Dialogul — Pregătirea startup-urilor indiene pentru proiectul de lege privind protecția datelor cu caracter personal

La începutul acestui an, în aprilie, Reserve Bank of India (RBI) a lansat o circulară prin care îndrumă toți operatorii de sisteme de plată din țară să-și stocheze datele exclusiv în India. Pe măsură ce termenul limită ^de 15 octombrie pentru conformarea cu directiva RBI se apropie, este clar că companiile indiene vor trebui în curând să-și reînnoiască practicile de colectare și procesare a datelor. Odată cu publicarea în august a Legii privind protecția datelor cu caracter personal, 2018 (factura de lege), acum a devenit important pentru părțile interesate să anticipeze schimbările pe care vor trebui să le pună în aplicare cu mult timp înainte. Startup-urile, în special, vor fi afectate semnificativ de aceste schimbări, deoarece respectarea noilor cerințe de confidențialitate va necesita investiții considerabile de timp și bani.

Pentru a pregăti startup-urile pentru noul regim de confidențialitate, Ikigai Law, în asociere cu Inc42, a organizat The Dialogue – o sesiune interactivă de masă rotundă pentru a discuta impactul legii privind protecția datelor cu caracter personal cu startup-urile. Discuția, condusă de Anirudh Rastogi, fondator Ikigai Law; Nehaa Chaudhari, director de politici, Ikigai Law și Vaibhav Agrawal, fondator și CEO, Inc42, s-au concentrat pe aspectele cheie din proiectul de lege, inclusiv noile cerințe de notificare și consimțământ; tratarea datelor cu caracter personal sensibile; limitarea scopului și a colectării; și localizarea datelor.

Cerințe de notificare și consimțământ: lucruri la care trebuie să fiți atenți

Discută despre noile practici de notificare și consimțământ cerute de Legea privind protecția datelor cu caracter personal, în The Dialogue, Anirudh a subliniat că mai devreme, politicile de confidențialitate erau luate destul de ușor. Noile cerințe de notificare din Legea privind protecția datelor cu caracter personal sunt însă foarte specifice. Informațiile trebuie furnizate utilizatorului într-un mod simplu și cuprinzător, chiar și în cazul limbilor vernaculare . Pentru startup-urile implicate în Internetul lucrurilor („IoT”), dispozitivele vor avea nevoie de ecrane pentru a oferi notificare sau va trebui trimis un e-mail în timp real. Acest lucru ar putea veni în calea experienței utilizatorului pentru unele dispozitive și ar putea implica un dus-întors între echipele juridice și UX/UI ale companiilor în timpul dezvoltării produsului.

Exprimându-și îngrijorările cu privire la cerințele de consimțământ, un participant a explicat modul în care recunoașterea facială ar putea crea provocări. Pentru tehnologiile care folosesc recunoașterea facială pentru a urmări gestionarea și prezența unui grup, regulile pentru consimțământ sunt neclare. Deși este ușor să iei consimțământul individual, capturarea a sute de fețe într-o mulțime este un cu totul alt joc de minge. Obținerea consimțământului pentru acest lucru pare aproape imposibilă în această etapă.

Anirudh a răspuns cu sugestia că poate s-ar putea baza pe motivul „scop rezonabil” din Legea privind protecția datelor cu caracter personal, avertizând în același timp că ar fi un standard destul de înalt de îndeplinit, deoarece numai Autoritatea pentru Protecția Datelor este împuternicită să enumere ceea ce contează. ca scop rezonabil, iar companiile nu sunt libere să definească scopurile rezonabile pentru ele însele. Un membru al audienței a răspuns la această observație spunând: „Este foarte important să luăm în considerare costurile de conformitate. Mă tem că standardele din acest proiect de lege sunt definite în mod vag. Cum își rezervă banii pentru conformare o companie cu o cifră de afaceri anuală de un milion de dolari? Cum luați în vigoare acest cost în afaceri?”

Date personale sensibile: îndeplinirea unui standard mai înalt

Prelucrarea datelor care sunt considerate „date cu caracter personal sensibile” (SPD) în conformitate cu Legea privind protecția datelor cu caracter personal este supusă unui prag de consimțământ mai mare decât datele cu caracter personal. Toate parolele, datele financiare, datele de sănătate, identificatorii oficiali, datele biometrice, datele genetice, datele care indică convingerile religioase sau politice, orientarea sexuală sau statutul de castă/trib sunt considerate SPD în conformitate cu Legea privind protecția datelor cu caracter personal.

Recomandat pentru tine:

Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Jaspreet K.

31 iulie 2022

Resurse

Cum va transforma Metaverse industria auto din India

Vaibhav S.

31 iulie 2022

Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Charanya L.

31 iulie 2022

Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Ankush S.

31 iulie 2022

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Tapanjana R.

31 iulie 2022

Caracteristici

Startup-urile indiene iau comenzi rapide în căutarea finanțării

Nikhil S.

31 iulie 2022

Companiile care colectează sau utilizează aceste date vor trebui să obțină consimțământul explicit al utilizatorilor lor pentru a procesa datele respective – ceea ce înseamnă că vor trebui să informeze utilizatorii cu privire la consecințele prelucrării datelor lor, pe lângă cerințele obișnuite de notificare și consimțământ.

Anirudh a explicat că acest lucru ar putea avea implicații nepractice - dacă utilizatorii de pe platformele de socializare postează informații care le dezvăluie sexualitatea, convingerile religioase sau convingerile politice, acestea vor fi considerate SPD și va trebui să se ia consimțământul explicit pentru utilizarea acestor informații. Chiar și informațiile disponibile gratuit, cum ar fi numele de familie care dezvăluie casta, vor fi etichetate SPD în cadrul acestui proiect de lege.

Scopul și limitarea colectării: limite ale modului în care startup-urile pot monetiza datele

Odată ce Legea privind protecția datelor cu caracter personal va intra în vigoare ca lege, startup-urile vor putea colecta date personale numai în scopuri clare, specifice, legale și comunicate în prealabil. Ei pot colecta doar acele date care sunt necesare pentru prelucrare. Explicând implicațiile acestei cerințe, Nehaa a comentat: „Consimțământul trebuie să fie specific pentru scop. Nu puteți reutiliza datele pentru o altă utilizare fără a informa utilizatorul despre schimbarea respectivă.” Anirudh a fost de acord și a subliniat că acest lucru ar putea fi deosebit de relevant pentru proiectele pilot care colectează date fără un scop definit, în speranța de a monetiza acele date la un moment dat.

În cadrul noului regim de confidențialitate, startup-urile vor trebui să anticipeze și să informeze consumatorii cu privire la cazurile de utilizare și la scopurile colectării datelor în prealabil înainte de a prelucra orice date, pentru a se asigura că consimțământul utilizatorului pe care îl obțin este valabil.

Localizarea datelor: Efecte posibile

La întrebarea câte companii au stocat date pe cloud, aproape toți cei prezenți au răspuns afirmativ. Mulți participanți s-au bazat pe platformele globale de cloud computing, cum ar fi Google Cloud, Microsoft Azure și AWS de la Amazon. Ei au explicat că alegerea lor de platforme cloud a fost determinată de capacitatea de răspuns a serviciului, latența serviciului cloud, disponibilitatea centrelor de recuperare în caz de dezastru și eficiența generală. Aceste servicii permit startup-urilor să reducă semnificativ costurile, deoarece nu trebuie să investească în cantități mari de hardware pentru a-și stoca datele.

Accesul gratuit la platformele globale de cloud computing de care se bucură în prezent startup-urile indiene poate fi afectat de cerințele de localizare a datelor din Legea privind protecția datelor cu caracter personal. După cum a explicat Nehaa, localizarea în proiectul de lege are două aspecte. În primul rând, cel puțin o copie a tuturor datelor cu caracter personal trebuie să fie stocată în India. Acest lucru ar putea fi dificil de operațional. În al doilea rând, există o excludere pentru „date cu caracter personal critice”, care pot fi stocate și procesate numai în India. Datele personale critice sunt momentan nedefinite, Guvernul Central trebuie să notifice tipurile de date care vor intra în această categorie. O teorie este că anumite tipuri de SPD vor fi considerate date personale critice, dar încă neclar.

Unul dintre participanți, un om de știință de date care lucrează cu o firmă de analiză a datelor, a subliniat că cerințele stricte de stocare a datelor conduc la costuri semnificative chiar și pentru companiile mari și astfel startup-urile ar fi afectate în mod deosebit de această măsură. Cu privire la sancțiunile severe și la răspunderea penală prescrise pentru nerespectarea prevederilor proiectului de lege, Vikas Chauhan de la 1MG a subliniat că nu putem avea un sistem în care antreprenorii în sănătate digitală le este frică să opereze afaceri în domeniul sănătății digitale și să inoveze, de teama urmăririi penale. Potrivit lui, sancțiunea ar trebui să fie financiară și ar trebui să existe niveluri diferite de răspundere pentru companiile care încalcă aceeași prevedere în mod repetat. Acest lucru va asigura că antreprenorii nu se confruntă cu o amenințare existențială pentru infracțiuni minore.

Cum interacționează startup-urile cu Legea privind protecția datelor cu caracter personal?

Este clar că noul regim de protecție a datelor va avea consecințe semnificative pentru startup-uri, iar întreprinderile ar beneficia de implicarea în elaborarea Legii privind protecția datelor cu caracter personal. Din fericire, Ministerul Electronicei și Tehnologiei Informației (MeitY) a făcut un apel public pentru comentarii, termenul limită apropiindu-se cu pași repezi pe 30 septembrie. Recomandăm tuturor startup-urilor cu date grele să răspundă cu comentariile lor, pentru a se asigura că preocupările startup-ului ecosistemele sunt reprezentate corespunzător în fața MeitY.