💃 👐🏼 🙏🏼 Índia apresenta nova lei de proteção contra DP

Em nosso blog, já escrevemos sobre o GDPR , suas “ vítimas ” e a situação com a regulamentação mais rígida do setor de TI como um todo. Neste artigo, falaremos sobre a proteção da DP na Índia.

Em particular, discutiremos um novo projeto de lei apresentado no final de julho deste ano.

Considere seus pontos principais e fale sobre críticas na comunidade.

/ foto ruben alexander CC

Pontos-chave

A Lei de Proteção de Dados Pessoais (2018) foi elaborada há quase um ano por membros do Comitê de Justiça. Shrikrishna (Comitê da Srikrishna da Justiça). O documento foi preparado levando em consideração as peculiaridades da regulamentação de TI na Índia, mas também foi introduzida experiência estrangeira. Portanto, aqueles que leram o documento notaram imediatamente que ele lembra muito o RGPD.

Considere as principais disposições explicitadas no documento:

Cidadãos ganharão mais controle sobre DP

Os proprietários pessoais no documento são chamados de Principal de Dados (e não o Titular dos Dados, como no GDPR). E eles têm os seguintes direitos ( página 14, capítulo 6 ):

o direito de saber se o operador processa determinados PDs;
o direito de alterar dados se estiverem incorretos ou desatualizados;
o direito de exigir o fornecimento de seus dados em formato eletrônico;
o direito de esquecer / restringir a publicidade ou parar de usar o PD.

Vale a pena notar que o Comitê também cuidou das crianças: um capítulo separado é dedicado à proteção de seus dados, explicitando as responsabilidades dos operadores de DP ( página 13, capítulo 5 ). Por exemplo, afirma que o operador é obrigado a organizar mecanismos para verificar a idade, bem como limitar o rastreamento do comportamento e a exibição de publicidade direcionada no site.

Novos requisitos para operadores de PD

Todo mundo que coleta e processa os dados pessoais dos habitantes da Índia é chamado de Dados Fiduciários no texto do documento - a pessoa responsável pelos dados (os advogados chamam de "fiduciários" ou "fiduciários": ele é responsável pela propriedade de outra pessoa - nesse caso, a propriedade é os dados do sujeito )

E vários requisitos são impostos a eles ao processar o PD ( página 17, capítulo 7 ). Por exemplo, eles são obrigados a cumprir o conceito de Privacidade por design. Isso significa que todas as tecnologias, políticas de segurança e gerenciamento de negócios aplicáveis devem ser “aprimoradas” para preservar a integridade do PD e evitar possíveis conseqüências desagradáveis para seus proprietários (por exemplo, vazamento de dados).

Além disso, os fiduciários são obrigados a nomear um diretor de proteção de dados ( DPO ) em sua empresa, a armazenar informações sobre todas as transações com a PD, a realizar uma auditoria e a notificar vazamentos de dados dentro dos prazos estabelecidos por uma autoridade supervisora especial.

A propósito, sobre supervisores

Para monitorar a conformidade com a lei, uma Autoridade de Proteção de Dados da Índia (DPA) será criada no país. O valor das multas por não conformidade com os requisitos da lei é aproximadamente igual ao estipulado pela legislação européia. Por exemplo, os operadores de PD enfrentam uma recuperação de até US $ 2 milhões (ou 4% do faturamento anual) para permitir que um banco de dados seja invadido.

Ao mesmo tempo, o artigo 10 ( página 29 do documento ) diz que os membros do DPA devem ser pessoas com mais de dez anos de experiência no campo da proteção de dados e campos relacionados. Portanto, podemos assumir que pessoas com profundo conhecimento técnico e compreensão dos princípios do trabalho em tecnologia ocuparão posições.

Cópias do PD precisarão ser armazenadas em servidores na Índia

Isto é afirmado no artigo 8 ( página 23 ). É tudo sobre a política de "soberania cibernética", que as autoridades decidiram seguir. A lei proíbe as empresas de mover dados para fora do país, a menos que a permissão tenha sido obtida da entidade de PD, DPA ou estado e outras sutilezas não sejam respeitadas. Potencialmente, esse requisito pode criar dificuldades adicionais para empresas locais e provedores de nuvem estrangeiros.

A DP pode ser armazenada incondicionalmente no exterior apenas em caso de emergência (estado de saúde do proprietário da DP, ameaça à vida dele, etc., quando você precisar agir imediatamente).

Como você passou a conta?

Juntamente com o projeto de lei, o Comitê de Justiça recebeu o nome de Shrikrishny forneceu a justificativa para todas as disposições e suas recomendações para proteger a DP no país. Os autores explicam que, ao desenvolver o documento, eles usaram o conceito de triângulo , cujo pico são os interesses dos cidadãos indianos, e os motivos são os interesses das empresas e do Estado. Por isso, eles provavelmente querem enfatizar que o projeto de lei leva em consideração os direitos de todos os que toca.

No entanto, nem todos os "vértices triangulares" concordam com eles. Várias disposições do projeto foram criticadas.

O presidente da Mozilla Foundation, Mitchell Baker, expressou suas preocupações sobre as exceções para o estado mencionado no documento ( capítulo 9 ) - as razões e tarefas para o processamento da DP pelas agências governamentais (por exemplo, arquivamento ou análise estatística) não são claras.

A proibição de realizar estudos de "re-identificação" foi seriamente criticada, quando a identidade de seu proprietário é determinada por dados anônimos. Esses estudos ajudam a melhorar as tecnologias de proteção contra DP e fornecem estatísticas sobre vazamentos ou o nível de segurança dos dados em uma empresa.

De acordo com o texto da nova lei, esses testes agora podem ser realizados apenas com o consentimento do operador de DP (caso contrário, será aplicada uma multa de 3 mil dólares). Isso deve ajudar a evitar possíveis "despejos" de bancos de dados com PDs de residentes indianos. Por outro lado, especialistas em segurança da informação enfatizam que a proibição de re-identificação não resolve o problema.

Tudo isso pode levar ao fato de que as empresas que processam dados pessoais se recusarão a realizar testes se não tiverem certeza da "qualidade" de seu desanonimização. Ao invadir sistemas dessas empresas por hackers (que obviamente não precisam de permissão para invadir), as consequências podem ser graves.

Por exemplo, em 2017 no Reino Unido, eles também propuseram proibir os estudos de reidentificação, mas pensaram duas vezes sobre isso por razões de segurança.

O que vem a seguir

O novo projeto precisa passar por várias instâncias: do Ministério de TI e Comunicações à câmara alta do parlamento indiano, Rajya Sabha, e obter sua aprovação. É provável que, devido às críticas em sua forma atual, isso não seja aceito, porque o momento da entrada em vigor ainda está em questão.

PS O que mais temos sobre o tópico no blog de IaaS:

Índia apresenta nova lei de proteção contra DP - outro análogo ao GDPR?