'El diálogo' de Inc42 e Ikigai Law: el proyecto de ley del PDP marca una clara división entre la mentalidad de los legisladores y las empresas emergentes
Publicado: 2018-09-09'The Dialogue' discutió el proyecto de ley PDP en detalle, incluidos los cambios que las nuevas empresas deberán realizar en las prácticas de recopilación y procesamiento de datos.
También discutió cómo el mandato de localización de datos del proyecto de ley afectará la rentabilidad y las operaciones de las nuevas empresas.
Discutió cómo las nuevas empresas pueden mantener los costos bajo control mientras cumplen con el mandato de obtener el consentimiento de los usuarios y clasificar sus datos personales.
Si bien el Ministerio de Electrónica y Tecnología de la Información (MeitY) invitó a comentarios públicos sobre el Proyecto de Ley de Protección de Datos Personales de 2018 (Proyecto de Ley PDP) a más tardar el 30 de septiembre, Inc42, en asociación con la Ley Ikigai (anteriormente TRA) , el 7 de septiembre, organizó una sesión interactiva de mesa redonda con nuevas empresas para discutir el impacto del proyecto de ley en sus negocios una vez que se promulgue en el Parlamento.
Moderado por Vaibhav Agrawal, fundador y director ejecutivo de Inc42, Anirudh Rastogi, fundador de Ikigai Law, y Nehaa Chaudhari, directora de políticas de Ikigai Law, 'The Dialogue' abordó los puntos clave del proyecto de ley PDP: localización de datos, criticidad de datos, avisos de consentimiento a los usuarios, y requisitos de consentimiento, entre otros. A la mesa redonda solo por invitación asistieron los fundadores de empresas emergentes que plantearon una serie de desafíos que no se han abordado ni respondido en el proyecto de ley existente.
Proyecto de ley de protección de datos personales: puntos clave
Recopilación de datos
Ya sea fuera de línea o en línea, las prácticas de recopilación de datos de las nuevas empresas deberán cambiar una vez que se promulgue el proyecto de ley. El proyecto de ley obliga a los fiduciarios de datos (entidades que recopilan o procesan los datos) a emitir avisos a sus usuarios sobre los datos que buscan recopilar, el propósito de la recopilación, si los datos serán transferidos a terceros o fuera del país, cómo será almacenado, por cuánto tiempo será retenido, etc.
El borrador, por lo tanto, hace que la recopilación de datos personales sea limitada y sujeta a notificación y acuerdo. En consecuencia, las nuevas empresas deberán notificar a los usuarios existentes sobre sus prácticas de recopilación y uso de datos y obtener un nuevo consentimiento del usuario. Las empresas emergentes en la mesa redonda expresaron su preocupación de que una gran parte de su base de usuarios no brinde su consentimiento nuevamente y de la manera requerida, lo que provocaría una interrupción en su negocio. “Este problema se amplifica en la India dado que el usuario indio promedio no tiene muchos conocimientos tecnológicos y es posible que no brinde un consentimiento granular”, dijo Vivek Jain, director ejecutivo de InteractiveMedia, que brinda plataformas interactivas para profesionales de administración, legales y financieros.
El proyecto de ley se aplica principalmente a los "datos personales", que son datos que pueden utilizarse para identificar a una persona. Sin embargo, los datos personales no se limitan al nombre, la dirección, etc. Podría ser cualquier dato que se pueda combinar con otros datos, incluso información disponible públicamente, para identificar de alguna manera a la persona. Por ejemplo, si una empresa de taxis sabe que alguien va a una cafetería en particular todos los días, el conjunto de datos podría usarse para identificar a un individuo único y constituirá información personal, explicó Anirudh Rastogi de Ikigai Law.
Si bien algunas de las nuevas empresas asistentes sintieron que esta cláusula de datos personales podría ser uno de los principales obstáculos para ellos, algunos opinaron que el proyecto de ley indio PDP no prioriza el 'Derecho a los negocios' como el Reglamento general de protección de datos (GDPR ) ha hecho.
Localización de datos
Para todos y cada uno de los fiduciarios de datos involucrados directa o indirectamente en la recopilación de datos o el procesamiento de datos pertenecientes a directores de datos indios, el proyecto de ley PDP establece que es esencial almacenar al menos una copia de los datos en un servidor o centro de datos ubicado en India. Además, ciertos datos, como los datos "críticos", que serán definidos por el gobierno junto con la Autoridad de Protección de Datos (DPA) propuesta, se almacenarán solo en servidores con sede en India.
Por lo tanto, el mandato de localización de datos requiere que los fiduciarios de datos configuren sus servidores en India también. Sin embargo, en la mesa redonda, los fundadores de startups señalaron que optar por un servidor de datos en India es más costoso que tener servidores de datos en EE. UU. y Singapur; el mandato también limita las opciones de las nuevas empresas, impone una mayor carga administrativa y es perjudicial desde el punto de vista de la seguridad de los datos, argumentaron. Otros dijeron que varios servicios basados en la nube no están disponibles en los servidores indios en la actualidad y no estarán necesariamente localizados, ya que el mercado indio para muchos de estos servicios es pequeño en comparación con el mercado global.
Recomendado para ti:
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
Por lo tanto, mandatos como la localización de datos, el aviso de consentimiento, el derecho de acceso de los usuarios entretenidos y el derecho a ser olvidado no solo aumentarán los costos de las nuevas empresas y reducirán su margen de ganancias, sino que afectarán negativamente sus operaciones, eficiencia y competitividad global.
Los participantes también destacaron el punto de que no es solo el proyecto de ley PDP lo que las nuevas empresas deben cumplir. Deben cumplir con múltiples leyes relacionadas con los datos, que pueden ser leyes de protección de datos sectoriales y específicas de cada país, y esto aumentará su carga.
Muchos opinaron que la disposición de localización de datos se ha incluido en el proyecto de ley debido a un grupo de presión particularmente fuerte que respalda el tema. Las fuertes sanciones prescritas de hasta Rs 15 Cr y la responsabilidad penal obstaculizarían los negocios de las nuevas empresas en general, agregaron.
Datos personales confidenciales
El proyecto de ley de PDP también invoca el concepto de datos personales confidenciales (SPD). Los datos personales confidenciales incluyen información como datos de salud, identificadores oficiales (identificación de Aadhaar, licencia de conducir, etc.), datos biométricos, creencias religiosas o políticas y datos relacionados con la casta.
Sin embargo, no hay claridad sobre si los "datos críticos" son un subconjunto de SPD o no. El gobierno aún no ha definido la definición de "datos críticos".
Tomando el consentimiento de los directores de datos
De acuerdo con el RGPD, el proyecto de ley de PDP también ha definido claramente que la información relacionada con la búsqueda del consentimiento debe ser libre, completa, inequívoca e indicada a través de una acción afirmativa. No es aconsejable que las empresas ofrezcan a los usuarios casillas marcadas "Acepto" al comienzo de la política de privacidad, sino que los usuarios deben marcar activamente la casilla que aparece solo al final de la política de privacidad para determinar que tienen al menos se desplazó hacia abajo en la política para leerla realmente. En tal caso, será importante que los equipos de productos trabajen en estrecha colaboración con los abogados para lograr un equilibrio entre las buenas prácticas de recopilación de datos y la experiencia del usuario, explicó Rastogi.
Además del consentimiento, el proyecto de ley también ha otorgado ciertos derechos a los principales de datos que los fiduciarios de datos estarán obligados a tener dentro de un período de tiempo determinado. Estos incluyen el derecho de acceso, el derecho al olvido, etc.
Proyecto de Ley PDP: Desafíos por delante
La conferencia de mesa redonda enumeró una serie de desafíos que siguen siendo ambiguos, sin respuesta y deben abordarse antes de que el proyecto de ley se presente en el Parlamento. Algunos de los retos que se tienen en cuenta son:
- En India, una cantidad significativa de datos aún se maneja fuera de línea, pero el proyecto de ley PDP no menciona el modo de consentimiento en la recopilación de datos fuera de línea. ¿Cómo se supone que los fiduciarios de datos deben enviar el aviso de consentimiento a los principales de datos mientras recopilan sus datos?
- Las normas establecidas en el proyecto de ley están vagamente definidas o no están definidas en absoluto.
- La recopilación de datos para transacciones repetitivas o el uso de nuevas tecnologías, como dispositivos IoT o reconocimiento facial, será más difícil de implementar, explicó Nehaa Chaudhari de Ikigai Law.
- El proyecto de ley afectará el intercambio transfronterizo de datos para la investigación en áreas como la eficacia de los medicamentos, etc.
- El costo del cumplimiento se disparará significativamente para las empresas y afectará especialmente a las nuevas empresas.
- El cumplimiento para las nuevas empresas que aspiran a ofrecer servicios a nivel mundial será aún más problemático, ya que deberán cumplir con diferentes estándares prescritos en diferentes leyes.
- Los participantes también señalaron que los móviles de las personas contienen datos personales de sus contactos y pueden perderse; las personas a menudo intercambian tarjetas de presentación sin mencionar específicamente el propósito. Se preguntaron cómo afectaría el proyecto de ley tales escenarios en el futuro. ¿Qué pasa si alguien pierde su móvil? ¿Está sujeto a litigio en virtud del proyecto de ley actual?
El proyecto de ley de PDP también establece que las empresas solo pueden recopilar datos específicos relacionados con fines específicos definidos por la Autoridad de Protección de Datos. Para las nuevas empresas, esto podría ser un gran obstáculo. Por ejemplo, se llevan a cabo una serie de proyectos piloto en los que el propósito de la recopilación de datos sigue siendo de naturaleza agnóstica. El proyecto de ley actual no proporciona ninguna claridad sobre tales casos. Los participantes agregaron que si el proyecto de ley se promulga en su forma actual, tendría un impacto negativo en los avances tecnológicos disruptivos que generalmente se logran a través de proyectos piloto dirigidos por nuevas empresas.
Proyecto de ley del PDP: El diálogo debe continuar
Inc42 e Ikigai Law's 'The Dialogue' vieron una discusión acalorada y perspicaz con la participación activa de todos los participantes. En esencia, la conversación destacó una clara brecha entre la mentalidad de los formuladores de políticas y las nuevas empresas impulsadas por la tecnología . Esta brecha debe cerrarse para mantener el impulso del ecosistema de inicio de la India. El Diálogo debe continuar.
El MeitY está abierto a comentarios y opiniones sobre el proyecto de ley PDP hasta el 30 de septiembre de 2018. ¡No olvide hacer oír su voz antes de que sea demasiado tarde y se vuelva más difícil corregir los errores!
Actualización 1: 9 de septiembre de 2018, 21.46
La fecha de presentación de comentarios sobre el proyecto de ley de protección de datos personales de la India de 2018 se ha ampliado hasta el 30 de septiembre de 2018.