Cum va afecta legea Indiei privind protecția datelor împrumuturile și Fintech?
Publicat: 2020-07-05Creditorii colectează, procesează și analizează o serie de date despre clienți pe parcursul ciclului de viață al unui împrumut
Pasul preliminar al oricărei operațiuni de creditare este procesul Know-Your-Customer (KYC).
Proiectul de lege PDP obligă fiecare fiduciar de date să construiască un sistem robust de confidențialitate pentru stocarea și procesarea datelor cu caracter personal
Protecțiile eficiente ale confidențialității datelor au devenit astăzi o sursă importantă de avantaj competitiv în epoca modernă, deoarece consumatorii au început să preferă din ce în ce mai mult să aibă de-a face cu organizații care le oferă un aspect de control asupra datelor lor.
De asemenea, consumatorii individuali sunt astăzi, mai mult ca niciodată, conștienți de drepturile lor cu privire la datele lor personale. Această conștientizare a fost catalizată de o mișcare globală de dezbatere, respingere sau adoptare de noi legi pentru protejarea datelor cu caracter personal. Și India urmează să adopte un regulament care reglementează datele personale în acest an.
După cum citim Legea privind protecția datelor cu caracter personal (PDP) din 2019 din India, devine evident că împrumuturile acordate de bănci, NBFC și companiile fintech din noua era vor fi afectate de o combinație de clauze de conformitate incluse în proiectul de lege.
Să începem cu recunoașterea faptului că achiziția de date este esențială pentru operațiunea de creditare. Creditorii colectează, procesează și analizează o serie de date despre clienți pe parcursul ciclului de viață al unui împrumut. Acest lucru ajută entitatea care acordă credite să evalueze riscul și să ofere servicii personalizate adaptate nevoilor solicitantului de credit.
Pentru a rămâne conformi, acești fiduciari de date trebuie să se asigure că înțeleg normele de conformitate și drepturile directorilor de date (sau proprietarilor de date). Mai jos, explorăm drepturile de date propuse în proiectul de lege, care se traduc direct în domenii de conformitate pe parcursul procesului de creditare.
Drepturile primare care afectează conformitatea pentru creditori sunt explicate mai jos:
| Dreptul principalului de date | Definiție |
| Consimțământ informat | Datele cu caracter personal vor fi prelucrate numai după acordul explicit dat de către principalul de date la începutul prelucrării lor. Prin urmare, creditorii nu își pot asuma consimțământul implicit pentru prelucrarea datelor clienților. |
| Scop specific | Datele cu caracter personal vor fi colectate numai în măsura în care este necesar pentru scopurile prelucrării. Aceasta înseamnă că nu poate fi colectat din motive care nu sunt cunoscute sau declarate. |
| Ștergerea datelor | Datele cu caracter personal trebuie șterse după ce scopul pentru care au fost partajate a fost îndeplinit. Responsabilul datelor are dreptul de a cere ștergerea datelor sale personale. |
| Portabilitatea datelor | Atunci când prelucrarea datelor cu caracter personal a fost efectuată prin mijloace automate, principalul de date are dreptul de a primi o copie a datelor sale cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. |
Aceste drepturi au o influență asupra diferitelor tipuri de date colectate în diferite etape ale procesului de creditare. Deși RBI și SEBI nu au lansat încă orientări separate și detaliate pentru sectorul fintech, putem anticipa în mod rezonabil impactul proiectului de lege PDP asupra conformității, după cum urmează:
Procesul KYC
Pasul preliminar al oricărei operațiuni de creditare este procesul Know-Your-Customer (KYC). Documentele de bază necesare pentru aceasta sunt (a) dovada identității și (b) dovada adresei. Acesta este deja un proces bazat pe consimțământ .
Clauzele din proiectul de lege care pot afecta procesul KYC sunt:
- Limitarea stocării: după ce împrumutul a fost rambursat, principalul de date poate solicita ștergerea tuturor datelor KYC
- Portabilitatea datelor: odată cu adoptarea eKYC și VideoKYC, procesarea automată devine obișnuită. Fiduciarul de date trebuie să păstreze o copie a datelor în cazul în care aceasta este solicitată de către principalul de date
Subscriere de credit
O serie de surse de date sunt inspectate ca parte a procesului de asigurare a creditului. Acestea pot fi împărțite în:
Recomandat pentru tine:
Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...
Cum va transforma Metaverse industria auto din India
Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...
Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...
Surse publice
Acestea includ articole de știri despre un client, profiluri publice de rețele sociale etc. Deoarece această categorie de date cu caracter personal este publică, creditorii nu trebuie să-și facă griji cu privire la neconformitate.
Surse private
Există o serie de surse private care pot fi răzuite pentru subscrierea de credit. Aici discutăm câteva dintre ele care trezesc preocuparea conformității.
Citirea SMS-urilor
Această metodă de evaluare a creditului este considerabil nouă și ar necesita acordul explicit pentru prelucrare. Încă nu se stabilește dacă consimțământul ar trebui luat de la ambele părți asociate în schimbul de SMS-uri.
Tragere pe bază de conectare la bancă
Pentru a evalua istoricul financiar al unei persoane, mulți creditori efectuează o tragere bazată pe conectare la bancă. În afară de faptul că este necesar consimțământul explicit pentru a accesa această sursă de date, întrebarea aici este dacă aceasta ar fi o încălcare a încrederii fiduciarului de date (a băncii) și dacă ar fi necesar consimțământul și din partea acestora.
Tragere bazată pe autentificare prin e-mail
Uneori, aplicanților li se cere să furnizeze acreditări de conectare la o sursă de date, cum ar fi un cont de e-mail personal. Până acum s-a căutat de obicei permisiunea explicită pentru ca acest lucru să se realizeze, dar nu întotdeauna. Cu proiectul de lege în vigoare, scaping bazat pe autentificare prin e-mail ar trebui să fie 100% bazat pe consimțământ.
Acces Biroul de Credit
Creditorii sunt adesea obligați să partajeze datele personale ale unui client cu birourile de credit și cu alte părți terțe în timp ce deservesc un împrumut. Conform prevederilor proiectului de lege, tranzacțiile, detaliile companiilor implicate și justificarea acestui transfer de date trebuie explicate de către creditori clienților lor.
Deși credit scoring este o „ excepție a scopului rezonabil” din proiectul de lege care permite prelucrarea datelor cu caracter personal fără consimțământ, nu este sigur dacă acordă o excepție de la dreptul la ștergerea datelor. Stocarea informațiilor de identificare personală (PII) implică faptul că un principal de date poate solicita ștergerea completă a acestora.
Tipuri netradiționale de date
Companiile de birou au fost anterior mandatate de Legea privind companiile de informații de credit (reglementare) (Legea CIC), care nu permite birourilor de credit să utilizeze date alternative pentru a genera scoruri de credit. Doar datele contului de împrumut din sistemul bancar de bază ar putea fi folosite de birourile de credit.
Aceasta a inclus istoricul implicite, dimensiunea neplatelor și timpul de rambursare a împrumuturilor. Având în vedere un număr tot mai mare de surse de date, nu a fost încă stabilit dacă sursele alternative sunt permise în cadrul noului proiect de lege. Și cum s-ar aplica normele de conformitate procesării lor. Potenţial, astfel de surse ar putea fi:
- Google Locații/ Yelp
- Procesatori de plăți
- Platforme de comerț electronic
- Expeditorii
Confidențialitate prin design
Proiectul de lege obligă fiecare fiduciar de date să construiască un sistem robust de confidențialitate pentru stocarea și procesarea datelor cu caracter personal. Un sistem de protecție a datelor ar trebui implementat încă de la început. Această politică „Privacy by Design” este o cerință obligatorie și trebuie să fie certificată de Autoritatea pentru Protecția Datelor. Politica trebuie publicată pe site-ul organizației și al autorității.
Penalize
Nerespectarea este pasibilă de penalizare. Această penalizare ar putea ajunge până la 15 milioane de rupii sau 4% din cifra de afaceri globală totală a unui fiduciar de date din anul financiar precedent, oricare dintre acestea este mai mare. Prin urmare, este imperativ ca companiile fintech și băncile să înceapă să se pregătească pentru aceste măsuri de conformitate.
Disidența de la creditori
Proiectul de lege în forma sa actuală recunoaște toate formele de date financiare cu caracter personal drept „date personale sensibile”. Această definiție a datelor personale sensibile din proiect de lege este restrictivă și ridică preocupări pentru creditori. Digital Lenders Association of India (DLAI) a prezentat recomandări pentru a reduce potențialele restricții pe care proiectul de lege le impune.
Pentru ca procesul de creditare să fie mai puțin predispus la fraude, creditorii trebuie să acceseze aspecte ale datelor despre consumatori. Aceasta include istoricul de credit, poziția financiară și unele date alternative ale clienților. Conform prevederilor actualului proiect de lege al PDP, acest proces ar deveni plictisitor. În timp ce normele de conformitate sunt necesare pentru protecția datelor cu caracter personal, o astfel de definiție va afecta din neatenție operațiunea de creditare.
Concluzie
Industria bancară și fintech are nevoie de o listă clară de verificare a conformității. Există o lipsă de înțelegere când vine vorba de modul în care factura actuală va afecta conformitatea pentru procesele centrate pe date, cum ar fi împrumuturile. Acest lucru se datorează faptului că încă nu au fost lansate norme specifice pentru spațiul fintech. RBI și guvernul vor trebui să vină cu linii directoare pentru sector pentru a se asigura că funcția și conformitatea nu sunt în contradicție.