Classificazione dei dati secondo il disegno di legge PDP: implicazioni per le startup
Pubblicato: 2020-03-13Presentato al parlamento nel dicembre 2019, il disegno di legge PDP manca di chiarezza nella categorizzazione dei dati personali, personali sensibili e critici
Con una categorizzazione così poco chiara, minaccia non solo di esporre gli utenti a maggiori rischi per la privacy, ma anche di incidere sulle attività di elaborazione dei dati delle startup indiane
Attualmente, il disegno di legge è al vaglio di una commissione mista di parlamentari
Presentato al Parlamento l'11 dicembre 2019, il progetto di legge sulla protezione dei dati personali (PDP) è inteso come una pietra miliare per il futuro dell'economia digitale indiana e la protezione della privacy dei suoi cittadini.
Tuttavia, la sua classificazione dei dati come dati personali (PD), dati personali sensibili (SPD) e dati personali critici (CPD) non è coerente con questa aspettativa. Le preoccupazioni derivano dalla mancanza di chiarezza su quali dati si qualificano in ciascuna categoria, creando incertezze e sfide per le aziende che non hanno la visibilità necessaria per prendere le precauzioni necessarie.
A sua volta, una categorizzazione poco chiara dei dati espone gli utenti a rischi per la privacy impedendo la determinazione di controlli di sicurezza appropriati per la protezione dei dati. Le implicazioni di questa categorizzazione, in particolare sulle startup, devono essere considerate attentamente mentre una commissione mista di parlamentari esamina il disegno di legge.
Una definizione ampia per i dati personali sensibili
Un sottoinsieme di dati personali SPD è costituito da dati finanziari, dati sanitari, dati biometrici, dati genetici, dati che indicano convinzioni religiose/politiche/orientamento sessuale o stato di casta/tribù. L'incertezza normativa creata da questo elenco può creare sfide, ad esempio, il trattamento di tutti i dati finanziari/dati che rivelano casta o religione poiché SPD può attirare ulteriori restrizioni sui trasferimenti transfrontalieri e sull'elaborazione dei dati.
I "dati finanziari" continuano ad essere ampiamente definiti nel disegno di legge PDP. Ad esempio, i nomi raccolti da società che offrono servizi finanziari possono essere classificati come SPD. Inoltre, l'inclusione degli identificatori di pagamento necessari per le transazioni peer-to-peer nell'ambito dei "dati finanziari" richiederebbe agli utenti di rispettare gli obblighi SPD della fattura. È anche destinato a porre problemi per operazioni come la gestione del rischio e il rilevamento delle frodi. Inoltre, è problematica anche l'inclusione di dati sanitari e dati biometrici.
A prima vista, la definizione dei dati biometrici può avere un impatto sui servizi di assistenza ad attivazione vocale, mentre i dati sanitari sono destinati ad alterare le pratiche delle startup che offrono servizi di diagnosi e anche di quelle che offrono consulenza nutrizionale, tra le tante.
La classificazione SPD può anche avere effetti impraticabili per l'uso quotidiano di informazioni disponibili al pubblico come cognomi o qualsiasi informazione che riveli informazioni politico-religiose. Ad esempio, le aziende richiedono il consenso esplicito di un utente per elaborare SPD, il che significa che dovranno informarlo delle conseguenze del trattamento dei propri dati oltre ai normali requisiti di avviso e consenso.
Raccomandato per te:
In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
Pertanto, in un paese come l'India, le aziende che raccolgono il nome di un individuo che rivela casta/religione sarebbero costrette a rispettare tutti i requisiti SPD previsti dal disegno di legge. D'altra parte, abbreviare l'elenco degli SPD sulla falsariga del GDPR dell'UE o addirittura classificare gli SPD sulla base del rischio specifico rappresentato dallo "scopo" del trattamento può attenuare queste preoccupazioni.
L'incertezza normativa può rendere difficile la conformità
Il disegno di legge PDP non definisce CPD né fornisce una base per questa classificazione. Autorizza inoltre il governo centrale a notificare nuove categorie di DOCUP. Entrambe queste disposizioni creano incertezza normativa e rendono difficile la conformità. L'assenza di criteri chiari non fa che aggravare questa incertezza, soprattutto per le aziende più piccole che sono ansiose di raccogliere un tipo di dati che non è stato nemmeno definito dalla legge, ma ha una maggiore conformità ad esso.
Consentire al governo centrale di specificare la CPD senza una guida specifica gli conferisce poteri eccessivi che potrebbe non avere le competenze necessarie per svolgere. La cosa più preoccupante è che non sarà tenuto a consultare l'autorità per la protezione dei dati (DPA) o l'industria nel processo di classificazione, scoraggiando gravemente la prevedibilità delle imprese e suscitando preoccupazioni in merito all'uso improprio.
Tuttavia, imporre al governo centrale di condurre una consultazione trasparente del DPA e del settore prima di notificare il CPD (e le nuove categorie di SPD) può affrontare queste preoccupazioni. Come i miei colleghi hanno scritto in precedenza, una maggiore trasparenza nel processo legislativo consente alle aziende di pianificare ed essere pronte per il futuro, mentre i processi legislativi opachi tendono a fungere da barriere all'ingresso nel mercato con conseguenti costosi contenziosi.
Restrizioni sui trasferimenti transfrontalieri
L'ampia definizione di SPD comporta praticamente l'obbligo di archiviare quasi tutti i tipi di dati in India. Inoltre, poiché la maggior parte dei dati viene raccolta e archiviata come un insieme di dati misto, composto da PD e SPD, non sarà pratico separare SPD o PD da tali set di dati. Queste restrizioni ostacoleranno le operazioni delle startup che hanno bisogno di condividere dati con entità estere o coloro che intendono espandersi a livello globale, il che può tagliare i margini di profitto, ridurre la produttività e minare la competitività.
Tuttavia, poiché il trasferimento di SPD è già regolamentato, le restrizioni locali allo stoccaggio possono essere diluite. Inoltre, dato che il disegno di legge PDP consente il trasferimento di dati a paesi "permessi", dovrebbero essere incoraggiati quadri bilaterali e multilaterali per il trasferimento di dati.
In conclusione, l'ambiguità nelle definizioni di SPD e CPD e le restrizioni basate su tali definizioni rappresentano un serio vincolo per le aziende che pianificano le proprie operazioni commerciali e le misure di conformità, che a loro volta provocano un indebolimento della privacy degli utenti. Invece, per mitigare la natura aperta della categorizzazione esistente, il disegno di legge dovrebbe consentire lo sviluppo di criteri chiari per la classificazione basati su una solida consultazione del settore.
Inoltre, le categorie aggiuntive di DOCUP e CPD dovrebbero essere notificate solo dopo aver raccolto i contributi delle parti interessate. È probabile che gli approcci consultivi aumenteranno la fiducia e l'adesione del settore, istituiranno un regolatore ben informato e aumenteranno la responsabilità a tutto tondo.