¿Cuál será el destino de las recomendaciones TRAI y la circular RBI después de que se promulgue el proyecto de ley PDP?
Publicado: 2018-08-08Si bien TRAI trata los datos como propiedad de los usuarios, el proyecto de ley de protección de datos personales no otorga a los usuarios ningún derecho de propiedad
El proyecto de ley PDP crea una relación fiduciaria entre los fiduciarios de datos y los usuarios, de modo que los primeros deben actuar en el mejor interés de los segundos.
La circular RBI parece estar en línea con el proyecto de ley PDP; sin embargo, la falta de claridad sobre lo que constituye información personal crítica es un problema
Hace aproximadamente 10 días, el Comité de Expertos presidido por el juez Srikrishna (Comité Srikrishna), designado por el Ministerio de Electrónica y Tecnología de la Información (MeitY) el año pasado, publicó sus recomendaciones finales sobre cómo debería ser el marco de protección de datos de la India. También publicó un proyecto de Ley de Protección de Datos Personales, 2018, (Ley PDP).
En este artículo, yuxtapongo el proyecto de ley PDP con las recomendaciones de la Autoridad Reguladora de Telecomunicaciones de la India (TRAI) sobre privacidad y propiedad de los datos y el dictado del Banco de la Reserva de la India (RBI) sobre la localización de los datos de los sistemas de pago. (Consulte aquí y aquí para obtener listas recopiladas de artículos sobre otros aspectos del proyecto de ley PDP).
Entonces, ¿qué cree que sucederá con la circular RBI y las recomendaciones TRAI cuando se promulgue (cualquier versión de) el proyecto de ley PDP? Comencemos con algo de historia reciente.
En julio de 2017, el gobierno indio encargó al Comité Srikrishna que desarrollara una ley integral de protección de datos para India. Luego, el comité publicó un libro blanco para comentarios públicos y, más tarde, en enero de 2018, realizó cuatro consultas públicas, una en Delhi, Bangalore, Hyderabad y Mumbai. Seis meses después, poniendo fin a todas las especulaciones sobre el momento de su lanzamiento, el Comité emitió sus recomendaciones finales y el proyecto de ley PDP. Mientras tanto, en agosto de 2017, TRAI inició su propia consulta sobre privacidad, seguridad de datos y propiedad de datos en el sector de las telecomunicaciones. Las deliberaciones de TRAI se desarrollaron en paralelo al propio ejercicio del Comité Srikrishna y culminaron con la publicación de las recomendaciones de privacidad del regulador de telecomunicaciones el 16 de julio de 2018, menos de dos semanas antes de que el Comité Srikrishna publicara las suyas.
TRAI no fue el único regulador que se subió al carro de la protección de datos, a la espera de la publicación de las recomendaciones finales del Comité Srikrishna. En abril, a principios de este año, el regulador financiero del país, el RBI, ordenó que los datos de los sistemas de pago se localicen, lo que significa que solo deben almacenarse en India. Si bien las recomendaciones de TRAI son solo eso, recomendaciones, el mandato de RBI entró en vigor de inmediato. Los proveedores de sistemas de pago tienen hasta el 15 de octubre de 2018 para cumplir con la norma e informar al RBI sobre su cumplimiento.
Las acciones de TRAI y RBI no fueron bien recibidas por el Comité Srikrishna. Poco después de que TRAI publicara sus recomendaciones, se informó que el Comité estaba molesto con el momento de la medida del regulador de telecomunicaciones, ya que retrasaría la publicación de sus propias recomendaciones finales. Con respecto al movimiento del RBI, en la conferencia de prensa para publicar las recomendaciones finales del Comité, el juez Srikrishna opinó que el regulador financiero se había adelantado con su circular. Dejando de lado el descontento del Comité con TRAI y RBI, los reguladores sectoriales desempeñarán un papel clave en el avance del marco de protección de datos de la India. El propio juez Srikrishna ha reconocido esto previamente.
Recomendado para ti:
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
Startups indias toman atajos en busca de financiación
El proyecto de ley PDP es solo el primer paso hacia el desarrollo de un marco integral de protección de datos para la India. Los reguladores sectoriales, TRAI y RBI incluidos, sin duda desempeñarán un papel clave en la puesta en práctica del proyecto de ley PDP y el desarrollo de principios y normas de privacidad para sus respectivos sectores. Si bien el proyecto de ley de PDP prevé la creación de una nueva autoridad, la Autoridad de Protección de Datos, para supervisar la implementación de la ley, también requiere que esta autoridad consulte y trabaje con otros reguladores sectoriales.
Dado que el proyecto de ley PDP será la ley matriz, cualquier acción que TRAI, el RBI o cualquier otro regulador tome en materia de protección de datos deberá estar en línea con sus disposiciones. Cualquier acción de cualquier regulador que sea incompatible con la ley matriz cuando entre en vigor deberá revisarse. Con esto en mente, es poco probable que las amplias recomendaciones de privacidad de TRAI, que amplían su jurisdicción mucho más allá de las telecomunicaciones, se traduzcan en una regulación concreta en su forma actual. El “ecosistema digital” que el regulador de telecomunicaciones habla de regular estará, en todo caso, sujeto a la ley de protección de datos del país.
¿TRAI está ampliando su jurisdicción?
El intento de TRAI de ampliar su jurisdicción no es nuevo y se remonta al menos a 2008, cuando intentó por primera vez regular los “servicios de valor agregado”. En la última década, han continuado estos esfuerzos por regular algo más que las telecomunicaciones, aunque la terminología ha cambiado: los "servicios de valor agregado" se han convertido en "servicios de aplicaciones", "servicios de gran alcance" y ahora, los "servicios digitales". ecosistema".
Las recomendaciones de privacidad de TRAI, su último intento de sobrerregular, difieren del proyecto de ley PDP en ciertas áreas clave.
Desde el punto de vista de TRAI, los usuarios son dueños de su información personal, y los controladores de datos (llamados fiduciarios de datos bajo el Proyecto de Ley PDP) son “simples custodios” de estos datos. El proyecto de ley de PDP no otorga a los usuarios derechos de propiedad, pero crea una relación fiduciaria entre los fiduciarios de datos y los usuarios, de modo que los primeros deben actuar en el mejor interés de los segundos.
Además, mientras que el proyecto de ley PDP solo responsabiliza a los fiduciarios de datos según la ley, y a los procesadores de datos solo bajo ciertas condiciones, TRAI considera que tanto los controladores como los procesadores deben ser responsables. Las recomendaciones de TRAI y el proyecto de ley PDP también difieren en la localización de datos. El regulador de telecomunicaciones no ha hecho ninguna recomendación concreta sobre este tema y se ha remitido al Comité Srikrishna.
Por otro lado, el proyecto de ley PDP especifica diferentes grados de localización de datos para diferentes categorías de datos y exige que los datos personales críticos se almacenen y procesen solo en India. Curiosamente, el proyecto de ley no especifica qué son los datos personales críticos y deja que el gobierno central los defina. Es probable que el gobierno designe los datos de telecomunicaciones como datos personales críticos.
A diferencia de las recomendaciones de TRAI, la circular RBI parece estar en línea con el proyecto de ley PDP. Sin embargo, la falta de claridad sobre qué constituye información personal crítica también es un problema para la información financiera. Al igual que los datos de telecomunicaciones, es muy probable que el gobierno designe los datos financieros como datos personales críticos. Si ese fuera el caso, todos los datos financieros, y no solo los datos de los sistemas de pago, deberán almacenarse y procesarse localmente solo en India.
Es probable que el proyecto de ley PDP se modifique antes de que se promulgue como ley. Sin embargo, independientemente de la forma final de la ley, el hecho de que los reguladores sectoriales desempeñen un papel crucial en la configuración de la ley de protección de datos de la India permanece sin cambios.