Como a lei de proteção de dados proposta afetará sua startup?
Publicados: 2022-03-15Para ajudar as startups a entender o impacto da lei de proteção de dados proposta, a Ikigai Law organizou o 'Unscramble' em 24 de fevereiro
A discussão contou com a participação de startups líderes dos setores de fintech, edtech, healthtech, serviços de IA
As principais preocupações levantadas foram a capacidade das startups de sobreviver sem fossos de dados, desafios de conformidade e custos na segregação de conjuntos de dados e falta de interoperabilidade com estruturas de dados globais
O relatório apresentado recentemente pela Comissão Parlamentar Conjunta (JPC) sobre o Projeto de Lei de Proteção de Dados Pessoais de 2019 (Projeto de Lei de 2019) recomendou expandir o escopo da lei para trazer dados não pessoais (NPD) dentro de seu âmbito, divulgando a justiça dos algoritmos e muito mais. Uma vez introduzida, a lei exigiria que as startups repensassem suas práticas de manipulação de dados, considerando custos significativos de conformidade.
Para ajudar os jogadores do ecossistema de startups a decodificar o impacto da lei de proteção de dados proposta, a Ikigai Law organizou uma discussão virtual interativa, ' Unscramble: Impact of India's Data Protection Law on Startups ', em 24 de fevereiro.
A discussão contou com ampla participação da comunidade de startups com representantes das principais empresas de fintech, edtech, healthtech, comércio eletrônico e serviços de IA.
Liderada por Sreenidhi Srinivasan, principal associado da Ikigai Law, a discussão desvendou o impacto do projeto de lei de 2019 nas startups. Ele abordou os desafios de categorizar conjuntos de dados em dados pessoais e NPD, como a conformidade com a lei pode impedir a expansão de startups, implicações de DPI de certas divulgações, entre outros.
Regulamentar o NPD e outros dados proprietários é como pedir à Coca-Cola para revelar sua fórmula 'secreta'
A lei de proteção de dados pessoais está em andamento há quase cinco anos. Ao longo do caminho, o governo percebeu a ideia de utilizar dados/informações comerciais anônimas (NPD) para obter valor econômico disso. Atualmente, a lei propõe regular tanto os dados pessoais como os NPD. Ele permite que o governo central oriente as empresas a compartilhar o NPD para fins de formulação de políticas. Sreenidhi buscou opiniões sobre o escopo expandido da lei, a necessidade de regular o NPD e seu impacto nas startups que dependem de fossos de dados para sua vantagem competitiva.
Ashutosh Senger, principal advogado da Florence Capital (uma plataforma de empréstimos), falou sobre como a inclusão do NPD é um passo para equilibrar o acesso aos dados, mas a vantagem competitiva que os ativos de dados proprietários fornecem não pode ser ignorada. Insinuando a necessidade de equilibrar os interesses do governo em usar o NPD para fins socioeconômicos com os direitos de propriedade intelectual (PI) das empresas, ele disse “como promovemos o interesse do estado, bem como todo o ecossistema ou ambiente de empreendedorismo e inovação”.
Manuj Garg, cofundador da MyUpchar (uma plataforma de saúde), acrescentou que os dados são uma 'moeda-chave' para todas as startups. “Tudo o que você gera a partir do trabalho que fez é sua propriedade intelectual. É o que lhe dá uma vantagem no mercado e permite que você faça o que está fazendo. Dizer que esses dados precisam ser tornados públicos, essencialmente, mata o negócio.”
Existem outras disposições na lei proposta que podem prejudicar os direitos de propriedade intelectual das empresas, como pedir que divulguem a 'justiça' dos algoritmos. Ainda não há limite para definir 'justiça', e mesmo que tal esclarecimento venha no futuro, o conhecimento técnico sobre algoritmos não é de conhecimento público.
“É como pedir à Coca que revele sua fórmula secreta – tirando seu incentivo para operar”, acrescentou Garg.
Megha Nambiar, consultora jurídica sênior da HyperVerge (uma plataforma de verificação de identidade e detecção de fraude), concordou que incluir o NPD adiciona “muita incerteza à mistura, porque são essencialmente dados privados que estão sendo invadidos. E há um elemento obrigatório para o compartilhamento de dados que novamente se torna um problema.” Ela aludiu à falta de incentivos para promover o compartilhamento de dados.
Nambiar fez algumas perguntas para a sala, e questionou se tal compartilhamento de dados poderia ser voluntário e como isso seria precificado, valorizado e compartilhado.
Sruthi Srinivasan, consultor jurídico da Uni Cards, concordou com os palestrantes anteriores e questionou a necessidade de regular os conjuntos de dados derivados/anonimizados.
Startups enfrentarão imensos desafios na forma como a lei proposta está estruturada
No período que antecedeu a lei, as empresas teriam que revisar suas políticas relacionadas a dados e ajustar seus orçamentos para cumprir a lei. Sreenidhi buscou opiniões sobre os desafios de conformidade que as empresas antecipam.
Aditya Shamlal, chefe jurídico da Zeta (uma startup de tecnologia financeira), disse que a lei em sua forma atual é “pesada em conformidade”. E que “os verdadeiros dentes desta lei serão mostrados nos regulamentos e códigos de prática emitidos sobre coisas como privacidade por design, direito ao esquecimento e muito mais. Até que esses regulamentos surjam, você está operando em um espaço nebuloso, onde está fazendo suposições fundamentadas com base em experiências europeias como o GDPR.” Ele acreditava que as novas startups centradas em dados teriam dificuldade em entrar no mercado e se expandir quando a lei entrar em vigor.
Recomendado para você:
Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Os participantes também discutiram a interação entre os reguladores setoriais e o próximo regulador de dados. Sruthi, da Uni Cards, observou que muitas entidades regulamentadas no espaço fintech já estão incorporando o direito de retirar o consentimento (previsto na lei de proteção de dados proposta) em suas práticas padrão de dados. Ela se perguntou como a retirada do consentimento funcionaria em um espaço regulamentado onde os jogadores precisam reter conjuntos de dados como registros de dados em seu sistema para mostrar para fins de auditoria.
Sruthi disse que os reguladores terão que lidar com questões sobre a quantidade de informações que podem ser retiradas e retidas. “No futuro, os clientes podem abordar entidades reguladas e solicitar a exclusão completa de suas informações do sistema. No entanto, como uma plataforma de empréstimo, a RBI exige que você retenha essas informações para validar o fato de que você integrou esse cliente”, observou ela.
Vinita Varghese, chefe do departamento jurídico da Urban Company (plataforma de serviços especializados hiperlocal), concordou com Sruthi e acrescentou que, “quando você fala em implementar a lei da forma como está atualmente redigida, é um investimento de custo e tempo para startups e organização menor, enquanto para grandes organizações – que ainda não iniciaram esse processo – é um empreendimento absolutamente monstruoso.”
Ela disse que a lei proposta exige que as empresas, independentemente de seu tamanho, criem inventários de dados para poder agrupar dados em diferentes categorias. Este não é um exercício estritamente legal, pois envolveria todas as verticais da organização. Varghese também disse que permitir que as startups cumpram a lei exigiria conscientização e educação em um nível multifuncional.
Com base na questão, Garg discutiu como um cofundador comum, sem experiência jurídica, teria dificuldade em descompactar o que dados pessoais, dados pessoais sensíveis e críticos significam e incluem. Com diferentes categorias de dados, vêm diferentes limites de consentimento (obrigações aumentadas de obter consentimento explícito no caso de dados confidenciais). Ele mencionou que, de acordo com as diretrizes da telemedicina, se um paciente iniciar a consulta, o aplicativo não precisa ter o consentimento explícito do paciente. Mas, sob a lei de dados proposta, “não está claro como o consentimento explícito será gerenciado”. Garg também destacou a ambiguidade na obtenção da certificação de software de hardware (que é introduzida para manter a integridade dos dados) e a necessidade de revisitar tal certificação quando o software for atualizado.
Panduranga Acharya, conselheiro geral da Girnarsoft.com (fornecedor de soluções de TI), disse que “a conformidade não pode ser difícil, pode ser cara”.
Ele pediu a inclusão de limites para excluir as pequenas empresas dos requisitos de conformidade mais caros. Acharya também identificou as dificuldades com diferentes padrões de consentimento para diferentes categorias de dados. Ele disse que “A categorização como dados sensíveis, críticos e não confidenciais levaria a uma multiplicidade de consentimento ou exigiria mecanismos de consentimento de taxa bipolar. A implantação de tais mecanismos de consentimento pode ser muito difícil para qualquer empresa.”
Salvaguardas aprimoradas para dados de crianças têm um custo alto para empresas de Edtech
Sachin Ravi, cofundador da Qshala (uma plataforma de edtech), falou sobre como a China e a Índia estão trabalhando em políticas para regular o setor de edtech. Ele observou que definir crianças como qualquer pessoa com menos de 18 anos é preocupante para vários players do setor. Ele disse que “a orientação que vem do governo para edtech sobre como os dados podem ser usados” pode ser benéfica.
Shatakrutu Saha, consultor jurídico da KidsChaupal (uma plataforma edtech), observou que, como a justificativa para definir a idade aos 18 anos decorre das disposições do Indian Contract Act e da Majority Act, provavelmente não será alterada. Ele, no entanto, observou que a Lei de Justiça Juvenil entende a maioridade de maneira diferente.
Saha compartilhou uma visão interessante sobre como um indiano de 16 anos venceu o campeão mundial de xadrez Magnus Carlsen: cenário de caso problemático.” Ele também falou sobre a diferença de abordagem entre a Índia e outras estruturas globais como a UE, que definem uma criança como qualquer pessoa entre 13 e 16 anos.
A falta de clareza sobre os mecanismos de restrição de idade e as disposições de consentimento dos pais também foi discutida. Ravi, da Qshala, disse que os pais podem explorar a criação de contas pseudônimas para crianças, em vez de fornecer informações pessoais. No entanto, persistem dúvidas sobre as modalidades de uso de dados anônimos para criar conteúdo e fornecer serviços para usuários adultos e crianças. Saha, da KidsChaupal, observou que a restrição de idade pode ser baseada em risco, explicando que tais medidas estão em vigor para produtos e serviços direcionados a grupos etários e demográficos específicos, como aplicativos de namoro e jogos online. Nesses aplicativos e serviços, a restrição de idade é feita para proteger os menores dos riscos associados a esses serviços.
Saha acrescentou que a implementação de novos recursos pode desencadear a definição de dano ou rastreamento na lei proposta. A proibição geral de rastrear/criar perfis de dados de crianças e a ampla definição de danos podem criar atritos entre o design do produto e as equipes jurídicas em startups de edtech
A lei proposta precisa ser interoperável com estruturas globais para impulsionar a economia de dados da Índia
Sreenidhi perguntou à sala se eles achavam que a lei proposta promove a interoperabilidade com estruturas de dados globais e como a conformidade com a lei pode afetar o acesso aos mercados globais.
Neelakshi Gupta, Associada Jurídica da Qure.ai (uma plataforma de tecnologia de saúde), fez várias perguntas em termos de conformidades globais — ela perguntou: “O que constitui uma transferência de dados entre fronteiras? Quando as novas Cláusulas Contratuais Padrão (SCCs) serão aplicadas? Se assinarmos os SCCs com nossos clientes, podemos dizer que estamos em conformidade com o julgamento Schrems II ?”
Em termos de estratégias de conformidade global, Nambiar, da HyperVerge, disse que o movimento em direção à localização de dados em várias estruturas de proteção de dados globalmente é preocupante, pois o negócio envolve fornecedores em diferentes geografias. Ela disse que “se virmos a localização de dados se tornando mais uma tendência global, ter data centers locais em cada uma dessas geografias será muito caro para nós”.
Varghese, da Urban Company, concordou que as disposições de localização de dados criarão desafios de conformidade porque países diferentes parecem ter um limite diferente para localização. Ela disse que poderia ser desenvolvido um padrão-ouro para localização de dados que fosse amigável aos negócios e compatível em todas as jurisdições.
Próximos passos para se envolver com as preocupações das startups
Os custos de conformidade e a falta de clareza em torno de certas disposições são as principais preocupações das startups. O objetivo do governo de posicionar a Índia como um ator importante na economia digital deve ser acompanhado por um regime de proteção de dados capacitador. Deve permitir que as startups escalem e explorem os mercados globais.
Atualmente, o Ministério de TI está discutindo as recomendações do JPC e reconheceu os desafios de conformidade que vêm com a lei. Esta é uma grande oportunidade para startups e pequenas empresas se envolverem com formuladores de políticas e pedirem consultas públicas mais amplas sobre a lei e trabalharem para soluções mutuamente benéficas.
*As citações foram editadas e refinadas para se adequarem ao artigo e ao contexto.
*Este artigo foi co-escrito por Shrinidhi Rao e Kanupriya Grover, associados da Ikigai Law