Projeto de lei de proteção de dados pessoais da Índia e Internet das coisas: desafios à frente

O projeto de Lei de Proteção de Dados Pessoais de 2018 (PDP Bill) chegou em um momento oportuno – em um momento em que a coleta e o uso de nossos dados pessoais se tornaram um aspecto onipresente da vida cotidiana.

O foco do projeto de lei em garantir o consentimento informado do usuário para o processamento de todos os dados pessoais marca um passo à frente da estrutura sob as Regras de Tecnologia da Informação (Práticas e procedimentos de segurança razoáveis ​​e dados ou informações pessoais confidenciais) de 2011 (Regras de TI). De acordo com as Regras de TI, o consentimento do usuário era necessário apenas para a coleta, uso ou divulgação de dados pessoais confidenciais , ao contrário do novo projeto de lei.

Os cidadãos podem agora ficar tranquilos sabendo que os seus dados não podem ser recolhidos sem o seu conhecimento. No entanto, há um outro lado nos padrões rígidos do projeto de lei sobre consentimento.

Para que o consentimento do usuário seja válido de acordo com o projeto de lei, ele deve ser dado livremente, específico, claro, passível de ser retirado e talvez o mais importante – informado por meio de um aviso claro e detalhado fornecido no momento da coleta. Embora fornecer avisos abrangentes para garantir o consentimento para o uso de dados em todas as etapas seja um bom princípio orientador, em teoria, pode ser difícil de aplicar na prática.

Isso é particularmente verdade para usuários que dependem de dispositivos da Internet das Coisas (IoT) que operam em um ambiente altamente interconectado. Para que o aviso seja considerado significativo, um usuário de um dispositivo IoT deve ser capaz de entender como e por que seus dados pessoais estão sendo usados ​​e, no caso de dados pessoais confidenciais, as consequências do uso desses dados.

Inundar os usuários com vários avisos longos para obter seu consentimento em cada instância da coleção provavelmente levará à fadiga do consentimento e pode não ser a melhor maneira de garantir um consentimento significativo.

Além disso, fornecer avisos para dispositivos que não possuem interfaces de usuário interativas ou telas de exibição também será um desafio . Os desenvolvedores de IoT na Índia precisarão se coordenar com a Autoridade de Proteção de Dados para desenvolver diretrizes práticas para contornar esses problemas.

O consentimento para coleta não é tão fácil quanto é definido

As disposições do projeto de lei sobre finalidade e limitação de cobrança também podem apresentar alguns desafios operacionais . Os fiduciários de dados sob o Projeto de Lei só podem coletar dados pessoais para fins claros, específicos, lícitos e comunicados com antecedência.

Embora essa limitação seja necessária para proteger a privacidade individual e evitar o uso indevido de dados, pode não ser praticamente aplicável para ambientes habilitados para IoT, como casas inteligentes, carros inteligentes e cidades inteligentes que se baseiam em conjuntos de dados interconectados para chegar a conclusões.

Por exemplo, pode ser difícil determinar antecipadamente o propósito exato da coleta de dados em um ambiente em que os usos dos mesmos conjuntos de dados estão evoluindo constantemente.

Recomendado para você:

Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Jaspreet K.

31 de julho de 2022

Recursos

Como o Metaverse transformará a indústria automobilística indiana

Vaibhav S.

31 de julho de 2022

Recursos

O que significa a provisão antilucratividade para startups indianas?

Charany L.

31 de julho de 2022

Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Ankush S.

31 de julho de 2022

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Tapanjana R.

31 de julho de 2022

Características

Startups indianas pegam atalhos em busca de financiamento

Nikhil S.

31 de julho de 2022

Na verdade, a finalidade estrita e a limitação de coleta podem até prejudicar a funcionalidade de determinados dispositivos e aplicativos, como no caso de sistemas de segurança doméstica. Por exemplo, como campainhas inteligentes habilitadas para vídeo que capturam imagens faciais de visitantes tocando a campainha informam a esses visitantes que sua imagem está sendo capturada sem anular o propósito de instalar essas câmeras em primeiro lugar? Este problema é agravado no caso de dispositivos baseados em sensores que operam sem qualquer interface de usuário.

Embora o projeto de lei relaxe a limitação da coleta de dados para usos 'razoáveis' e incidentais de dados pessoais, o padrão para determinar 'razoabilidade' nesses casos não é claro no momento.

O projeto de lei é certamente progressivo na adoção de altos padrões para a proteção da privacidade individual. No entanto , as empresas que desejam cumprir o projeto de lei encontrarão um desafio para aderir aos seus requisitos rigorosos na ausência de qualquer orientação prática. Dado que o descumprimento do projeto de lei pode atrair severas penalidades civis e criminais, a clareza em todos os aspectos do projeto de lei é essencial para empresas com muitos dados.

O que é Limitação de Propósito e Coleção?

A Seção 5 do Projeto de Lei de Proteção de Dados Pessoais de 2018 (“Projeto de Lei ”) propõe que os dados sejam processados ​​apenas para fins claros, específicos e lícitos. No entanto, o projeto de lei permite o processamento de dados para qualquer outro propósito incidental para o qual o principal de dados razoavelmente esperaria que os dados pessoais fossem usados, dependendo das circunstâncias e do contexto em que os dados pessoais foram coletados.

A Seção 6 do Projeto de Lei estipula que os dados só serão coletados se a coleta de tais dados for necessária para fins de processamento.

Qual é o objetivo por trás da finalidade e da limitação da coleção?

Como existe uma relação de confiança entre o fiduciário dos dados (a entidade que coleta e processa os dados) e o titular dos dados (o indivíduo cujos dados estão sendo coletados e processados), o objetivo da limitação da finalidade é garantir que os dados coletados é usado apenas para o propósito para o qual foi coletado e não para qualquer outro propósito que não tenha sido divulgado ao responsável pelos dados no momento da coleta. O objetivo da limitação da coleta é garantir a minimização dos dados.

Qual é o problema com finalidade e limitação de coleção?

A finalidade e a limitação da coleta baseiam-se na suposição de que, para que o consentimento seja válido, mencionar vagamente a finalidade da coleta não é suficiente e, portanto, a finalidade precisa ser específica. No entanto, o problema com essa suposição é que cada finalidade para a qual os dados pessoais podem ser usados ​​no futuro pode ser determinada no momento da coleta.

No entanto, não é assim, pois os dados podem precisar ser usados ​​para determinados fins que não poderiam ser previstos no momento da coleta. Portanto, a especificação de finalidade vaga no formulário, “melhorar a experiência do usuário” deve ser suficiente, pois é um fundamento válido e legal para o processamento de dados pessoais.

Os dados são um facilitador de estratégias futuras e mudanças imediatas, graças ao poder da análise preditiva e da ciência de dados avançada. O aproveitamento correto dos dados pode ajudar a obter uma tomada de decisão melhor baseada em fatos e melhorar a experiência geral do cliente.

Ao usar as novas tecnologias de Big Data, as organizações podem responder a perguntas em segundos em vez de dias e em dias em vez de meses. Essa aceleração permite que as empresas habilitem o tipo de reações rápidas às principais questões e desafios de negócios que podem criar vantagem competitiva e melhorar o desempenho, além de fornecer respostas para problemas complexos ou perguntas que resistiram à análise.

sobre os autores

Este artigo é de co-autoria de Tuhina Joshi e Ila Tyagi, os associados da Ikigai Law (anteriormente, TRA Law), uma premiada firma de políticas e advocacia focada em tecnologias emergentes.