Cum vă va afecta startup-ul propunerea de lege privind protecția datelor?

Raportul Comisiei parlamentare mixte (JPC) a depus recent un raport privind Legea privind protecția datelor cu caracter personal, 2019 (Legea 2019) a recomandat extinderea domeniului de aplicare a legii pentru a include datele nepersonale (NPD) în domeniul său, dezvăluirea corectitudinii algoritmilor și multe altele. Odată introdusă, legea ar cere startup-urilor să-și regândească practicile de manipulare a datelor, luând în considerare costurile semnificative de conformitate.

Pentru a ajuta jucătorii din ecosistemul startup-urilor să decodeze impactul legii propuse privind protecția datelor, Ikigai Law a organizat o discuție virtuală interactivă, „ Unscramble: Impact of India's Data Protection Law on Startups ”, pe 24 februarie.

Discuția a avut o participare largă din partea comunității startup-urilor cu reprezentanți ai companiilor de top fintech, edtech, healthtech, comerț electronic și servicii AI.

Condusă de Sreenidhi Srinivasan, asociat principal la Ikigai Law, discuția a dezvăluit impactul proiectului de lege din 2019 asupra startup-urilor. S-a referit la provocările de clasificare a seturilor de date în date personale și NPD, cum respectarea legii ar putea împiedica extinderea startup-urilor, implicațiile DPI ale anumitor dezvăluiri, printre altele.

Reglementarea NPD și a altor date proprietare este ca și cum ai cere Coca-Cola să-și dezvăluie formula „secretă”.

Legea privind protecția datelor cu caracter personal este în lucru de aproape cinci ani. Pe parcurs, guvernul a prins ideea de a utiliza date anonimizate/informații comerciale (NPD) pentru a obține valoare economică din acestea. În prezent, legea propune reglementarea atât a datelor cu caracter personal, cât și a NPD. Acesta permite guvernului central să direcționeze companiilor să partajeze NPD în scopuri de elaborare a politicilor. Sreenidhi a căutat opinii cu privire la domeniul de aplicare extins al legii, necesitatea de a reglementa NPD și impactul acesteia asupra startup-urilor care se bazează pe date pentru avantajul lor competitiv.

Ashutosh Senger, consilier principal al Florence Capital (o platformă de creditare), a vorbit despre cum includerea NPD este un pas către echilibrarea accesului la date, dar avantajul competitiv pe care îl oferă activele de date proprietare nu poate fi ignorat. Insinuând necesitatea de a echilibra interesele guvernului de a folosi NPD în scopuri socio-economice cu drepturile de proprietate intelectuală (PI) ale întreprinderilor, el a spus „cum promovăm interesul statului, precum și întregul ecosistem sau mediul antreprenorial și al inovației.”

Manuj Garg, cofondatorul MyUpchar (o platformă de asistență medicală), a adăugat că datele sunt o „monedă cheie” pentru toate startup-urile. „Tot ceea ce generați din munca pe care ați făcut-o este proprietatea dumneavoastră intelectuală. Este ceea ce vă oferă un avantaj pe piață și vă permite să faceți ceea ce faceți. A spune că aceste date trebuie apoi făcute publice, în esență ucide afacerea.”

Există și alte prevederi în legea propusă care ar putea afecta drepturile de proprietate intelectuală ale întreprinderilor, cum ar fi să le cerem să dezvăluie „echitatea” algoritmilor. Nu există încă un prag pentru a defini „echitatea” și chiar dacă o astfel de clarificare vine în viitor, cunoștințele tehnice despre algoritmi nu sunt de cunoștință publică.

„Este ca și cum ai cere Coca-Cola să-și dezvăluie formula secretă – eliminându-i stimulentul de a opera”, a adăugat Garg.

Megha Nambiar, consilier juridic principal al HyperVerge (o platformă de verificare a identității și de detectare a fraudei), a fost de acord că includerea NPD adaugă „multă incertitudine în amestec, deoarece acestea sunt în esență date private care sunt încălcate. Și există un element obligatoriu pentru partajarea datelor, care devine din nou o problemă.” Ea a făcut aluzie la lipsa de stimulente pentru promovarea schimbului de date.

Nambiar a pus câteva întrebări sălii și s-a întrebat dacă o astfel de partajare a datelor ar putea fi voluntară și cum ar fi prețul, evaluat și partajat.

Sruthi Srinivasan, consilier juridic al Uni Cards, a fost de acord cu vorbitorii anteriori și a pus sub semnul întrebării necesitatea de a reglementa seturile de date derivate/anonimizate.

Startup-urile se vor confrunta cu provocări imense în modul în care este structurată legea propusă

În perioada premergătoare legii, companiile ar trebui să-și revizuiască politicile legate de date și să-și modifice bugetele pentru a se conforma legii. Sreenidhi a căutat opinii cu privire la provocările de conformitate pe care le anticipează companiile.

Aditya Shamlal, șeful juridic al Zeta (un startup fintech), a declarat că legea în forma sa actuală este „grea de conformare”. Și că „dinții adevărați ai acestei legi vor fi arătați în reglementările și codurile de practică emise cu privire la lucruri precum confidențialitatea prin proiectare, dreptul de a fi uitat și multe altele. Până când aceste reglementări vor apărea, operați într-un spațiu nebulos, în care faceți presupuneri educate pe baza experiențelor europene precum GDPR.” El credea că startup-urilor mai noi centrate pe date le va fi dificil să intre pe piață și să se extindă atunci când legea va intra în vigoare.

Recomandat pentru tine:

Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Amit Das

31 iulie 2022

Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Jaspreet K.

31 iulie 2022

Resurse

Cum va transforma Metaverse industria auto din India

Vaibhav S.

31 iulie 2022

Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Charanya L.

31 iulie 2022

Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Ankush S.

31 iulie 2022

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Tapanjana R.

31 iulie 2022

Participanții au discutat, de asemenea, interacțiunea dintre autoritățile de reglementare sectoriale și viitorul organism de reglementare a datelor. Sruthi de la Uni Cards, a remarcat că multe entități reglementate din spațiul fintech încorporează deja dreptul de a-și retrage consimțământul (prevăzut în legea propusă privind protecția datelor) în practicile lor standard de date. Ea s-a întrebat cum se va retrage retragerea consimțământului într-un spațiu reglementat în care jucătorii trebuie să păstreze seturi de date ca jurnale de date în sistemul lor pentru a le afișa în scopuri de audit.

Sruthi a spus că autoritățile de reglementare vor trebui să se ocupe de întrebări cu privire la cantitatea de informații care poate fi retrasă și reținută. „În viitor, clienții pot aborda entitățile reglementate și pot cere ștergerea completă a informațiilor lor din sistem. Cu toate acestea, ca platformă de creditare, RBI vă cere să păstrați acele informații pentru a valida faptul că ați încorporat acest client”, a remarcat ea.

Vinita Varghese, șeful departamentului juridic, Urban Company (o platformă de servicii de expertiză hiperlocală), a fost de acord cu Sruthi și a adăugat că, „Când vorbiți despre implementarea legii în modul în care este redactată în prezent, este o investiție de cost și timp pentru startup-uri și organizații mai mici, în timp ce pentru organizațiile mari – care nu au început acest proces – este o întreprindere absolut monstruoasă.”

Ea a spus că legea propusă cere companiilor, indiferent de dimensiunea lor, să creeze inventare de date pentru a putea grupa datele în diferite categorii. Acesta nu este un exercițiu strict legal, deoarece ar implica fiecare verticală a organizației. Varghese a mai spus că pentru a permite startup-urilor să respecte legea ar fi nevoie de conștientizare și educație la nivel interfuncțional.

Bazându-se pe această problemă, Garg a discutat despre modul în care un cofondator obișnuit, fără expertiză juridică, s-ar lupta să despacheteze ce înseamnă și includ datele personale, datele personale sensibile și critice. Cu diferite categorii de date, vin diferite praguri de consimțământ (obligații sporite de a obține consimțământul explicit în cazul datelor sensibile). El a menționat că, în conformitate cu ghidurile de telemedicină, dacă un pacient inițiază o consultare, aplicația nu trebuie să primească consimțământul explicit din partea pacientului. Dar, în conformitate cu legea propusă privind datele, „nu este clar cum va fi gestionat consimțământul explicit”. Garg a subliniat, de asemenea, ambiguitatea în obținerea certificării software hardware (care este introdusă pentru a menține integritatea datelor) și necesitatea de a revizui o astfel de certificare atunci când software-ul este actualizat.

Panduranga Acharya, consilier general de la Girnarsoft.com (un furnizor de soluții IT), a spus că „Conformitatea nu poate fi grea, poate fi costisitoare”.

El a cerut includerea unor praguri pentru a exclude întreprinderile mici de la cerințele de conformitate mai costisitoare. Acharya a identificat, de asemenea, dificultățile cu diferite standarde de consimțământ pentru diferite categorii de date. El a spus că „Categorizarea ca date sensibile, critice, non-sensibile ar duce la o multitudine de consimțământ sau ar fi nevoie de mecanisme de consimțământ de rată bipolară. Implementarea unor astfel de mecanisme de consimțământ ar putea fi foarte dificilă pentru orice afacere.”

Măsurile de protecție îmbunătățite pentru datele copiilor au un cost ridicat pentru întreprinderile Edtech

Sachin Ravi, cofondatorul Qshala (o platformă edtech), a vorbit despre modul în care atât China, cât și India lucrează la politici de reglementare a sectorului edtech. El a menționat că definirea copiilor ca oricine sub 18 ani este îngrijorătoare pentru mai mulți jucători din sector. El a spus că „îndrumările care vine de la guvern pentru edtech cu privire la modul în care datele pot fi jucate” ar putea fi benefice.

Shatakrutu Saha, consilier juridic la KidsChaupal (o platformă edtech), a remarcat că, din moment ce rațiunea pentru stabilirea vârstei la 18 ani provine din prevederile Legii contractelor din India și ale Legii majorității, este puțin probabil ca aceasta să fie schimbată. El a remarcat, totuși, că Legea justiției pentru minori înțelege vârsta majoratului în mod diferit.

Saha a împărtășit o perspectivă interesantă asupra modului în care un indian de 16 ani l-a învins pe campionul mondial la șah Magnus Carlsen: „Imaginați-vă dacă acest copil este restricționat de consimțământul tutorelui său, care se opune deciziei acestui băiat talentat cu privire la cursurile pe care să le urmeze online – acesta este un scenariu de caz problematic.” El a vorbit, de asemenea, despre diferența de abordare dintre India și alte cadre globale precum UE, care definesc un copil ca fiind orice persoană cu vârsta cuprinsă între 13-16 ani.

De asemenea, a fost discutată lipsa de claritate a mecanismelor de stabilire a vârstei și a dispozițiilor privind consimțământul parental. Ravi de la Qshala a spus că părinții ar putea explora crearea de conturi pseudonime pentru copii, mai degrabă decât să renunțe la informații personale. Cu toate acestea, persistă întrebări cu privire la modalitățile de utilizare a datelor anonimizate pentru a crea conținut și a furniza servicii atât utilizatorilor adulți, cât și copiilor. Saha de la KidsChaupal a remarcat că limitarea vârstei ar putea fi bazată pe riscuri, explicând că astfel de măsuri sunt în vigoare pentru produse și servicii care vizează anumite grupuri de vârstă și demografice, cum ar fi aplicațiile de întâlniri și jocuri online. În aceste aplicații și servicii, limitarea vârstei se face pentru a proteja minorii de riscurile asociate cu astfel de servicii.

Saha a adăugat că implementarea de noi funcții ar putea declanșa definirea prejudiciului sau urmărirea în legea propusă. Interdicția generală privind urmărirea/profilarea datelor copiilor și definiția largă a vătămării ar putea crea fricțiuni între proiectarea produsului și echipele juridice din startup-urile edtech.

Legea propusă trebuie să fie interoperabilă cu cadrele globale pentru a stimula economia datelor din India

Sreenidhi a întrebat sala dacă consideră că legea propusă promovează interoperabilitatea cu cadrele globale de date și modul în care respectarea legii ar putea afecta accesul la piețele globale.

Neelakshi Gupta, Asociat Juridic la Qure.ai (o platformă de tehnologie medicală), a pus câteva întrebări în ceea ce privește conformitatea globală – ea a întrebat: „Ce înseamnă transferul transfrontalier de date? Când se vor aplica noile Clauze Contractuale Standard (SCC)? Dacă semnăm SCC-urile cu clienții noștri, putem spune că respectăm hotărârea Schrems II ?”

În ceea ce privește strategiile globale de conformitate, Nambiar de la HyperVerge a spus că trecerea către localizarea datelor în mai multe cadre de protecție a datelor la nivel global este îngrijorătoare, deoarece afacerea implică furnizori din diferite zone geografice. Ea a spus că „dacă vedem că localizarea datelor devine mai mult o tendință globală, atunci a avea centre de date locale în fiecare dintre aceste zone geografice va fi foarte costisitoare pentru noi”.

Varghese de la Urban Company a fost de acord că prevederile privind localizarea datelor vor crea provocări de conformitate, deoarece țările diferite par să aibă un prag diferit pentru localizare. Ea a spus că ar putea fi dezvoltat un standard de aur pentru localizarea datelor care să fie prietenos cu afacerile și compatibil între jurisdicții.

Următorii pași pentru implicarea cu preocupările startup-urilor

Costurile conformității și lipsa de claritate în jurul anumitor prevederi sunt preocupări esențiale pentru startup-uri. Obiectivul guvernului de a poziționa India ca un jucător major în economia digitală ar trebui să fie însoțit de un regim de protecție a datelor care să permită. Ar trebui să permită startup-urilor să se extindă și să acceseze piețele globale.

În prezent, Ministerul IT discută recomandările JPC și a recunoscut provocările de conformitate care vin odată cu legea. Aceasta este o oportunitate excelentă pentru startup-uri și întreprinderile mici de a se angaja cu factorii de decizie politică și de a solicita consultări publice mai ample cu privire la lege și de a lucra pentru soluții reciproc avantajoase.

*Citatele au fost editate și rafinate pentru a se potrivi articolului și contextului.

*Acest articol a fost co-scris de Shrinidhi Rao și Kanupriya Grover, asociați la Ikigai Law