A lei de proteção de dados deve equilibrar o interesse das empresas e a privacidade individual

Dados pessoais incluem todos os dados sobre ou relacionados a uma pessoa que seja direta ou indiretamente identificável por esses dados. Todos os dados recolhidos por um organismo, que não possam ser classificados como dados pessoais de alguém, podem ser denominados dados não pessoais. Em linguagem comum, dados não pessoais incluem conjuntos de dados agregados e coletados por vários aplicativos móveis e sites e dispositivos na internet, decorrentes da trilha digital que os indivíduos (principais de dados) deixam na esteira de seu uso da internet.

Isso pode incluir dados gerados por indivíduos sobre seus padrões comportamentais, preferências nas mídias sociais e intermediários que foram coletados e posteriormente anonimizados. Além disso, também pode incluir grandes quantidades de dados sobre tendências climáticas geradas por um aplicativo meteorológico, os padrões de tráfego gerados por um aplicativo de táxi que se originaram ou não de um indivíduo ou não podem ser identificados por um indivíduo.

Em contraste com os dados pessoais, que podem ser rastreados até um indivíduo, a diferença crítica entre dados pessoais e não pessoais surge do fato de que desafia a noção de controle individual sobre os dados, pois é improvável que os indivíduos estejam cientes de quais são seus dados pessoais. os dados podem revelar quando agregados com um multiverso de outros pontos de dados.

Como um recurso coletivo, os dados agregados devem ser aproveitados para uma melhor governança. Ele pode orientar os formuladores de políticas para soluções inovadoras para os problemas modernos, mantendo os dados como evidência.

Projeto de Lei de Proteção de Dados Pessoais, 2019

Uso de dados não pessoais na governança

O Projeto de Lei de Proteção de Dados Pessoais de 2019 confere poderes ao governo (cláusula 91(1)) para estruturar políticas com o auxílio de dados não pessoais para o crescimento, segurança e integridade da economia digital e para a prevenção do uso indevido de dados. Para esse fim, o governo também terá o poder de direcionar qualquer fiduciário/processador de dados para fornecer dados não pessoais para 'permitir melhor direcionamento da prestação de serviços ou formulação de políticas baseadas em evidências'.

Na Índia, com uma miríade de questões de desenvolvimento, o escopo que os conjuntos de dados podem ter na condução de intervenções políticas é grande. Por exemplo, setores como tecnologia da saúde, fintech e telecomunicações começaram a contar com conjuntos de dados para inovar e fornecer soluções da nova era.

De acordo com esta cláusula, o governo pode acessar dados de fiduciários e processadores de dados, o que inclui dados não pessoais ou dados anônimos. Isso prejudica as práticas comerciais existentes em que o processador de dados está contratualmente vinculado ao fiduciário de dados e não pode compartilhar dados (pessoais ou não pessoais) ou quaisquer insights deles, pois pertencem ao cliente do processador de dados em nome de quem a entidade de processamento de dados está realizando atividades de processamento de dados de acordo com instruções e contrato.

Isso terá um enorme impacto na confiança empresarial de clientes e estrangeiros, de empresas de processamento de dados na Índia, pois ficariam apreensivos com o acesso do governo aos dados.

Recomendado para você:

Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Amit Das

31 de julho de 2022

Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Jaspreet K.

31 de julho de 2022

Recursos

Como o Metaverse transformará a indústria automobilística indiana

Vaibhav S.

31 de julho de 2022

Recursos

O que significa a provisão antilucratividade para startups indianas?

Charany L.

31 de julho de 2022

Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Ankush S.

31 de julho de 2022

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Tapanjana R.

31 de julho de 2022

Essa disposição provavelmente desencorajará a inovação e os investimentos na Índia, pois o governo está solicitando dados não pessoais, bem como dados pessoais anônimos. Há também preocupações de que informações confidenciais de negócios, incluindo segredos comerciais, possam ser buscadas no âmbito do projeto de lei.

Como os dados foram definidos para incluir “insights coletados de dados”, esse acesso aos dados pelo governo infringiria os direitos de propriedade intelectual de empresas e outros negócios. Esta cláusula provavelmente contornará o controle do fiduciário de dados e as obrigações do processador de dados sob seu contrato com o fiduciário de dados.

Desanonimização de dados pessoais pelo governo

De acordo com a cláusula 91(2) do projeto de Lei de Proteção de Dados Pessoais de 2019, o governo, em consulta com a Autoridade de Proteção de Dados, tem o poder de direcionar qualquer fiduciário de dados para fornecer dados pessoais anônimos para fins de formulação de políticas baseadas em evidências. A definição de anonimização dada no projeto de lei prevê um processo irreversível, mas dada a natureza da criptografia, a anonimização, bem como as técnicas de desanonimização de dados, está crescendo simultaneamente. Embora o objetivo seja alcançar a irreversibilidade absoluta dos dados anonimizados, não se pode desconsiderar que a tecnologia para desanonimização também está crescendo.

Além disso, o escopo deste projeto de lei deve ser limitado à proteção de dados pessoais e privacidade individual. Aventurar-se no território de dados não pessoais não deve ser o objetivo deste projeto de lei. Portanto, esta disposição deve ser excluída e até que o relatório sobre dados não pessoais do comitê de especialistas seja publicado, o governo deve abster-se de tomar quaisquer decisões políticas com relação a dados não pessoais.

Desafios e oportunidades

É importante que qualquer regulamentação que lide com dados não pessoais permita seu livre fluxo e forneça acesso a conjuntos de dados para benefícios comunitários e na construção de uma economia digital. Deve ajudar a inovação e o estabelecimento de um ecossistema maior em torno dos dados. Permitir a estrutura de compartilhamento de dados e o fluxo livre de dados permite que os usuários de serviços de processamento de dados usem os dados coletados em diferentes mercados para melhorar sua produtividade e competitividade.

Os usuários podem, portanto, aproveitar ao máximo as economias de escala proporcionadas pelo grande mercado, melhorando sua competitividade global e aumentando a interconectividade da economia de dados.

O objetivo da nova lei deve ser assegurar que os direitos dos cidadãos à proteção dos seus dados pessoais são sempre respeitados, inclusive quando os seus dados são misturados com outros tipos de dados, ou que os seus dados são devidamente anonimizados.

A lei deve equilibrar o interesse das empresas e a privacidade e segurança individual em dois lados. Embora seja bem-vindo ver o governo depender cada vez mais de dados agregados para alavancar seu potencial na condução de mudanças políticas efetivas, é preciso haver uma estrutura mais forte e detalhada que analise a possibilidade de excessos de poder e seu efeito no mercado.

Além disso, a colocação de disposições relativas a dados não pessoais em um projeto de lei de proteção de dados pessoais é uma incompatibilidade. A Autoridade de Proteção de Dados tem um mandato para regular as questões relacionadas com a privacidade e os dados pessoais dos utilizadores. Neste contexto, ainda não está claro como a provisão deve ser operacionalizada, sem nenhum regulador habilitado para manter uma verificação.

[O artigo foi escrito em coautoria por Karthik Venkatesh e Kazim Rizvi, equipe do The Dialogue]