Cómo el proyecto de ley revisado del PDP afecta a las nuevas empresas tecnológicas de la India: Inc42 e Ikigai Law regresan con 'The Dialogue'
Publicado: 2020-03-05Inc42 e Ikigai Law celebraron una mesa redonda el 7 de septiembre de 2018 sobre el proyecto de Ley de Protección de Datos Personales (Ley PDP) y sus implicaciones en el ecosistema
Con el proyecto de ley PDP revisado ahora, The Dialogue ha regresado para ayudar a las nuevas empresas, los empresarios y otras partes interesadas a expresar sus opiniones.
La última edición del diálogo se realizará en Delhi
Presentado en el Parlamento el 11 de diciembre de 2019, el proyecto de ley PDP requerirá que las nuevas empresas revisen sus operaciones, modifiquen sus prácticas comerciales y cambien totalmente la forma en que usan los datos. Desde exigir el acceso a los datos de propiedad de las empresas hasta restringir el flujo de datos, el proyecto de ley PDP pedirá a las nuevas empresas que renueven sus procesos relacionados con los datos e incorporen la privacidad en las arquitecturas de sus sistemas. En un intento por comprender y gestionar las implicaciones del proyecto de ley PDP en las nuevas empresas, Inc42 e Ikigai Law organizarán una mesa redonda, 'The Dialogue' en Delhi.
Actualmente, el proyecto de ley PDP está siendo examinado por un comité parlamentario conjunto (JPC, por sus siglas en inglés), que invitó a las partes interesadas a hacer comentarios antes del 25 de febrero de 2020. Llevando este ciclo de comentarios más allá, The Dialogue: Impact Of The Revised PDP Bill On The Indian Startup Ecosystem está invitando todas las partes interesadas del ecosistema para presentar sus puntos de vista sobre el proyecto de ley PDP y su impacto en el ecosistema tecnológico y de inicio en la India.
El evento es el punto de convergencia ideal para nuevas empresas, inversores y otras partes interesadas del ecosistema de empresas emergentes de la India, quienes se verán afectados por el proyecto de ley de PDP.
Únete a la discusiónLa proliferación de servicios digitales junto con el rápido aumento del uso de datos plantea riesgos significativos para las personas y las empresas. Con las filtraciones de datos y los incidentes de seguridad en aumento, el gobierno indio reconoció la necesidad de una ley de protección de datos.
Para trabajar en la tarea de abordar tales preocupaciones y prevenir la ocurrencia de incidentes de seguridad en India, el Ministerio de Electrónica y Tecnología de la Información (MeitY), bajo la presidencia del juez retirado de la Corte Suprema BN Srikrishna, formó un comité de expertos. Establecido en 2017, el comité presentó el proyecto de Ley de Protección de Datos Personales (PDP) en julio de 2018 al gobierno y lo abrió al público para comentarios y sugerencias.
En diciembre de 2019, el gabinete sindical aprobó el proyecto de ley PDP revisado. Aplicando a todas las entidades que recolectan, usan, almacenan, comparten o procesan 'datos personales', el Proyecto de Ley PDP cubre cualquier dato que pueda, directa o indirectamente, identificar a una persona.
Si se aprueba en su estado actual, se espera que el proyecto de ley PDP tenga un impacto significativo en las nuevas empresas indias. Para abordar estas preocupaciones del ecosistema de startups tecnológicas, Inc42 junto con Ikigai Law está organizando ' Haz que tu voz se escuche
Temas de discusion
La última edición de The Dialogue tiene como objetivo cubrir todos los pros y contras para las nuevas empresas, emprendedores y empresas del proyecto de ley PDP. Cubriendo todas las disposiciones principales del proyecto de ley desde el punto de vista de las nuevas empresas tecnológicas y el impacto que creará en sus operaciones, los temas de discusión son:
Transferencia transfronteriza de datos
Las normas locales de almacenamiento de datos establecidas se aplican a los datos personales confidenciales (SPD), que incluyen categorías como salud, finanzas, datos biométricos y más. El gobierno también puede notificar otras categorías de SPD. Si bien el proyecto de ley permite que las entidades transfieran SPD fuera de India sobre la base de contratos aprobados, adecuación y más, los datos personales críticos (CPD) solo pueden procesarse en India y transferirse fuera por motivos limitados de servicios de emergencia. El proyecto de ley no define la CPD ni proporciona ninguna orientación sobre lo que constituye la CPD, a pesar de permitir que el gobierno notifique las categorías de la misma.
Estos requisitos de almacenamiento tienen el potencial de cerrar el acceso a las plataformas globales de servicios en la nube para las nuevas empresas en la India. Además, también pueden limitar el acceso a los mercados globales y las últimas tecnologías. Esto podría reducir los márgenes de beneficio, la productividad y socavar la competitividad de las nuevas empresas.
Además, reducir los costos operativos es esencial para las nuevas empresas en las primeras etapas de crecimiento, y los requisitos y restricciones de localización amenazan con aumentar los costos operativos y dificultar la capacidad de las nuevas empresas para desarrollar sus servicios.
Recomendado para ti:
Cómo escuchar activamente a sus clientes puede ayudar a que su empresa crezca
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Obligaciones de acceso a datos de las empresas
Si bien el proyecto de ley PDP excluye específicamente los datos anónimos de su alcance, el gobierno aún puede exigir estos datos a cualquier entidad, con el fin de brindar un mejor servicio y formular políticas informadas.
Esta disposición puede obstaculizar las operaciones comerciales de empresas grandes, medianas y pequeñas por igual. En particular, las nuevas empresas realizan esfuerzos significativos para recopilar datos y desarrollar conocimientos y, como tal, un requisito de intercambio obligatorio puede perjudicar sus esfuerzos.
“El proyecto de ley debe centrarse en la protección de datos personales y no debe incluir disposiciones para regular los datos no personales (NPD). Además, un comité gubernamental separado está examinando actualmente el tema de la regulación integral del NPD. Las nuevas empresas también deberían ofrecer sus puntos de vista sobre la regulación de NPD a este comité”, dijo Nehaa Chaudhari, directora de políticas públicas de Ikigai Law.
Requisitos con respecto a los datos de los niños
El proyecto de ley de PDP define a un 'niño' como cualquier persona menor de 18 años, y también requiere que las entidades verifiquen la edad de un niño y obtengan el consentimiento de los padres antes de procesar los datos que pertenecen al niño. La forma de verificar la edad y obtener el consentimiento de los padres será establecida por la autoridad de protección de datos (APD).
Los requisitos de verificación de edad pueden afectar potencialmente a todas las entidades que ofrecen servicios en línea, cuando en efecto, el proyecto de ley requeriría la verificación de edad de cada usuario para garantizar que no se procesen datos de niños. Además, el requisito del consentimiento de los padres puede hacer que los niños pierdan el acceso a servicios valiosos, especialmente para las nuevas empresas en sectores como la tecnología educativa, la tecnología de la salud y los juegos, ya que el procesamiento de los datos de los niños se enfrentará a mayores requisitos de cumplimiento, cuya forma aún se desconoce.
El propósito y las limitaciones de la colección
El Proyecto de Ley obliga a las entidades a recopilar datos personales para fines que sean claros, específicos, lícitos y comunicados con antelación. Esto puede actuar como un impedimento para las nuevas empresas, que a veces recopilan datos sin un propósito definitivo o con el fin de monetizar los datos. Como tal, las nuevas empresas deberán anticipar y obtener el consentimiento de los usuarios antes de procesar los datos para cualquier nuevo caso de uso o propósito.
Requisitos de notificación y consentimiento
Para procesar datos de manera legal, las entidades deben cumplir con estrictos requisitos de consentimiento y notificación. Las empresas emergentes que procesan datos personales sobre la base del consentimiento deben proporcionar a los usuarios avisos detallados en el momento de la recopilación. Requerir avisos detallados en cada instancia de recolección de datos puede ser poco práctico y costoso, particularmente para transacciones repetitivas y rutinarias.
El requisito de varios idiomas para cada aviso también puede ser engorroso en la práctica. Además, la gran cantidad de avisos puede llevar a la fatiga del consentimiento de los usuarios.
Derechos de los usuarios
El proyecto de ley otorga a los usuarios varios derechos sobre sus datos, incluidos los derechos de acceso a los datos, corrección de datos, portabilidad de datos y borrado de datos. Esto obligará a las entidades a diseñar sus sistemas de una manera que permita a los usuarios realizar dichas solicitudes y garantizar que estas solicitudes se puedan cumplir.
“Los derechos otorgados a un usuario en virtud del proyecto de ley pueden tener un impacto comercial significativo en las nuevas empresas, ya que la reelaboración de sus sistemas centrales para permitir dichos procesos aumentará los costos comerciales”, dijo Vijayant Singh, asociado de Ikigai Law.
¿Poderes excesivos sobre la DPA y el gobierno?
El proyecto de ley del PDP otorga a la DPA y al gobierno central amplios poderes generales. Por ejemplo, la DPA puede notificar a 'fiduciarios de datos significativos' (SDF); notificar nuevos motivos para el tratamiento de datos personales; determinar la forma, la manera y el procedimiento para realizar auditorías de datos, y puede exigir a las entidades que presenten políticas de 'privacidad por diseño' para la certificación.
Además, el gobierno está facultado para determinar especificar nuevas categorías de SPD, clasificar CPD y las condiciones para la transferencia transfronteriza de datos en ciertos casos.
“Permitir que el Gobierno notifique categorías de SPD y CPD genera una gran incertidumbre comercial. Es difícil desagregar conjuntos de datos mixtos; puede que no sea posible en la práctica depurar conjuntos de datos y almacenar ciertos datos localmente mientras se transfieren otros datos libremente”, explicó Singh.
Otras disposiciones bajo el proyecto de ley
Además de cubrir todos los puntos anteriores, la mesa redonda también cubrirá las siguientes preocupaciones:
- La ausencia de un cronograma claro para la implementación y cumplimiento del Proyecto de Ley PDP. La versión anterior propuesta tenía plazos específicos para la implementación de disposiciones que incluyen restricciones de transferencia transfronteriza, el establecimiento de la DPA y otras. Es necesario un período de tiempo adecuado para que las empresas emergentes realicen los ajustes necesarios en sus actividades de procesamiento y cumplan con la ley.
- La versión revisada del proyecto de ley contiene disposiciones sobre responsabilidad penal para la reidentificación de datos personales no identificados. Esto tiene el potencial de disuadir a las nuevas empresas de realizar operaciones de procesamiento de datos.
Durante nuestra última edición de The Dialogue on the PDP Bill, celebrada en septiembre de 2018, la discusión dejó en claro que existe una brecha muy evidente entre los hacedores de políticas y las nuevas empresas tecnológicas. Para preservar el impulso y el crecimiento del ecosistema de empresas emergentes de la India, esta brecha debe cerrarse a través de diálogos, debates y discusiones. El impacto del proyecto de ley debe destacarse a través de tales esfuerzos.
Programado en Delhi, The Dialogue es la oportunidad perfecta para que todas las partes interesadas y miembros del ecosistema de empresas emergentes de la India se reúnan y expresen sus preocupaciones y opiniones sobre el proyecto de ley. Reserve sus espacios ahora antes de que todos los asientos estén llenos.
Únase a nosotros en la discusiónActualización: debido al brote de coronavirus en Delhi, Inc42 y la ley Ikigai han decidido posponer el evento. Actualizaremos el artículo a medida que se finalice la fecha y el lugar del mismo.