Índia: o que está na nova conta de proteção de dados da Índia?

Exige a implementação de medidas, reduzindo a vulnerabilidade de dados e a prevenção da erosão da privacidade do usuário, foi retumbante em todo o mundo em todo o mundo.

Privacidade de dados pessoais – a Índia precisa de regulamentos como o GDPR da Europa e o CCPA dos EUA

Embora todos nós concordássemos que “os dados são a mercadoria pós-criada na era digital”, protegê-los e garantir que a privacidade dos dados se torne extremamente crítica. É um fato bem conhecido que a Índia é o segundo maior ecossistema on-line do mundo, com mais de 900 milhões de usuários da Internet. Com a crescente penetração da Internet, esse número deve aumentar acentuadamente nos próximos 5 anos. É relatado que a Índia está lidando com o segundo maior número de violações de dados relatadas globalmente. No momento, é crucial educar os usuários sobre coleta e privacidade de dados e também para construir leis que protegem os indivíduos do uso indevido de seus dados pessoais.

Com a mudança digital e os serviços se movendo para a nuvem, há uma grande quantidade de dados pessoais altamente precisos sendo trocados não apenas através dos sites que navegamos ou pelos aplicativos que as pessoas usam em seus telefones celulares, mas também por meio de eletrodomésticos como câmeras de segurança/vigilância, caminas digitais, portas digitais, termostatos de controle de temperatura, Automação Smart, Automação Home, Assistentes Digitais para nomear alguns poucos. O caso de uso primário da coleção de dados é melhorar e personalizar os serviços oferecidos, no entanto, pode ser mal utilizado para invadir a privacidade, a segurança e a confiança de um indivíduo. A análise desses dados, quando coletada em um intervalo de tempo, pode levar à identificação de indivíduos, inferindo informações sobre as crenças, preferências, religião ou saúde de uma pessoa. Eles podem eventualmente ser usados ​​para influenciar, causar ameaças à segurança pessoal, publicidade direcionada, fraude e hackers. Por exemplo, analisar os dados de localização de um indivíduo para determinar as lojas/coloca uma visita individual e com que frequência pode levar à identificação de interesses, comportamento social e também status socioeconômico.

Para as organizações, um incidente de segurança de dados pode levar a implicações legais e comerciais e também falta de confiança do usuário. Facebook-Cambridge Analytica Fiasco é uma das infames violações de dados, em 2018 dados para quase 87 milhões de usuários do Facebook foram usados ​​sem seu consentimento e compreensão. Os dados obtidos inadequadamente do Facebook foram usados ​​para criar perfis de eleitores e usados ​​para publicidade política (sem consentimento). Este foi o maior vazamento de dados enfrentado pelo Facebook. Isso levou a conscientização sobre os problemas de privacidade de dados, como o conceito de privacidade está mudando e destacou a ansiedade do cliente em se acostumar com os avanços tecnológicos, mas ainda não está plenamente ciente da extensão da erosão da privacidade e das trocas na qualidade do serviço versus opções relacionadas à privacidade. Existem configurações de privacidade expostas pelas empresas; No entanto, eles não são facilmente entendidos e também não há claro sobre o impacto na experiência do usuário em desativar certos tipos de acesso a dados. Para os governos, uma violação de privacidade pode levar ao risco de vazar informações nacionais confidenciais.

Alterações na tecnologia e nas leis relacionadas a dados são um desafio global. Regulamento geral de privacidade de dados da Europa (GDPR) que entrou em vigor em 2018, define e unifica os regulamentos de privacidade com a União Europeia (UE). O GDPR não apenas fornece controles de privacidade aos indivíduos, mas também coloca obrigações sobre as organizações que mantêm seus dados. A China anunciou os regulamentos de privacidade de dados com a Lei de Proteção de Informações Pessoais (PIPL) em 2021. Essas leis também descrevem os requisitos de privacidade de dados para empresas baseadas fora da China/UE para gerenciar e usar os dados de seus cidadãos. Os EUA não têm uma única lei de privacidade, mas uma combinação de leis estaduais ou específicas do setor, como a Lei de Privacidade do Consumidor da Califórnia (CCPA) introduzida em 2018, seguida pela Lei de Direitos de Privacidade da Califórnia (CPRA) em 2020 e Lei de Privacidade e Portabilidade de Informações sobre Saúde (HIPAA).

No entanto, diferentemente do resto do mundo, que possui leis e regulamentos de privacidade com o objetivo de proteger a privacidade dos cidadãos, a Índia ainda não tem uma lei de privacidade para proteger seus cidadãos. Em agosto de 2017, a Suprema Corte da Índia declarou o direito à privacidade como um direito fundamental para os cidadãos indianos protegidos pela Constituição da Índia. Após o direito à privacidade, a Índia introduziu a lei de privacidade de dados em 2019; No entanto, foi retirado em 2022, e nenhuma nova legislação foi proposta até agora. A Índia precisa intensificar seus esforços e ter leis de privacidade de dados alinhadas com a visão global em torno da privacidade de dados. Os regulamentos retiram o ônus dos cidadãos e estabelecem uma visão clara das organizações para cumprir com eles.

Índia: o que está na nova conta de proteção de dados da Índia?

O governo indiano publicou um novo rascunho simplificado de sua conta de proteção de dados pessoais digitais. O que diz?

Em 18 de novembro de 2022, o governo da Índia divulgou o tão esperado quarto projeto da lei de privacidade proposta pela Índia, agora renomeada como a conta de proteção de dados pessoal digital (‘Bill’). O governo procurou feedback sobre o projeto de lei 17 de dezembro de 2022.

Índia: o que está na nova conta de proteção de dados da Índia

Exige a implementação de medidas, reduzindo a vulnerabilidade de dados e a prevenção da erosão da privacidade do usuário, foi retumbante em todo o mundo em todo o mundo.

Privacidade de dados pessoais – a Índia precisa de regulamentos como a Europa’S GDPR e EUA’S CCPA

Dr. Preeti Goel tem mais de 15 anos de experiência profissional e contribuiu para algumas das principais empresas de tecnologia do mundo, como Microsoft, Google, Adobe e Amazon. Preeti Goel tem um Bacharel em Tecnologia em Ciência da Computação, um mestrado no IIT-Kanpur e um PH.D. da Universidade de Melbourne, Austrália. MENOS . MAIS

Exige a implementação de medidas, reduzindo a vulnerabilidade de dados e a prevenção da erosão da privacidade do usuário, foi retumbante em todo o mundo em todo o mundo.

Enquanto todos nós concordaríamos que “Os dados são a mercadoria pós-criada na era digital”, protegê -lo e garantir que a privacidade dos dados se torne extremamente crítica. É um fato bem conhecido que a Índia é o segundo maior ecossistema on -line do mundo, com mais de 900 milhões de usuários da Internet. Com a crescente penetração na Internet, esse número deve aumentar acentuadamente nos próximos 5 anos. É relatado que a Índia está lidando com o segundo maior número de violações de dados relatadas globalmente. No momento, é crucial educar os usuários sobre coleta e privacidade de dados e também para construir leis que protegem os indivíduos do uso indevido de seus dados pessoais.

Com a mudança digital e os serviços se movendo para a nuvem, há uma grande quantidade de dados pessoais altamente precisos sendo trocados não apenas através dos sites que navegamos ou pelos aplicativos que as pessoas usam em seus telefones celulares, mas também por meio de eletrodomésticos como câmeras de segurança/vigilância, portas digitais, termostatos de controle de temperatura, Automação de Smart, Automação Digital, Nomeados para nomear poucos. A coleta de dados’s Primário Caso de Uso é melhorar e personalizar os serviços oferecidos, no entanto, pode ser mal utilizado para fugir de um indivíduo’s privacidade, segurança e confiança. A análise desses dados, quando coletada em um intervalo de tempo, pode levar à identificação de indivíduos, inferindo informações sobre uma pessoa’S crenças, preferências, religião ou saúde. Eles podem eventualmente ser usados ​​para influenciar, causar ameaças à segurança pessoal, publicidade direcionada, fraude e hackers. Por exemplo, analisando um indivíduo’s Dados de localização para determinar as lojas/coloca uma visita individual e com que frequência pode levar à identificação de interesses, comportamento social e também status socioeconômico.

Para as organizações, um incidente de segurança de dados pode levar a implicações legais e comerciais e também falta de confiança do usuário. Facebook-Cambridge Analytica Fiasco é uma das infames violações de dados, em 2018 dados para quase 87 milhões de usuários do Facebook foram usados ​​sem seu consentimento e compreensão. Os dados obtidos inadequadamente do Facebook foram usados ​​para criar perfis de eleitores e usados ​​para publicidade política (sem consentimento). Este foi o maior vazamento de dados enfrentado pelo Facebook. Isso levou a conscientização sobre os problemas de privacidade de dados, como o conceito de privacidade está mudando e destacou a ansiedade do cliente em se acostumar com os avanços tecnológicos, mas ainda não está plenamente consciente da extensão da erosão da privacidade e das trocas na qualidade do serviço versus opt-out relacionado à privacidade. Existem configurações de privacidade expostas pelas empresas, mas elas não são facilmente entendidas e também não há claro sobre o impacto na experiência do usuário em desativar certos tipos de acesso a dados. Para os governos, uma violação de privacidade pode levar ao risco de vazar informações nacionais confidenciais.

Alterações nas leis de tecnologia e dados são um desafio global. Europa’S Regulamento Geral de Privacidade de Dados (GDPR) que entrou em vigor em 2018, define e unifica os regulamentos de privacidade com a União Europeia (UE). O GDPR não apenas fornece controles de privacidade aos indivíduos, mas também coloca obrigações sobre as organizações que mantêm seus dados. A China anunciou os regulamentos de privacidade de dados com a Lei de Proteção de Informações Pessoais (PIPL) em 2021. Essas leis também descrevem os requisitos de privacidade de dados para empresas baseadas fora da China/UE para gerenciar e usar os dados de seus cidadãos. Os EUA não têm uma única lei de privacidade, mas uma combinação de leis específicas do estado ou setor, como a Lei de Privacidade do Consumidor da Califórnia (CCPA) introduzida em 2018, seguida pela Lei de Direitos de Privacidade da Califórnia (CPRA) em 2020 e Lei de Privacidade e Portabilidade de Informações sobre Saúde (HIPAA).

No entanto, diferentemente do resto do mundo, que possui leis e regulamentos de privacidade que visam proteger a privacidade dos cidadãos, a Índia ainda não tem uma lei de privacidade para proteger seus cidadãos. Em agosto de 2017, a Suprema Corte da Índia declarou o direito à privacidade como um direito fundamental para os cidadãos indianos protegidos pela Constituição da Índia. Após o direito à privacidade, a Índia introduziu o projeto de privacidade de dados em 2019, no entanto, foi retirado em 2022 e nenhuma nova legislação foi proposta até agora. A Índia precisa intensificar seus esforços e ter leis de privacidade de dados alinhadas com a visão global em torno da privacidade de dados. Os regulamentos retiram o ônus dos cidadãos e estabelecem uma visão clara das organizações para cumprir com eles.

Índia: o que está na nova conta de proteção de dados da Índia?

O governo indiano publicou um novo rascunho simplificado de sua conta de proteção de dados pessoais digitais. O que diz?

Em 18 de novembro de 2022, o governo da Índia divulgou o tão esperado quarto projeto da lei de privacidade proposta pela Índia, agora renomeada como a conta de proteção de dados pessoal digital (‘Bill’). O governo procurou feedback sobre o projeto de lei 17 de dezembro de 2022.

À primeira vista, a conta é uma surpresa. É um rascunho completamente novo e não é uma redefra de versões anteriores e é muito mais curto e mais simples. Ele parte substancialmente do modelo GDPR de leis de privacidade que é bastante comum hoje.

Aplicabilidade

A lei se aplica apenas a dados pessoais que são coletados on -line ou que são coletados offline, mas que são digitalizados. A lei se aplicará ao processamento de dados pessoais fora da Índia se esse processamento estiver relacionado a qualquer perfil de diretores na Índia ou qualquer atividade de oferecer bens ou serviços na Índia. A lei também isenta o processamento de dados na Índia de indivíduos localizados fora da Índia sob um acordo contratual transfronteiriço: isso cobre essencialmente a indústria offshore/terceirização.

Definições

O projeto de lei usa terminologia semelhante às versões anteriores. Um titular de dados é referido como um ‘Principal de dados ‘ e um controlador de dados é chamado de ‘dados fiduciários ‘. Não há conceito ou definição de dados pessoais sensíveis. O DPA é referido como o Conselho de Proteção de Dados da Índia (‘DPBI’).

Motivos para coleta e processamento

O consentimento continua sendo o principal terreno para o processamento de dados pessoais. Deve ser ‘dado livremente’, ” específico ‘,’ informado ‘e uma’ indicação inequívoca de consentimento ‘através de uma’ ação afirmativa clara ‘.

Parece claro que consentimento explícito seria necessário. O consentimento também pode ser retirado, cujas consequências seriam suportadas pelo titular dos dados. O projeto de lei também inclui motivos óbvios para o processamento de dados pessoais, como conformidade com leis e ordens judiciais, ações que lidam com epidemias ou situações de lei e ordem.

O conceito de interesse legítimo parece ser capturado de maneiras diferentes. Várias situações são mencionadas onde é considerado o consentimento. Isso inclui o processamento de dados pessoais ’em interesse público’, inclusive para prevenir ou detectar fraudes, para segurança de rede e informação, pontuação de crédito, processamento de dados pessoais disponíveis ao público e para recuperação de dívida.

Parece incerto se as empresas privadas podem usar esses motivos, já que o processamento precisa ser ‘de interesse público’. Há também o fundamento de “propósito justo e razoável”, mas, neste caso, o governo precisa notificar o que é um propósito justo e razoável. Ao fazer isso, o governo pode considerar os interesses legítimos do fiduciário de dados.

Um terreno -chave é onde o processamento de dados pessoais é “necessário” e onde os dados pessoais são fornecidos voluntariamente e “é razoavelmente esperado que o titular dos dados forneça esses dados pessoais”. Seria necessário mostrar que o processamento é ‘necessário’ e os dados pessoais foram fornecidos ‘voluntariamente’ e o diretor de dados seria razoavelmente esperado para fornecer esses dados.

Possivelmente essa disposição poderia ter sido redigida melhor, supondo. É provável que se torne a disposição mais importante do novo estatuto para empresas que não desejam seguir a rota de consentimento.

Emprego

Existe um terreno separado para o processamento de dados pessoais relacionados ao emprego que abrange a prevenção da espionagem, a manutenção da confidencialidade dos segredos comerciais e da IP, recrutamento, rescisão do emprego, prestação de serviços ou benefícios a um funcionário, verificação da participação e avaliação do desempenho. Dados pessoais podem ser coletados por esses motivos, desde que o processamento seja ‘necessário’.

Perceber

As versões anteriores do projeto de lei previam informações extensas a serem fornecidas como parte do aviso aos diretores de dados. Isso foi excessivo. Esta versão cobre apenas duas coisas: os tipos de dados pessoais a serem processados ​​e os propósitos de processamento. Esta informação deve ser fornecida de maneira detalhada.

Crianças

O projeto de lei mantém o limiar para crianças aos 18 anos. Isso será visto como uma decepção para o mundo online, pois os padrões globais tendem a estar mais próximos de 16 anos.

O consentimento dos pais verificáveis ​​é necessário para a coleta de dados pessoais infantis. O projeto também proíbe o perfil de crianças ou monitoramento comportamental ou publicidade direcionada para crianças. No entanto, o governo tem o poder de isentar esses requisitos através da notificação.

Direitos e deveres dos diretores de dados

Os diretores de dados (titulares de dados) têm vários direitos. Eles incluem o direito de saber quais dados pessoais estão sendo processados ​​e o direito de ter dados pessoais imprecisos corrigidos. Um diretor de dados também pode solicitar que dados pessoais sejam excluídos com o argumento de que seu armazenamento não serve mais o objetivo para o qual foi coletado.

Curiosamente, o projeto inclui tarefas dos diretores de dados; essencialmente para o dever de não fornecer informações falsas e não apresentar queixas frívolas ou falsas

Armazenamento de dados pessoais

O projeto de lei exige que o fiduciário de dados (controlador de dados) para garantir que os dados pessoais mantidos sejam precisos e usem medidas organizacionais e técnicas apropriadas para cumprir a lei. Os fiduciários de dados também devem usar medidas de segurança razoáveis ​​para evitar violações de dados. Um fiduciário de dados pode manter dados pessoais apenas enquanto serve ao propósito para o qual foram coletados ou para fins legais ou comerciais. Depois disso, os dados pessoais precisam ser excluídos.

Violação de dados pessoais

O projeto de lei define uma ‘violação de dados pessoais’ para significar qualquer processamento não autorizado ou divulgação acidental, uso, alteração ou destruição de dados pessoais, que compromete sua confidencialidade, integridade ou disponibilidade.

No caso de uma violação de dados pessoais, o fiduciário de dados ou o diretor de dados deve informar o DPBI e o diretor de dados afetados, de uma maneira prescrita pelo governo. A ampla definição de violação de dados pessoais abordaria pequenas instâncias de violações de dados para as quais a notificação ao governo e os diretores de dados parecem bastante onerosos.

‘Dados significativos fiduciários’

O projeto de lei mantém o conceito de um Dados significativos fiduciários (‘Sdf’). Este é um fiduciário de dados (controlador) que atende aos critérios estabelecidos pelo governo. Ao determinar quem seria um SDF, o governo consideraria fatores como o volume de dados e o risco de danos.

Curiosamente, esses fatores também incluem ‘impacto potencial na integridade e soberania da Índia’ e ‘risco para a democracia eleitoral’. Os SDFs são obrigados a nomear oficiais de proteção de dados, que devem se reportar ao Conselho da Organização. Eles também devem nomear um auditor de dados independente para auditar a conformidade com a lei de privacidade. O governo também pode notificar quando os SDFs precisam realizar avaliações de impacto da privacidade.

Oficial de Proteção de Dados

Somente os SDFs são obrigados a nomear um oficial de proteção de dados. No entanto, todo fiduciário de dados deve nomear uma pessoa para agir como o ponto de contato para quem quiser registrar uma queixa. Os detalhes de contato do oficial de reclamação devem ser publicados.

Localização de dados e transferências

O projeto de lei não inclui diretamente as disposições sobre a localização de dados. O requisito em rascunhos anteriores de que dados pessoais críticos precisam ser armazenados apenas na Índia ou que dados pessoais sensíveis podem ser transferidos fora da Índia, mas uma cópia deve ser retida na Índia.

O projeto afirma que o governo notificaria os países para os quais os dados pessoais podem ser transferidos. Parece que até que o governo notifique esses países, os dados pessoais podem ser transferidos livremente fora da Índia, embora talvez a notificação seja emitida no momento em que a lei entrar em vigor. A lei não cobre outros meios de permitir transferências de dados, como através de cláusulas contratuais padrão (este é afinal de todo o método pelo qual os dados pessoais são atualmente transferidos da UE para a Índia).

Isenção do governo

O projeto de lei concede o poder ao governo de se isentar e suas agências de qualquer requisito da conta. Os motivos mencionados, como soberania e integridade da Índia, segurança do estado, etc., são retirados da Constituição da Índia e também citados pela Suprema Corte da Índia como motivos pelos quais os direitos de privacidade podem ser restritos. Esses motivos são, no entanto, bastante amplos, proporcionalidade e razoabilidade, não são ingredientes essenciais.

Penalidades

O esboço da nova lei prescreve multas por não conformidade. Há um cronograma que menciona limites de penalidade para violações específicas. Por exemplo, a falha em tomar salvaguardas de segurança razoáveis ​​para evitar a violação de dados pessoais envolveria uma penalidade de até 25 milhões de INR (aproximadamente US $ 30 milhões).

Penalidades em geral podem subir para INR 50 milhões (aprox. US $ 60 milhões). Curiosamente, não há provisão para a concessão de compensação aos titulares de dados afetados.

Análise

O governo adotou uma abordagem decididamente indiana para redigir esta legislação. É muito mais simples que as versões anteriores e vai contra a tendência atual do modelo de legislação de privacidade do GDPR. Esse tipo de legislação é bastante apropriado para a Índia, dada o seu enorme setor de PME desorganizado e, dado que os padrões de conformidade com a privacidade são bastante baixos na Índia.

Provavelmente significa que a legislação não conseguirá obter uma adequação governante da UE. De qualquer forma, devido a não ter supervisão independente sobre a vigilância do governo, a lei indiana não cumpre totalmente Schrems II.

No entanto, há uma série de questões que precisam ser tratadas na lei. O mais importante é esclarecer o idioma em torno do tipo de interesse legítimo que acreditamos estar no coração da legislação de privacidade. É o conceito de ‘necessidade’ suficiente para lidar com situações legítimas de coleta e processamento de dados pessoais?

Parece também que os requisitos de aviso se aplicam somente quando o consentimento estiver sendo obtido. Isso significa que, quando os dados pessoais estão sendo processados ​​sob outros motivos, que se enquadram em provisões de consentimento consideradas, nenhum aviso é necessário. A necessidade de prescrever o consentimento é discutível. Verificou -se que o consentimento não é realmente um meio de proteção aos titulares de dados, especialmente porque, na maioria dos casos, os titulares de dados não têm escolha a não ser dar consentimento.

O tempo todo, minha abordagem recomendada tem sido ter uma legislação de toque leve e permitir que o DPA construa mais regulamentação lentamente através da legislação delegada. Este projeto de legislação segue parcialmente essa abordagem. Enquanto o DPBI tem poderes para aprovar regulamentos, eles se relacionam apenas com a realização das disposições da lei. É discutível se tem poderes passar a regulamentação sobre questões não mencionadas na lei. Por exemplo, questões como portabilidade de dados, privacidade por design, etc., Não encontre lugar na conta. Teria sido melhor para os poderes dados ao DPBI ter sido explicada em mais detalhes.

A proibição geral do rastreamento da atividade das crianças na Internet e a publicidade comportamental parece um pouco irracional. Como um canal de vídeo ou música online, por exemplo, recomendaria filmes ou músicas para crianças com base em seus gostos sem rastrear sua atividade?

O projeto também dá ao governo o poder de isentar qualquer uma de suas agências de qualquer uma das disposições da lei. Não há razoabilidade ou limiar de proporcionalidade mencionado. Talvez, no entanto, isso possa ser lido na lei dada pronunciamentos já feitos pela Suprema Corte da Índia. A isenção geral do governo sobre a necessidade de excluir dados que não serve mais ao propósito para o qual foi coletado também é infeliz.

Também é lamentável que a composição do DPBI não tenha sido prescrita na lei, deixando para o governo nomear quem eles querem. É muito necessário um DPA experiente em tecnologia e ágil para gerenciar a regulamentação de privacidade de dados na Índia, especialmente porque alguns dos requisitos da lei serão ‘como pode ser prescrito’ posteriormente.

No geral, a abordagem adotada faz sentido, dado o ambiente indiano e pode fornecer uma plataforma de lançamento para uma regulamentação mais extensa relacionada à privacidade no futuro. Obviamente, existem lacunas e erros de desenho, mas isso deve ser esperado em uma legislação mais simples que também atinge um novo caminho e é redigido por pessoas que não são especialistas em privacidade. Espera -se que o governo trabalhe com a comunidade de privacidade para resolver essas questões e levar este documento para promulgar.

O conteúdo deste artigo destina -se a fornecer um guia geral para o assunto. Conselhos especializados devem ser procurados sobre suas circunstâncias específicas.

A Índia tem leis de privacidade de dados?

23 de novembro de 2022

Índia’A nova conta de dados é uma bolsa mista para privacidade

Por Justin Sherman

Sugestões de pesquisa

Resultados totais>/>

Recente relevante

Resultados do filtro

A nova conta de dados da Índia é uma bolsa mista para privacidade

Índia’O Parlamento divulgou sua lei digital de proteção de dados pessoal, o segundo passe em uma lei abrangente de privacidade de dados depois que o governo retirou sua lei de proteção de dados pessoal no início deste ano. O rascunho atual é mais curto que o outro projeto de lei, embora tenha muitos dos mesmos componentes.

Os formuladores de políticas indianos também circularam comentários sobre o projeto que não foram disponibilizados ao público, mas que eu discuto aqui. É importante ressaltar que o novo projeto de lei oferece uma bolsa mista para privacidade – com alguns requisitos para as empresas receberem individuais “consentimento,” corrigir dados pessoais imprecisos e proteger os direitos de dados, juntamente com as disposições para o acesso aos dados do governo. Essa análise não é abrangente, mas destaca alguns pontos -chave de nota na legislação que constituiriam um grande desenvolvimento na regulamentação global de dados.

A ideia de ‘consentimento’

Assim como o projeto de lei antigo, a conta de proteção de dados pessoais digital exige que as organizações processem dados (que ele chama “fiduciários de dados”) obter “consentimento” de indivíduos sobre quem eles estão processando dados. Quando um indivíduo dá seu “consentimento,” O projeto diz que a organização deve fornecer a essa pessoa “um aviso detalhado em linguagem clara e simples” que descreve os dados coletados e o objetivo para o qual estão sendo processados, “Assim que for razoavelmente praticável.” O projeto também propõe que os indivíduos sejam capazes de retirar seus “consentimento” Para as organizações processarem seus dados, momento em que a organização em questão deve parar de fazê -lo.

Essa noção de consentimento está quebrada e não é específica para a Índia também. Empresas e formuladores de políticas americanos e europeus pressionam a mesma ideia. As pessoas não lêem os termos de acordos de serviço e as empresas que exibem um documento longo com jurídico inacessível – aumentando para os indivíduos apenas clicar “aceitar”- Saiba que os usuários não leem nem entendem o documento.

Isso desafia a própria noção de consentimento.

Da mesma forma, as pessoas não lêem políticas de privacidade, mas muitos sites e aplicativos afirmam literalmente que visualizar o site ou abrir o aplicativo por si só constitui concordância com sua política de privacidade. Além disso, o consentimento não é totalmente e livremente dado em um mundo em que os cidadãos – incluindo cidadãos indianos – não podem acessar serviços básicos sem se sujeitar à coleta de dados. No entanto, a nova conta’s linguagem em consentimento coloca a Índia relativamente na mesma direção que “consentimento” Provisões nas leis de privacidade do Estado dos EUA e no Regulamento Geral de Proteção de Dados na União Europeia.

Coleta de dados do governo Carve outs

O projeto de lei enfraquece essa noção de consentimento ainda mais, especificando inúmeras exceções, incluindo muitas exceções para o governo indiano. Enquanto alguns são indiscutivelmente mais razoáveis, outros criam riscos de privacidade para os cidadãos indianos e geram questões legais complexas para empresas e organizações que operam na Índia.

Os indivíduos, no esboço mais recente da lei pública, devem ter consentimento se o processamento de dados “é necessário” para “o desempenho de qualquer função sob lei,” “por conformidade com qualquer julgamento ou ordem emitida sob qualquer lei,” “por responder a uma emergência médica envolvendo uma ameaça à vida ou ameaça imediata à saúde do [indivíduo] ou de qualquer outro indivíduo,” e “para tomar medidas para garantir a segurança ou fornecer assistência ou serviços a qualquer indivíduo durante qualquer desastre ou qualquer quebra de ordem pública,” entre outros. Também isentaria situações em que é “razoavelmente esperado” que alguém forneceria seus dados pessoais a uma organização voluntariamente, o processamento de “Dados pessoais disponíveis publicamente,” e pontuação de crédito.

Embora algumas dessas exceções possam parecer razoáveis ​​em seu rosto (como pontuação de crédito), muitos são altamente preocupantes de uma perspectiva de privacidade e direitos civis. O governo do primeiro -ministro indiano Narendra Modi freqüentemente fez alegações falsas de ameaças à segurança pública e a ordem de reprimir o protesto e a dissidência. As autoridades também atraíram a reivindicações igualmente duvidosas, mas de ordem pública, de justificar legalmente e retoricamente o fechamento da Internet mais vezes do que qualquer outro país da Terra. De forma semelhante, a conta’s atual idioma permitiria a coleta de dados com base no “interesse público,” definido extremamente amplamente para incluir o interesse da Índia’S soberania e integridade, segurança do estado, relações amigáveis ​​com estados estrangeiros, manutenção da ordem pública, impedindo a incitação de qualquer uma das atividades acima mencionadas (como minar a ordem pública) e impedir a disseminação de “Declarações de fato falsas.”

O governo de Modi dificilmente é o único governo em um país nominalmente democrático envolvido em práticas não democráticas. No entanto, a proposta de dados de dados do governo incrivelmente ampla no projeto de lei capacitaria a vigilância do estado às custas dos cidadãos indianos’ privacidade e direitos civis. Isso também forçaria empresas e organizações que operam na Índia a lidar constantemente com um conjunto ainda mais complexo de questões legais em torno do acesso expandido do governo aos dados.

Em relação, este é apenas um componente do governo Modi’S Push mais amplo para minar a criptografia e aumentar sua capacidade de coagir as empresas de tecnologia.

Localização de dados

O elemento mais controverso da antiga conta de proteção de dados pessoais foi provavelmente seus requisitos de localização de dados. Essas estipulações exigiriam organizações com dados pessoais sobre cidadãos indianos para manter essas informações armazenadas no país, em alguns casos apenas uma cópia e, em outros casos. Diferentes formuladores de políticas indianas queriam esses requisitos por vários motivos, inclusive para impor custos a empresas estrangeiras, Boost India’S Indústria de armazenamento de dados, aumenta a supervisão do governo indiano sobre o armazenamento de dados relacionados aos cidadãos indianos e, como alguns o viram, permitem o melhor acesso da aplicação da lei indiana a dados relevantes para o crime mantidos por empresas americanas, que atualmente é menos que acessível através de um processo de tratado de assistência jurídica mútua quebrada.

O novo projeto de lei se afasta dessa ênfase na localização. Em vez de exigir o armazenamento local de dados em si, ele propõe permitir que o governo indiano avalie os países estrangeiros’ Regimes de proteção de dados e depois certificam aqueles que são suficientes para fornecer destinos para cidadãos indianos’ dados. Especificamente, afirma, “O governo central pode, após uma avaliação de fatores que consideram necessário, notificar esses países ou territórios fora da Índia para os quais um fiduciário de dados pode transferir dados pessoais, de acordo com os termos e condições que podem ser especificados.”

Empresas estrangeiras certamente ficarão felizes com essa mudança. Na maioria das vezes, suas queixas sobre a localização de dados voltaram aos custos – não querendo pagar pelas mudanças técnicas e infraestrutura técnica para armazenar dados localmente na Índia, bem como outros custos legais e organizacionais. Mas também existem outras preocupações geradas pela localização de dados, incluindo custos de emissões climáticas para a infraestrutura duplicada de armazenamento de dados e os riscos de segurança cibernética de armazenar outra cópia da informação quando houve anteriormente um a menos.

Eles fornecem pelo menos vários motivos para o governo indiano se afastar de um regime de localização de dados altamente controlado.

Outras idéias em debate

A versão atual da conta no site do Ministério da Eletrônica e Tecnologia da Informação indiana não se aplica a “Processamento não automático de dados pessoais,” “Dados pessoais offline,” “dados pessoais processados ​​por um indivíduo para qualquer propósito pessoal ou doméstico,” e “Dados pessoais sobre um indivíduo que está contido em um registro que existe há pelo menos 100 anos.”

É interessante “Dados pessoais anonimizados” aquilo é “de propriedade do governo central ou estadual, dependendo do assunto ao qual os dados pertencem” da conta. Ele também continha uma edição para usar explicitamente a frase “Fluxo livre de dados com confiança” descrever as disposições sobre o governo indiano’S aprovação para transferências de dados estrangeiros e armazenamento.

O Tempos econômicos relatórios, nesse sentido, que a próxima iteração do projeto terá o governo indiano definir “confiável” Geografias para as quais os fiduciários de dados podem transferir e armazenar dados relacionados aos cidadãos indianos.

O primeiro é (aqui, foi uma má sugestão. Nos Estados Unidos, os legisladores federais e estaduais continuam a isentar “anonimizado” ou “desidentificado” dados de leis de privacidade e projetos de lei sob a falsa crença de que esses termos são tecnicamente significativos. Numerosos estudos mostraram como é fácil vincular supostamente “desidentificado” ou “anonimizado” Dados para pessoas reais, dados avanços na análise de dados estatísticos, o grande volume de dados no mundo hoje e empresas’ acesso a pontos de dados notavelmente exclusivos para indivíduos, como histórico de geolocalização ou um dispositivo’S Padrões de conexão Wi-Fi.

No entanto, os legisladores continuam a incluir essas esculturas nas leis, incluindo porque as empresas empurram a linha falsa que “anonimato” é real. Felizmente, Índia’O parlamento não cai na mesma armadilha. Novas técnicas para proteger melhor a confidencialidade dos dados, enquanto ainda permitem que as organizações o processem, como privacidade diferencial, são valiosas. O melhor caminho a seguir é reconhecer que existe um espectro de capacidades para vincular dados às pessoas pelo nome ou por outro identificador individual claro – e aquele total “anonimato” é um mito.

A segunda sugestão na marcação não publicada que eu revi – a frase “Fluxo livre de dados com confiança”-é uma referência ao fluxo livre de dados com iniciativa de confiança liderada pelo governo japonês no G-20 de 2019 em Osaka. Na época, descreveu uma crença geral de que os países têm interesse em permitir o fluxo livre de dados entre si, mas com algumas salvaguardas no lugar. Nova Délhi se recusou a assinar o fluxo livre de dados iniciais com o contrato de confiança em 2020 – uma proclamação vaga para buscar a cooperação para um “Fluxo livre de dados com confiança” Framework-porque viu o esforço muito conduzido por países de alto recurso. Índia’O ministro do Comércio e Indústria havia dito que “Em vista da enorme divisão digital entre os países, é necessário espaço para países políticos para países em desenvolvimento que ainda precisam finalizar as leis em torno do comércio digital e dados. Os dados são uma ferramenta potente para o desenvolvimento e o acesso equitativo dos dados é um aspecto crítico para nós.”

À medida que os governos expandem seus regulamentos de fluxo de dados, a Índia’S Mudar para longe de tal ênfase na localização e em direção ao foco em geografias confiáveis ​​alinham a Índia com alguns desses esforços-enquanto ainda deixam espaço para os formuladores de políticas esculpirem a chamada quarta maneira de governança de dados destinada aos países do sul global. Significativamente, a Índia também está assumindo a presidência do G-20, o que significa que um fluxo livre de dados com a abordagem do tipo de confiança pode colocar o país em uma posição influente para impulsionar as conversas globais de dados no próximo ano.

Conclusão

Houve um intenso debate sobre a última tentativa de regulamentação abrangente de dados na Índia, inclusive entre os formuladores de políticas indianos, os formuladores de políticas dos EUA, as empresas de tecnologia dos EUA e as partes interessadas da sociedade civil na Índia. Sem dúvida, esses tipos de debates continuarão acontecendo em torno da nova legislação.

Também existem inúmeras outras questões e questões levantadas pela proposta que merecem análises e discussões mais profundas – mais do que é abordado neste artigo. Por enquanto, porém, isso’está claro que a Índia pretende plantar sua bandeira na regulamentação de dados e naquele onde “Geografias confiáveis” estão preocupados, há muito espaço para o governo dos EUA se envolver produtivamente.

Justin Sherman (@jshercyber) é um membro do Conselho Atlântico’S Iniciativa Cyber ​​Statecraft. Ele também era membro do Centro do Sul da Ásia AC’s Força-Tarefa de Economia Digital dos EUA-Índia e liderou seu grupo de trabalho na política de dados dos EUA-Índia.

O Centro do Sul da Ásia Serve como Conselho Atlântico’S ponto focal para o trabalho na região, bem como as relações entre esses países, regiões vizinhas, Europa e Estados Unidos.

Índia – Uma nova tentativa de passar em uma lei abrangente de proteção de dados

Em novembro de 2022, o governo indiano divulgou um rascunho da lei de proteção de dados pessoais digitais, 2022 (“Conta”), em uma nova tentativa de criar um regime abrangente de proteção de dados.

O projeto é proposto para ser apresentado antes do Parlamento da Índia na primeira metade de 2023. Discutimos as principais disposições da conta.

O caminho para a reforma

A Índia ainda não promulgou uma legislação abrangente sobre proteção de dados. A estrutura regulatória atual é derivada da seção 43A da Lei de Tecnologia da Informação, 2000 (“Ele age”) e a tecnologia da informação (práticas e procedimentos de segurança razoável e regras de dados ou informações pessoais sensíveis), 2011 (“Regras do SPDI”) que aplicam obrigações específicas e limitadas. As leis setoriais também podem ser aplicáveis ​​a entidades em setores regulamentados, como serviços financeiros e telecomunicações . Por favor, veja aqui um resumo detalhado do regime de proteção de dados na Índia.

O governo indiano fez várias tentativas de introduzir uma lei abrangente de proteção de dados. Por exemplo, ele propôs anteriormente uma lei de proteção de dados, 2021 (“2021 Projeto de conta”) que tinham algumas semelhanças com o regulamento geral de proteção de dados (“GDPR”).

Esse projeto de lei de 2021 foi retirado e foi substituído pela nova fatura. Este projeto foi elaborado como uma lei totalmente nova e parece ser o governo e os negócios; Não é uma iteração da conta de draft de 2021. A conta substituirá a seção 43A da Lei de TI e as regras do SPDI.

Esboço da conta

A conta começa com vários conceitos que são amplamente semelhantes aos do GDPR. Governa fiduciários de dados (i.e., Controladores de dados), processadores de dados e diretores de dados (i.e., Data titulares).

É aplicável ao processamento de dados pessoais digitais, eu.e., Informações relacionadas a um indivíduo que pode identificar esse indivíduo, onde os dados são coletados online ou são digitalizados após o coletor offline.

O projeto de lei de 2021 continha um delineamento complexo de dados pessoais em dados pessoais sensíveis ou críticos e uma hierarquia de um fiduciário de dados’s Obrigações com base no tipo de dados pessoais processados. Isso foi eliminado com. Adicionalmente, ‘dados não pessoais’ foi removido do âmbito da conta, que é uma mudança bem -vinda.

Motivos para processamento – propósito e consentimento legais

O processamento de dados pessoais deve estar de acordo com a conta para um propósito legal, eu.e., um propósito não expressamente proibido por lei.

O consentimento continua sendo um fundamento essencial para o processamento de dados pessoais, mas, conforme estabelecido abaixo, é um conceito muito diferente para consentir sob o GDPR. Os fiduciários de dados devem fornecer um aviso claro e detalhado (com uma descrição dos dados pessoais procurados e o objetivo de coletar esses dados) a os diretores em questão de buscar seu consentimento.

O projeto tem uma ampla concepção de consentimento. Além de expressar/ afirmar consentimento, ele reconhece ‘ Consentimento considerado’, cujo âmbito parece ser muito amplo. Embora o consentimento afirmativo deva ser livre, específico, informado e inequívoco e pode ser retirado, ‘Consentimento considerado’ não requer indivíduos’ ação afirmativa e não atrai nenhuma obrigações de aviso. Também não está claro sobre como a retirada de ‘Consentimento considerado’ podia funcionar.

A conta lista situações onde ‘Consentimento considerado’ pode -se confiar em incluir:

  • onde os dados são fornecidos voluntariamente com a expectativa razoável de que os dados devem ser fornecidos para o referido objetivo;
  • dados fornecidos em relação a fins legais ou judiciais;
  • dados fornecidos em relação a emergências médicas e serviços de saúde;
  • dados fornecidos em relação à quebra da ordem pública;
  • Dados fornecidos em relação ao emprego, que incluem prevenção de espionagem corporativa, manutenção de confidencialidade, recrutamento e rescisão e participação e avaliação do desempenho; e
  • Quando os dados são processados ​​em interesse público. Isso inclui dados processados ​​em relação às fusões e aquisições e transações de reestruturação corporativa, pontuação de crédito, prevenção de fraudes, etc. ou para qualquer propósito justo e razoável ‘como pode ser prescrito’.

Obrigações de fiduciários de dados

As principais obrigações dos fiduciários de dados incluem:

  • empregar medidas para cumprir a lei;
  • garantir precisão e integridade dos dados pessoais;
  • empregando salvaguardas de segurança razoáveis ​​para evitar violações de dados;
  • remover dados pessoais dos registros assim que o objetivo é cumprido, a menos que a retenção seja legalmente necessária; e
  • empregando um mecanismo de reparação de queixas.

O projeto define crianças como qualquer pessoa com menos de 18 anos e exige consentimento dos pais verificáveis ​​para processar os dados pessoais das crianças.

As empresas podem ser designadas como ‘fiduciários significativos de dados’, Com base em fatores como volume e sensibilidade de dados pessoais processados, risco de danos aos diretores de dados e impacto potencial na Índia’Segurança e ordem pública. Esses ‘fiduciários significativos de dados’ estão sujeitos a obrigações adicionais, como realizar auditorias periódicas e avaliações de impacto de proteção de dados e nomear um auditor de dados independente e um oficial de proteção de dados.

As organizações que rotineiramente lidam com grandes volumes de dados pessoais (bancos, empresas de telecomunicações, companhias de seguros, hospitais) provavelmente se enquadram nessa categoria, embora, diferentemente do projeto de lei de 2021, as plataformas de mídia social não são especificamente identificadas como ‘fiduciários significativos de dados’ .

Direitos e deveres dos diretores de dados

  • o direito de informações como o status do processamento de dados pessoais, o resumo dos dados processados ​​e os nomes das empresas com os quais seus dados pessoais foram compartilhados;
  • o direito de nomeação de qualquer outro indivíduo, em caso de morte ou incapacidade;
  • O direito de correção e apagamento, que inclui fiduciário de dados’s dever de corrigir dados imprecisos/ enganosos, completar dados incompletos, atualizar dados pessoais e apagar dados após o cumprimento do objetivo; e
  • O direito de reparação de queixas antes do Conselho de Proteção de Dados da Índia ou fiduciários de dados.

Incominantemente, o projeto também impõe deveres aos diretores de dados (indivíduos). Eles podem estar sujeitos a penalidades até INR 10.000 por não conformidade, uma disposição única que parece ter sido introduzida para evitar queixas frívolas .

Localização de dados e transferências de dados transfronteiriços

Embora o projeto de lei não exija especificamente o armazenamento de dados pessoais digitais na Índia, os requisitos de localização de dados sob outras leis (e.g., imposto pelo Reserve Bank of India em bancos e outros provedores de serviços de pagamento) continuarão a aplicar.

Além disso, nos termos do projeto de lei, as transferências de dados transfronteiriças têm permissão para jurisdições que o governo indiano ‘pode prescrever’. Portanto, parece que as transferências de dados só serão permitidas para países que se enquadram em uma lista branca do governo.

A ‘Digital por design’ e um Conselho de Proteção de Dados Independente, embora nomeado pelo governo, composto por um presidente, um executivo-chefe, membros e outros oficiais e funcionários, será estabelecido por uma notificação do governo, para garantir a conformidade e penalizar a não conformidade.

O Conselho tem o poder de realizar base de consultas, Inter alia, Suo Moto queixas ou reclamações de indivíduos/ referências afetadas do governo e ordens de emissão. Tais pedidos podem ser revisados ​​pelo conselho ou apelados antes dos tribunais relevantes relevantes. O Conselho também pode recomendar processos alternativos de resolução de disputas e pode interromper seus procedimentos, aceitando empreendimentos voluntários de violar as entidades.

Enquanto o quantum de penalidades para B alcance e a não conformidade do projeto são altos (limitados em INR 500 crores, que é de aproximadamente 60m de euros), as multas não estão ligadas à rotatividade mundial da entidade, como no caso do GDPR e da conta de 2021. Outra mudança de boas -vindas foi a remoção de sanções criminais. A capacidade dos diretores de dados afetados de reivindicar compensação também foi removida.

As entidades estaduais estão isentas da obrigação de não reter dados, mesmo depois que o objetivo é cumprido e também pode ser isento das disposições do projeto pelo governo indiano no interesse do Estado’segurança, soberania e integridade ou para manter a ordem pública .

Certas empresas também podem ser isentas pelo governo indiano de certas obrigações especificadas. Além disso, muitas obrigações de fiduciárias de dados não se aplicam quando o processamento é necessário (i) para fins judiciais/ quase judiciais por tribunais ou tribunais, (ii) para a execução de direito/ reivindicação legal, ou (iii) em relação à prevenção de uma ofensa.

Qual o proximo

O projeto de lei é proposto para ser apresentado perante o Parlamento da Índia em sua sessão de orçamento de 2023 e deverá ser aprovado por ambas as casas do Parlamento indiano e notificado no Diário Oficial antes que se torne a lei. Mesmo após a promulgação, é provável que o projeto seja implementado de maneira faseada ao longo de um determinado período de tempo. O governo indiano também fará regras para realizar as disposições da conta.

Por favor, veja aqui um artigo detalhado sobre o resumo das principais emendas propostas na conta.

Por Deepa Christopher, parceira, e Anindita Dutta, associada, da Talwar Thakore & Associates, um dos principais escritórios de advocacia indianos.