El proyecto Proyecto de ley de protección de datos personales 2019 llevó a un debate generalizado la semana pasada a causa de la exención que otorga al Estado por sus actividades. Además de esta posición controvertida, el sector privado también está vigilando de cerca la nueva ley, dado que los datos se han convertido en el activo más crucial de una empresa en la actualidad. los Bill 2018 dio una indicación de los cambios significativos implicados para las actividades relacionadas con los datos, ya sea a través de la localización de datos o la necesidad de consentimiento para las actividades relacionadas con los datos. El proyecto de ley 2019 retiene la mayoría de estas disposiciones, con ciertos cambios que deben tenerse en cuenta.
El proyecto de ley de 2018 dio una indicación de los cambios significativos que conllevan las actividades relacionadas con los datos, ya sea a través de la localización de datos o la necesidad de consentimiento para las actividades relacionadas con los datos. Imagen: Pixabay
En un alivio importante para las empresas privadas, el requisito de duplicación de datos para datos personales se ha eliminado y restringido a datos personales confidenciales ("SPD"). Por lo tanto, una copia de datos como datos religiosos, biométricos, médicos, financieros y similares deberá almacenarse en la India. Se ha eliminado el requisito ambiguo de una copia de "publicación" según el proyecto de ley de 2018.
(El proyecto de ley de protección de datos personales 2019 está fuera; la ley plantea preguntas sobre las disposiciones gubernamentales que sugieren un acceso ilimitado a los datos)
Al transferir SPD fuera de India, digamos que si la compañía es un grupo multinacional que requiere tales transferencias o donde se utiliza un proveedor de servicios en la nube extranjero, entonces se deben cumplir dos requisitos. Primero, se requiere el consentimiento explícito del director de datos (la persona) y segundo, debe existir una medida de transferencia de datos transfronteriza, como una decisión de adecuación o un contrato aprobado o un esquema intragrupo.
Curiosamente, el requisito de transferencias de datos transfronterizos para datos personales se ha eliminado por completo. Si bien este es un paso positivo para las empresas con una medida de cumplimiento menos para las transferencias de datos, es una dilución de la protección otorgada a los datos personales. Además del riesgo de la transferencia a un país con protecciones inadecuadas, un segundo factor es que esto puede afectar la posibilidad de que India adquiera una decisión de adecuación de, digamos, Europa. Tal decisión puede facilitar significativamente los negocios entre Europa y la India, ya que sería posible la transferencia gratuita de datos desde Europa. Tal decisión disminuiría una medida de cumplimiento para las empresas.
Con respecto a los datos personales críticos, que siguen sin definirse, la ley sigue exigiendo que se procesen solo en la India. La restricción sobre el "procesamiento" implica completamente que para esta categoría de datos, no se puede realizar ninguna actividad que incluya compartir, analizar, almacenar, etc. Sin embargo, el proyecto de ley de 2019 aclara que puede haber algunas relajaciones, como si las leyes de privacidad del otro país son adecuadas y el gobierno no ve ningún daño con la transferencia, o si es para fines de emergencia como la salud. Si bien esto proporciona cierto alivio, una mayor claridad sobre esto ayudará a las empresas a prepararse mejor para la próxima ley, dada la importancia de la restricción. Más temprano, Informe del Comité de Justicia Sri Krishna había indicado que se pueden incluir datos como el número de Aadhaar, datos genéticos, datos biométricos, datos de salud, etc.
El proyecto de ley de 2018 puso de manifiesto que el consentimiento será la base de la nueva ley. Este es un problema importante para las empresas porque una serie de actividades como marketing, generación de leads, análisis de datos, investigación, control de fraudes, etc., a menudo se realizan sin consentimiento.
Decir bajo Reglamento general de protección de datos de Europa, tales actividades normalmente dependen de otros motivos de procesamiento, como "intereses legítimos (de una empresa)". La ventaja de esto es que bajo el GDPR, las compañías tienen cierta flexibilidad para determinar por sí mismas qué actividades son razonables y están dentro del alcance de la ley. Una segunda ventaja es que parte de la carga de la autoridad de protección de datos al tener que determinar la legalidad de todas y cada una de las actividades de procesamiento se reduce.
Con respecto a los datos personales críticos, que siguen sin definirse, la ley sigue exigiendo que se procesen solo en la India.
Según la ley india, la mayoría del procesamiento se basará en el consentimiento. Las exenciones están presentes, en la forma de la exención de "propósitos razonables", el cumplimiento de las leyes, la exención de fines de empleo, etc. Sin embargo, la flexibilidad, como en el GDPR, se pierde. El proyecto de ley de 2019 ahora vuelve a enfatizar la importancia dada al consentimiento, posicionando estructuralmente el consentimiento junto con los principios básicos de procesamiento ("Obligaciones de los fiduciarios de datos"), en lugar de los motivos previos de procesamiento (según el Proyecto de ley de 2018). Esto indica la improbabilidad de introducir motivos alternativos de procesamiento que podrían dar a las empresas más libertad.
Además, el proyecto de ley de 2019 presenta "gerentes de consentimiento". Estos son un tipo de intermediario que desempeñará el papel de ayudar al director de datos a dar, retirar y gestionar el consentimiento con un fiduciario de datos, y a ejercer cualquiera de sus derechos de sujeto de datos bajo la ley (el derecho de borrado, el derecho de acceso , etc.) Estos deben ser fiduciarios de datos que operan a través de una plataforma transparente, accesible e interoperable.
(Proyecto de ley de protección de datos personales 2019: los abogados afirman que el proyecto de ley podría acercar a India a China en términos de control sobre internet)
El concepto es actualmente muy ambiguo. No está claro si un administrador de consentimiento permitirá que un director de datos se comunique con muchos o todos los fiduciarios de datos con los que tiene tratos, o si un fiduciario de datos puede seleccionar un solo administrador de consentimiento o un conjunto de administradores que un director de datos puede usar para su tratos con eso. El primero es similar al sistema agregador de cuentas para datos financieros. Esto ofrece una ventaja significativa para un director de datos en términos de facilitar la gestión del consentimiento y el ejercicio de derechos con múltiples fiduciarios de datos. Sin embargo, para las empresas, esto puede significar una enorme carga de cumplimiento, en particular en términos de integración con múltiples administradores de consentimiento.
La segunda forma, donde una compañía determinada o una clase de compañías usan un administrador de consentimiento específico, puede funcionar mejor, reduciendo las cargas de cumplimiento para las compañías y asegurándose de que el administrador de consentimiento trabaje de manera efectiva. La redacción del proyecto de ley indica que un administrador de consentimiento interno, al igual que un oficial de protección de datos, puede no ser posible. Se debe considerar darles a las compañías cierta flexibilidad para crear un sistema de gestión de consentimiento que funcione para las personas y al mismo tiempo reducir las cargas de cumplimiento. Alternativamente, se deben considerar sistemas de gestión de consentimiento separados para industrias específicas, al igual que los agregadores de cuentas para la industria financiera.
Un punto adicional sobre el que la ley no está clara es cómo se determinarán las responsabilidades con el uso de gestores de consentimiento. Por ejemplo, ¿quién es responsable si la comunicación del consentimiento falla, se transmite incorrectamente o si hay una violación de datos en algún momento? Este es un problema importante, dadas las enormes sanciones bajo el proyecto de ley de 2019, así como el hecho de que una comunicación con un administrador de consentimiento se considera una comunicación con el fiduciario de datos. Es necesario aclarar si tales responsabilidades deben determinarse contractualmente, o si la Autoridad de Protección de Datos de India (DPAI) debe definir esto.
Luego, el proyecto de ley de 2018 introdujo el concepto de "puntaje de confianza de datos", que se otorgará en función de las prácticas de protección de datos de una empresa y que debe divulgarse en la política de privacidad. Esto servirá como un punto de referencia público para la privacidad, al igual que las marcas ISO para la seguridad. El proyecto de ley de 2019 ahora establece que, sujeto a las regulaciones, los fiduciarios de datos "pueden" tener su privacidad certificada por las políticas de diseño. Esto indica que, a su elección, las empresas pueden certificar estas políticas y que se prescribirán ciertos estándares para que la política sea certificable. En la actualidad no está claro si para ciertas actividades de procesamiento o fiduciarios, dicha certificación será obligatoria. Para las empresas, esto puede actuar como otro punto de referencia público junto con el puntaje de confianza de datos.
La certificación también viene con un beneficio, ya que este es un requisito previo para solicitar una caja de arena propuesta en virtud del proyecto de ley de 2019. El DPAI es establecer una caja de arena para fomentar la innovación en relación con la inteligencia artificial, el aprendizaje automático y otras tecnologías emergentes. Los beneficios de la caja de arena se pueden utilizar por un plazo máximo de 36 meses. Siempre que la privacidad de las personas no se vea comprometida, esto podría ser ventajoso con el DPAI que monitorea los nuevos desarrollos a un nivel más cercano y a través de la posibilidad de regulaciones más flexibles. Según el proyecto de ley de 2019, el procesamiento permitido según esto se basará en el consentimiento, y las relajaciones regulatorias proporcionadas pueden incluir el propósito, las limitaciones de recolección y almacenamiento.
Otra cláusula que ha generado controversia es el derecho del gobierno central según la ley a solicitar a cualquier fiduciario que proporcione datos anónimos y no personales, que se utilizarán para una "entrega de servicios mejor dirigida" o para formar una "política basada en evidencia". Este es un problema dado el alcance de los datos no personales que pueden relacionarse con cualquier cosa, desde datos estadísticos hasta datos comerciales confidenciales, y sin claridad sobre cómo se respetarán los derechos de las empresas sobre dichos datos. Además, dado que una ley sobre los datos no personales están bajo formulación por separado, no está claro por qué esta disposición se incluye aquí o cómo interactuará con la ley propuesta.
El altamente Exención controvertida al procesamiento estatal afecta también a empresas privadas. La disposición permite la concesión de una amplia exención a una agencia gubernamental por razones de seguridad nacional, de cualquiera o todas las disposiciones de la ley. Para las empresas privadas, esto significa que, por razones de seguridad nacional, el gobierno también podría exigir o interceptar cualquier dato personal que posea.
El proyecto de ley de 2019 también incluye ciertas disposiciones sobre intermediarios de redes sociales ("SMI"), para los cuales se deben prescribir requisitos especiales para su clasificación como fiduciario de datos significativo. También especifica que las SMI clasificadas como tales deben proporcionar obligatoriamente a los usuarios la opción de verificar su identidad, y dicha verificación debe hacerse demostrable y visible.
La presencia de esta cláusula es inusual; por un lado, no está claro por qué hay una disposición separada para clasificar las SMI, cuando la disposición general para clasificar a los fiduciarios como fiduciarios de datos significativos se aplica a cada fiduciario, incluido un SMI. Esto sería mejor colocarlo como una regulación emitida por el DPAI, que proporciona detalles completos sobre los criterios de clasificación y las obligaciones, que como parte de la ley primaria. Un segundo factor es que la cláusula sobre verificación se ubicaría mejor como una obligación de cumplimiento bajo ley intermedia que bajo una ley de privacidad.
(El proyecto de ley de protección de datos personales busca el acceso a los datos de los usuarios de las empresas)
Actualmente, el proyecto de ley ha sido remitido para su deliberación por un comité selecto del parlamento, lo que significa que es probable que se realicen más cambios antes de que la ley tome una forma final. El proyecto de ley, en su forma actual, implica que las empresas de la India y del mundo tendrán una carga de cumplimiento importante. Si bien no debe haber compromiso con los derechos de las personas, donde es posible reducir la carga de cumplimiento de las empresas, tales medidas deben ser consideradas. Además, la gran cantidad de poder en el DPAI también implica que el DPAI probablemente estará sobrecargado con la cantidad de decisiones que tendrá que tomar. Deben considerarse los métodos para facilitar esto, como permitir cierta cantidad de autorregulación y estándares determinados por la industria (sujeto a la aprobación del DPAI).
Asheeta Regidi es Directora, Política de Fintech en CashFree. Ella también es una profesional certificada de privacidad.
Encuentre los últimos y futuros dispositivos tecnológicos en línea en Tech2 Gadgets. Obtenga noticias de tecnología, reseñas de gadgets y calificaciones. Aparatos populares que incluyen especificaciones, características, precios, comparación de portátiles, tabletas y dispositivos móviles.
Via: FirstPost
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…