La aproape patru ani după ce guvernul a însărcinat pentru prima dată Comitetului de Justiție Srikrishna să introducă o lege privind protecția datelor, India se apropie în sfârșit de îndeplinirea acesteia. Comisia parlamentară mixtă ( JPC) a depus recent raportul său mult așteptat privind Legea privind protecția datelor cu caracter personal, 2019 (legea 2019). De asemenea, a formulat propria versiune a propunerii de lege – denumindu-o Legea privind protecția datelor (Legea DP). Schimbarea numelui reflectă decizia JPC de a extinde domeniul de aplicare al legii pentru a include date non-personale în domeniul său.

Propunerea de lege stabilește ce se poate și nu se face pentru toate companiile care manipulează date. Așadar, pentru a respecta legea, startup-urile trebuie să regândească modul în care colectează, stochează, folosesc și partajează datele. Aceștia trebuie să adopte o abordare „confidențialitate prin proiectare”, adică să încorporeze confidențialitatea în chiar designul sistemelor lor și să asigure securitatea acestuia. De asemenea, vor trebui să creeze procese pentru a gestiona solicitările utilizatorilor care doresc să își exercite anumite drepturi în legătură cu datele lor. În plus, necesită construirea capacității tehnice pentru a partaja datele cu guvernul în scopuri de elaborare a politicilor, obținerea de certificări pentru hardware-ul și software-ul lor și stocarea locală a datelor sensibile, printre altele. Aceste schimbări aduc cu ele costuri semnificative de conformitate pe care companiile vor trebui să le ia în considerare și este esențial ca startup-urile să aibă suficient timp pentru a se conforma legii propuse.

Pe lângă modificările aduse textului proiectului de lege din 2019, JPC formulează și recomandări generale, cum ar fi tratarea platformelor de social media ca editori de conținut, impunerea verificării obligatorii a utilizatorilor de social media, formularea unei politici stricte de localizare a datelor, printre altele. Deși recomandările generale s-ar putea să nu se traducă în acțiuni de reglementare imediate, ele pot conduce gândirea guvernului pe termen lung. Este important ca startup-urile să se implice cu aceste recomandări, astfel încât să aibă o idee despre ceea ce le-ar putea rezerva viitorul reglementării.

Pentru a ajuta startup-urile să înțeleagă impactul legii propuse, Ikigai Law găzduiește o masă rotundă virtuală – „ Unscramble: Impact Of India’s Data Protection Law on Startups ” – pe 24 februarie 2022, la 15:00 IST. Unele dintre temele abordate în timpul sesiunii includ partajarea obligatorie a datelor non-personale cu guvernul, restricțiile privind fluxul transfrontalier de date, dezvăluirea corectitudinii algoritmilor și provocarea generală de conformitate pentru startup-uri.

Aplicați aici pentru a participa

Impactul includerii datelor non-personale într-o lege a confidențialității

Proiectul de lege DP urmărește să reglementeze datele non-personale ( NPD) în cadrul unui cadru de protecție a datelor cu caracter personal. Oferă guvernului central puteri largi de a accesa NPD pentru formularea de politici pentru economia digitală și împuternicește Autoritatea pentru Protecția Datelor (DPA) să investigheze încălcările NPD.

Dar de ce ar trebui să conteze asta pentru startup-uri?

Se prevede că NPD va include o mare varietate de date, inclusiv date care sunt lipsite de orice informații de identificare personală, date care sunt anonimizate și date care nu au avut niciodată vreo legătură cu datele personale, cum ar fi date meteo, date geospațiale, date de telemetrie, date de călătorie. etc. Companiile investesc resurse tehnice și financiare pentru a obține valoare din NPD prin supunerea acesteia la instrumente de prelucrare și analiză a datelor. Astfel de date includ date brute (date colectate la sursă), date deduse, informații cheie de afaceri (care sunt de natură proprietară).

Permiterea guvernului să acceseze datele de proprietate ar putea interfera cu drepturile de proprietate intelectuală ( IP ) ale companiilor asupra setului lor de date. Acest lucru ar putea afecta și startup-urile care se bazează pe informații din date pentru un avantaj competitiv pe piață. Solicitarea companiilor să renunțe la NPD le-ar putea descuraja să investească în colectarea de date, agregare, stocare și analiză. Poate împiedica inovația, poate împiedica dezvoltarea pieței de date și poate împiedica companiile să experimenteze cu date și alte active legate de date.

Obiectivul reglementării datelor cu caracter personal este asigurarea confidențialității individuale, iar cel al reglementării NPD este extragerea de valoare economică. Reglementarea datelor cu caracter personal și a NPD sub o singură umbrelă este probabil să dilueze ambele obiective.

Incertitudine și provocări de conformitate

Legea DP, la fel ca și Legea din 2019, clasifică datele drept date personale sensibile și date personale critice. Datele sensibile includ o listă neexhaustivă de informații procesate în mod obișnuit, cum ar fi date financiare, date de sănătate, date genetice și multe altele. Datele personale critice nu au fost încă definite de guvern. Prelucrarea datelor sensibile vine cu obligații de conformitate mai stricte, inclusiv cerința de a obține consimțământul explicit din partea utilizatorilor.

Natura excesivă a datelor sensibile și critice și capacitatea guvernului de a notifica categorii suplimentare ar putea crea incertitudine. Ar putea fi dificil pentru startup-uri să evalueze modul de clasificare a datelor și modul de stabilire a conformității pentru diferite categorii.

Spre deosebire de legile privind protecția datelor din alte jurisdicții, legea indiană propusă se concentrează în mare măsură pe consimțământul utilizatorului ca bază legală pentru prelucrarea datelor. Legea propusă ar impune companiilor să obțină consimțământ chiar și pentru operațiuni de rutină, cum ar fi îmbunătățirea produselor, remedierea erorilor etc., ceea ce duce la o notificare excesivă și la oboseala consimțământului pentru utilizatori. De asemenea, creează două standarde - consimțământul și consimțământul explicit - fără o explicație clară a diferenței dintre cele două, adăugând la incertitudine.

Autoritatea de reglementare a datelor propusă va avea puterea de a desemna orice fiduciar de date (echivalentul nostru cu ceea ce GDPR numește „operatori de date”, entități care decid scopul și mijloacele de colectare a datelor) ca fiduciar semnificativ de date (SDF), pe baza anumitor criterii. . Aceasta include volumul și sensibilitatea datelor prelucrate, utilizarea noilor tehnologii, prelucrarea datelor copiilor, companiile de social media peste un anumit prag de utilizatori, printre altele.

SDF-urile au cerințe sporite de conformitate, cum ar fi efectuarea de evaluări de impact asupra protecției datelor și numirea ofițerilor cu protecția datelor. Fintech-urile care prelucrează date financiare și orice startup care utilizează noi tehnologii vor rămâne la curent cu clasificarea lor ca SDF

Mai mult, într-un efort de a construi garanții suplimentare pentru a proteja datele copiilor, legea impune efectiv tuturor companiilor online să-și îmbătrânească serviciile într-un fel. Cu toate acestea, îndrumările privind standardele tehnicilor de limitare a vârstei vor veni de la autoritatea de reglementare doar într-o etapă ulterioară, ceea ce face dificilă planificarea conformității.

Cerințele locale de stocare ar putea afecta competitivitatea startup-urilor

Un număr mare de startup-uri indiene depind de transferurile transfrontaliere de date, de exemplu, pentru a utiliza serviciile furnizorilor de servicii cloud din afara Indiei. Prevederile care împiedică fluxul liber al datelor vor crea dificultăți pentru startup-uri – care nu vor putea accesa tehnologii și infrastructură rentabile și de cea mai bună calitate. În plus, cerințele locale de stocare ar putea pune obstacole pentru startup-urile de deep tech (AI/ML, analiză de date) cu ambiția de a satisface consumatorii din întreaga lume.

Proiectul de lege din 2019 a impus deja mai multe restricții privind transferurile transfrontaliere de date. JPC, în proiectul de lege DP, a propus obstacole birocratice suplimentare privind transferurile de date, cum ar fi solicitarea aprobării guvernului central pentru transferuri în conformitate cu un contract sau scheme intra-grup.

Fluxul liber al datelor acționează ca un egalizator, permițând startup-urilor să concureze la nivel global la preț și calitate, indiferent de dimensiunea lor. Pe de altă parte, restricțiile disproporționate privind transferurile de date ar putea opri accesul la servicii mai ieftine și la tehnologia de ultimă oră oferite de platformele cloud globale și de piețele internaționale pentru startup-uri.

Dezvăluirea „corectitudinii” algoritmilor și secretelor comerciale ar putea afecta drepturile de proprietate intelectuală ale startup-urilor

Legea propusă impune entităților să partajeze informații cu privire la „echitatea algoritmului” cu autoritatea de reglementare a datelor. Acest lucru este pentru a asigura transparența în procesare și pentru a preveni utilizarea greșită a algoritmilor. Nu este clar ce înseamnă „echitate” sau cât de multe informații ar trebui să fie dezvăluite. Ar putea avea, de asemenea, implicații pentru drepturile de proprietate intelectuală ale unei afaceri, mai ales dacă algoritmul este interpretat de autoritățile de reglementare ca însemnând cod sursă algoritmic.

Legea DP permite, de asemenea, unei persoane să solicite companiilor să-și transfere datele personale către ei înșiși sau către o altă companie. Domeniul de aplicare al datelor cu caracter personal care pot fi transferate este larg, deoarece include date generate în cursul furnizării de servicii către utilizatori și orice date care fac parte din orice profil al utilizatorilor. Aceasta ar putea include informații confidențiale despre afaceri.

În timp ce proiectul de lege din 2019 a permis companiilor să respingă aceste solicitări – dacă era necesar pentru protejarea secretelor comerciale – JPC sugerează eliminarea exceptării secretului comercial, expunând informațiile comerciale confidențiale ale companiei concurenților. Deoarece startup-urile se bazează în mod semnificativ pe șanțurile lor de date pentru a-și menține competitivitatea, acest lucru le-ar putea afecta perspectivele de creștere.

Mai multe certificări

Proiectul de lege DP propune, de asemenea, instituirea unui regim de certificare și testare pentru software-ul și hardware-ul dispozitivelor de calcul pentru a preveni scurgerea de date sau amenințarea la adresa securității naționale a dispozitivelor digitale. Acest lucru ar putea duce la crearea de noi standarde hardware/software – pe lângă standardele locale și globale existente. Acest lucru poate perturba operațiunile de producție și va împovăra doar startup-urile, care ar putea fi nevoite să-și modifice sistemele hardware și software, ceea ce duce la creșterea costurilor.

Deci, ce urmează?

Deși raportul JPC recomandă ca autoritatea de reglementare a datelor să țină cont de interesele startup-urilor și ale întreprinderilor mici pentru a încuraja inovația, conformitățile incerte, cerințele stricte de stocare locală, printre altele, ar putea înfrânge această intenție. Astfel, este esențial să comunicăm guvernului preocupările startup-urilor, deoarece acesta deliberează asupra proiectului de lege DP.

În acest scop, Ikigai Law invită toate părțile interesate din ecosistem să discute impactul cadrului propus de protecție a datelor cu caracter personal într-o masă rotundă virtuală — Unscramble: Impact Of India's Data Protection Framework For Startups pe 24 februarie 2022, la 15:00 IST.

Rezervă-ți acum sloturile