Piattaforme come editori, sanzioni, controllo dell’hardware elettronico possono figurare nella bozza dei dati Bill Leave a comment

La serie finale di raccomandazioni della commissione e le note di dissenso di una mezza dozzina di membri dei partiti di opposizione saranno probabilmente presentate nella prossima sessione invernale del Parlamento.

Presieduto da PP Chaudhary, il JCP si è riunito lunedì per adottare raccomandazioni sul disegno di legge che avrà un impatto sulla fiorente economia digitale del paese.

Si ritiene che il JCP sia favorevole ad ampliare l’ambito della legislazione per includere non solo i dati personali ma anche i dati non personali. La proposta Autorità per la protezione dei dati (DPA), a suo avviso, dovrebbe essere un ombrello più ampio per gestire anche i dati non personali. E per questo, il JCP ritiene che un ulteriore quadro politico/legislativo sui dati non personali in futuro dovrebbe essere inserito in questa legislazione e non in una legislazione separata. Oltre ad altri database industriali, i dati non personali includeranno anche dati personali anonimizzati ai sensi delle modifiche proposte.

A parte le società digitali/software, si ritiene che il JCP abbia favorito la raccolta di dati tramite hardware elettronico (apparecchi per telecomunicazioni, IoT, ecc.) nell’ambito di questa stessa legge. La normativa, così come introdotta, non prevede alcuna disposizione per tenere sotto controllo i produttori di hardware che raccolgono dati tramite dispositivi digitali. In questo contesto, si ritiene che il JCP sia favorevole a suggerire l’incorporazione di nuove clausole nella legislazione che consentiranno al DPA di inquadrare le normative sulla gestione dei dati da parte dei produttori di hardware e delle entità correlate.

Ciò, in un certo senso, consentirà al DPA di creare un quadro che fornisca monitoraggio, test e certificazione per garantire l’integrità delle apparecchiature hardware per proteggersi da qualsiasi seeding che potrebbe portare alla violazione dei dati personali.

Portare tutti gli intermediari dei social media (governati dalle regole IT) strettamente sotto il suo ambito riprogettandoli come piattaforme di social media si crede sia un altro desiderio di JCP. Allo stesso modo, si ritiene che abbia favorito il fatto che tutte le piattaforme di social media (che non fungono da intermediari) siano trattate come editori e siano ritenute responsabili del contenuto che ospitano. Per loro, si ritiene che il comitato abbia suggerito di istituire un’autorità di regolamentazione dei media per la regolamentazione dei contenuti su tali piattaforme.

Si è appreso, tuttavia, che il comitato ha favorito la concessione di deroghe alle imprese più piccole in merito al principio della privacy by design previsto dalla normativa. A tal fine, il DPA può essere investito di qualche via per regolamentare la concessione di eccezioni ai fiduciari di dati al di sotto di una certa soglia con lo scopo di non ostacolare la crescita delle imprese che possono essere classificate come MPMI.

Si ritiene che il JCP abbia considerato di raccomandare un periodo approssimativo di 24 mesi da fornire ai fiduciari e ai responsabili del trattamento dei dati verso la transizione delle loro politiche, infrastrutture e processi per l’attuazione delle disposizioni di questa legge dopo la sua notifica. Durante questo periodo, viene proposta un’attuazione graduale con scadenze fisse per l’istituzione di DPA, registrazione di fiduciari di dati, giudici e tribunali d’appello ecc.

Si ritiene inoltre che il JCP abbia favorito una tempistica specifica per i fiduciari dei dati per segnalare la violazione dei dati con 72 ore considerate un lasso di tempo realistico e finito.

Il comitato, tuttavia, era ritenuto contrario a informare il fiduciario dei dati di ogni singola violazione dei dati al titolare dei dati. Stava invece considerando la raccomandazione che l’autorità di protezione dei dati debba prima di tutto prendere in considerazione la violazione dei dati personali e la gravità del danno prima di incaricare un fiduciario di dati di informare le persone sulla violazione dei dati.

Si ritiene che il comitato abbia favorito una definizione più esaustiva di gestore del consenso e abbia raccomandato che la definizione di danno includa la manipolazione psicologica che compromette l’autonomia di una persona.

Mentre diversi membri del comitato appartenenti ai partiti di opposizione hanno presentato note di dissenso a disposizioni che sembrano dare un facile passaggio al governo, il comitato è ritenuto favorevole a un ruolo rafforzato del governo centrale in questioni come il trasferimento di dati al di fuori del paese e impartire istruzioni al DPA anche diverse dalla politica. Sebbene ciò consentirà al governo di dare indicazioni alla DPA, si riteneva che il comitato fosse del parere che le indicazioni del governo alla DPA dovrebbero essere divulgate nei rapporti annuali.

Si ritiene che il governo centrale debba garantire che le disposizioni sulla localizzazione dei dati ai sensi di questa legislazione siano seguite nella lettera e nello spirito da tutte le entità locali e straniere e che l’India debba muoversi gradualmente verso la localizzazione dei dati una volta che l’infrastruttura adeguata e l’istituzione di protezione dei dati L’autorità è completata.

Si ritiene che la questione delle sanzioni in caso di violazioni sia stata motivo di disaccordo tra i membri del comitato.