato di localizzazione dei dati del disegno di legge influirà sull'efficacia dei costi e sulle operazioni delle startup

Ha discusso di come le startup possono tenere sotto controllo i costi rispettando il mandato di acquisire il consenso degli utenti e classificare i loro dati personali

Mentre il Ministero dell'elettronica e della tecnologia dell'informazione (MeitY) ha invitato a commenti pubblici sul progetto di legge sulla protezione dei dati personali, 2018, (disegno di legge PDP) entro il 30 settembre, Inc42, in associazione con la legge Ikigai (ex TRA) , il 7 settembre, ha organizzato una tavola rotonda interattiva con le startup per discutere l'impatto del disegno di legge sulle loro attività una volta che sarà approvato in Parlamento.

Moderato da Vaibhav Agrawal, fondatore e CEO, Inc42, Anirudh Rastogi, fondatore, Ikigai Law e Nehaa Chaudhari, Policy Lead presso Ikigai Law, "The Dialogue" ha affrontato i punti chiave del disegno di legge PDP: localizzazione dei dati, criticità dei dati, avvisi di consenso agli utenti e requisiti di consenso tra gli altri. Alla tavola rotonda solo su invito hanno partecipato i fondatori di startup che hanno sollevato una serie di sfide che non sono state affrontate o risolte nella bozza di legge esistente.

Fattura sulla protezione dei dati personali: punti chiave

Raccolta dati

Sia offline che online, le pratiche di raccolta dei dati delle startup dovranno cambiare una volta che il disegno di legge sarà approvato. Il disegno di legge incarica i fiduciari dei dati (soggetti che raccolgono o elaborano i dati) di emettere avvisi ai propri utenti sui dati che cercano di raccogliere, lo scopo della raccolta, se i dati saranno trasferiti a terzi o fuori dal paese, come sarà memorizzato, per quanto tempo verrà conservato e così via.

La bozza, quindi, rende la raccolta dei dati personali limitata e soggetta a preavviso e consenso. Di conseguenza, le startup dovranno notificare agli utenti esistenti le loro pratiche di raccolta e utilizzo dei dati e ottenere un nuovo consenso dell'utente. Le startup alla tavola rotonda hanno espresso preoccupazione per il fatto che gran parte della loro base di utenti potrebbe non fornire nuovamente il consenso e nel modo richiesto, causando così interruzioni nella loro attività. "Questo problema è amplificato in India dato che l'utente indiano medio non è molto alfabetizzato in tecnologia e potrebbe non fornire un consenso granulare", ha affermato Vivek Jain, CEO di InteractiveMedia, che fornisce piattaforme interattive per professionisti della gestione, legali e finanziari.

Il disegno di legge si applica principalmente ai "dati personali", che sono dati che possono essere utilizzati per identificare un individuo. Tuttavia, i dati personali non si limitano a nome, indirizzo, ecc. Potrebbero essere tutti i dati che possono essere combinati con altri dati, anche informazioni pubblicamente disponibili, per identificare in qualche modo l'individuo. Ad esempio, se una compagnia di taxi sa che qualcuno va in un determinato bar ogni giorno, il set di dati potrebbe essere utilizzato per identificare un individuo unico e costituirà informazioni personali, ha spiegato Anirudh Rastogi di Ikigai Law.

Mentre alcune delle startup partecipanti ritenevano che questa clausola sui dati personali potesse essere uno dei principali ostacoli per loro, alcuni erano del parere che il progetto di legge indiano PDP non dia priorità al "diritto all'impresa" come il regolamento generale sulla protezione dei dati (GDPR). ) ha fatto.

Localizzazione dei dati

Per ogni fiduciario di dati direttamente o indirettamente coinvolto nella raccolta dei dati o nell'elaborazione di dati appartenenti a titolari di dati indiani, la bozza di legge PDP rende essenziale archiviare almeno una copia dei dati su un server o un data center situato in India. Inoltre, alcuni dati come i dati "critici", che saranno definiti dal governo in collaborazione con l'Autorità per la protezione dei dati (DPA) proposta, saranno archiviati solo in server con sede in India.

Pertanto, il mandato di localizzazione dei dati richiede che i fiduciari dei dati configurino i propri server anche in India. Tuttavia, alla tavola rotonda, i fondatori della startup hanno sottolineato che optare per un server di dati in India è più costoso che avere server di dati con sede negli Stati Uniti ea Singapore; il mandato limita anche le scelte delle startup, impone un onere amministrativo più elevato ed è dannoso dal punto di vista della sicurezza dei dati, hanno affermato. Altri hanno affermato che oggi vari servizi basati su cloud non sono disponibili sui server indiani e non saranno necessariamente localizzati poiché il mercato indiano per molti di questi servizi è piccolo rispetto al mercato globale.

Raccomandato per te:

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": CEO di CitiusTech
Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Come Metaverse trasformerà l'industria automobilistica indiana
Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Cosa significa la disposizione anti-profitto per le startup indiane?
Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

In che modo le startup Edtech stanno aiutando il potenziamento delle competenze e a rendere la forza lavoro pronta per il futuro
Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Pertanto, mandati come la localizzazione dei dati, l'avviso di consenso, il diritto di accesso degli utenti all'intrattenimento e il diritto all'oblio non solo aumenteranno i costi delle startup e ridurranno il loro margine di profitto, ma influenzeranno negativamente le loro operazioni, efficienza e competitività globale.

I partecipanti hanno anche sottolineato il fatto che non è solo il disegno di legge PDP a cui le startup devono essere conformi. Devono rispettare molteplici leggi relative ai dati, che potrebbero essere leggi settoriali e specifiche per paese sulla protezione dei dati, e questo aumenterà il loro onere.

Molti erano del parere che la disposizione sulla localizzazione dei dati fosse stata inclusa nel progetto di legge a causa di una lobby particolarmente forte che sosteneva la questione. Le pesanti sanzioni prescritte fino a Rs 15 Cr e la responsabilità penale ostacolerebbero le attività delle startup in generale, hanno aggiunto.

Dati Personali Sensibili

Il progetto di legge PDP richiama anche il concetto di Dati Personali Sensibili (SPD). I dati personali sensibili includono informazioni quali dati sanitari, identificatori ufficiali (ID Aadhaar, patente di guida, ecc.), dati biometrici, convinzioni religiose o politiche e dati relativi alle caste.

Tuttavia, non c'è chiarezza sul fatto che i "dati critici" siano un sottoinsieme di SPD o meno. La definizione di “dati critici” deve ancora essere delineata dal governo.

Acquisizione del consenso dei responsabili dei dati

In linea con il GDPR, anche il disegno di legge PDP ha chiaramente definito che le informazioni relative alla richiesta del consenso devono essere libere, complete, non ambigue e indicate attraverso un'azione affermativa. Non è consigliabile che le aziende offrano agli utenti caselle "Accetto" preselezionate all'inizio dell'informativa sulla privacy, ma gli utenti dovrebbero selezionare attivamente la casella che appare solo alla fine dell'informativa sulla privacy in modo da determinare di avere almeno scorri verso il basso la politica per leggerla effettivamente. In tal caso, sarà importante che i team di prodotto lavorino a stretto contatto con gli avvocati per trovare un equilibrio tra buone pratiche di raccolta dei dati ed esperienza dell'utente, ha spiegato Rastogi.

Oltre al consenso, il progetto di legge ha anche conferito alcuni diritti ai titolari dei dati che i fiduciari dei dati saranno tenuti a intrattenere entro un determinato periodo di tempo. Questi includono il diritto di accesso, il diritto all'oblio, ecc.

Progetto di legge PDP: sfide future

La tavola rotonda ha elencato una serie di sfide che rimangono ambigue, senza risposta e devono essere affrontate prima che il disegno di legge venga presentato in Parlamento. Alcune delle sfide prese in considerazione sono:

  • In India, una quantità significativa di dati viene ancora gestita offline, ma il disegno di legge PDP non menziona la modalità di consenso nella raccolta dei dati offline. In che modo i fiduciari dei dati devono inviare l'avviso di consenso ai titolari dei dati durante la raccolta dei loro dati?
  • Gli standard stabiliti nel disegno di legge sono definiti in modo approssimativo o non definiti affatto.
  • La raccolta di dati per transazioni ripetitive o l'utilizzo di nuove tecnologie come dispositivi IoT o riconoscimento facciale diventerà più difficile da implementare, ha spiegato Nehaa Chaudhari di Ikigai Law.
  • La condivisione transfrontaliera dei dati per la ricerca in aree come l'efficacia dei farmaci, ecc. sarà influenzata dal disegno di legge.
  • Il costo della conformità aumenterà notevolmente per le aziende e appesantirà soprattutto le startup.
  • La conformità per le startup che aspirano a offrire servizi a livello globale sarà ancora più problematica poiché dovranno rispettare standard diversi prescritti da leggi diverse.
  • I partecipanti hanno anche sottolineato che i cellulari delle persone contengono i dati personali dei loro contatti e possono perdersi; le persone spesso si scambiano biglietti da visita senza menzionare specificamente lo scopo. Si sono chiesti in che modo il disegno di legge influenzerebbe tali scenari in futuro? Cosa succede se qualcuno perde il cellulare? È passibile di contenzioso ai sensi dell'attuale progetto di legge?

Il progetto di legge PDP prevede inoltre che le aziende possano raccogliere solo dati specifici relativi a specifiche finalità definite dal Garante per la protezione dei dati personali. Per le startup, questo potrebbe essere un grosso ostacolo. Ad esempio, vengono realizzati numerosi progetti pilota in cui lo scopo della raccolta dei dati rimane di natura agnostica. L'attuale progetto di legge non fornisce alcuna chiarezza su tali casi. I partecipanti hanno aggiunto che se il disegno di legge venisse approvato nella sua forma attuale, avrebbe un impatto negativo sui progressi tecnologici dirompenti che di solito vengono raggiunti attraverso progetti pilota gestiti dalle startup.

Progetto di legge PDP: il dialogo deve andare avanti

"The Dialogue" di Inc42 e Ikigai Law ha visto un'accesa discussione approfondita con la partecipazione attiva di tutti i partecipanti. In sostanza, la conversazione ha evidenziato un chiaro divario tra le mentalità dei responsabili politici e le startup guidate dalla tecnologia . Questo divario deve essere colmato per mantenere lo slancio dell'ecosistema delle startup indiane. Il Dialogo deve andare avanti.

Il MeitY è aperto a commenti, feedback sul progetto di legge PDP fino al 30 settembre 2018. Non dimenticare di far sentire la tua voce prima che sia troppo tardi e diventi più difficile correggere i bug!

Aggiornamento 1: 9 settembre 2018, 21.46

La data per la presentazione di feedback sulla bozza di legge indiana sulla protezione dei dati personali, 2018, è stata prorogata al 30 settembre 2018.