Classificação de dados sob o projeto de lei PDP: implicações para startups

Publicados: 2020-03-13

Apresentado ao parlamento em dezembro de 2019, o PDP Bill carece de clareza na categorização de dados pessoais pessoais, pessoais sensíveis e críticos

Com uma categorização tão obscura, ameaça não apenas expor os usuários a maiores riscos de privacidade, mas também impactar as atividades de processamento de dados das startups indianas

Atualmente, o projeto de lei está sendo analisado por uma comissão mista de parlamentares

Apresentado ao Parlamento em 11 de dezembro de 2019, o Projeto de Lei de Proteção de Dados Pessoais (PDP) pretende ser uma pedra angular para o futuro da economia digital da Índia e a proteção da privacidade de seus cidadãos.

No entanto, sua categorização de dados como dados pessoais (PD), dados pessoais sensíveis (SPD) e dados pessoais críticos (CPD) são inconsistentes com essa expectativa. As preocupações decorrem da falta de clareza sobre quais dados se enquadram em cada categoria, criando incertezas e desafios para as empresas que não têm a visibilidade necessária para tomar as precauções necessárias.

Por sua vez, uma categorização pouco clara dos dados expõe os usuários a riscos de privacidade ao impedir a determinação de controles de segurança apropriados para proteção de dados. As implicações dessa categorização, especialmente em startups, precisam ser cuidadosamente consideradas à medida que uma comissão mista de parlamentares analisa o projeto.

Uma definição ampla para dados pessoais confidenciais

Um subconjunto de dados pessoais SPD consiste em dados financeiros, dados de saúde, dados biométricos, dados genéticos, dados que indicam crenças religiosas/políticas/orientação sexual ou status de casta/tribo. A incerteza regulatória criada por esta lista pode criar desafios, por exemplo, tratar todos os dados financeiros/dados reveladores de casta ou religião como SPD pode atrair restrições adicionais sobre transferências transfronteiriças e processamento de dados.

Os 'dados financeiros' continuam a ser definidos amplamente no PDP Bill. Por exemplo, nomes coletados por empresas que oferecem serviços financeiros podem ser categorizados como SPD. Além disso, incluir identificadores de pagamento necessários para transações ponto a ponto dentro do escopo de 'dados financeiros' exigiria que os usuários cumprissem as obrigações SPD da fatura. Também pode causar problemas para operações como gerenciamento de riscos e detecção de fraudes. Além disso, a inclusão de dados de saúde e dados biométricos também é problemática.

Diante disso, a definição de dados biométricos pode impactar os serviços assistivos ativados por voz, enquanto os dados de saúde devem alterar as práticas de startups que oferecem serviços de diagnóstico e também de aconselhamento nutricional, entre muitos outros.

A classificação SPD também pode ter efeito impraticável para o uso diário de informações publicamente disponíveis, como sobrenomes ou qualquer informação que revele informações políticas/religiosas. Por exemplo, as empresas exigem o consentimento explícito de um usuário para processar o SPD – o que significa que elas terão que informá-los sobre as consequências do processamento de seus dados, além dos requisitos regulares de notificação e consentimento.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Como tal, em um país como a Índia, as empresas que coletam o nome de um indivíduo que revela casta/religião seriam forçadas a cumprir todos os requisitos do SPD sob o projeto. Por outro lado, encurtar a lista de SPD nos moldes do GDPR da UE ou até mesmo categorizar SPD com base no risco específico carregado pela 'finalidade' do processamento pode mitigar essas preocupações.

A incerteza regulatória pode dificultar a conformidade

O PDP Bill não define CPD nem fornece uma base para esta classificação. Também habilita o governo central a notificar novas categorias de SPD. Ambas as disposições criam incerteza regulatória e dificultam a conformidade. A ausência de critérios claros só agrava essa incerteza - especialmente para empresas menores que estão ansiosas para coletar um tipo de dado que ainda não foi definido em lei, mas tem maior compliance atrelado a ele.

Permitir que o governo central especifique o DPC sem orientação específica confere-lhe poderes excessivos que pode não ter o conhecimento necessário para executar. O mais preocupante é que não será necessário consultar a autoridade de proteção de dados (DPA) ou o setor no processo de classificação, impedindo severamente a previsibilidade dos negócios e gerando preocupações quanto ao uso indevido.

No entanto, obrigar o governo central a realizar consultas transparentes de DPA e da indústria antes de notificar o CPD (e novas categorias de SPD) pode resolver essas preocupações. Como meus colegas escreveram anteriormente, uma maior transparência na legislação permite que as empresas planejem e estejam prontas para o futuro, enquanto processos legislativos opacos tendem a atuar como barreiras de entrada no mercado, resultando em litígios caros.

Restrições às Transferências Transfronteiriças

A ampla definição de SPD resulta praticamente na necessidade de armazenar quase todos os tipos de dados na Índia. Além disso, como a maioria dos dados é coletada e armazenada como um conjunto de dados misto, consistindo em PD e SPD, será impraticável separar SPD ou PD de tais conjuntos de dados. Essas restrições impedirão as operações de startups que precisam compartilhar dados com entidades estrangeiras ou que planejam expandir globalmente, o que pode reduzir as margens de lucro, reduzir a produtividade e prejudicar a competitividade.

No entanto, como a transferência do SPD já está regulamentada, as restrições de armazenamento local podem ser diluídas. Além disso, dado que o PDP Bill permite a transferência de dados para países 'permissíveis', estruturas de transferência de dados bilaterais e multilaterais devem ser incentivadas.

Em conclusão, a ambiguidade nas definições de SPD e CPD, e as restrições baseadas nessas definições, representam uma séria restrição para as empresas planejarem suas operações de negócios e medidas de conformidade, o que, por sua vez, causa um enfraquecimento da privacidade do usuário. Em vez disso, para mitigar a natureza aberta da categorização existente, o projeto de lei deve permitir o desenvolvimento de critérios claros para classificação com base em consultas robustas à indústria.

Além disso, categorias adicionais de SPD e CPD só devem ser notificadas depois de receber contribuições das partes interessadas. É provável que as abordagens consultivas aumentem a confiança e a adesão do setor, instituam um regulador bem informado e aumentem a responsabilidade geral.