Provocări ale confidențialității și protecției datelor într-o lume Covid și post-pandemică

Publicat: 2020-09-04

Schimbarea digitală bruscă cauzată de efectele Covid-19 prezintă o provocare majoră în conformitate

Majoritatea organizațiilor nu au o înțelegere de bază a datelor pe care le colectează, cu atât mai puțin motivele și scopurile unei astfel de colectări.

Cadrul legal de confidențialitate și protecție a datelor din India este pe cale să facă un salt cuantic sub forma Legii privind protecția datelor cu caracter personal din 2019

Pandemia de Covid-19 a perturbat masiv și continuă să perturbe modul în care indivizii, guvernele și corporațiile funcționează în practic orice domeniu de viață. Cea mai mare manifestare a acestei perturbări se vede în adoptarea tot mai mare de soluții tehnologice pentru a face față provocărilor pe care le ridică această pandemie.

Principalele aspecte ale dreptului actual

Legea privind tehnologia informației din 2000 (Legea IT) citită cu Regulile privind tehnologia informației (practici și proceduri rezonabile de securitate și date sau informații cu caracter personal sensibile) din 2011 (reguli privind datele cu caracter personal sensibile) sunt legislația principală care reglementează colectarea și prelucrarea informațiilor cu caracter personal și a informațiilor personale sensibile. date sau informații (date cu caracter personal sensibile) pe o bază neutră din punct de vedere al sectorului.

Regulile privind datele personale sensibile desemnează în primul rând următoarele date personale sensibile:

  • Parola
  • Informații financiare, cum ar fi contul bancar sau cardul de credit sau cardul de debit sau alte detalii despre instrumentul de plată
  • Starea de sănătate fizică, fiziologică și mintală
  • Orientare sexuală
  • Fișe medicale și istoric
  • Informații biometrice

Datele personale sensibile pot fi colectate de o persoană juridică prin respectarea prevederilor regulilor privind datele personale sensibile, inclusiv obținerea consimțământului de la furnizorul de informații.

Provocările de conformitate introduse de Covid-19

Schimbarea digitală bruscă cauzată de efectele Covid-19 prezintă o provocare majoră în ceea ce privește conformitatea, având în vedere perspectiva generală a conformității în ceea ce privește confidențialitatea datelor în India. Odată cu munca de la distanță ca urmare a Covid-19, confidențialitatea datelor, securitatea și managementul au devenit o preocupare masivă pentru majoritatea organizațiilor din cauza lipsei capacității de a se ocupa de confidențialitatea și protecția datelor.

Recomandat pentru tine:

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: CEO CitiusTech
Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Cum va transforma Metaverse industria auto din India
Resurse

Cum va transforma Metaverse industria auto din India

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Cum startup-urile Edtech ajută la dezvoltarea competențelor și pregătesc forța de muncă pentru viitor
Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Mai mult, au existat anumite măsuri care au fost luate din cauza Covid-19, cum ar fi înregistrarea temperaturii și screening-ul angajaților și vizitatorilor, dar care, în majoritatea cazurilor, s-au făcut fără garanții adecvate și fără respectarea conformităților. Un alt domeniu de îngrijorare a fost lipsa investițiilor în securitatea cibernetică și lipsa personalului competent care se ocupă de chestiuni precum securitatea datelor.

Ce se poate face?

Maparea datelor

Majoritatea organizațiilor nici măcar nu au o înțelegere de bază a datelor pe care le colectează, cu atât mai puțin motivele și scopurile unei astfel de colectări. Acestea pot fi deosebit de dăunătoare în sectoarele axate pe clienți, cum ar fi comerțul cu amănuntul, care colectează date cu viteza nodurilor, dar nu au nici măcar un audit rudimentar al practicilor de date. O practică de bază care poate pune bazele unui sistem solid de tratare a datelor într-o organizație este de a analiza tipul și cantitatea de date care sunt procesate și de a le mapa cu scopurile și departamentele potențiale care ar putea necesita acces la astfel de date.

Întrebări de luat în considerare

  • Cât de importante sunt datele pentru afacere? Dacă datele nu sunt necesare pentru afacere, de ce sunt colectate?
  • Dacă datele sunt un activ la fel ca un activ fizic, cine ar trebui să aibă acces și cum ar trebui să fie protejate în cadrul organizației?

Construirea Capacității Organizaționale

Confidențialitatea și protecția datelor este cel mai bine să nu se gândească în silozuri. Deși este de la sine înțeles că confundarea unui CISO cu un CTO nu este o reflectare deosebit de bună a capacității organizaționale, în cele din urmă fiecare persoană angajată de o organizație trebuie să fie sensibilizată pentru a înțelege valoarea protecției datelor. Pași precum sesiunile regulate de instruire și politicile clare privind utilizarea dispozitivelor și rețelelor în cadrul organizației pot fi soluții incredibil de rentabile pentru conformitate.

Întrebări de luat în considerare

  • Există o politică care să acopere responsabilitatea unui angajat pentru asigurarea confidențialității datelor de proprietate și a informațiilor despre clienți?
  • Există vreo matrice de responsabilitate cu responsabilitate clară atribuită personalului specific pentru asigurarea protecției datelor în organizație?

Importanța pentru securitatea cibernetică

Organizațiile sunt adesea descurajate de costurile implementării unor astfel de soluții, dar orice efort de a proteja datele ar fi un efort gol fără ele. Interesant este că multe organizații nu reușesc să ia în considerare standardele de securitate cibernetică utilizate de furnizorii lor IT, cum ar fi furnizorii de cloud. Organizațiile care folosesc IT-ul intern pot lua în considerare efectuarea unei analize a decalajelor pentru a înțelege nivelul existent de conformitate și domeniile în care nu sunt insuficiente. Acest lucru ar oferi un punct de plecare pentru a decide cu privire la nivelurile de protecție a datelor către care organizația poate depune eforturi, păstrând în același timp relevante preocupările comerciale.

Întrebări de luat în considerare

  • Există vreun mecanism de auditare a furnizorilor IT/cloud pentru standardele lor de securitate cibernetică?
  • Există politici și măsuri clare în caz de încălcare/atac cibernetic, cum ar fi pentru continuitatea activității și redresarea?

Concluzie

Covid-19 a obligat deja organizațiile să facă un salt digital și se dovedește deja a fi o provocare. Cu toate acestea, cadrul legal al confidențialității și protecției datelor din India este pe cale să facă un salt cuantic sub forma proiectului de lege privind protecția datelor cu caracter personal din 2019, care este examinat în prezent de Comitetul parlamentar mixt. Acum este un moment crucial pentru organizații să ia în considerare în mod activ revizuirea practicilor lor existente și să introducă un nou zori în care afacerea lor poate prospera, odată ce pandemia de Covid-19 este în urmă.

[Articolul a fost co-autor de Supratim Chakraborty (partener) și Sumantra Bose (asociat senior) la Khaitan & Co]