Qual será o destino das recomendações do TRAI e da circular do RBI depois que o projeto de lei do PDP for promulgado?
Publicados: 2018-08-08Enquanto a TRAI trata os dados como propriedade dos usuários, o projeto de lei de proteção de dados pessoais não concede aos usuários direitos de propriedade
PDP Bill cria uma relação fiduciária entre fiduciários de dados e usuários, de modo que os primeiros são obrigados a agir no melhor interesse dos últimos
A circular RBI parece estar amplamente alinhada com o PDP Bill; no entanto, a falta de clareza sobre o que constituem dados pessoais críticos é um problema
Cerca de 10 dias atrás, o Comitê de Especialistas presidido pelo Justice Srikrishna (Comitê Srikrishna), nomeado pelo Ministério de Eletrônica e Tecnologia da Informação (MeitY) no ano passado, divulgou suas recomendações finais sobre como deve ser a estrutura de proteção de dados da Índia. Também lançou um projeto de Lei de Proteção de Dados Pessoais de 2018 (PDP Bill).
Neste artigo, eu justaponho o PDP Bill com as recomendações da Autoridade Reguladora de Telecomunicações da Índia (TRAI) sobre privacidade e propriedade de dados e o diktat do Reserve Bank of India (RBI) sobre localização de dados de sistemas de pagamento. (Veja aqui e aqui listas de artigos sobre outros aspectos do PDP Bill).
Então, o que você acha que acontecerá com a circular RBI e as recomendações TRAI quando (qualquer versão) do PDP Bill for promulgado? Comecemos com um pouco da história recente.
Em julho de 2017, o governo indiano encarregou o Comitê Srikrishna de desenvolver uma lei abrangente de proteção de dados para a Índia. O comitê então divulgou um white paper para comentários públicos e, mais tarde, em janeiro de 2018, realizou quatro consultas públicas – uma em Delhi, Bangalore, Hyderabad e Mumbai. Seis meses depois, encerrando todas as especulações sobre o momento de sua libertação, o Comitê saiu com suas recomendações finais e o PDP Bill. Enquanto isso, em agosto de 2017, a TRAI iniciou sua própria consulta sobre privacidade, segurança de dados e propriedade de dados no setor de telecomunicações. As deliberações da TRAI ocorreram em paralelo ao próprio exercício do Comitê Srikrishna e culminou com o regulador de telecomunicações divulgando suas recomendações de privacidade em 16 de julho de 2018, menos de duas semanas antes do Comitê Srikrishna lançar suas próprias.
A TRAI não foi o único regulador a entrar na onda da proteção de dados, aguardando a divulgação das recomendações finais do Comitê Srikrishna. Em abril, no início deste ano, o regulador financeiro do país – o RBI – exigiu que os dados dos sistemas de pagamento fossem localizados, o que significa que eles devem ser armazenados apenas na Índia. Embora as recomendações da TRAI sejam apenas isso – recomendações – o mandato do RBI entrou em vigor imediatamente. Os provedores de sistemas de pagamento têm até 15 de outubro de 2018 para cumprir a norma e informar o RBI sobre sua conformidade.
As ações do TRAI e do RBI não foram bem recebidas pelo Comitê Srikrishna. Logo após a TRAI divulgar suas recomendações, foi relatado que o Comitê estava chateado com o momento da ação do regulador de telecomunicações, pois atrasaria a divulgação de suas próprias recomendações finais. Com relação ao movimento do RBI, na coletiva de imprensa para divulgar as recomendações finais do Comitê, o juiz Srikrishna opinou que o regulador financeiro havia se precipitado com sua circular. Deixando de lado o descontentamento do Comitê com o TRAI e o RBI, os reguladores setoriais desempenharão um papel fundamental no avanço da estrutura de proteção de dados da Índia. O próprio juiz Srikrishna reconheceu isso anteriormente.
Recomendado para você:
Empreendedores não podem criar startups sustentáveis e escaláveis por meio do 'Jugaad':...
Como o Metaverse transformará a indústria automobilística indiana
O que significa a provisão antilucratividade para startups indianas?
Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro
Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...
Startups indianas pegam atalhos em busca de financiamento
O PDP Bill é apenas o primeiro passo para o desenvolvimento de uma estrutura abrangente de proteção de dados para a Índia. Os reguladores setoriais, incluindo o TRAI e o RBI, sem dúvida desempenharão um papel fundamental na operacionalização do PDP Bill e no desenvolvimento de princípios e normas de privacidade para seus respectivos setores. Embora o PDP Bill preveja a criação de uma nova autoridade - a Autoridade de Proteção de Dados - para supervisionar a implementação da lei, também exige que essa autoridade consulte e trabalhe com outros reguladores setoriais.
Dado que o PDP Bill será a lei-mãe, qualquer ação que a TRAI, o RBI ou qualquer outro regulador tome em relação à proteção de dados terá que estar de acordo com suas disposições. Qualquer ação de qualquer regulador que seja inconsistente com a lei-mãe quando ela entrar em vigor terá que ser revisada. Com isso em mente, é improvável que as amplas recomendações de privacidade da TRAI, que expandem sua jurisdição para muito além das telecomunicações, se traduzam em regulamentação concreta em sua forma atual. O “ecossistema digital” que o regulador de telecomunicações fala em regular estará, de qualquer forma, sujeito à lei de proteção de dados do país.
A TRAI está expandindo sua jurisdição?
A tentativa da TRAI de expandir sua jurisdição não é nova e pode ser rastreada pelo menos até 2008, quando tentou pela primeira vez regular “serviços de valor agregado”. Na última década, esses esforços para regular mais do que apenas telecomunicações continuaram, embora a terminologia tenha mudado – “serviços de valor agregado” tornaram-se “serviços de aplicativos”, “serviços over-the-top” e agora, os “serviços digitais” ecossistema”.
As recomendações de privacidade da TRAI – sua mais recente tentativa de regulamentação excessiva – diferem do PDP Bill em certas áreas-chave.
Na visão da TRAI, os usuários possuem suas informações pessoais e os controladores de dados (chamados fiduciários de dados sob o PDP Bill) são “meros guardiões” desses dados. O PDP Bill não concede direitos de propriedade aos usuários, mas cria uma relação fiduciária entre os fiduciários de dados e os usuários, de modo que os primeiros são obrigados a agir no melhor interesse dos últimos.
Além disso, embora o PDP Bill apenas responsabilize os fiduciários de dados de acordo com a lei e os processadores de dados apenas sob certas condições, a TRAI considera que tanto os controladores quanto os processadores devem ser responsáveis. As recomendações do TRAI e o PDP Bill também diferem na localização de dados. O regulador de telecomunicações não fez nenhuma recomendação concreta sobre esta questão, e submeteu-se ao Comitê Srikrishna.
Por outro lado, o PDP Bill especifica diferentes graus de localização de dados para diferentes categorias de dados e determina que dados pessoais críticos sejam armazenados e processados apenas na Índia. Curiosamente, o projeto de lei não especifica o que são dados pessoais críticos e deixa para o governo central definir. É provável que o governo designe os dados de telecomunicações como dados pessoais críticos.
Ao contrário das recomendações do TRAI, a circular RBI parece estar amplamente alinhada com o PDP Bill. No entanto, a falta de clareza sobre o que constituem dados pessoais críticos também é um problema para as informações financeiras. Assim como os dados de telecomunicações, é totalmente provável que o governo designe os dados financeiros como dados pessoais críticos. Se for esse o caso, todos os dados financeiros, e não apenas os dados dos sistemas de pagamento, precisarão ser armazenados localmente e processados apenas na Índia.
O projeto de lei do PDP provavelmente será modificado antes de ser transformado em lei. Não importa a forma final da lei, no entanto, o fato de que os reguladores setoriais têm um papel crucial a desempenhar na formulação da lei de proteção de dados da Índia permanece inalterado.