Quase quatro anos depois que o governo encarregou o Comitê de Justiça Srikrishna de apresentar uma lei de proteção de dados, a Índia está finalmente se aproximando de realizá-la. A Comissão Parlamentar Conjunta ( JPC) apresentou recentemente seu tão esperado relatório sobre o Projeto de Lei de Proteção de Dados Pessoais de 2019 (Projeto de Lei de 2019). Também formulou sua própria versão da lei proposta – nomeando-a Lei de Proteção de Dados (DP Bill). A mudança de nome reflete a decisão do JPC de expandir o escopo da lei para incluir dados não pessoais em seu âmbito.

A lei proposta estabelece o que fazer e o que não fazer para todas as empresas que lidam com dados. Portanto, para cumprir a lei, as startups devem repensar como coletam, armazenam, usam e compartilham dados. Eles devem adotar uma abordagem de 'privacidade desde o projeto', ou seja, incorporar a privacidade no próprio projeto de seu(s) sistema(s) e garantir sua segurança. Eles também precisarão criar processos para lidar com solicitações de usuários que desejam exercer determinados direitos em relação aos seus dados. Além disso, requer a capacitação técnica para compartilhar os dados com o governo para fins de formulação de políticas, obter certificações para seu hardware e software e armazenar dados confidenciais localmente, entre outras coisas. Essas mudanças trazem consigo custos significativos de compliance que as empresas precisarão levar em consideração e é essencial que as startups tenham tempo suficiente para cumprir a lei proposta.

Além das mudanças no texto do projeto de lei de 2019, o JPC também postula recomendações gerais como tratar as plataformas de mídia social como editoras de conteúdo, impor verificação obrigatória dos usuários de mídia social, formular uma política rígida de localização de dados, entre outras. Embora as recomendações gerais possam não se traduzir em ação regulatória imediata, elas podem orientar o pensamento do governo a longo prazo. É importante que as startups se envolvam com essas recomendações para que tenham uma noção do que o futuro da regulamentação pode trazer.

Para ajudar as startups a entender o impacto da lei proposta, a Ikigai Law está realizando uma mesa redonda virtual – “ Unscramble: Impact Of India's Data Protection Law on Startups ” – em 24 de fevereiro de 2022, às 15h IST. Alguns dos temas abordados durante a sessão incluem o compartilhamento obrigatório de dados não pessoais com o governo, restrições ao fluxo de dados transfronteiriço, a divulgação da justiça dos algoritmos e o desafio geral de conformidade para startups.

Inscreva-se aqui para participar

Impacto da inclusão de dados não pessoais em uma lei de privacidade

O DP Bill pretende regular os dados não pessoais ( NPD) no âmbito de um quadro de proteção de dados pessoais. Dá ao governo central amplos poderes para acessar o NPD para formular políticas para a economia digital e capacita a Autoridade de Proteção de Dados (DPA) para investigar violações do NPD.

Mas por que isso deveria importar para as startups?

O NPD deve incluir uma ampla variedade de dados, incluindo dados despojados de qualquer informação de identificação pessoal, dados anonimizados e dados que nunca tiveram qualquer ligação com dados pessoais, como dados meteorológicos, dados geoespaciais, dados de telemetria, dados de viagem etc. As empresas investem recursos técnicos e financeiros para obter valor do NPD submetendo-o a ferramentas de processamento e análise de dados. Esses dados incluem dados brutos (dados coletados na fonte), dados inferidos, insights de negócios importantes (que são de natureza proprietária).

Permitir que o governo acesse dados proprietários pode interferir nos direitos de propriedade intelectual ( IP ) das empresas sobre seus conjuntos de dados. Isso também pode afetar as startups que dependem de insights de dados para obter uma vantagem competitiva no mercado. Exigir que as empresas desistam do NPD pode desencorajá-las a investir em coleta, agregação, armazenamento e análise de dados. Isso pode impedir a inovação, impedir o desenvolvimento do mercado de dados e impedir as empresas de experimentar dados e outros ativos relacionados a dados.

O objetivo de regular os dados pessoais é garantir a privacidade individual, e o de regular o NPD é extrair valor econômico. A regulamentação de dados pessoais e NPD sob um único guarda-chuva provavelmente diluirá ambos os objetivos.

Desafios de Incerteza e Conformidade

O DP Bill, como o 2019 Bill, categoriza os dados como dados pessoais sensíveis e dados pessoais críticos. Os dados confidenciais incluem uma lista não exaustiva de informações processadas rotineiramente, como dados financeiros, dados de saúde, dados genéticos e muito mais. Dados pessoais críticos ainda não foram definidos pelo governo. O processamento de dados confidenciais vem com obrigações de conformidade mais rígidas, incluindo a exigência de obter o consentimento explícito dos usuários.

A natureza ampla de dados sensíveis e críticos e a capacidade do governo de notificar categorias adicionais podem criar incerteza. Isso pode tornar difícil para as startups avaliarem como classificar dados e como identificar conformidades para diferentes categorias.

Ao contrário das leis de proteção de dados em outras jurisdições, a lei indiana proposta concentra -se fortemente no consentimento do usuário como base legal para processar dados. A lei proposta exigiria que as empresas obtivessem consentimento mesmo para operações de rotina, como melhoria de produtos, correções de bugs, etc., levando a notificações excessivas e fadiga de consentimento para os usuários. Também cria dois padrões – consentimento e consentimento explícito – sem uma explicação clara da diferença entre os dois, aumentando a incerteza.

O regulador de dados proposto terá o poder de designar qualquer fiduciário de dados (nosso equivalente ao que o GDPR chama de “controladores de dados”, entidades que decidem a finalidade e os meios de coleta de dados) como um fiduciário de dados significativo (SDF), com base em determinados critérios . Isso inclui volume e sensibilidade dos dados processados, uso de novas tecnologias, processamento de dados de crianças, empresas de mídia social acima de um determinado limite de usuários, entre outros.

As SDFs aumentaram os requisitos de conformidade, como a realização de avaliações de impacto na proteção de dados e a nomeação de responsáveis ​​pela proteção de dados. Fintechs que processam dados financeiros e qualquer startup que use novas tecnologias permanecerão no limite sobre sua classificação como SDFs

Além disso, em um esforço para criar proteções adicionais para proteger os dados das crianças, a lei efetivamente exige que todas as empresas on-line limitem seus serviços de alguma maneira. No entanto, a orientação sobre os padrões das técnicas de restrição de idade só virá do regulador em um estágio posterior, dificultando o planejamento da conformidade.

Requisitos de armazenamento local podem afetar a competitividade das startups

Um grande número de startups indianas depende de transferências de dados internacionais, por exemplo, para usar serviços de provedores de serviços em nuvem localizados fora da Índia. As disposições que impedem o livre fluxo de dados criarão dificuldades para as startups – que não poderão acessar tecnologias e infraestruturas econômicas e de primeira classe. Além disso, os requisitos de armazenamento local podem representar obstáculos para startups de tecnologia profunda (AI/ML, análise de dados) com ambições de atender consumidores em todo o mundo.

O projeto de lei de 2019 já impôs várias restrições às transferências de dados transfronteiriças. O JPC, no DP Bill, propôs obstáculos burocráticos adicionais nas transferências de dados, como exigir a aprovação do governo central para transferências de acordo com um contrato ou esquemas intragrupo.

O fluxo livre de dados atua como um equalizador, permitindo que as startups concorram globalmente em preço e qualidade, independentemente de seu tamanho. Por outro lado, restrições desproporcionais às transferências de dados podem impedir o acesso a serviços mais baratos e tecnologia de ponta oferecidos por plataformas globais de nuvem e mercados internacionais para startups.

Divulgar 'justiça' de algoritmos e segredos comerciais pode afetar os direitos de propriedade intelectual das startups

A lei proposta exige que as entidades compartilhem informações sobre a 'justiça do algoritmo' com o regulador de dados. Isso é para garantir a transparência no processamento e evitar o uso indevido de algoritmos. Não está claro o que significa 'justiça' ou quanta informação seria necessária para ser divulgada. Também pode ter implicações para os direitos de PI de uma empresa, especialmente se o algoritmo for interpretado pelo regulador como um código-fonte algorítmico.

O DP Bill também permite que um indivíduo solicite às empresas que transfiram seus dados pessoais para si ou para outra empresa. O escopo dos dados pessoais que podem ser transferidos é amplo, pois inclui dados gerados durante a prestação de serviços aos usuários e quaisquer dados que façam parte de qualquer perfil de usuários. Isso pode incluir insights de negócios confidenciais.

Embora o projeto de lei de 2019 permitisse que as empresas negassem esses pedidos – se fosse necessário para proteger segredos comerciais – o JPC sugere remover a isenção de segredo comercial, expondo as informações comerciais confidenciais da empresa aos concorrentes. Como as startups dependem significativamente de seus fossos de dados para manter a competitividade, isso pode prejudicar suas perspectivas de crescimento.

Mais certificações

O DP Bill também propõe a criação de um regime de certificação e teste para software e hardware de dispositivos de computação para evitar vazamento de dados ou ameaça à segurança nacional em dispositivos digitais. Isso pode levar à criação de novos padrões de hardware/software – além dos padrões locais e globais existentes. Isso pode interromper as operações de produção e apenas sobrecarregar as startups, que podem ter que alterar seus sistemas de hardware e software, resultando em aumento de custos.

Então, o que vem a seguir?

Embora o relatório do JPC recomende que o regulador de dados mantenha os interesses de startups e pequenas empresas em mente para incentivar a inovação, conformidades incertas, requisitos rigorosos de armazenamento local, entre outras coisas, podem frustrar essa intenção. Assim, é crucial comunicar as preocupações das startups ao governo, pois este delibera sobre o DP Bill.

Para esse fim, a Ikigai Law está convidando todas as partes interessadas do ecossistema para discutir o impacto da estrutura de proteção de dados pessoais proposta em uma mesa redonda virtual — Unscramble: Impact Of India's Data Protection Framework For Startups em 24 de fevereiro de 2022, às 15h IST.

Reserve já suas vagas