Il dialogo: preparare le startup indiane alla legge sulla protezione dei dati personali

All'inizio di quest'anno, ad aprile, la Reserve Bank of India (RBI) ha pubblicato una circolare che ordina a tutti gli operatori dei sistemi di pagamento del paese di archiviare i propri dati esclusivamente in India. Con l'avvicinarsi della scadenza del ¹⁵ ottobre per il rispetto della direttiva RBI, è chiaro che le aziende indiane dovranno presto rinnovare le proprie pratiche di raccolta ed elaborazione dei dati. Con il rilascio del disegno di legge sulla protezione dei dati personali, 2018 (disegno di legge) ad agosto, è diventato importante per le parti interessate anticipare i cambiamenti che dovranno mettere in atto con largo anticipo. Le startup, in particolare, saranno significativamente interessate da questi cambiamenti, poiché ottemperare ai nuovi requisiti di privacy richiederà notevoli investimenti di tempo e denaro.

Al fine di preparare le startup al nuovo regime di privacy, Ikigai Law, in associazione con Inc42, ha organizzato The Dialogue, una tavola rotonda interattiva per discutere l'impatto della legge sulla protezione dei dati personali con le startup. La discussione, guidata da Anirudh Rastogi, fondatore di Ikigai Law; Nehaa Chaudhari, Policy Lead, Ikigai Law e Vaibhav Agrawal, Founder e CEO, Inc42 si sono concentrati sulle questioni chiave del disegno di legge, inclusi i nuovi requisiti di avviso e consenso; trattamento di dati personali sensibili; finalità e limitazione della raccolta; e localizzazione dei dati.

Requisiti di avviso e consenso: cose a cui prestare attenzione

Discutendo le nuove pratiche di avviso e consenso richieste ai sensi del disegno di legge sulla protezione dei dati personali, in The Dialogue, Anirudh ha sottolineato che in precedenza le politiche sulla privacy venivano prese abbastanza alla leggera. I nuovi requisiti di avviso ai sensi della legge sulla protezione dei dati personali, tuttavia, sono molto specifici. Le informazioni devono essere fornite all'utente in modo semplice ed esauriente, anche nel caso di lingue vernacolari . Per le startup coinvolte con l'Internet of Things ("IoT"), i dispositivi avranno bisogno di schermi per fornire un avviso o un'e-mail dovrà essere inviata in tempo reale. Ciò potrebbe interferire con l'esperienza dell'utente per alcuni dispositivi e potrebbe comportare un avanti e indietro tra i team legali e UX/UI delle aziende durante lo sviluppo del prodotto.

Esprimendo le sue preoccupazioni sui requisiti di consenso, un partecipante ha spiegato come il riconoscimento facciale potrebbe creare problemi. Per le tecnologie che utilizzano il riconoscimento facciale per tenere traccia della gestione e della frequenza di un gruppo, le regole per il consenso sono sfocate. Sebbene sia facile ottenere il consenso su base individuale, catturare centinaia di volti in mezzo alla folla è un'altra cosa. Ottenere il consenso per questo sembra quasi impossibile in questa fase.

Anirudh ha risposto con il suggerimento che forse potrebbero fare affidamento sul motivo dello "scopo ragionevole" ai sensi del disegno di legge sulla protezione dei dati personali, avvertendo che sarebbe uno standard abbastanza elevato da soddisfare, poiché solo l'Autorità per la protezione dei dati ha il potere di elencare ciò che conta come scopo ragionevole e le aziende non sono libere di definire quali siano gli scopi ragionevoli per se stessi. Un membro del pubblico ha risposto a questa osservazione dicendo: “È molto importante considerare i costi di conformità. Temo che gli standard di questo disegno di legge siano definiti in modo approssimativo. In che modo un'azienda con un fatturato annuo di un milione di dollari mette da parte i soldi per la conformità? Come prendi in vigore questo costo nel mondo degli affari?"

Dati personali sensibili: soddisfare uno standard più elevato

Il trattamento dei dati considerati "dati personali sensibili" (SPD) ai sensi della legge sulla protezione dei dati personali è soggetto a una soglia di consenso più elevata rispetto ai dati personali. Tutte le password, i dati finanziari, i dati sanitari, gli identificatori ufficiali, i dati biometrici, i dati genetici, i dati che indicano le convinzioni religiose o politiche, l'orientamento sessuale o lo stato di casta/tribù sono considerati SPD ai sensi del disegno di legge sulla protezione dei dati personali.

Raccomandato per te:

Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Jaspreet K.

31 luglio 2022

Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Vaibhav S.

31 luglio 2022

Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

Charanja L.

31 luglio 2022

Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Ankush S.

31 luglio 2022

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Tapanjana R.

31 luglio 2022

Caratteristiche

Le startup indiane prendono scorciatoie alla ricerca di finanziamenti

Nikhil S.

31 luglio 2022

Le aziende che raccolgono o utilizzano questi dati dovranno acquisire il consenso esplicito dei propri utenti al fine di elaborare tali dati, il che significa che dovranno informare gli utenti delle conseguenze del trattamento dei loro dati oltre ai normali requisiti di avviso e consenso.

Anirudh ha spiegato che ciò potrebbe avere implicazioni impraticabili: se gli utenti sulle piattaforme dei social media pubblicano informazioni che rivelano la loro sessualità, convinzioni religiose o convinzioni politiche, ciò sarà considerato SPD e dovrà essere preso il consenso esplicito per l'uso di tali informazioni. Anche le informazioni liberamente disponibili come i cognomi che rivelano la casta saranno etichettate come SPD ai sensi di questo disegno di legge.

Scopo e limitazione della raccolta: limiti su come le startup possono monetizzare i dati

Una volta entrata in vigore la legge sulla protezione dei dati personali, le startup potranno raccogliere dati personali solo per finalità che siano chiare, specifiche, legittime e preventivamente comunicate. Possono raccogliere solo i dati necessari al trattamento. Spiegando le implicazioni di questo requisito, Nehaa ha commentato: “Il consenso deve essere specifico per lo scopo. Non è possibile riutilizzare i dati per un altro uso senza informare l'utente di tale modifica". Anirudh ha concordato e ha sottolineato che ciò potrebbe essere particolarmente rilevante per i progetti pilota che raccolgono dati senza uno scopo definito, nella speranza di monetizzare tali dati prima o poi.

In base al nuovo regime sulla privacy, le startup dovranno anticipare e informare i consumatori dei casi d'uso e delle finalità della raccolta dei dati in anticipo prima di elaborare qualsiasi dato, per garantire che il consenso dell'utente ottenuto sia valido.

Localizzazione dei dati: Possibili effetti

Alla domanda su quante aziende hanno archiviato i dati sul cloud, quasi tutti i presenti hanno risposto affermativamente. Molti partecipanti hanno fatto affidamento su piattaforme di cloud computing globali come Google Cloud, Microsoft Azure e AWS di Amazon. Hanno spiegato che la scelta delle piattaforme cloud è stata determinata dalla reattività del servizio, dalla latenza del servizio cloud, dalla disponibilità dei centri di ripristino di emergenza e dall'efficienza complessiva. Questi servizi consentono alle startup di ridurre significativamente i costi poiché non devono investire in grandi quantità di hardware per archiviare i propri dati.

L'accesso gratuito alle piattaforme globali di cloud computing attualmente di cui godono le startup indiane potrebbe essere influenzato dai requisiti di localizzazione dei dati previsti dalla legge sulla protezione dei dati personali. Come ha spiegato Nehaa, la localizzazione nel disegno di legge ha due aspetti. Innanzitutto, almeno una copia di tutti i dati personali deve essere archiviata in India. Questo potrebbe essere difficile da rendere operativo. In secondo luogo, c'è un'esclusione per i "dati personali critici", che possono essere archiviati ed elaborati solo in India. I dati personali critici al momento non sono definiti, il governo centrale deve notificare i tipi di dati che rientreranno in questa categoria. Una teoria è che alcuni tipi di SPD saranno considerati dati personali critici, ma non è ancora chiaro.

Uno dei partecipanti, un data scientist che lavora con un'azienda di analisi dei dati, ha sottolineato che i severi requisiti di archiviazione dei dati comportano costi significativi anche per le grandi aziende, e quindi le startup sarebbero particolarmente colpite da questa misura. Per quanto riguarda le sanzioni elevate e la responsabilità penale prescritte per il mancato rispetto delle disposizioni del disegno di legge, Vikas Chauhan di 1MG ha sottolineato che non possiamo avere un sistema in cui gli imprenditori della salute digitale hanno paura di gestire attività di salute digitale e innovare, per paura di essere perseguiti penalmente. Per lui la sanzione dovrebbe essere pecuniaria e dovrebbero esserci diversi livelli di responsabilità per le aziende che violano ripetutamente la stessa disposizione. Ciò garantirà che gli imprenditori non debbano affrontare una minaccia esistenziale per piccoli reati.

In che modo le startup interagiscono con la legge sulla protezione dei dati personali?

È chiaro che il nuovo regime di protezione dei dati avrà conseguenze significative per le startup e le imprese trarrebbero vantaggio dall'impegno con la definizione del disegno di legge sulla protezione dei dati personali. Fortunatamente, il Ministero dell'elettronica e delle tecnologie dell'informazione (MeitY) ha lanciato un appello pubblico per commenti, con la scadenza che si avvicina rapidamente al 30 settembre. Consigliamo a tutte le startup pesanti di dati di rispondere con i loro commenti, per garantire che le preoccupazioni della startup ecosistema sono debitamente rappresentati davanti al MeitY.