Care va fi soarta recomandărilor TRAI și a circularei RBI după adoptarea legii PDP?
Publicat: 2018-08-08În timp ce TRAI tratează datele ca pe proprietatea utilizatorilor, proiectul de lege privind protecția datelor cu caracter personal nu acordă utilizatorilor niciun drept de proprietate
PDP Bill creează o relație fiduciară între fiduciarii de date și utilizatori, astfel încât primii sunt obligați să acționeze în interesul celor din urmă.
Circulara RBI pare să fie în linii mari în conformitate cu Legea PDP; cu toate acestea, lipsa de claritate cu privire la ceea ce constituie date personale critice este o problemă
În urmă cu aproximativ 10 zile, Comitetul de experți prezidat de Justiția Srikrishna (Comitetul Srikrishna), numit de Ministerul Electronicei și Tehnologiei Informației (MeitY) anul trecut, și-a lansat recomandările finale cu privire la cum ar trebui să arate cadrul Indiei de protecție a datelor. De asemenea, a lansat un proiect de lege privind protecția datelor cu caracter personal, 2018 (PDP Bill).
În această piesă, juxtapun proiectul de lege PDP cu recomandările Autorității de Reglementare a Telecomunicațiilor din India (TRAI) privind confidențialitatea și proprietatea datelor și dictatul Băncii de Rezervă a Indiei (RBI) privind localizarea datelor sistemelor de plată. (Vezi aici și aici pentru liste adunate de articole despre alte aspecte ale proiectului de lege PDP).
Deci, ce credeți că se va întâmpla cu circulara RBI și cu recomandările TRAI atunci când (orice versiune a) Legii PDP va fi adoptată? Să începem cu o istorie recentă.
În iulie 2017, guvernul indian a însărcinat Comitetului Srikrishna să elaboreze o lege cuprinzătoare privind protecția datelor pentru India. Comitetul a lansat apoi o carte albă pentru comentarii publice, iar mai târziu, în ianuarie 2018, a efectuat patru consultări publice – câte una în Delhi, Bangalore, Hyderabad și Mumbai. Șase luni mai târziu, punând capăt tuturor speculațiilor cu privire la momentul lansării lor, Comitetul a lansat recomandările sale finale și proiectul de lege PDP. Între timp, în august 2017, TRAI și-a început propria consultare privind confidențialitatea, securitatea datelor și proprietatea datelor în sectorul telecomunicațiilor. Deliberările TRAI s-au desfășurat în paralel cu exercițiul propriu al Comitetului Srikrishna și au culminat cu eliberarea de către autoritatea de reglementare a telecomunicațiilor a recomandărilor sale privind confidențialitatea la 16 iulie 2018, cu mai puțin de două săptămâni înainte ca Comitetul Srikrishna să-și lanseze propriile sale.
TRAI nu a fost singurul organism de reglementare care a sărit în valul de protecție a datelor, în așteptarea publicării recomandărilor finale ale Comitetului Srikrishna. În aprilie, la începutul acestui an, autoritatea de reglementare financiară a țării – RBI – a mandatat ca datele sistemelor de plată să fie localizate, ceea ce înseamnă că trebuie stocate doar în India. În timp ce recomandările TRAI sunt doar atât – recomandări – mandatul RBI a intrat imediat în vigoare. Furnizorii de sisteme de plată au până la 15 octombrie 2018 să se conformeze normei și să informeze RBI despre conformitatea acestora.
Acțiunile TRAI și RBI nu au mers bine cu Comitetul Srikrishna. La scurt timp după ce TRAI și-a lansat recomandările, sa raportat că Comitetul a fost supărat de momentul în care a intervenit autoritatea de reglementare a telecomunicațiilor, deoarece ar întârzia lansarea propriilor recomandări finale. În ceea ce privește decizia RBI, la conferința de presă pentru a elibera recomandările finale ale Comitetului, judecătorul Srikrishna a opinat că autoritatea de reglementare financiară a sărit pistolul cu circulara sa. Pe lângă nemulțumirea Comitetului față de TRAI și RBI, autoritățile de reglementare sectoriale vor juca un rol cheie în promovarea cadrului de protecție a datelor din India. Justiția Srikrishna a recunoscut anterior acest lucru.
Recomandat pentru tine:
Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...
Cum va transforma Metaverse industria auto din India
Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...
Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...
Startup-urile indiene iau comenzi rapide în căutarea finanțării
Proiectul de lege PDP este doar primul pas către dezvoltarea unui cadru cuprinzător de protecție a datelor pentru India. Autoritățile de reglementare sectoriale, inclusiv TRAI și RBI, vor juca fără îndoială un rol cheie în operaționalizarea proiectului de lege PDP și în dezvoltarea principiilor și normelor de confidențialitate pentru sectoarele lor respective. În timp ce Legea PDP prevede crearea unei noi autorități – Autoritatea pentru Protecția Datelor – care să supravegheze punerea în aplicare a legii, de asemenea, solicită acestei autorități să se consulte și să colaboreze cu alte autorități de reglementare sectoriale.
Având în vedere că Legea PDP va fi legea-mamă, orice acțiune pe care TRAI, RBI sau orice alt organism de reglementare o întreprinde cu privire la protecția datelor va trebui să fie în conformitate cu prevederile sale. Orice acțiune a oricărui organism de reglementare care este în contradicție cu legea-mamă atunci când intră în vigoare va trebui revizuită. Având în vedere acest lucru, este puțin probabil ca recomandările de confidențialitate ale TRAI, care își extind jurisdicția mult dincolo de telecomunicații, să se traducă într-o reglementare concretă în forma lor actuală. „Ecosistemul digital” despre care vorbește reglementarea telecom va fi, în orice caz, supus legii țării privind protecția datelor.
Își extinde TRAI jurisdicția?
Încercarea TRAI de a-și extinde jurisdicția nu este nouă și poate fi urmărită cel puțin până în 2008, când a încercat pentru prima dată să reglementeze „serviciile cu valoare adăugată”. În ultimul deceniu, aceste eforturi de a reglementa mai mult decât doar telecomunicațiile au continuat, deși terminologia s-a schimbat – „servicii cu valoare adăugată” au devenit „servicii de aplicații”, „servicii de vârf”, iar acum, „servicii digitale”. ecosistem”.
Recomandările TRAI privind confidențialitatea – cea mai recentă încercare de suprareglementare – diferă de Legea PDP în anumite domenii cheie.
În opinia TRAI, utilizatorii dețin informațiile lor personale, iar operatorii de date (numiți fiduciari de date în conformitate cu Legea PDP) sunt „simpli custozi” ai acestor date. Legea PDP nu acordă utilizatorilor niciun drept de proprietate, dar creează o relație fiduciară între fiduciari de date și utilizatori, astfel încât primii sunt obligați să acționeze în interesul celor din urmă.
În plus, în timp ce Legea PDP îi face răspunzători numai pe fiduciarii de date în conformitate cu legea, iar procesatorii de date numai în anumite condiții, TRAI este de părere că atât operatorii, cât și procesatorii ar trebui să fie răspunzători. Recomandările TRAI și proiectul de lege PDP diferă și în ceea ce privește localizarea datelor. Autoritatea de reglementare a telecomunicațiilor nu a făcut nicio recomandare concretă cu privire la această problemă și a amânat Comitetului Srikrishna.
Pe de altă parte, Legea PDP specifică grade diferite de localizare a datelor pentru diferite categorii de date și impune ca datele personale critice să fie stocate și procesate numai în India. Interesant este că proiectul de lege nu specifică care sunt datele personale critice și lasă la latitudinea guvernului central să definească. Este probabil ca guvernul să desemneze datele de telecomunicații drept date personale critice.
Spre deosebire de recomandările TRAI, circulara RBI pare să fie în linii mari în conformitate cu Legea PDP. Cu toate acestea, lipsa de claritate cu privire la ceea ce constituie date personale critice este o problemă și pentru informațiile financiare. La fel ca datele de telecomunicații, este foarte probabil ca guvernul să desemneze datele financiare drept date personale critice. Dacă acesta este cazul, atunci toate datele financiare, și nu doar datele sistemelor de plată, vor trebui stocate și procesate local numai în India.
Proiectul de lege PDP este probabil să fie modificat înainte de a fi promulgat în lege. Oricum, indiferent de forma finală a legii, faptul că autoritățile de reglementare sectoriale au un rol crucial în formarea legii Indiei privind protecția datelor rămâne neschimbat.