¿Cómo afectará a tu startup la propuesta de ley de protección de datos?
Publicado: 2022-03-15Para ayudar a las nuevas empresas a comprender el impacto de la ley de protección de datos propuesta, Ikigai Law organizó 'Unscramble' el 24 de febrero.
La discusión contó con la participación de nuevas empresas líderes de los sectores de servicios fintech, edtech, healthtech, AI
Las principales preocupaciones planteadas fueron la capacidad de las nuevas empresas para sobrevivir sin fosos de datos, los desafíos de cumplimiento y los costos en la segregación de conjuntos de datos y la falta de interoperabilidad con los marcos de datos globales.
El Comité Parlamentario Conjunto (JPC) presentó recientemente un informe sobre el Proyecto de Ley de Protección de Datos Personales de 2019 (Proyecto de Ley de 2019) que recomendó ampliar el alcance de la ley para incluir datos no personales (NPD) dentro de su ámbito, revelar la imparcialidad de los algoritmos y más. Una vez introducida, la ley requeriría que las nuevas empresas reconsideren sus prácticas de manejo de datos, teniendo en cuenta los costos de cumplimiento significativos.
Para ayudar a los jugadores del ecosistema de startups a descifrar el impacto de la ley de protección de datos propuesta, Ikigai Law organizó una discusión virtual interactiva, ' Unscramble: Impact of India's Data Protection Law on Startups ', el 24 de febrero.
La discusión contó con una amplia participación de la comunidad de empresas emergentes con representantes de las principales empresas de servicios de fintech, edtech, healthtech, comercio electrónico y IA.
Dirigida por Sreenidhi Srinivasan, asociada principal de Ikigai Law, la discusión reveló el impacto del proyecto de ley de 2019 en las nuevas empresas. Se refirió a los desafíos de categorizar los conjuntos de datos en datos personales y NPD, cómo el cumplimiento de la ley podría impedir que las nuevas empresas se expandan, las implicaciones de DPI de cierta divulgación, entre otros.
Regular NPD y otros datos de propiedad es como pedirle a Coca-Cola que revele su fórmula 'secreta'
La ley de protección de datos personales ha estado en proceso durante casi cinco años. En el camino, el gobierno se dio cuenta de la idea de utilizar datos anónimos/información comercial (NPD) para obtener valor económico de ellos. Actualmente, la ley propone regular tanto los datos personales como los NPD. Permite al gobierno central ordenar a las empresas que compartan NPD con fines de formulación de políticas. Sreenidhi buscó puntos de vista sobre el alcance ampliado de la ley, la necesidad de regular NPD y su impacto en las nuevas empresas que dependen de fosos de datos para su ventaja competitiva.
Ashutosh Senger, asesor principal de Florence Capital (una plataforma de préstamos), habló sobre cómo la inclusión de NPD es un paso hacia el equilibrio del acceso a los datos, pero no se puede ignorar la ventaja competitiva que brindan los activos de datos patentados. Insinuando la necesidad de equilibrar los intereses del gobierno al utilizar NPD para fines socioeconómicos con los derechos de propiedad intelectual (PI) de las empresas, dijo: "¿Cómo promovemos el interés del estado, así como de todo el ecosistema o el entorno del emprendimiento y la innovación.”
Manuj Garg, cofundador de MyUpchar (una plataforma de atención médica), agregó que los datos son una "moneda clave" para todas las nuevas empresas. “Todo lo que generas a partir del trabajo que has hecho es tu propiedad intelectual. Es lo que te da una ventaja en el mercado y te permite hacer lo que estás haciendo. Decir que estos datos tienen que hacerse públicos, esencialmente acaba con el negocio”.
Hay otras disposiciones en la ley propuesta que podrían dañar los derechos de propiedad intelectual de las empresas, como pedirles que revelen la 'justicia' de los algoritmos. Todavía no existe un umbral para definir la "equidad", e incluso si tal aclaración llega en el futuro, los conocimientos técnicos sobre algoritmos no son de conocimiento público.
“Es como pedirle a Coca-Cola que revele su fórmula secreta, quitándole el incentivo para operar”, agregó Garg.
Megha Nambiar, asesora legal sénior de HyperVerge (una plataforma de detección de fraude y verificación de identidad), estuvo de acuerdo en que incluir NPD agrega “mucha incertidumbre a la mezcla porque se trata esencialmente de datos privados que están siendo invadidos. Y hay un elemento obligatorio para el intercambio de datos que nuevamente se convierte en un problema”. Aludió a la falta de incentivos para promover el intercambio de datos.
Nambiar planteó algunas preguntas a la sala y se preguntó si tal intercambio de datos podría ser voluntario y cómo se cotizaría, valoraría y compartiría.
Sruthi Srinivasan, asesor legal de Uni Cards, estuvo de acuerdo con los oradores anteriores y cuestionó la necesidad de regular los conjuntos de datos derivados/anonimizados.
Las empresas emergentes enfrentarán enormes desafíos en la forma en que está estructurada la ley propuesta
En el período previo a la ley, las empresas tendrían que revisar sus políticas relacionadas con los datos y ajustar sus presupuestos para cumplir con la ley. Sreenidhi buscó opiniones sobre los desafíos de cumplimiento que anticipan las empresas.
Aditya Shamlal, jefe legal de Zeta (una startup fintech), dijo que la ley en su forma actual es de "cumplimiento pesado". Y que “los verdaderos dientes de esta ley se mostrarán en las regulaciones y códigos de práctica emitidos sobre cosas como la privacidad por diseño, el derecho al olvido y más. Hasta que surjan esas regulaciones, estás operando en un espacio nebuloso, donde estás haciendo conjeturas fundamentadas sobre la base de experiencias europeas como el RGPD”. Él creía que las nuevas empresas centradas en datos tendrían dificultades para ingresar al mercado y expandirse cuando la ley entre en vigor.
Recomendado para ti:
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
Los participantes también discutieron la interacción entre los reguladores sectoriales y el próximo regulador de datos. Sruthi de Uni Cards, señaló que muchas entidades reguladas en el espacio fintech ya están incorporando el derecho a retirar el consentimiento (previsto en la ley de protección de datos propuesta) en sus prácticas estándar de datos. Se preguntó cómo se desarrollaría la retirada del consentimiento en un espacio regulado donde los jugadores necesitan conservar conjuntos de datos como registros de datos en su sistema para mostrarlos con fines de auditoría.
Sruthi dijo que los reguladores tendrán que lidiar con preguntas sobre la cantidad de información que se puede retirar y retener. “En el futuro, los clientes pueden acercarse a las entidades reguladas y solicitar una eliminación completa de su información del sistema. Sin embargo, como plataforma de préstamos, RBI requiere que conserve esa información para validar el hecho de que incorporó a este cliente”, comentó.
Vinita Varghese, jefa legal de Urban Company (una plataforma hiperlocal de servicios de expertos), estuvo de acuerdo con Sruthi y agregó que, “cuando se habla de implementar la ley en la forma en que está redactada actualmente, es una inversión de costo y tiempo para las empresas emergentes y organización más pequeña, mientras que para las organizaciones grandes, que no han comenzado este proceso, es una empresa absolutamente monstruosa”.
Ella dijo que la ley propuesta requiere que las empresas, independientemente de su tamaño, creen inventarios de datos para poder agrupar los datos en diferentes categorías. Este no es un ejercicio estrictamente legal ya que involucraría a todos los verticales de la organización. Varghese también dijo que permitir que las nuevas empresas cumplan con la ley requeriría conciencia y educación a un nivel multifuncional.
Sobre la base del problema, Garg discutió cómo un cofundador promedio sin experiencia legal tendría dificultades para desempacar qué significan e incluyen los datos personales, los datos personales confidenciales y críticos. Con diferentes categorías de datos, vienen diferentes umbrales de consentimiento (obligaciones más estrictas para obtener consentimiento explícito en caso de datos confidenciales). Mencionó cómo, según las pautas de telemedicina, si un paciente inicia una consulta, la aplicación no necesita obtener el consentimiento explícito del paciente. Pero según la ley de datos propuesta, “no está claro cómo se gestionará el consentimiento explícito”. Garg también señaló la ambigüedad en la obtención de la certificación de software de hardware (que se introduce para mantener la integridad de los datos) y la necesidad de revisar dicha certificación cuando se actualice el software.
Panduranga Acharya, asesor general de Girnarsoft.com (un proveedor de soluciones de TI), dijo que "el cumplimiento no puede ser difícil, puede ser costoso".
Pidió la inclusión de umbrales para excluir a las pequeñas empresas de los requisitos de cumplimiento más costosos. Acharya también identificó las dificultades con los diferentes estándares de consentimiento para diferentes categorías de datos. Dijo que “la categorización como datos confidenciales, críticos y no confidenciales conduciría a una multiplicidad de consentimiento o requeriría mecanismos de consentimiento de tasa bipolar. El despliegue de tales mecanismos de consentimiento podría ser muy difícil para cualquier empresa”.
Las protecciones mejoradas para los datos de los niños tienen un alto costo para las empresas de Edtech
Sachin Ravi, cofundador de Qshala (una plataforma edtech), habló sobre cómo tanto China como India están trabajando en políticas para regular el sector edtech. Señaló que definir a los niños como cualquier persona menor de 18 años es preocupante para varios actores del sector. Dijo que "la orientación que proviene del gobierno para edtech sobre cómo se puede jugar con los datos" podría ser beneficiosa.
Shatakrutu Saha, asesor legal de KidsChaupal (una plataforma de edtech), comentó que dado que la justificación para establecer la edad en 18 años se deriva de las disposiciones de la Ley de Contratos de la India y la Ley de la Mayoría, no es probable que se cambie. Sin embargo, señaló que la Ley de Justicia Juvenil entiende la mayoría de edad de manera diferente.
Saha compartió una perspectiva interesante sobre cómo un indio de 16 años venció al campeón mundial de ajedrez Magnus Carlsen: "Imagínese si este niño está restringido por el consentimiento de su tutor, quien se opone a la decisión de este talentoso niño sobre qué cursos tomar en línea, eso es un escenario de caso problemático.” También habló sobre la diferencia de enfoque entre India y otros marcos globales como la UE, que definen a un niño como cualquier persona entre 13 y 16 años.
También se discutió la falta de claridad sobre los mecanismos de selección de edad y las disposiciones sobre el consentimiento de los padres. Ravi de Qshala dijo que los padres podrían explorar la creación de cuentas seudónimas para niños en lugar de dar información personal. Sin embargo, persisten las preguntas sobre las modalidades de uso de datos anónimos para crear contenido y brindar servicios tanto a usuarios adultos como a niños. Saha de KidsChaupal señaló que la clasificación por edad podría basarse en el riesgo, y explicó que tales medidas existen para productos y servicios dirigidos a grupos de edad y datos demográficos específicos, como aplicaciones de citas y juegos en línea. En estas aplicaciones y servicios, la clasificación por edad se realiza para proteger a los menores de los riesgos asociados con dichos servicios.
Saha agregó que la implementación de nuevas características podría desencadenar la definición de daño o seguimiento en la ley propuesta. La prohibición general de rastrear/perfilar los datos de los niños y la definición amplia de daño podría crear fricciones entre el diseño de productos y los equipos legales en las nuevas empresas de edtech.
La ley propuesta debe ser interoperable con marcos globales para impulsar la economía de datos de la India
Sreenidhi preguntó a la sala si sentían que la ley propuesta promueve la interoperabilidad con marcos de datos globales y cómo el cumplimiento de la ley podría afectar el acceso a los mercados globales.
Neelakshi Gupta, asociada legal de Qure.ai (una plataforma de tecnología de la salud), planteó varias preguntas en términos de cumplimiento global: preguntó: “¿Qué constituye una transferencia de datos transfronteriza? ¿Cuándo se aplicarán las nuevas Cláusulas contractuales tipo (SCC)? Si firmamos los SCC con nuestros clientes, ¿podemos decir que cumplimos con la sentencia Schrems II ?”
En términos de estrategias de cumplimiento global, Nambiar de HyperVerge dijo que el movimiento hacia la localización de datos en varios marcos de protección de datos a nivel mundial es preocupante ya que el negocio involucra a proveedores en diferentes geografías. Ella dijo que "si vemos que la localización de datos se convierte en una tendencia global, entonces tener centros de datos locales en cada una de estas geografías será muy costoso para nosotros".
Varghese de Urban Company estuvo de acuerdo en que las disposiciones de localización de datos crearán desafíos de cumplimiento porque los diferentes países parecen tener un umbral diferente para la localización. Ella dijo que se podría desarrollar un estándar de oro para la localización de datos que sea amigable para los negocios y compatible en todas las jurisdicciones.
Próximos pasos para comprometerse con las preocupaciones de las empresas emergentes
Los costos de cumplimiento y la falta de claridad en torno a ciertas disposiciones son preocupaciones clave para las nuevas empresas. El objetivo del gobierno de posicionar a la India como un actor importante en la economía digital debe ir acompañado de un régimen de protección de datos habilitador. Debería permitir que las nuevas empresas se amplíen y accedan a los mercados globales.
Actualmente, el Ministerio de TI está discutiendo las recomendaciones de la JPC y ha reconocido los desafíos de cumplimiento que conlleva la ley. Esta es una gran oportunidad para que las nuevas empresas y las pequeñas empresas se comprometan con los responsables políticos y soliciten consultas públicas más amplias sobre la ley y trabajen hacia soluciones mutuamente beneficiosas.
*Las citas han sido editadas y refinadas para ajustarse al artículo y al contexto.
*Este artículo ha sido coescrito por Shrinidhi Rao y Kanupriya Grover, asociados de Ikigai Law