The Dialogue — Preparando startups indianas para o projeto de lei de proteção de dados pessoais

No início deste ano, em abril, o Reserve Bank of India (RBI) divulgou uma circular orientando todos os operadores de sistemas de pagamento do país a armazenar seus dados exclusivamente na Índia. À medida que o prazo de 15 ^de outubro para o cumprimento da diretiva RBI se aproxima, fica claro que as empresas indianas em breve terão que reformular suas práticas de coleta e processamento de dados. Com o lançamento do Projeto de Lei de Proteção de Dados Pessoais, 2018 (Lei) em agosto, tornou-se importante que as partes interessadas antecipem as mudanças que terão que entrar em vigor com bastante antecedência. As startups, em particular, serão significativamente afetadas por essas mudanças, pois o cumprimento dos novos requisitos de privacidade exigirá investimentos consideráveis ​​de tempo e dinheiro.

Para preparar as startups para o novo regime de privacidade, a Ikigai Law, em associação com a Inc42, organizou o The Dialogue – uma mesa redonda interativa para discutir o impacto do Projeto de Lei de Proteção de Dados Pessoais com as startups. A discussão, liderada por Anirudh Rastogi, fundador da Ikigai Law; Nehaa Chaudhari, Líder de Políticas, Lei Ikigai e Vaibhav Agrawal, Fundador e CEO, Inc42 se concentraram em questões-chave sob o Projeto de Lei, incluindo os novos requisitos de notificação e consentimento; tratamento de dados pessoais sensíveis; finalidade e limitação de cobrança; e localização de dados.

Requisitos de aviso e consentimento: coisas a serem observadas

Discutindo as novas práticas de notificação e consentimento exigidas pelo Projeto de Lei de Proteção de Dados Pessoais, no The Dialogue, Anirudh enfatizou que, anteriormente, as políticas de privacidade costumavam ser tomadas com bastante leveza. Os novos requisitos de notificação da Lei de Proteção de Dados Pessoais, no entanto, são muito específicos. As informações devem ser fornecidas ao usuário de maneira simples e abrangente, mesmo no caso de línguas vernáculas . Para startups envolvidas com a Internet das Coisas (“IoT”), os dispositivos precisarão de telas para avisar, ou um e-mail terá que ser enviado em tempo real. Isso pode atrapalhar a experiência do usuário para alguns dispositivos e pode envolver um vai-e-vem entre as equipes jurídica e de UX/UI das empresas durante o desenvolvimento do produto.

Expressando suas preocupações sobre os requisitos de consentimento, um participante explicou como o reconhecimento facial pode criar desafios. Para tecnologias que usam reconhecimento facial para rastrear o gerenciamento e a participação de um grupo, as regras de consentimento são confusas. Embora seja fácil obter o consentimento individualmente, capturar centenas de rostos em uma multidão é um jogo totalmente diferente. Capturar o consentimento para isso parece quase impossível neste estágio.

Anirudh respondeu com a sugestão de que talvez eles pudessem confiar no fundamento do 'propósito razoável' sob o Projeto de Lei de Proteção de Dados Pessoais, alertando que seria um padrão bastante alto a ser atendido, já que apenas a Autoridade de Proteção de Dados tem poderes para listar o que conta como uma finalidade razoável, e as empresas não são livres para definir quais são as finalidades razoáveis ​​para si mesmas. Um membro da audiência respondeu a esta observação dizendo: “É muito importante considerar os custos de conformidade. Temo que os padrões deste projeto de lei sejam vagamente definidos. Como uma empresa com faturamento anual de um milhão de dólares separa o dinheiro para a conformidade? Como você aplica esse custo nos negócios?”

Dados pessoais confidenciais: atendendo a um padrão mais alto

O processamento de dados considerados 'dados pessoais sensíveis' (SPD) sob a Lei de Proteção de Dados Pessoais está sujeito a um limite de consentimento mais alto do que os dados pessoais. Todas as senhas, dados financeiros, dados de saúde, identificadores oficiais, dados biométricos, dados genéticos, dados que indiquem crenças religiosas ou políticas, orientação sexual ou status de casta/tribo são considerados SPD sob a Lei de Proteção de Dados Pessoais.

Recomendado para você:

Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Jaspreet K.

31 de julho de 2022

Recursos

Como o Metaverse transformará a indústria automobilística indiana

Vaibhav S.

31 de julho de 2022

Recursos

O que significa a provisão antilucratividade para startups indianas?

Charany L.

31 de julho de 2022

Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Ankush S.

31 de julho de 2022

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Tapanjana R.

31 de julho de 2022

Características

Startups indianas pegam atalhos em busca de financiamento

Nikhil S.

31 de julho de 2022

As empresas que coletam ou usam esses dados precisarão obter o consentimento explícito de seus usuários para processar esses dados - o que significa que eles terão que informar os usuários sobre as consequências do processamento de seus dados, além do aviso regular e dos requisitos de consentimento.

Anirudh explicou que isso pode ter implicações impraticáveis ​​– se os usuários nas plataformas de mídia social postarem informações que revelem sua sexualidade, crenças religiosas ou crenças políticas, isso será considerado SPD, e o consentimento explícito terá que ser obtido para o uso dessas informações. Mesmo informações disponíveis gratuitamente, como sobrenomes que revelam casta, serão rotuladas como SPD sob este projeto de lei.

Limitação de finalidade e coleta: limites sobre como as startups podem monetizar dados

Uma vez que o Projeto de Lei de Proteção de Dados Pessoais esteja em vigor como lei, as startups só poderão coletar dados pessoais para fins que sejam claros, específicos, lícitos e comunicados antecipadamente. Eles só podem coletar os dados necessários para o processamento. Explicando as implicações desse requisito, Nehaa comentou: “O consentimento deve ser específico para o propósito. Você não pode redirecionar os dados para outro uso sem informar o usuário sobre essa alteração.” Anirudh concordou e apontou que isso pode ser particularmente relevante para projetos-piloto que coletam dados sem um propósito definido, na esperança de monetizar esses dados em algum momento.

Sob o novo regime de privacidade, as startups terão que antecipar e informar os consumidores sobre os casos de uso e finalidades da coleta de dados com antecedência antes de processar quaisquer dados, para garantir que o consentimento do usuário obtido seja válido.

Localização de dados: efeitos possíveis

Ao ser perguntado sobre quantas empresas armazenavam dados na nuvem, quase todos os presentes responderam afirmativamente. Muitos participantes confiaram em plataformas globais de computação em nuvem, como Google Cloud, Microsoft Azure e AWS da Amazon. Eles explicaram que sua escolha de plataformas de nuvem foi determinada pela capacidade de resposta do serviço, latência do serviço de nuvem, disponibilidade de centros de recuperação de desastres e eficiência geral. Esses serviços permitem que as startups reduzam significativamente os custos, pois não precisam investir em grandes quantidades de hardware para armazenar seus dados.

O acesso gratuito às plataformas globais de computação em nuvem atualmente desfrutadas por startups indianas pode ser afetado pelos requisitos de localização de dados sob a Lei de Proteção de Dados Pessoais. Como explicou Nehaa, a localização no projeto de lei tem dois aspectos. Primeiro, pelo menos uma cópia de todos os dados pessoais precisa ser armazenada na Índia. Isso pode ser difícil de operacionalizar. Em segundo lugar, há uma exclusão de 'dados pessoais críticos', que só podem ser armazenados e processados ​​na Índia. Os dados pessoais críticos estão atualmente indefinidos, o Governo Central deve notificar os tipos de dados que se enquadram nessa categoria. Uma teoria é que certos tipos de SPD serão considerados dados pessoais críticos, mas ainda não está claro.

Um dos participantes, um cientista de dados que trabalha com uma empresa de análise de dados, apontou que requisitos rigorosos de armazenamento de dados levam a custos significativos mesmo para grandes empresas e, portanto, as startups seriam particularmente afetadas por essa medida. Sobre as penalidades severas e a responsabilidade criminal prescritas para o descumprimento das disposições do projeto de lei, Vikas Chauhan, do 1MG, enfatizou que não podemos ter um sistema em que os empreendedores de saúde digital tenham medo de operar negócios de saúde digital e inovar, por medo de processos criminais. Para ele, a penalidade deve ser financeira e deve haver diferentes níveis de responsabilidade para as empresas que violam repetidamente o mesmo dispositivo. Isso garantirá que os empreendedores não enfrentem uma ameaça existencial por pequenos delitos.

Como as startups se envolvem com a Lei de Proteção de Dados Pessoais?

É claro que o novo regime de proteção de dados terá consequências significativas para startups e empresas que se beneficiariam do envolvimento com a elaboração do Projeto de Lei de Proteção de Dados Pessoais. Felizmente, o Ministério da Eletrônica e Tecnologia da Informação (MeitY) fez uma chamada pública para comentários, com o prazo se aproximando rapidamente em 30 de setembro. Recomendamos que todas as startups com muitos dados respondam com seus comentários, para garantir que as preocupações da startup ecossistema estão devidamente representados perante o MeitY.