Quasi quattro anni dopo che il governo ha incaricato per la prima volta il Comitato per la giustizia Srikrishna di introdurre una legge sulla protezione dei dati, l'India si sta finalmente avvicinando alla sua realizzazione. La commissione parlamentare mista ( JPC) ha recentemente presentato la sua tanto attesa relazione sul disegno di legge sulla protezione dei dati personali, 2019 (disegno di legge 2019). Ha anche formulato una propria versione della proposta di legge, denominandola Data Protection Bill (DP Bill). Il cambio di nome riflette la decisione della JPC di ampliare il campo di applicazione della legge per includere i dati non personali nel suo ambito.

La proposta di legge stabilisce le cose da fare e da non fare per tutte le aziende che gestiscono dati. Quindi, per rispettare la legge, le startup devono ripensare a come raccolgono, archiviano, utilizzano e condividono i dati. Devono adottare un approccio 'privacy by design', ovvero incorporare la privacy all'interno della progettazione stessa del loro sistema/i e garantirne la sicurezza. Dovranno inoltre creare processi per gestire le richieste degli utenti che desiderano esercitare determinati diritti in relazione ai propri dati. Oltre a ciò, richiede la creazione di capacità tecniche per condividere i dati con il governo a fini politici, ottenere certificazioni per hardware e software e archiviare localmente dati sensibili, tra le altre cose. Queste modifiche comportano notevoli costi di conformità che le aziende dovranno tenere in considerazione ed è essenziale che le startup abbiano abbastanza tempo per conformarsi alla legge proposta.

Oltre alle modifiche al testo del disegno di legge del 2019, il JPC formula anche raccomandazioni generali come trattare le piattaforme di social media come editori di contenuti, imporre la verifica obbligatoria degli utenti dei social media, formulare una rigorosa politica di localizzazione dei dati, tra gli altri. Sebbene le raccomandazioni generali potrebbero non tradursi in un'azione normativa immediata, potrebbero guidare il pensiero del governo a lungo termine. È importante che le startup si impegnino con queste raccomandazioni in modo che abbiano un'idea di cosa potrebbe riservare il futuro della regolamentazione.

Per aiutare le startup a comprendere l'impatto della legge proposta, Ikigai Law ospita una tavola rotonda virtuale - " Unscramble: Impact Of India's Data Protection Law on Startups " - il 24 febbraio 2022 alle 15:00 IST. Alcuni dei temi approfonditi durante la sessione includono la condivisione obbligatoria di dati non personali con il governo, le restrizioni al flusso di dati transfrontaliero, la divulgazione dell'equità degli algoritmi e la sfida generale della conformità per le startup.

Candidati qui per partecipare

Impatto dell'inclusione di dati non personali in una legge sulla privacy

Il DP Bill cerca di regolamentare i dati non personali ( NPD) nell'ambito di un quadro di protezione dei dati personali. Concede al governo centrale ampi poteri per accedere a NPD per la formulazione di politiche per l'economia digitale e autorizza l'Autorità per la protezione dei dati (DPA) a indagare sulle violazioni di NPD.

Ma perché questo dovrebbe essere importante per le startup?

Si prevede che NPD includa un'ampia varietà di dati, inclusi dati privati ​​di qualsiasi informazione di identificazione personale, dati resi anonimi e dati che non hanno mai avuto alcun collegamento con dati personali come dati meteorologici, dati geospaziali, dati di telemetria, dati di viaggio ecc. Le aziende investono risorse tecniche e finanziarie per ricavare valore da NPD sottoponendolo a strumenti di elaborazione e analisi dei dati. Tali dati includono dati grezzi (dati raccolti alla fonte), dati dedotti, informazioni aziendali chiave (che sono di natura proprietaria).

Consentire al governo di accedere ai dati proprietari potrebbe interferire con i diritti di proprietà intellettuale ( IP ) delle aziende sui loro set di dati. Ciò potrebbe avere un impatto anche sulle startup che si affidano alle intuizioni dei dati per un vantaggio competitivo nel mercato. Richiedere alle aziende di rinunciare a NPD potrebbe dissuaderle dall'investire nella raccolta, aggregazione, archiviazione e analisi dei dati. Può ostacolare l'innovazione, impedire lo sviluppo del mercato dei dati e impedire alle aziende di sperimentare dati e altre risorse relative ai dati.

L'obiettivo della regolamentazione dei dati personali è garantire la privacy individuale e quello della regolamentazione dell'NPD è estrarre valore economico. È probabile che la regolamentazione dei dati personali e dell'NPD sotto un unico ombrello possa diluire entrambi gli obiettivi.

Sfide di incertezza e conformità

Il disegno di legge DP, come il disegno di legge 2019, classifica i dati come dati personali sensibili e dati personali critici. I dati sensibili includono un elenco non esaustivo di informazioni elaborate di routine come dati finanziari, dati sanitari, dati genetici e altro ancora. I dati personali critici devono ancora essere definiti dal governo. Il trattamento dei dati sensibili comporta obblighi di conformità più severi, compreso l'obbligo di ottenere il consenso esplicito degli utenti.

La natura eccessiva dei dati sensibili e critici e la capacità del governo di notificare ulteriori categorie potrebbero creare incertezza. Potrebbe rendere difficile per le startup valutare come classificare i dati e come fissare le conformità per diverse categorie.

A differenza delle leggi sulla protezione dei dati in altre giurisdizioni, la proposta di legge indiana si concentra fortemente sul consenso dell'utente come base legale per elaborare i dati. La legge proposta richiederebbe alle aziende di ottenere il consenso anche per operazioni di routine come il miglioramento del prodotto, la correzione di bug, ecc., portando a notifiche eccessive e affaticamento del consenso per gli utenti. Crea anche due standard - consenso e consenso esplicito - senza una chiara spiegazione della differenza tra i due, aumentando l'incertezza.

Il regolatore dei dati proposto avrà il potere di designare qualsiasi fiduciario dei dati (il nostro equivalente a ciò che il GDPR chiama "titolari del trattamento", entità che decidono lo scopo e i mezzi della raccolta dei dati) come fiduciario dei dati significativi (SDF), sulla base di determinati criteri . Ciò include il volume e la sensibilità dei dati elaborati, l'uso di nuove tecnologie, l'elaborazione dei dati dei bambini, le società di social media al di sopra di una certa soglia di utenti, tra gli altri.

Le SDF hanno rafforzato i requisiti di conformità, come lo svolgimento di valutazioni d'impatto sulla protezione dei dati e la nomina di responsabili della protezione dei dati. Le fintech che elaborano dati finanziari e qualsiasi startup che utilizza le nuove tecnologie rimarranno sul filo della loro classificazione come SDF

Inoltre, nel tentativo di creare ulteriori salvaguardie per proteggere i dati dei bambini, la legge richiede di fatto a tutte le attività online di ridurre l'età dei propri servizi in qualche modo. Tuttavia, le indicazioni sugli standard delle tecniche di differenziazione dell'età arriveranno dall'autorità di regolamentazione solo in una fase successiva, rendendo difficile la pianificazione della conformità.

I requisiti di archiviazione locale potrebbero influire sulla competitività delle startup

Un gran numero di startup indiane dipende dai trasferimenti di dati transfrontalieri, ad esempio, per utilizzare i servizi di fornitori di servizi cloud situati al di fuori dell'India. Le disposizioni che impediscono il libero flusso di dati creeranno difficoltà per le startup, che non saranno in grado di accedere a tecnologie e infrastrutture convenienti e all'avanguardia. Inoltre, i requisiti di archiviazione locali potrebbero porre ostacoli alle startup di deep tech (AI/ML, analisi dei dati) con l'ambizione di soddisfare i consumatori di tutto il mondo.

Il disegno di legge del 2019 imponeva già diverse restrizioni ai trasferimenti di dati transfrontalieri. Il JPC, nel disegno di legge DP, ha proposto ulteriori ostacoli burocratici sui trasferimenti di dati, come la richiesta dell'approvazione del governo centrale per i trasferimenti ai sensi di un contratto o di schemi intragruppo.

Il libero flusso di dati funge da equalizzatore, consentendo alle startup di competere a livello globale su prezzo e qualità, indipendentemente dalle loro dimensioni. D'altra parte, restrizioni sproporzionate sui trasferimenti di dati potrebbero impedire l'accesso a servizi più economici e alla tecnologia all'avanguardia offerti dalle piattaforme cloud globali e dai mercati internazionali per le startup.

La divulgazione della "correttezza" di algoritmi e segreti commerciali potrebbe influire sui diritti di proprietà intellettuale delle startup

La proposta di legge richiede alle entità di condividere le informazioni sull'"equità dell'algoritmo" con il regolatore dei dati. Questo per garantire la trasparenza nel trattamento e prevenire l'uso improprio degli algoritmi. Non è chiaro cosa significhi "equità" o quante informazioni sarebbero necessarie per essere divulgate. Potrebbe anche avere implicazioni per i diritti IP di un'azienda, soprattutto se l'algoritmo è interpretato dal regolatore come un codice sorgente algoritmico.

Il DP Bill consente inoltre a un individuo di richiedere alle società di trasferire i propri dati personali a se stessi o ad un'altra società. L'ambito dei dati personali trasferibili è ampio in quanto comprende i dati generati nel corso dell'erogazione dei servizi agli utenti ed eventuali dati che fanno parte di qualsiasi profilo degli utenti. Ciò potrebbe includere informazioni commerciali riservate.

Sebbene il disegno di legge del 2019 consentisse alle aziende di negare queste richieste, se fosse necessario per proteggere i segreti commerciali, il JPC suggerisce di rimuovere l'esenzione dal segreto commerciale, esponendo le informazioni commerciali riservate dell'azienda ai concorrenti. Poiché le startup si affidano in modo significativo ai loro fossati di dati per mantenere la competitività, ciò potrebbe danneggiare le loro prospettive di crescita.

Altre certificazioni

Il DP Bill propone inoltre di istituire un regime di certificazione e test per il software e l'hardware dei dispositivi informatici per prevenire la fuga di dati o una minaccia alla sicurezza nazionale sui dispositivi digitali. Ciò potrebbe portare alla creazione di nuovi standard hardware/software, oltre agli standard locali e globali esistenti. Ciò può interrompere le operazioni di produzione e gravare solo sulle startup, che potrebbero dover modificare i propri sistemi hardware e software, con conseguente aumento dei costi.

Allora, qual è il prossimo passo?

Sebbene il rapporto del JPC raccomandi all'autorità di regolamentazione dei dati di tenere a mente gli interessi delle startup e delle piccole imprese per incoraggiare l'innovazione, conformità incerte, severi requisiti di archiviazione locale, tra le altre cose, potrebbero vanificare questo intento. Pertanto, è fondamentale comunicare le preoccupazioni delle startup al governo, mentre delibera sul disegno di legge DP.

A tal fine, la legge Ikigai invita tutte le parti interessate dell'ecosistema a discutere l'impatto del quadro di protezione dei dati personali proposto in una tavola rotonda virtuale — Unscramble: Impact Of India's Data Protection Framework For Startups il 24 febbraio 2022 alle 15:00 IST.

Prenota ora le tue slot