Hampir empat tahun setelah pemerintah pertama kali menugaskan Komite Keadilan Srikrishna untuk membawa undang-undang perlindungan data, India akhirnya semakin dekat untuk mencapainya. Komite Parlemen Gabungan ( JPC) baru-baru ini mengajukan laporan yang telah lama ditunggu-tunggu tentang RUU Perlindungan Data Pribadi, 2019 (RUU 2019). Ia juga telah merumuskan versi sendiri dari undang-undang yang diusulkan – menamakannya RUU Perlindungan Data (RUU DP). Perubahan nama mencerminkan keputusan JPC untuk memperluas cakupan hukum untuk memasukkan data non-pribadi dalam lingkupnya.

Undang-undang yang diusulkan menetapkan apa yang harus dan tidak boleh dilakukan untuk semua perusahaan yang menangani data. Jadi, untuk mematuhi hukum, startup harus memikirkan kembali bagaimana mereka mengumpulkan, menyimpan, menggunakan, dan membagikan data. Mereka harus mengadopsi pendekatan 'privacy by design', yaitu menanamkan privasi dalam desain sistem mereka dan memastikan keamanannya. Mereka juga perlu membuat proses untuk menangani permintaan dari pengguna yang ingin menggunakan hak tertentu sehubungan dengan data mereka. Selain itu, diperlukan peningkatan kapasitas teknis untuk berbagi data dengan pemerintah untuk tujuan pembuatan kebijakan, memperoleh sertifikasi untuk perangkat keras dan perangkat lunak mereka, dan menyimpan data sensitif secara lokal, antara lain. Perubahan ini membawa serta biaya kepatuhan yang signifikan yang perlu diperhitungkan oleh perusahaan dan sangat penting bahwa startup memiliki cukup waktu untuk mematuhi undang-undang yang diusulkan.

Selain perubahan teks RUU 2019, JPC juga mengajukan rekomendasi umum seperti memperlakukan platform media sosial sebagai penerbit konten, menegakkan verifikasi wajib pengguna media sosial, merumuskan kebijakan pelokalan data yang ketat, antara lain. Meskipun rekomendasi umum mungkin tidak diterjemahkan ke dalam tindakan regulasi segera, rekomendasi tersebut dapat mendorong pemikiran pemerintah dalam jangka panjang. Penting bagi startup untuk terlibat dengan rekomendasi ini sehingga mereka memiliki pemahaman tentang masa depan regulasi.

Untuk membantu para startup memahami dampak dari undang-undang yang diusulkan, Ikigai Law mengadakan diskusi meja bundar virtual — “ Unscramble: Dampak Undang-Undang Perlindungan Data India pada Startup ” — pada 24 Februari 2022, pukul 3 sore IST. Beberapa tema yang dibahas selama sesi tersebut termasuk kewajiban berbagi data non-pribadi dengan pemerintah, pembatasan aliran data lintas batas, pengungkapan keadilan algoritme, dan tantangan kepatuhan secara keseluruhan untuk perusahaan rintisan.

Lamar Di Sini Untuk Hadir

Dampak Memasukkan Data Non-Pribadi Ke Dalam Undang-Undang Privasi

RUU DP berupaya mengatur data non pribadi ( NPD) dalam lingkup kerangka perlindungan data pribadi. Ini memberi pemerintah pusat kekuasaan yang luas untuk mengakses NPD untuk merumuskan kebijakan ekonomi digital dan memberdayakan Otoritas Perlindungan Data (DPA) untuk menyelidiki pelanggaran NPD.

Tetapi mengapa hal ini harus menjadi masalah bagi para pemula?

NPD dipertimbangkan untuk memasukkan berbagai macam data, termasuk data yang dilucuti dari informasi pengenal pribadi, data yang dianonimkan, dan data yang tidak pernah terkait dengan data pribadi seperti data cuaca, data geospasial, data telemetri, data perjalanan dll. Perusahaan menginvestasikan sumber daya teknis dan keuangan untuk memperoleh nilai dari NPD dengan menjadikannya alat pemrosesan dan analisis data. Data tersebut mencakup data mentah (data yang dikumpulkan di sumber), data yang disimpulkan, wawasan bisnis utama (yang bersifat kepemilikan).

Mengizinkan pemerintah untuk mengakses data kepemilikan dapat mengganggu hak kekayaan intelektual ( IP ) perusahaan atas kumpulan data mereka. Ini juga dapat berdampak pada startup yang mengandalkan wawasan dari data untuk keunggulan kompetitif di pasar. Mengharuskan perusahaan untuk melepaskan NPD dapat mencegah mereka berinvestasi dalam pengumpulan data, agregasi, penyimpanan, dan analitik. Ini dapat menghalangi inovasi, menghambat pengembangan pasar data, dan menahan perusahaan dari bereksperimen dengan data dan aset terkait data lainnya.

Tujuan mengatur data pribadi adalah mengamankan privasi individu, dan tujuan mengatur NPD adalah mengekstraksi nilai ekonomi. Mengatur data pribadi dan NPD di bawah satu payung kemungkinan akan melemahkan kedua tujuan tersebut.

Tantangan Ketidakpastian Dan Kepatuhan

RUU DP, seperti RUU 2019, mengkategorikan data sebagai data pribadi sensitif dan data pribadi kritis. Data sensitif mencakup daftar informasi yang diproses secara rutin yang tidak lengkap seperti data keuangan, data kesehatan, data genetik, dan banyak lagi. Data pribadi penting belum ditentukan oleh pemerintah. Pemrosesan data sensitif disertai dengan kewajiban kepatuhan yang lebih ketat, termasuk persyaratan untuk mendapatkan persetujuan eksplisit dari pengguna.

Sifat data sensitif dan kritis yang terlalu luas, dan kemampuan pemerintah untuk memberi tahu kategori tambahan, dapat menciptakan ketidakpastian. Ini bisa mempersulit startup untuk menilai bagaimana mengklasifikasikan data, dan bagaimana mematok kepatuhan untuk kategori yang berbeda.

Tidak seperti undang-undang perlindungan data di yurisdiksi lain, undang-undang India yang diusulkan sangat berfokus pada persetujuan pengguna sebagai dasar hukum untuk memproses data. Undang-undang yang diusulkan akan mengharuskan perusahaan untuk mendapatkan persetujuan bahkan untuk operasi rutin seperti peningkatan produk, perbaikan bug, dll., yang menyebabkan pemberitahuan berlebihan dan kelelahan persetujuan bagi pengguna. Ini juga menciptakan dua standar - persetujuan dan persetujuan eksplisit - tanpa penjelasan yang jelas tentang perbedaan antara keduanya, menambah ketidakpastian.

Pengatur data yang diusulkan akan memiliki kekuatan untuk menetapkan fidusia data apa pun (setara dengan apa yang disebut GDPR sebagai “pengontrol data”, entitas yang memutuskan tujuan dan cara pengumpulan data) sebagai fidusia data penting (SDF), berdasarkan kriteria tertentu . Ini termasuk volume dan sensitivitas data yang diproses, penggunaan teknologi baru, pemrosesan data anak-anak, perusahaan media sosial di atas ambang batas pengguna tertentu, antara lain.

SDF telah meningkatkan persyaratan kepatuhan seperti melakukan penilaian dampak perlindungan data dan menunjuk petugas perlindungan data. Fintech yang memproses data keuangan, dan setiap startup yang menggunakan teknologi baru, akan tetap waspada tentang klasifikasi mereka sebagai SDF

Selanjutnya, dalam upaya membangun perlindungan tambahan untuk melindungi data anak-anak, undang-undang tersebut secara efektif mewajibkan semua bisnis online untuk membatasi usia layanan mereka dengan cara tertentu. Namun, pedoman tentang standar teknik pembatasan usia hanya akan datang dari regulator pada tahap selanjutnya sehingga sulit untuk merencanakan kepatuhan.

Persyaratan Penyimpanan Lokal Dapat Mempengaruhi Daya Saing Startup

Sejumlah besar startup India bergantung pada transfer data lintas batas, misalnya, untuk menggunakan layanan dari penyedia layanan cloud yang berlokasi di luar India. Ketentuan yang menghambat aliran data bebas akan menciptakan kesulitan bagi perusahaan rintisan – yang tidak akan dapat mengakses teknologi dan infrastruktur yang hemat biaya dan terbaik di kelasnya. Selain itu, persyaratan penyimpanan lokal dapat menjadi kendala bagi startup teknologi dalam (AI/ML, analitik data) dengan ambisi untuk melayani konsumen di seluruh dunia.

RUU 2019 sudah memberlakukan beberapa pembatasan transfer data lintas batas. JPC, dalam RUU DP, telah mengusulkan hambatan birokrasi tambahan pada transfer data, seperti membutuhkan persetujuan pemerintah pusat untuk transfer berdasarkan kontrak atau skema intra-grup.

Aliran data yang bebas bertindak sebagai penyeimbang, yang memungkinkan perusahaan rintisan untuk bersaing secara global dalam hal harga dan kualitas, terlepas dari ukurannya. Di sisi lain, pembatasan transfer data yang tidak proporsional dapat mematikan akses ke layanan yang lebih murah dan teknologi mutakhir yang ditawarkan oleh platform cloud global dan pasar internasional untuk startup.

Mengungkapkan 'Keadilan' Algoritma Dan Rahasia Dagang Dapat Berdampak pada Hak IP Startup

Undang-undang yang diusulkan mengharuskan entitas untuk berbagi informasi tentang 'kewajaran algoritma' dengan regulator data. Ini untuk memastikan transparansi dalam pemrosesan dan untuk mencegah penyalahgunaan algoritma. Tidak jelas apa yang dimaksud dengan 'keadilan' atau berapa banyak informasi yang diperlukan untuk diungkapkan. Ini juga dapat berimplikasi pada hak IP bisnis, terutama jika algoritme ditafsirkan oleh regulator sebagai kode sumber algoritmik.

RUU DP juga memungkinkan individu untuk meminta perusahaan mentransfer data pribadi mereka ke diri mereka sendiri atau ke perusahaan lain. Cakupan data pribadi yang dapat ditransfer sangat luas karena mencakup data yang dihasilkan selama memberikan layanan kepada pengguna dan data apa pun yang merupakan bagian dari profil pengguna apa pun. Ini dapat mencakup wawasan bisnis rahasia.

Sementara RUU 2019 mengizinkan perusahaan untuk menolak permintaan ini – jika diperlukan untuk melindungi rahasia dagang – JPC menyarankan untuk menghapus pengecualian rahasia dagang, dengan memaparkan informasi bisnis rahasia perusahaan kepada pesaing. Karena startup sangat bergantung pada parit data mereka untuk mempertahankan daya saing, ini dapat membahayakan prospek pertumbuhan mereka.

Lebih Banyak Sertifikasi

RUU DP juga mengusulkan untuk membentuk rezim sertifikasi dan pengujian untuk perangkat lunak dan perangkat keras perangkat komputasi untuk mencegah kebocoran data atau ancaman terhadap keamanan nasional pada perangkat digital. Hal ini dapat mengarah pada pembuatan standar perangkat keras/perangkat lunak baru – selain standar lokal dan global yang ada. Hal ini dapat mengganggu operasi produksi, dan hanya akan membebani perusahaan rintisan, yang mungkin harus mengubah sistem perangkat keras dan perangkat lunak mereka, yang mengakibatkan peningkatan biaya.

Jadi Apa Selanjutnya?

Meskipun laporan JPC merekomendasikan agar regulator data tetap memperhatikan kepentingan perusahaan rintisan dan usaha kecil untuk mendorong inovasi, kepatuhan yang tidak pasti, persyaratan penyimpanan lokal yang ketat, antara lain, dapat mengalahkan niat ini. Oleh karena itu, sangat penting untuk mengomunikasikan kekhawatiran para startup kepada pemerintah, saat membahas RUU DP.

Untuk tujuan ini, Hukum Ikigai mengundang semua pemangku kepentingan dari ekosistem untuk membahas dampak dari kerangka kerja perlindungan data pribadi yang diusulkan dalam meja bundar virtual — Unscramble: Dampak Kerangka Perlindungan Data India Untuk Startup pada 24 Februari 2022, pukul 3 sore IST.

Pesan Slot Anda Sekarang