Como a lei de proteção de dados da Índia afetará os empréstimos e as fintechs?
Publicados: 2020-07-05Os credores coletam, processam e analisam uma série de dados de clientes ao longo do ciclo de vida de um empréstimo
A etapa preliminar de qualquer operação de empréstimo é o processo Know-Your-Customer (KYC)
O projeto de lei do PDP exige que todos os fiduciários de dados construam um sistema de privacidade robusto para armazenamento e processamento de dados pessoais
As salvaguardas eficazes de privacidade de dados tornaram-se hoje uma importante fonte de vantagem competitiva na era moderna, pois os consumidores começaram cada vez mais a preferir lidar com organizações que lhes dão uma aparência de controle sobre seus dados.
Além disso, os consumidores individuais estão hoje, mais do que nunca, conscientes dos seus direitos relativamente aos seus dados pessoais. Essa conscientização foi catalisada por um movimento global para debater, rejeitar ou adotar novas leis para proteger dados pessoais. A Índia também deve aprovar um regulamento que rege os dados pessoais este ano.
À medida que lemos o Projeto de Lei de Proteção de Dados Pessoais (PDP) da Índia de 2019, torna-se evidente que os empréstimos de bancos, NBFCs e empresas fintech da nova era serão afetados por uma combinação de cláusulas de conformidade incluídas no projeto de lei.
Comecemos pelo reconhecimento de que a aquisição de dados é fundamental para a operação de empréstimo. Os credores coletam, processam e analisam uma série de dados de clientes ao longo do ciclo de vida de um empréstimo. Isso ajuda a entidade concedente a avaliar o risco e oferecer serviços personalizados adaptados às necessidades do solicitante do empréstimo.
Para permanecer em conformidade, esses fiduciários de dados devem garantir que entendem as normas de conformidade e os direitos dos principais de dados (ou proprietários de dados). Abaixo, exploramos os direitos de dados propostos no projeto de lei que se traduzem diretamente em áreas de conformidade em todo o processo de empréstimo.
Os direitos primários que afetam a conformidade para os credores são explicados abaixo:
| Direito do Diretor de Dados | Definição |
| Consentimento informado | Os dados pessoais só serão processados após o consentimento explícito dado pelo titular dos dados no início do seu processamento. Portanto, os credores não podem assumir o consentimento implícito para o processamento de dados do cliente. |
| Propósito específico | Os dados pessoais serão coletados apenas na medida necessária para os fins de processamento. Isso significa que não pode ser coletado por motivos que não são conhecidos ou declarados. |
| Apagamento de dados | Os dados pessoais devem ser apagados após o cumprimento da finalidade para a qual foram compartilhados. O titular dos dados tem o direito de solicitar o apagamento dos seus dados pessoais. |
| Portabilidade de dados | Quando o tratamento dos dados pessoais tiver sido efetuado por meios automatizados, o titular dos dados tem o direito de receber uma cópia dos seus dados pessoais num formato estruturado, de uso corrente e legível por máquina. |
Esses direitos influenciam os diferentes tipos de dados coletados em diferentes etapas do processo de empréstimo. Embora o RBI e o SEBI ainda não divulguem diretrizes detalhadas e separadas para o setor de fintech, podemos prever razoavelmente o impacto do projeto de lei do PDP na conformidade conforme abaixo:
Processo KYC
A etapa preliminar de qualquer operação de empréstimo é o processo Know-Your-Customer (KYC). Os documentos básicos necessários para isso são (a) Comprovante de identidade e (b) Comprovante de endereço. Este já é um processo baseado em consentimento .
As cláusulas do projeto de lei que podem afetar o processo KYC são:
- Limitação de armazenamento: após o reembolso do empréstimo, o principal dos dados pode solicitar o apagamento de todos os dados KYC
- Portabilidade de dados: com a adoção do eKYC e do VideoKYC, o processamento automatizado está se tornando comum. O fiduciário de dados deve manter uma cópia dos dados caso seja solicitado pelo titular dos dados
Subscrição de Crédito
Várias fontes de dados são inspecionadas como parte do processo de subscrição de crédito. Estes podem ser divididos em:
Recomendado para você:
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Fontes públicas
Isso inclui notícias sobre um cliente, perfis públicos de mídia social etc. Como essa categoria de dados pessoais é pública, os credores não precisam se preocupar com a não conformidade.
Fontes Privadas
Há uma série de fontes privadas que podem ser raspadas para subscrição de crédito. Aqui discutimos alguns deles que trazem à tona a preocupação com o compliance.
Leitura de SMS
Esse método de avaliação de crédito é consideravelmente novo e exigiria consentimento explícito para processamento. Ainda está para ser determinado se o consentimento teria que ser obtido de ambas as partes associadas na troca de SMS.
Pull baseado em login do banco
Para avaliar o histórico financeiro de uma pessoa, muitos credores realizam um pull com base no login do banco. Além do fato de que o consentimento explícito é necessário para acessar essa fonte de dados, a questão aqui é se isso seria uma violação da confiança do fiduciário de dados (banco) e se o consentimento também seria exigido deles.
Pull baseado em login de e-mail
Às vezes, os candidatos precisam fornecer credenciais de login para uma fonte de dados, como uma conta de e-mail pessoal. Até agora, a permissão explícita era geralmente solicitada para que isso acontecesse, mas nem sempre. Com a conta em vigor, o escaping baseado em login de e-mail precisaria ser 100% baseado em consentimento.
Acesso à agência de crédito
Os credores geralmente são obrigados a compartilhar os dados pessoais de um cliente com agências de crédito e outros terceiros durante o serviço de um empréstimo. De acordo com as disposições do projeto de lei, as transações, detalhes das empresas envolvidas e a justificativa para essa transferência de dados devem ser explicadas pelos credores aos seus clientes.
Embora a pontuação de crédito seja uma “ exceção de propósito razoável” no projeto de lei que permite o processamento de dados pessoais sem consentimento, não é certo se concede uma exceção ao direito ao apagamento de dados. O armazenamento de informações de identificação pessoal (PII) implica que um titular de dados pode solicitar que elas sejam completamente apagadas.
Tipos de dados não tradicionais
As empresas do Bureau eram anteriormente exigidas pela Lei das Empresas de Informações de Crédito (Regulamentação) (Lei CIC), que não permite que as agências de crédito usem dados alternativos na geração de pontuações de crédito. Apenas os dados de contas de empréstimos do sistema bancário central poderiam ser usados pelas agências de crédito.
Isso incluiu histórico de inadimplência, tamanho das inadimplências e tempo de pagamento dos empréstimos. Com um número crescente de fontes de dados, ainda não foi determinado se fontes alternativas são permitidas sob a nova lei. E como as normas de compliance se aplicariam ao seu processamento. Potencialmente, essas fontes podem ser:
- Google Places/ Yelp
- Processadores de pagamento
- Plataformas de comércio eletrônico
- Embarcadores
Privacidade por design
O projeto de lei exige que todos os fiduciários de dados construam um sistema de privacidade robusto para armazenamento e processamento de dados pessoais. Um sistema de proteção de dados deve ser implementado desde o início. Esta política de “Privacidade desde a conceção” é um requisito obrigatório e deve ser certificada pela Autoridade de Proteção de Dados. A política deve ser publicada no site da organização e da autoridade.
Penalidades
O descumprimento é passível de multa. Essa penalidade pode chegar a 15 crore rúpias ou 4% do faturamento mundial total de um fiduciário de dados do ano financeiro anterior, o que for maior. Portanto, é imperativo que as fintechs e os bancos comecem a se preparar para essas medidas de conformidade.
Dissidência dos credores
O projeto de lei em sua forma atual reconhece todas as formas de dados financeiros pessoais como 'dados pessoais sensíveis'. Esta definição de dados pessoais sensíveis no projeto de lei é restritiva e traz preocupações para os credores. A Digital Lenders Association of India (DLAI) apresentou recomendações para reduzir possíveis restrições impostas pelo projeto de lei.
Para tornar o processo de empréstimo menos propenso a fraudes, os credores precisam acessar aspectos dos dados do consumidor. Isso inclui histórico de crédito, posição financeira e alguns dados alternativos de clientes. De acordo com as disposições do atual projeto de lei do PDP, esse processo se tornaria tedioso. Embora as normas de compliance sejam necessárias para a proteção de dados pessoais, tal definição prejudicará inadvertidamente a operação de empréstimo.
Conclusão
O setor bancário e de fintech precisa de uma lista de verificação de conformidade clara. Há uma escassez de entendimento quando se trata de como a lei atual afetará a conformidade para processos centrados em dados, como empréstimos. Isso porque ainda não foram divulgadas normas específicas para o espaço fintech. O RBI e o governo precisarão apresentar diretrizes para o setor para garantir que a função e a conformidade não estejam em desacordo.