Progetto di legge sulla protezione dei dati personali dell'India e Internet delle cose: sfide future
Pubblicato: 2018-09-04Inondare gli utenti con più lunghi avvisi per ottenere il loro consenso in ogni istanza della raccolta probabilmente porterà a un affaticamento del consenso
Fornire avvisi per dispositivi privi di interfacce utente interattive o schermi di visualizzazione si rivelerà una sfida
Gli sviluppatori IoT in India dovranno coordinarsi con l'Autorità per la protezione dei dati per sviluppare linee guida pratiche per aggirare questi problemi
Il progetto di legge sulla protezione dei dati personali, 2018 (disegno di legge PDP) è arrivato in un momento opportuno, in un momento in cui la raccolta e l'uso dei nostri dati personali sono diventati un aspetto onnipresente della vita quotidiana.
L' attenzione del disegno di legge sulla protezione del consenso informato dell'utente per il trattamento di tutti i dati personali segna un passo avanti rispetto al quadro previsto dalle regole sulla tecnologia dell'informazione (pratiche e procedure di sicurezza ragionevoli e dati o informazioni personali sensibili), 2011 (regole IT). In base alle Regole informatiche, il consenso dell'utente era richiesto solo per la raccolta, l'utilizzo o la divulgazione di dati personali sensibili , a differenza del nuovo disegno di legge.
I cittadini ora possono stare tranquilli sapendo che i loro dati non possono essere presi a loro insaputa. Tuttavia, c'è un rovescio della medaglia nei severi standard del disegno di legge sul consenso.
Affinché il consenso dell'utente sia valido ai sensi del disegno di legge, esso deve essere liberamente prestato, specifico, chiaro, revocabile e, forse soprattutto, informato attraverso un avviso chiaro e dettagliato che viene fornito al momento della raccolta. Sebbene fornire avvisi completi per ottenere il consenso per l'uso dei dati in ogni fase sia un buon principio guida, in teoria potrebbe essere difficile da applicare nella pratica.
Ciò è particolarmente vero per gli utenti che si affidano a dispositivi Internet of Things (IoT) che operano in un ambiente altamente interconnesso. Affinché l'avviso sia considerato significativo, un utente di un dispositivo IoT dovrebbe essere in grado di comprendere come e perché i suoi dati personali vengono utilizzati e, nel caso di dati personali sensibili, le conseguenze dell'uso di tali dati.
Inondare gli utenti con più lunghi avvisi per ottenere il loro consenso in ogni istanza della raccolta probabilmente porterà a un affaticamento del consenso e potrebbe non essere il modo migliore per ottenere un consenso significativo.
Inoltre, anche fornire avvisi per dispositivi privi di interfacce utente interattive o schermi di visualizzazione si rivelerà una sfida . Gli sviluppatori IoT in India dovranno coordinarsi con l'Autorità per la protezione dei dati per sviluppare linee guida pratiche per aggirare questi problemi.
Il consenso alla raccolta non è così facile come viene definito
Le disposizioni del disegno di legge sullo scopo e sulla limitazione della riscossione possono sollevare anche alcune sfide operative . I fiduciari dei dati previsti dal disegno di legge possono raccogliere i dati personali solo per finalità che siano chiare, specifiche, legittime e preventivamente comunicate.
Sebbene questa limitazione sia necessaria per proteggere la privacy individuale e prevenire l'uso improprio dei dati, potrebbe non essere praticamente applicabile per ambienti abilitati all'IoT come case intelligenti, auto intelligenti e città intelligenti che si basano su set di dati interconnessi per arrivare a conclusioni.
Ad esempio, potrebbe essere difficile determinare in anticipo lo scopo esatto della raccolta dei dati in un ambiente in cui gli usi degli stessi set di dati sono in continua evoluzione.
Raccomandato per te:
Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...
Come Metaverse trasformerà l'industria automobilistica indiana
Cosa significa la disposizione anti-profitto per le startup indiane?
In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...
Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...
Le startup indiane prendono scorciatoie alla ricerca di finanziamenti
In effetti, una rigorosa limitazione dello scopo e della raccolta può anche andare contro la funzionalità di determinati dispositivi e applicazioni, come nel caso dei sistemi di sicurezza domestica. Ad esempio, in che modo i campanelli intelligenti abilitati al video che catturano le immagini facciali dei visitatori che suonano al campanello, informeranno tali visitatori dell'acquisizione della loro immagine senza vanificare lo scopo dell'installazione di tali telecamere in primo luogo? Questo problema è aggravato nel caso di dispositivi basati su sensori che funzionano senza alcuna interfaccia utente.
Sebbene il disegno di legge allenti la limitazione alla raccolta di dati per usi "ragionevoli" e accidentali dei dati personali, lo standard per determinare la "ragionevolezza" in questi casi non è al momento chiaro.
Il disegno di legge è certamente progressivo nell'adozione di standard elevati per la tutela della privacy individuale. Tuttavia , le aziende che desiderano conformarsi al disegno di legge troveranno difficile aderire ai suoi severi requisiti in assenza di una guida pratica. Dato che la mancata osservanza del disegno di legge può comportare dure sanzioni civili e penali, la chiarezza su tutti gli aspetti del disegno di legge è essenziale per le aziende che fanno uso di dati pesanti.
Qual è lo scopo e la limitazione della raccolta?
La sezione 5 del progetto di legge sulla protezione dei dati personali, 2018 ("disegno di legge ") propone che i dati siano trattati solo per finalità chiare, specifiche e legittime. Tuttavia, il disegno di legge consente il trattamento dei dati per qualsiasi altro scopo accessorio per il quale il titolare dei dati si aspetterebbe ragionevolmente che i dati personali vengano utilizzati a seconda delle circostanze e del contesto in cui i dati personali sono stati raccolti.
L'articolo 6 del disegno di legge prevede che i dati saranno raccolti solo se la raccolta di tali dati è necessaria ai fini del trattamento.
Qual è l'obiettivo dietro lo scopo e la limitazione della raccolta?
Poiché esiste un rapporto di fiducia tra il fiduciario dei dati (l'entità che raccoglie e elabora i dati) e il titolare dei dati (l'individuo i cui dati vengono raccolti e trattati), l' obiettivo della limitazione delle finalità è garantire che i dati raccolti viene utilizzato solo per lo scopo per il quale è raccolto e non per qualsiasi altro scopo che non sia stato comunicato al titolare dei dati al momento della raccolta. L'obiettivo della limitazione della raccolta è garantire la minimizzazione dei dati.
Qual è il problema con lo scopo e la limitazione della raccolta?
Finalità e limitazione della raccolta si basano sul presupposto che, affinché il consenso sia valido, non è sufficiente menzionare vagamente la finalità della raccolta e, pertanto, la finalità deve essere specifica. Tuttavia, il problema con questa ipotesi è che ogni scopo per cui i dati personali potrebbero essere utilizzati in futuro può essere determinato al momento della raccolta.
Tuttavia, non è così in quanto i dati potrebbero dover essere utilizzati per determinati scopi che non potevano essere previsti al momento della raccolta. Pertanto, una vaga specificazione dello scopo nella forma "miglioramento dell'esperienza dell'utente" dovrebbe essere sufficiente in quanto costituisce un motivo valido e legittimo per il trattamento dei dati personali.
I dati sono un fattore abilitante delle strategie future e del cambiamento immediato, grazie alla potenza dell'analisi predittiva e della scienza dei dati avanzata. Sfruttare correttamente i dati può aiutare a ottenere un processo decisionale migliore e basato sui fatti e migliorare l'esperienza complessiva del cliente.
Utilizzando le nuove tecnologie Big Data, le organizzazioni possono rispondere alle domande in pochi secondi anziché in giorni e in giorni anziché in mesi. Questa accelerazione consente alle aziende di abilitare il tipo di reazioni rapide alle principali domande e sfide aziendali che possono creare vantaggio competitivo e migliorare le prestazioni e fornire risposte a problemi complessi o domande che hanno resistito all'analisi.
Riguardo agli Autori
Questo articolo è co-autore di Tuhina Joshi e Ila Tyagi, i soci di Ikigai Law (in precedenza TRA Law), uno studio legale e politico pluripremiato incentrato sulle tecnologie emergenti.