2021 é uma correia transportadora que será perdida em um piscar de olhos para as atividades indianas de privacidade e proteção de dados. Como a Índia não tem uma lei abrangente de proteção de dados, é mais do que nunca, e há muitas atividades na legislação e na administração. O governo indiano passou por grandes reformas, como a liberalização de sistemas de dados geoespaciais antigos, a introdução de padrões do setor de proteção de privacidade e a introdução de medidas de segurança mais rigorosas no setor de pagamento digital. Na frente judicial, foram emitidas declarações sobre questões como anonimato, direitos esquecidos e vigilância nacional. O novo rascunho da Lei de Proteção de Dados, inspirado pelo GDPR, certamente levou o bolo e foi considerado por dois anos desde que o rascunho anterior foi apresentado.
Como previmos em nossa perspectiva de 2021, esperamos ser um outono agitado, embora nosso desenvolvimento em privacidade e proteção de dados exceda em muito nossas expectativas. Desde 2021, o desenvolvimento de leis relacionadas à Lei de Proteção de Privacidade e Dados passou por um desenvolvimento semelhante a uma montanha-russa:
Lei de proteção de dados proposta
Em 16 de dezembro de 2021, a Comissão Parlamentar Conjunta apresentou um relatório sobre a proposta de lei de proteção de dados no Parlamento, bem como uma versão revisada da lei, a Lei de Proteção de Dados de 2021. 1. O projeto de lei ainda não foi submetido ao Parlamento para consideração e adoção como um projeto de lei. Depois que o projeto de lei foi anunciado, a indústria também pediu uma nova consulta, já que muitos dos artigos eram diferentes da versão anterior publicada há dois anos.
Em comparação com as versões anteriores da lei proposta, o projeto de lei tem o gosto do GDPR e trouxe algumas mudanças importantes, como a expansão do escopo da lei, cobrindo não apenas dados pessoais, mas também dados não pessoais. Além disso, foram introduzidos requisitos rigorosos de relatórios de divulgação de dados (dentro de 72 horas), regulamentação dos fabricantes de hardware e mecanismos de autenticação para todos os dispositivos digitais e da Internet das Coisas para mitigar a divulgação de dados. O projeto de lei também prevê uma implementação faseada, e o governo central pode notificar datas diferentes para promulgar regulamentos diferentes.
Nossa análise detalhada do relatório da Comissão Parlamentar Conjunta e do projeto de lei está disponível aqui.
Novo sistema de dados geoespaciais e serviços de mapas
O Ministério da Ciência e Tecnologia do Governo da Índia publicou as Diretrizes para a Aquisição e Produção de Dados Geoespaciais e Serviços de Dados Geoespaciais, incluindo Mapas. 2 "15 de fevereiro de 2021. Antes da introdução das Diretrizes, vários ministérios/departamentos do governo, incluindo o Ministério da Defesa, o Escritório de Investigação da Índia, o Ministério das Finanças e o Ministério das Relações Exteriores, emitiram uma série de notificações e diretrizes para padronizar os dados de mapeamento, a maioria dos quais não é pouco clara, está desatualizada ou ambos. De acordo com as novas diretrizes, a coleta, geração, preparação, disseminação, armazenamento, publicação, atualização e/ou digitalização de dados e mapas geoespaciais em território indiano não é restrita, nem requer qualquer aprovação, licença, licença, etc., sujeito a uma série de atributos restritos.Restrições. The new guidelines also restrict foreign entities from creating and/or owning, or hosting geospatial data finer than certain prescribed threshold values. They are also restricted from conducting terrestrial mobile mapping surveys, street view surveys and surveying in Indian territorial waters.
Nossa análise de novos dados geoespaciais e guias de mapas está disponível aqui.
Reguladores bancários proíbem armazenamento de dados de cartão de crédito
O Banco da Reserva da Índia (RBI) lançou as Diretrizes para o Controle de Agregação de Pagamentos e Gateways de Pagamentos para permitir e regular o uso de modelos de pagamento eletrônico/on-line para promover e processar intermediários de pagamento pagos entre usuários e comerciantes. 3. De acordo com essas diretrizes, o RBI impõe restrições aos dados relacionados a agências de agregação de pagamento e cartões de memória e cartões comerciais. Os esclarecimentos subsequentes também foram divulgados em março de 2021, reafirmando as restrições ao armazenamento de dados do cartão. 7 de setembro de 2021 4 O Banco da Índia emitiu um aviso exigindo que, a partir de 1º de janeiro de 2022, (a) nenhuma entidade, exceto o emissor do cartão ou a rede do cartão, permita que os dados do cartão de memória, e (b) todos esses dados armazenados anteriormente devem ser removidos. 5 Como isenção, os últimos quatro dígitos do número do cartão e do nome do emissor do cartão podem ser armazenados para rastreamento e reconciliação de transações.
A fichalização é considerada uma solução viável para cumprir as restrições de armazenamento de cartões, mantendo a continuidade dos pagamentos on-line. RBI widened the existing limited device-based tokenization framework to all devices and also permitted card-on-file tokenization. Com base em várias declarações do setor ao Banco da Índia, o Banco da Índia estendeu o cronograma de conformidade para 30 de junho de 2022 em 23 de dezembro de 2021. 6.
Nossos artigos sobre esses desenvolvimentos no armazenamento de dados de cartões estão disponíveis aqui, e nossos webinars com partes interessadas do setor podem ser vistos aqui.
Data privacy standards issued
The Bureau of Indian Standards, towards mid-2021, made available to the public its new standards for data privacy assurance i.e., IS17428 notificado anteriormente 7. O padrão é projetado para fornecer uma estrutura de privacidade para as organizações estabelecerem, implementarem, manterem e aprimorarem continuamente seus sistemas de gerenciamento de privacidade de dados. Consiste em duas partes: uma é a parte prescritiva e é obrigada a ser aplicada por qualquer pessoa que aplique padrões; A outra é a seção de recomendações, que fornece melhores práticas detalhadas para ajudar a implementar os requisitos da seção de requisitos.
Pode ser avaliado se as organizações implementam o IS17428 de acordo com as Regras de 2011 sobre Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis e Dados ou Dados Pessoais Sensíveis) para manter práticas e procedimentos de segurança razoáveis para dados ou dados pessoais confidenciais. No entanto, essas regras e o IS17428 não estipulam claramente que a implementação das disposições do IS17428 é considerada em parte consistente com os requisitos para a manutenção de práticas e procedimentos de segurança razoáveis. Portanto, as organizações podem ter a responsabilidade de provar que a implementação das disposições do IS17428 atende parcialmente a esse requisito.
De acordo com a próxima Lei de Proteção de Dados, os administradores e processadores de dados devem implementar salvaguardas para usar medidas para identificar, criptografar e proteger a integridade dos dados pessoais e evitar abusos, acesso não autorizado, modificação, divulgação ou destruição de dados pessoais. Deve-se avaliar e esclarecer se a implementação do IS17428 pode demonstrar conformidade com essas obrigações de segurança.
Nossa análise detalhada do IS17428 está disponível aqui.
Aplicativos de mensagens grandes precisam introduzir rastreabilidade
O Ministério da Eletrônica e Tecnologia da Informação notificou as Regras de Tecnologia da Informação (Guia Intermediário e Ética da Mídia Digital) de 2021 8 Em 25 de fevereiro de 2021, as Regras de Tecnologia da Informação (Diretrizes Intermediárias) de 2011 foram substituídas. The new intermediary rules provide for certain due diligence requirements to be followed by internet ‘intermediaries’ including an obligation to retain information of all users collected upon registration for one hundred and eighty days even after any cancellation or withdrawal of such registration. The rules also went a step ahead by recognizing certain intermediaries as ‘significant social media intermediaries’ if the number of registered users cross a certain threshold (subsequently notified as 50,00,000 registered users9). One of the additional due diligence requirements to be complied with by significant social media intermediaries which provide messaging services primarily is to enable the identification of the first originator of the any information that is transmitted through such intermediary, if required to do so by a court or a government direction to intercept, monitor or decrypt the information. The new intermediary rules provide that the significant social media intermediary is required to disclose only the identification of the first originator of a message and not the contents of any electronic message or any information related to the first originator or other users.
Este requisito retrospectivo sob as novas regras intermediárias foi questionado pelo WhatsApp no Supremo Tribunal de Delhi. 10 Com base na inconstitucionalidade e violação dos direitos fundamentais de privacidade pessoal, liberdade de expressão e liberdade de expressão. A partir da data deste artigo, o caso está pendente perante o Supremo Tribunal de Deli.
Discussão Judicial sobre o Problema do Spyware do Pegasus
A Suprema Corte da Índia emitiu um julgamento importante em 27 de outubro de 2021, após relatos de que um spyware chamado "Pegasus" (desenvolvido por uma empresa de segurança israelense, o grupo NSO) foi implantado como uma ferramenta de monitoramento para cidadãos indianos. 11. A petição rezou por uma investigação independente sobre as alegações do envio de Pegasus por certos governos estrangeiros e agências governamentais indianas.
A Suprema Corte declarou que, ao formar um comitê técnico especializado de três membros, era necessário rever o impacto do suposto uso da Pegasus no direito à privacidade e à liberdade de expressão. O comitê foi encarregado de fazer recomendações sobre o desenvolvimento ou revisão de leis de monitoramento existentes para garantir "melhorar" a privacidade e melhorar a segurança cibernética e as medidas de avaliação de ameaças. As recomendações do comitê ainda não foram apresentadas.
Questões antitruste na atualização da política de privacidade do WhatsApp
A WhatsApp LLC, da plataforma de mensagens operacionais WhatsApp, atualizou sua política de privacidade e termos de serviço em janeiro de 2021. Embora as atualizações anteriores do WhatsApp permitam que seus usuários escolham "optar por participar" e compartilhar dados com o Facebook, essa atualização de política de privacidade exige que os usuários concordem em compartilhar dados com o Facebook para que os usuários possam continuar usando o serviço WhatsApp. Em uma ordem datada de 24 de março de 2021, a Comissão de Concorrência da Índia, o regulador antitruste da Índia, iniciou uma investigação sobre WhatsApp. E a empresa do Facebook. Avaliar o impacto potencial das atualizações do WhatsApp na concorrência no mercado indiano 12. Afirma que exigir unilateralmente que os usuários aceitem atualizações da política de privacidade do WhatsApp prejudica seus acordos voluntários e parece ser principalmente injusto e irracional para seus usuários.
Facebook, Inc. and WhatsApp, Inc. Em uma petição separada do Supremo Tribunal de Delhi, contestou a ordem da Comissão de Concorrência da Índia para iniciar uma investigação. 13. Algumas pessoas pensam que a atualização do WhatsApp não nega a escolha do usuário, mas visa fornecer mais transparência para as práticas de compartilhamento de dados do WhatsApp e do Facebook. A Suprema Corte de Delhi rejeitou essas petições e, além disso, apoiou as alegações do Facebook. deeming it to be an integral part of the investigation14.
(No) right to be forgotten
A single judge bench of the Madras High Court delivered a judgment on August 3, 2021 dismissing a petitioner seeking to have his name redacted from court orders by exercise of his right to be forgotten15. O peticionário foi processado criminalmente no tribunal de primeira instância e no Supremo Tribunal de Madeiras, mas acabou por ser absolvido. Para sua reputação, o peticionário solicitou que seu nome fosse removido do julgamento do Supremo Tribunal de Madeiras. The Madras High Court reiterated an individual’s right to privacy (and anonymity) as held by the Supreme Court in K.S Puttaswamy v. Union of India16 while also pointing out that the Supreme Court held that the right to be forgotten cannot be exercised if the information is required for the performance of a task carried out in public interest. Without a precise framework or objective criteria for redaction of the name of an accused in India’s criminal justice system, the court held that it would be more appropriate to await the enactment of India’s new data protection law to exercise such rights and thus dismissed the petition.
This follows along the same lines as previous judicial decisions by various high courts over the last few years emphasising the importance of the right to be forgotten and the need for legislative action in this regard. Interestingly the draft data protection bill recognizes an individual’s right to be forgotten in a limited manner and extends it to include a restriction on ‘processing’17, exercisable with due procedure.
Our analysis of such previous decisions on the right to be forgotten may be accessed here.
National Strategy on blockchain recommends data localization
The Ministry of Electronics and Information Technology published its ‘National Strategy on Blockchain’18 in December 2021 with the aim to provide an insight into strategies and recommendations for creating a trusted digital platform using blockchain that can facilitate trusted service delivery to citizens and businesses. Curiosamente, o Departamento descobriu que muitos países introduziram restrições de localização de dados como uma medida de segurança/privacidade que sugere que os sistemas baseados em blocos do país devem ativar a localização de dados. Ele sugeriu que esse requisito de localização poderia ser alcançado por meio de “hospedagem de infraestrutura de cadeia de blocos domésticos, dados e contratos inteligentes”. Embora esta ainda seja uma consideração política, ainda não se sabe como implementar medidas de localização de dados para tecnologias descentralizadas.
Plataforma de empréstimo digital de observação de perto
Em janeiro de 2021, o Banco da Índia criou um grupo de trabalho para estudar as atividades de empréstimo digital, tendo em vista a crescente interferência dos aplicativos de empréstimo on-line. O relatório do Grupo de Trabalho sobre Empréstimos Digitais, incluindo empréstimos através de plataformas online e APP móvel, foi publicado em 18 de novembro de 2021. 19 Observou-se que houve muitos erros de privacidade em aplicativos de empréstimo digital. A transparência insuficiente, a incapacidade dos usuários de gerenciar ou excluir seus dados após o pagamento do empréstimo, a não divulgação de bancos parceiros ou empresas financeiras não bancárias e o abuso de dados confidenciais dos mutuários para assediá-los e suas famílias/amigos são considerados questões importantes.
O Grupo de Trabalho do Banco da Índia, através deste relatório, fez uma série de recomendações relacionadas à tecnologia. Incluindo recomendações recentes de que os dados devem ser armazenados em servidores locais na Índia, os dados devem ser coletados apenas de mutuários/potenciais mutuários, fornecer informações com antecedência sobre o propósito, uso e impacto de tais dados e obter o consentimento explícito do mutuário de maneira auditável. " A reunião também recomendou que os padrões de segurança de dados e de rede precisem ser definidos para esses aplicativos e devem ser aplicados aos termos de serviço. The report was opened for public comments and the RBI stated that it will take a final view on the proposed regime.
Parliamentary Standing Committee recommends permanent blocking of VPNs
The Parliamentary Standing Committee of Home Affairs presented its 233rd report on Atrocities and Crimes against Women and Children20 on March 15, 2021 before the upper house Of Parliament. O relatório identifica o serviço Virtual Private Network (VPN) como um "desafio técnico", permitindo que os criminosos permaneçam anônimos on-line e contornem o muro de segurança para acessar a rede escura para cometer crimes. Recomendou o estabelecimento de um mecanismo de coordenação com agências internacionais para garantir que essas redes virtuais privadas sejam bloqueadas. Como a rede privada virtual também é usada como uma ferramenta para melhorar a segurança e a privacidade, para que os usuários permaneçam anônimos na Internet, essa proposta deve ser vista do ponto de vista do anonimato individual, que faz parte da privacidade básica confirmada pelo Supremo Tribunal no caso K.S. Puttaswamy v. Indian Alliance. 21 Atualmente, não há restrições legais gerais que proíbam ou regulem especificamente o uso de redes privadas virtuais por indivíduos.
Bill on regulating DNA Technology
During the 2021 monsoon session of the Parliament, the DNA Technology (Use and Application) Regulation Bill22, 2019 was listed for consideration and passing before the lower house. This bill seeks to regulate the use of DNA technology for identifying persons for specific purposes such as solving crimes, among others. Também estipula procedimentos de coleta de DNA, estabelece bancos de dados de DNA, comitês regulatórios, mecanismos de certificação e assim por diante.
Como o projeto de lei permite a coleta de amostras de DNA sem consentimento em determinadas circunstâncias (como crimes de prisão por mais de 7 anos), a interação com a privacidade pessoal é uma consideração séria e a lei é acessível.
A defining year ahead
2022 may well be the landmark year that India sees its first comprehensive, general data protection law introduced. While there are still certain aspects that may need to be ironed out, it is possible that a draft law may be laid before the Indian Parliament in the budget session in February or the monsoon session thereafter, which typically happens across July and August. Pode até haver uma nova consulta pública sobre o projeto de lei, o que será um passo bem-vindo.
As industry regulators also play a more proactive role of protecting data and consumers interests in their sectors, there have been numerous developments in terms of sector specific data regulation. A próxima Lei Geral de Proteção de Dados, juntamente com os regulamentos específicos desses departamentos, pode levantar algumas questões notáveis e pode até levar os tribunais indianos a considerar algumas questões importantes. Por exemplo, à medida que as tecnologias da nova era, como AI/ML, IoT, blockchain e Web3.0, se tornam mais importantes, como os reguladores podem combinar posições tradicionais de localização de dados com essas estruturas descentralizadas de compartilhamento de dados será uma questão interessante.
Aperte o cinto de segurança e sente-se firme, vamos abraçar o promissor 2022!
FOOTNOTES
Available at http://164.100.47.193/lsscommittee/Joint%20Committee%20on%20the%20Personal%20Data%20Protection%20Bill,%202019/17_Joint_Committee_on_the_Personal_Data_Protection_Bill_2019_1.pdf (last accessed December 31, 2021).
[2] Disponível em https: //dst.gov.in/sites/default/files/Final%20Approved%20Guidelines%20on%20Geospatial%20Data.pdf (Última visita em 31 de dezembro de 2021).
[3] Disponível em https: //rbi.org.in/Scripts/NotificationUser.aspx? ID = 11822& Modo = 0 (Última visita em 31 de dezembro de 2021).
[4] Available at https://www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12050&Mode=0 (last accessed December 31, 2021).
[5] Available at https://www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12159&Mode=0 (last accessed December 31, 2021).
[6] Disponível em https: //www.rbi.org.in/Scripts/NotificationUser.aspx? ID = 12211& Modo = 0 (Última visita em 31 de dezembro de 2021).
[7] Veja https: //egazette.nic.in/WriteReadData/2020/223869.pdf (Última visita em 31 de dezembro de 2021).
[8] Available at https://www.meity.gov.in/writereaddata/files/Intermediary_Guidelines_and_Digital_Media_Ethics_Code_Rules-2021.pdf (last accessed December 31, 2021).
[9] Veja https: //egazette.nic.in/WriteReadData/2021/225497.pdf (Última visita em 31 de dezembro de 2021).
[10] Caso WhatsApp v. União Indiana (W.P. (C) 7284/2021).
[11] Manohar Lal Sharma v. UOI (WP (Crl) 314 of 2021); available at https://main.sci.gov.in/supremecourt/2021/16884/16884_2021_1_1501_30827_Judgement_27-Oct-2021.pdf (last accessed December 31, 2021)
[12] See https://www.cci.gov.in/sites/default/files/SM01of2021_0.pdf (last accessed December 31, 2021).
[13] WhatsApp v. CCI (W.P. (C)4378/2021& CM 13336/2021) e Facebook v. CCI (W.P. (C)4407/2021& CM 13490/2021).
[14] Disponível em http: //164.100.69.66/jupload/dhc/NAC/judgement/24-04-2021/NAC22042021CW43782021_153656.pdf (Última visita em 31 de dezembro de 2021).
[15] Caso de Karhich Theodre c. Secretário Geral, Tribunal Superior de Madeiras (W.P). (MD)No. 12015 e WMP de 2021 (Doutor em Medicina. No. 9466 de 2021); Disponível em https: /www.mhc.tn.gov.in/judis/index.php/casestatus/viewpdf/783065 (última visita em 31 de dezembro de 2021).
[16] WP (C) nº 494 de 2012; Disponível em https: //main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (Última visita em 31 de dezembro de 2021).
[17] A definição de "processamento" de acordo com a seção 3 (36) do projeto de lei de proteção de dados é a seguinte:
"Processar" refere-se a uma ou um grupo de operações em dados pessoais e pode incluir coleta, registro, organização, construção, armazenamento, adaptação, modificação, recuperação, uso, alinhamento ou combinação, indexação, divulgação por transmissão, Espalhe ou forneça, restrinja, exclua ou destrua. "
[18] Available at https://www.meity.gov.in/writereaddata/files/National_BCT_Strategy.pdf (last accessed December 31, 2021).
[19] Available at https://www.rbi.org.in/Scripts/PublicationReportDetails.aspx? UrlPage=&ID=1189 (last accessed December 31, 2021).
[20] Disponível em https: //rajyasabha.nic.in/rsnew/Committee_site/Committee_File/ReportFile/15/143/230_2021_3_14.pdf (Última visita em 31 de dezembro de 2021).
[21] WP (C) nº 494 de 2012; Disponível em https: //main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (Última visita em 31 de dezembro de 2021).
[22] Disponível em http: //164.100.47.4/billstexts/lsbilltexts/asintroduced/128_%202019_LS_eng.pdf (Última visita em 31 de dezembro de 2021).
