O projeto de Lei de Proteção de Dados Pessoais 2018 (PDP Bill) está em domínio público e está gerando muito debate, críticas e feedback de várias partes interessadas. O projeto de lei terá um impacto de longo alcance em todos os aspectos de um negócio – incluindo coleta de dados, processamento, armazenamento e transferências de dados internacionais.

A Inc42, juntamente com o escritório jurídico Ikigai Law (anteriormente TRA Law), com sede em Delhi, está iniciando um diálogo sobre o impacto do projeto de lei nas startups. 'O Diálogo: Uma Mesa Redonda' fornecerá uma plataforma para fazer sua voz ser ouvida por aqueles que fazem a política e desempenham um papel ativo na definição de como esse projeto de lei afetará o ecossistema indiano.

Convidamos todas as startups, investidores e outras partes interessadas do ecossistema de startups indiano para vir e enriquecer a mesa redonda.

Preencha este formulário para participar da discussão

Os dados são supremos. Não importa qual tecnologia você está aproveitando – inteligência artificial, IoT, blockchain, análise de big data, soluções baseadas em SaaS ou deeptech – se você é uma startup de tecnologia na Índia, provavelmente está envolvido na coleta ou operação de dados.

Com o objetivo de regular como os dados dos usuários indianos devem ser gerenciados, processados ​​e transferidos além-fronteiras por fiduciários de dados, um Comitê de Especialistas de 10 membros, presidido pelo ex-juiz da Suprema Corte BN Srikrishna, apresentou em 27 de julho seu relatório e um projeto de Proteção de Dados Pessoais. Bill, 2018. O comitê foi anteriormente encarregado pelo governo central de criar uma estrutura abrangente para proteção de dados na Índia.

O projeto de lei do PDP exige espelhamento ou localização de dados ao vivo (o que significa que pelo menos uma cópia de todos os dados pessoais do usuário deve ser armazenada na Índia), o que aumentará os custos para as empresas. As startups serão obrigadas a realizar revisões periódicas de suas práticas de segurança e avaliações de impacto de proteção de dados.

O projeto de lei do PDP também prescreve penalidades severas e até mesmo uma lista de ofensas criminais não passíveis de fiança e reconhecíveis por violação da lei e quer que todos os grandes fiduciários de dados indiquem oficiais de proteção de dados.

Além disso, propõe a criação de uma Autoridade de Proteção de Dados (DPA) com poderes abrangentes para lidar com todas as questões relacionadas a dados no país, o que pode resultar na recriação da antiga 'License Raj' no setor de tecnologia .

Todas essas disposições provavelmente desincentivarão a inovação e incentivarão a era da licença raj.

Enquanto a maioria das empresas mantém algum tipo de cofrinho e é capaz de contratar oficiais de proteção de dados para lidar com as legalidades, a maioria das startups indianas funciona com “dinheiro de cofrinho” arrecadado de seus investidores e não tem fundos para gastar continuamente em conformidades legais.

Então, qual é o caminho a seguir para as startups? Quais são os passos essenciais que se deve tomar no período de transição para garantir que estejam preparados quando o projeto de lei for implementado?

Permitiremos que os parceiros do ecossistema discutam e busquem as respostas.

Com o Diálogo — Uma Mesa Redonda sobre o projeto de lei de proteção de dados pessoais, a Inc42 e a Lei Ikigai estão fornecendo uma plataforma para as partes interessadas discutirem o projeto de lei e suas implicações para as startups indianas.

Preencha este formulário para participar da discussão

Localização de dados: 'efeito de resfriamento' em startups

Qual é o maior problema com o projeto de lei de PDP para startups? Localização de dados e os custos resultantes para as empresas. Tuhina Joshi, Associate, Ikigai Law explica que, de acordo com um relatório da McKinsey, 80% das startups baseadas em tecnologia em todo o mundo “nascem globais”, utilizando clientes, financiamentos e fornecedores estrangeiros desde o primeiro dia. Estima-se que cortar o acesso a serviços globais de computação em nuvem – por meio da localização – forçará as empresas locais no Brasil e na UE a pagar de 10,5 a 62,5% a mais por alguns serviços de computação em nuvem.

Ela acrescenta: “A aplicação dos requisitos de localização de dados aumentaria massivamente os custos operacionais para as startups, pois elas teriam que investir em data centers locais. Isso teria um efeito desencorajador na inovação de startups de bootstrap, impondo uma alta barreira de entrada para novos participantes locais em uma ampla gama de setores no mercado indiano.”

Embora a localização de dados seja vista em grande parte como uma camada adicional para a proteção de dados indianos introduzida por think tanks pró-governo, Pooja Sareen, editor-chefe da Inc42 Media, acredita que um passo tão grande não pode ser dado simplesmente sob a vestimenta de medidas de segurança e proteção.

“Embora a cláusula de localização de dados no projeto de lei possa ajudar a impulsionar a BharatNet e projetos semelhantes em todo o país, será um assunto caro para as startups de tecnologia indianas que desejam atender ao mercado global”, diz Sareen.

Autoridade de proteção de dados: outra autoridade, outra dor de cabeça

O projeto de Lei de Proteção de Dados Pessoais propõe o estabelecimento de uma Autoridade de Proteção de Dados (DPA) separada para implementar, regular e supervisionar a proteção de dados no país.

Isso não é um bom presságio para as startups, pois a Autoridade de Proteção de Dados é investida de amplos e abrangentes poderes para desempenhar funções quase executivas, quase legislativas e quase judiciais, de acordo com Joshi. “Isso inclui a obrigatoriedade de auditorias obrigatórias para todos os dados pessoais por auditores externos, a atribuição de pontuações de confiança pública, a presença de penalidades criminais severas, obrigações onerosas de comunicação ao DPA, etc”, opina ela.

Dado o fato de que as startups geralmente ficam aquém de recursos como tempo, mão de obra e, mais importante, dinheiro que elas utilizariam para cumprir as conformidades a tempo, isso terá implicações adversas para as startups. Sareen afirma: “Cumprir as normas e ordens conforme indicado pelo DPA será uma tarefa tediosa para as startups. No caso de disputas de GST, vimos como a Autoridade de Telangana para Regulamentação Antecipada (AAR) e a AAR de Bengala Ocidental não apenas deram veredictos conflitantes, mas também usaram diferentes metodologias para chegar às suas conclusões. ”

Então, quem se beneficia do projeto de lei PDP? Difícil de dizer

O cumprimento das disposições do anteprojeto de PDP exigirá grandes investimentos das empresas em várias frentes, o que acabará por aumentar o custo do produto/serviço relacionado. “Em última análise, o custo de toda a regulamentação será repassado para o consumidor. Em um cenário alternativo, se a entidade regulada arcar com os custos, seus lucros serão corroídos até que não seja mais lucrativo ou mesmo possível permanecer no negócio. Ambos os cenários seriam contraproducentes ao interesse do usuário ”, diz Joshi.

A Mesa Redonda da Lei Inc42-Ikigai sobre o Projeto de Lei de Proteção de Dados irá debater e buscar respostas para as questões acima mencionadas, entre outras. Ele também decodificará o projeto de lei proposto para facilitar o entendimento. Portanto, para ouvir os especialistas, apresentar seus pontos de vista e discutir suas preocupações com eles - convidamos você a participar da próxima discussão da Mesa Redonda em 7 de setembro.

Preencha este formulário para participar da discussão