Como o projeto de lei de PDP revisado afeta as startups de tecnologia da Índia: Inc42 e Ikigai Law retornam com 'The Dialogue'
Publicados: 2020-03-05Inc42 e Ikigai Law realizaram uma mesa redonda em 7 de setembro de 2018, sobre o projeto de Lei de Proteção de Dados Pessoais (PDP Bill) e suas implicações no ecossistema
Com o PDP Bill revisado agora, o The Dialogue voltou para ajudar startups, empreendedores e outras partes interessadas a expressar suas opiniões
A última edição do diálogo será realizada em Delhi
Apresentado no Parlamento em 11 de dezembro de 2019, o PDP Bill exigirá que as startups revisem suas operações, reformulem suas práticas de negócios e mudem totalmente a forma como usam os dados. Desde exigir acesso a dados proprietários de empresas até restringir o fluxo de dados, o PDP Bill pedirá às startups que reformulem seus processos relacionados a dados e incorporem privacidade em suas arquiteturas de sistema. Em uma tentativa de entender e gerenciar as implicações do PDP Bill nas startups, a Inc42 e a Ikigai Law realizarão uma mesa redonda, 'The Dialogue' em Delhi.
Atualmente, o projeto de lei do PDP está sendo examinado por um comitê parlamentar conjunto (JPC), que convidou os comentários das partes interessadas até 25 de fevereiro de 2020. Levando esse ciclo de feedback adiante, O Diálogo: Impacto do projeto de lei de PDP revisado no ecossistema de startups indiano está convidando todas as partes interessadas do ecossistema para apresentar suas opiniões sobre o PDP Bill e seu impacto no ecossistema de startups e tecnologia na Índia.
O evento é o ponto de convergência ideal para startups, investidores e outras partes interessadas do ecossistema de startups indiano, que serão todos impactados pelo projeto de lei do PDP.
Junte-se à discussãoA proliferação de serviços digitais, juntamente com o uso de dados em rápido crescimento, apresenta riscos significativos para indivíduos e empresas. Com violações de dados e incidentes de segurança em ascensão, o governo indiano reconheceu a necessidade de uma lei de proteção de dados.
Para trabalhar na tarefa de abordar tais preocupações e prevenir a ocorrência de incidentes de segurança na Índia, o Ministério da Eletrônica e Tecnologia da Informação (MeitY), sob a presidência do juiz aposentado da Suprema Corte BN Srikrishna, formou um comitê de especialistas. Criado em 2017, o comitê apresentou o projeto de Lei de Proteção de Dados Pessoais (PDP) em julho de 2018 ao governo e o abriu ao público para comentários e sugestões.
Em dezembro de 2019, o gabinete do sindicato aprovou o projeto de lei do PDP revisado. Aplicando-se a todas as entidades que recolhem, utilizam, armazenam, partilham ou tratam 'dados pessoais', o PDP Bill abrange quaisquer dados que possam, direta ou indiretamente, identificar uma pessoa.
Se aprovado em seu estado atual, espera-se que o PDP Bill tenha um impacto significativo nas startups indianas. Para abordar essas preocupações do ecossistema de startups de tecnologia, a Inc42 , juntamente com a Ikigai Law, está hospedando ' Faça sua voz ser ouvida
Tópicos para discussão
A última edição do The Dialogue visa cobrir todos os prós e contras para as startups, empreendedores e empresas do PDP Bill. Abrangendo todas as principais disposições do Projeto de Lei do ponto de vista das startups de tecnologia e o impacto que isso criará em suas operações, os tópicos da discussão são:
Transferência Transfronteiriça de Dados
As normas locais de armazenamento de dados em vigor, aplicam-se a dados pessoais sensíveis (SPD), que incluem categorias como saúde, finanças, biometria e muito mais, o governo também pode notificar outras categorias de SPD. Embora o projeto de lei permita que as entidades transfiram o SPD para fora da Índia com base em contratos aprovados, adequação e muito mais, dados pessoais críticos (CPD) só podem ser processados na Índia e transferidos para fora por motivos limitados de serviços de emergência. O projeto de lei não define CPD ou fornece qualquer orientação sobre o que constitui CPD, apesar de permitir que o governo notifique as categorias do mesmo.
Esses requisitos de armazenamento têm o potencial de bloquear o acesso às plataformas globais de serviços em nuvem para startups na Índia. Além disso, eles também podem limitar o acesso aos mercados globais e às tecnologias mais recentes. Isso pode reduzir as margens de lucro, a produtividade e prejudicar a competitividade das startups.
Além disso, reduzir os custos operacionais é essencial para startups nos estágios iniciais de crescimento, e os requisitos e restrições de localização ameaçam aumentar os custos operacionais e dificultar a capacidade das startups de desenvolver seus serviços.
Recomendado para você:
Como ouvir ativamente seus clientes pode ajudar sua startup a crescer
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Obrigações de acesso a dados em empresas
Embora o PDP Bill exclua especificamente dados anônimos de seu escopo, o governo ainda pode exigir esses dados de qualquer entidade, para fins de melhor prestação de serviços e formulação de políticas informadas.
Essa disposição pode dificultar as operações comerciais de grandes, médias e pequenas corporações. Em particular, as startups fazem esforços significativos para coletar dados e desenvolver insights e, como tal, um requisito de compartilhamento obrigatório pode prejudicar seus esforços.
“O projeto de lei deve se concentrar na proteção de dados pessoais e não deve incluir disposições para regular dados não pessoais (NPD). Além disso, um comitê governamental separado está atualmente examinando a questão da regulamentação do NPD de forma abrangente. As startups também devem oferecer suas opiniões sobre a regulamentação do NPD a esse comitê”, disse Nehaa Chaudhari, diretora de políticas públicas da Ikigai Law.
Requisitos relativos aos dados das crianças
O PDP Bill define uma 'criança' como qualquer pessoa com idade inferior a 18 anos, exigindo também que as entidades verifiquem a idade de uma criança e obtenham o consentimento dos pais antes de processar os dados pertencentes à criança. A forma de verificação da idade e obtenção do consentimento dos pais será determinada pela autoridade de proteção de dados (DPA).
Os requisitos de verificação de idade podem impactar potencialmente todas as entidades que oferecem serviços online – quando, na verdade, o projeto de lei exigiria a verificação de idade de cada usuário para garantir que nenhum dado de criança seja processado. Além disso, a exigência de consentimento dos pais pode fazer com que as crianças percam o acesso a serviços valiosos – especialmente para startups em setores como edtech, healthtech e jogos –, pois o processamento de dados de crianças enfrentará requisitos de conformidade crescentes, cuja forma ainda é desconhecida.
A finalidade e as limitações da coleção
O Projeto de Lei exige que as entidades coletem dados pessoais para fins claros, específicos, lícitos e comunicados antecipadamente. Isso pode funcionar como um impedimento para as startups, que às vezes coletam dados sem uma finalidade definitiva ou com a finalidade de monetizar dados. Como tal, as startups terão que antecipar e obter o consentimento dos usuários antes de processar os dados para quaisquer novos casos de uso ou finalidade.
Requisitos de Notificação e Consentimento
Para processar dados legalmente, as entidades devem cumprir requisitos rigorosos de consentimento e notificação. As startups que processam dados pessoais com base no consentimento devem fornecer aos usuários avisos abrangentes no momento da coleta. Exigir avisos detalhados em cada instância de coleta de dados pode ser impraticável e caro, principalmente para transações repetitivas e rotineiras.
O requisito de vários idiomas para cada aviso também pode ser complicado na prática. Além disso, o grande número de avisos pode levar à fadiga de consentimento para os usuários.
Direitos dos usuários
O projeto de lei fornece aos usuários vários direitos sobre seus dados, incluindo direitos de acesso a dados, correção de dados, portabilidade de dados e apagamento de dados. Isso obrigará as entidades a projetar seus sistemas de uma maneira que permita aos usuários fazer tais solicitações e garantir que essas solicitações possam ser atendidas.
“Os direitos concedidos a um usuário sob o projeto de lei podem ter um impacto comercial significativo nas startups, pois a reformulação de seus sistemas principais para permitir esses processos aumentará os custos de negócios”, disse Vijayant Singh, associado da Ikigai Law.
Poderes excessivos sobre o DPA e o governo?
O PDP Bill confere ao DPA e ao governo central poderes amplos e abrangentes. Por exemplo, o DPA pode notificar 'fiduciários de dados significativos' (SDF); notificar novos motivos de tratamento de dados pessoais; determinar a forma, a maneira e o procedimento para realizar auditorias de dados e pode exigir que as entidades submetam políticas de 'privacidade desde o projeto' para certificação.
Além disso, o governo tem o poder de determinar a especificação de novas categorias de SPD, classificar o CPD e as condições para a transferência transfronteiriça de dados em certos casos.
“Permitir que o Governo notifique as categorias de SPD e CPD causa uma incerteza significativa nos negócios. É difícil desagregar conjuntos de dados mistos – pode não ser praticamente possível depurar conjuntos de dados e armazenar determinados dados localmente enquanto transfere outros dados livremente”, explicou Singh.
Outras disposições do projeto de lei
Além de cobrir todos os indicadores acima, a mesa redonda também abordará as seguintes preocupações:
- A ausência de um cronograma claro para a implementação e execução do PDP Bill. A versão anterior proposta tinha cronogramas específicos para implementação de disposições, incluindo restrições de transferências transfronteiriças, o estabelecimento do DPA e outros. É necessário um período de tempo adequado para que as start-ups façam os ajustes necessários em suas atividades de processamento e cumpram a lei.
- A versão revisada do projeto de lei contém disposições de responsabilidade criminal para reidentificação de dados pessoais não identificados. Isso tem o potencial de dissuadir as startups de realizar operações de processamento de dados.
Durante nossa última edição do The Dialogue on the PDP Bill, realizada em setembro de 2018, a discussão deixou claro que há uma lacuna muito evidente entre os formuladores de políticas e as startups de tecnologia. Para preservar o impulso e o crescimento do ecossistema de startups da Índia, essa lacuna precisa ser preenchida por meio de diálogos, debates e discussões. O impacto do projeto de lei precisa ser destacado por meio de tais esforços.
Programado em Delhi, o Diálogo é a oportunidade perfeita para todas as partes interessadas e membros do ecossistema de startups indiano se reunirem e expressarem suas preocupações e opiniões sobre o projeto de lei. Reserve suas vagas agora antes que todos os assentos estejam cheios.
Junte-se a nós na discussãoAtualização: Devido ao surto de coronavírus em Delhi, a lei Inc42 e Ikigai decidiram adiar o evento. Atualizaremos o artigo à medida que a data e o local do mesmo forem finalizados.