Notícias

Darshil Surana
Sócio, Kreston OPR Advisors

Join Darshil Surana on LinkedIn

www.krestonopr.com

Darshil Surana é um profissional experiente e sócio da O. P. Rathi & Co., onde tem sido fundamental para promover melhorias nos processos de negócios e implementar transformações digitais estratégicas desde abril de 2023. Com um conjunto diversificado de habilidades que inclui auditorias internas, tecnologia da informação e contabilidade gerencial, Darshil é conhecido por sua experiência em consultoria e análise financeira no dinâmico mercado de Ahmedabad.

Antes de sua função atual, Darshil era o proprietário da Darshil Surana & Associates, uma prova de seu espírito empreendedor e de sua proficiência em planejamento estratégico, análise financeira e tributação abrangente. Seu histórico também inclui funções essenciais na Intech Systems, onde, como chefe de SBU e chefe de entrega, liderou equipes multifuncionais e gerenciou o desempenho estratégico da unidade de negócios para o MS Dynamics NAV/BC.

A ascensão de Darshil de consultor funcional a gerente de projetos reflete suas excepcionais habilidades de liderança e gerenciamento de projetos. As bases de sua carreira foram lançadas no CA Pradeepkumar H. Shah & Co., onde aprimorou suas habilidades de contabilidade e auditoria durante seu estágio. A carreira de Darshil Surana é uma mistura de experiências profissionais sólidas e um profundo entendimento das complexidades das estratégias financeiras e comerciais.

Lei de Proteção de Dados Pessoais Digitais da Índia, 2023 (Lei DPDP)

novembro 3, 2023

A Lei de Proteção de Dados Pessoais Digitais de 2023 (Lei DPDP) foi aprovada na Índia em 11 de agosto de 2023. A lei busca proteger os dados pessoais e a privacidade dos indivíduos neste mundo digital. Essa é uma legislação histórica que pode capacitar os indivíduos e o Estado a garantir a privacidade dos dados. A lei estabelece uma estrutura para garantir a utilização de dados para fins apropriados e designados e evitar o uso indevido. Darshil Surana, da Kreston OPR Advisors, explica.

Definições da Lei de Proteção de Dados Pessoais Digitais

A lei enfatiza a “Proteção de dados pessoais digitais”. Portanto, os dados de qualquer pessoa no mundo digital precisam ser protegidos pelos responsáveis por sua coleta, armazenamento e processamento. Primeiro, vamos tentar entender algumas definições da seção 2 da Lei:

  1. Dados – “uma representação de informações, fatos, conceitos, opiniões ou instruções de uma forma adequada para comunicação, interpretação ou processamento por seres humanos ou por meios automatizados” – Seção 2(h).
  2. Dados pessoais – “quaisquer dados sobre um indivíduo que seja identificável por ou em relação a tais dados” – Seção 2(t).
  3. Dados pessoais digitais – “dados pessoais em formato digital” – Seção 2(n)

O primeiro conjunto de definições é bastante simples. Dados, dados pessoais e dados pessoais digitais foram explicitamente definidos de modo a eliminar qualquer confusão e ambiguidade. Vale ressaltar que os dados foram amplamente definidos como “… adequados para comunicação, interpretação ou processamento por seres humanos ou por meios automatizados”. Portanto, independentemente de os dados serem manipulados por inteligência humana ou artificial, ambos serão cobertos pela lei. Alguns exemplos de dados pessoais digitais são:
– Registros KYC, como PAN, Aadhaar, carteira de habilitação etc.
– Detalhes de contato, como endereço de e-mail, números de telefone, etc.
– IDs e perfis de usuários de mídias sociais.
– Áudio – Identificação visual de indivíduos, como filmagens de CCTV, imagens de webcam, fotos e vídeos em mídias sociais etc.
– Biometria, como impressões digitais, escaneamentos de íris, reconhecimento facial, etc.

  1. Titular dos dados – “o indivíduo a quem os dados pessoais se referem e onde esse indivíduo é-
    (i) uma criança, inclui os pais ou o guardião legal de tal criança;
    (ii) uma pessoa com deficiência, incluindo seu guardião legal, agindo em seu nome”
  • Seção 2(j).
  1. Fiduciário de dados – “qualquer pessoa que, sozinha ou em conjunto com outras pessoas, determine a finalidade e os meios de processamento de dados pessoais” – Seção 2(i).
  2. Processador de dados – “qualquer pessoa que processe dados pessoais em nome de um Fiduciário de dados” – Seção 2(k).

O diretor de dados

O próximo conjunto de definições é importante. Eles estabelecem a base para a estrutura de proteção de dados. O indivíduo a quem os dados pertencem é chamado de “Titular dos Dados”. É o Data Principal que está no centro da Lei. “Fiduciário de dados” significa a pessoa que coleta, armazena e processa os dados, seja em sua própria capacidade ou em conjunto com o “Processador de dados”. Esses dois termos foram amplamente definidos. Vamos entender as definições por meio de alguns exemplos:

Ilustração 1:
A Limited é uma corretora de bolsa de valores e a Sra. X deseja abrir uma conta Demat com ela. A Limited coleta seu nome, endereço, número de contato, PAN e Aadhaar e utiliza os serviços da B Limited, que é um repositório de dados, para verificar o KYC. Aqui, a Sra. X é a Principal de Dados, a A Limited é a Fiduciária de Dados e a B Limited é a Processadora de Dados.

Ilustração 2:
A Sra. X dirige uma academia de música na qual ensina música clássica. Baby Y (10 anos de idade) é uma de suas alunas. A Sra. X coleta o nome, o endereço e os detalhes de contato do bebê Y para seus registros. Aqui, o bebê Y e seus pais são o Principal de Dados e a Sra. X é o Fiduciário de Dados.

  1. Processamento – “em relação a dados pessoais, significa uma operação total ou parcialmente automatizada ou um conjunto de operações realizadas em dados pessoais digitais, e inclui operações como coleta, registro, organização, estruturação, armazenamento, adaptação, recuperação, uso, alinhamento ou combinação, indexação, compartilhamento, divulgação por transmissão, disseminação ou disponibilização de outra forma, restrição, apagamento ou destruição” – Seção 2(x).

O processamento de dados engloba todos os modos e métodos, desde a coleta até a destruição dos dados. Qualquer atividade conduzida entre eles por meio da utilização de dados será abrangida pela definição de Processamento. Incluirá também software de reconhecimento facial ou de voz e ferramentas usadas para identificar indivíduos.

Aplicação da Lei de Proteção de Dados Pessoais Digitais

A Lei de Proteção de Dados Pessoais Digitais se aplica ao processamento de dados pessoais digitais no território da Índia, onde os dados pessoais são coletados – em formato digital; ou em formato não digital e digitalizados posteriormente. Isso também se aplica ao processamento de dados pessoais digitais fora do território da Índia, se esse processamento estiver relacionado a qualquer atividade relacionada à oferta de produtos ou serviços aos responsáveis pelos dados no território da Índia.

Se os dados do Titular dos Dados forem violados mesmo fora da Índia, a lei ainda será aplicável se os bens/serviços forem adquiridos pelo Titular dos Dados na Índia. Portanto, a lei ampliou o escopo de aplicabilidade e não se limita às fronteiras da Índia.

Ilustração:
A Sra. X é programadora e mora em Pune e trabalha como freelancer por meio de um portal (registrado nos EUA) que atua como agregador de provedores e receptores de serviços e, para isso, coleta dados como nome, endereço, informações de contato, dados bancários, dados de cartão de crédito etc. Nesse caso, o Portal estaria coberto pelas disposições da Lei no caso de uma violação dos dados pessoais digitais da Sra. X.

No entanto, esta Lei não se aplicaria se os dados pessoais fossem processados por um indivíduo para fins pessoais e se os dados fossem disponibilizados pelo Responsável pelos Dados ou por qualquer outra pessoa sob obrigação legal.

Obrigações do Data Fiduciary

  1. Consentimento – A lei impõe várias obrigações ao fiduciário de dados com relação à maneira pela qual os dados devem ser processados e à proteção dos mesmos. A primeira e mais importante obrigação é obter o “Consentimento” do Titular dos Dados. De acordo com a seção 6 da Lei, o consentimento dado pelo Titular dos Dados deve ser “livre, específico, informado, incondicional e inequívoco, com uma ação afirmativa clara”. Além disso, especifica que o “consentimento deve significar uma concordância com o processamento de dados pessoais para uma finalidade específica e limitada aos dados pessoais necessários para essa finalidade específica”. Isso significa que, mesmo que o titular dos dados tenha dado consentimento para dados relevantes e irrelevantes, o consentimento seria limitado apenas aos dados relevantes e o fiduciário dos dados seria responsável pela violação da obrigação em relação aos dados irrelevantes.
    Ilustração:
    A Sra. X registrou-se como compradora em um portal de comércio eletrônico. O portal de comércio eletrônico solicitou seu número de celular, endereço e lista de contatos telefônicos. A Sra. X dá seu consentimento a ambos. No entanto, a lista de contatos telefônicos não é necessária para o fornecimento de seus produtos/serviços. Portanto, seu consentimento será limitado ao número de celular e ao endereço para fins de utilização de bens/serviços do Portal de comércio eletrônico, embora ela possa ter consentido explicitamente em fornecer também uma lista de contatos.
    Dessa forma, se o fiduciário de dados processar dados para os quais o consentimento não foi obtido ou é considerado como não tendo sido obtido de acordo com as disposições da Lei, ele será responsável pela violação de suas obrigações.

Além disso, toda solicitação feita ao Principal de Dados pelo fiduciário de dados deverá ser acompanhada ou precedida por um aviso informando o principal de dados sobre:
– Os dados pessoais e a finalidade para a qual eles serão processados.
– Como o titular dos dados pode retirar o consentimento e registrar uma reclamação.
– Como o responsável pelos dados pode fazer uma reclamação ao Conselho de Proteção de Dados da Índia.
Se o consentimento contiver qualquer coisa que infrinja as disposições da Lei ou as regras nela estabelecidas, o consentimento será inválido na medida dessa infração.

Ilustração:
X, um indivíduo, compra uma apólice de seguro usando o aplicativo móvel ou o site de Y, uma seguradora. Ela dá a Y seu consentimento para (i) o processamento de seus dados pessoais por Y com a finalidade de emitir a apólice, e (ii) renunciar ao seu direito de registrar uma reclamação junto ao Conselho de Proteção de Dados da Índia. Parte (ii) do consentimento, relativo à renúncia de seu direito de registrar uma reclamação, será inválido.
O titular dos dados também tem o direito de retirar o consentimento para os dados pessoais para os quais um consentimento válido foi concedido anteriormente. Ao retirar o consentimento, o fiduciário dos dados terá que apagar os dados de seu banco de dados e garantir que eles não sejam mais usados para processamento.

  1. Determinado uso legítimo de dados pessoais – O fiduciário de dados pode processar dados pessoais do titular dos dados para determinados fins legítimos, tais como:
    a. Quando o titular dos dados tiver fornecido dados pessoais voluntariamente e não tiver indicado explicitamente o não consentimento com relação a esses dados.
    b. Dados solicitados pelo Estado para fins de qualquer lei que esteja em vigor no momento.
    c. Cumprimento de sentença ou decreto
    d. Responder a uma emergência médica que envolva ameaça à vida ou ameaça imediata à saúde do titular dos dados ou de qualquer outro indivíduo
    e. Tomar medidas para fornecer tratamento médico ou serviços de saúde
    f. Tomar medidas para oferecer segurança a qualquer indivíduo durante um desastre ou quebra da ordem pública.
    g. Para fins de emprego ou relacionados à proteção do empregador contra perdas ou responsabilidades, como prevenção de espionagem corporativa, manutenção da confidencialidade de segredos comerciais, propriedade intelectual, informações confidenciais ou fornecimento de qualquer serviço ou benefício solicitado por um Titular de Dados que seja funcionário.
  2. Obrigações gerais do fiduciário de dados – O fiduciário de dados tem certas obrigações a serem seguidas para cumprir a lei:
    a. O fiduciário de dados será responsável pelo cumprimento das disposições da Lei, independentemente do fato de o responsável principal pelos dados não ter cumprido as obrigações previstas na Lei.
    b. O fiduciário de dados pode contratar um processador de dados somente por meio de um contrato válido.
    c. Garantir a integridade, a precisão e a consistência dos dados.
    d. Implementar medidas técnicas apropriadas para garantir a observância efetiva das disposições da Lei.
    e. Deverá ter salvaguardas de segurança razoáveis para proteger os dados pessoais em sua posse ou controle, inclusive os dados que são processados em sua própria capacidade ou pelo processador de dados.
    f. Intimar o Conselho de Proteção de Dados da Índia no caso de uma violação de dados pessoais.
    g. Deverá apagar e fazer com que o processador de dados apague os dados pessoais quando o consentimento do titular dos dados for retirado ou quando a finalidade especificada não estiver mais sendo atendida.
  3. Dados pessoais de crianças – O fiduciário de dados deverá:
    a. Obter o consentimento verificável dos pais/responsável legal de uma criança antes de processar quaisquer dados pessoais.
    b. Não realizar rastreamento ou monitoramento comportamental de crianças ou anúncios direcionados a crianças.

Direitos e deveres do responsável pelos dados

O responsável pelos dados recebeu vários direitos e privilégios de acordo com a lei para manter a privacidade de seus dados digitais pessoais. Eles também têm o dever de cumprir as disposições da Lei.

  1. Direitos do responsável pelos dados:
    a. Direito de acessar informações sobre dados pessoais: O titular dos dados tem o direito de obter um resumo dos dados pessoais que são processados pelo fiduciário dos dados.
    b. O titular dos dados tem o direito de alterar os dados pessoais ou de apagá-los, retirando o consentimento nos termos da lei.
    c. Em caso de violação por parte de um fiduciário de dados, o titular dos dados terá o direito de recorrer a reclamações por meio do fiduciário de dados e do Conselho de Proteção de Dados da Índia.
  2. Deveres do diretor de dados:
    a. Cumprir as disposições da Lei.
    b. Não se fazer passar por outra pessoa ao fornecer dados pessoais para uma finalidade específica.
    c. Não suprimir informações materiais ao fornecer dados pessoais para qualquer documento, identificador exclusivo, comprovante de identidade ou comprovante de endereço emitido pelo Estado ou por qualquer um de seus instrumentos.
    d. Não registrar queixas ou reclamações falsas ou frívolas
    e. Forneça informações que sejam verificáveis e autênticas.
    Penalidades por violação das disposições da lei
    A lei tem disposições rigorosas para a conformidade dos fiduciários de dados. Ela também prevê penalidades severas para a violação das disposições da lei. Vamos dar uma olhada em algumas das penalidades impostas pela Lei:
    Sr. Não. Penalidade por violação
    1 A violação do cumprimento da obrigação do Fiduciário de Dados de tomar medidas de segurança razoáveis para evitar uma violação de dados pessoais, de acordo com a subseção (5) da seção 8, pode chegar a INR 250 Crores.
    2 Violação do cumprimento da obrigação de notificar a Diretoria ou o Principal de Dados afetado sobre uma violação de dados pessoais nos termos da subseção (6) da seção 8. Pode se estender até INR 200 Crores.
    3 A violação da observância de obrigações adicionais em relação a crianças, de acordo com a seção 9, pode chegar a INR 200 Crores.
    4 Violação da observância de obrigações adicionais do Fiduciário Significativo de Dados nos termos da seção 10. Pode se estender até INR 150 Crores.
    5 Violação de qualquer outra disposição desta Lei ou das regras nela estabelecidas. Pode se estender até INR 50 Crores.

Como você pode ver, a penalidade pode variar de INR 50 Crore a INR 250 Crores, dependendo do tipo de violação. Isso exige que todas as organizações que se enquadram na definição de fiduciário de dados ou processador de dados tomem medidas para atender à conformidade com a lei e suas regras em tempo hábil. Espera-se que o governo forneça um período de transição para permitir a implementação de medidas para garantir a conformidade.

Conclusão

As organizações devem realizar proativamente uma avaliação do impacto da proteção de dados e obter um inventário das medidas a serem adotadas. Elas podem abranger as seguintes áreas:

  1. Projetar mecanismos de consentimento.
  2. Adotar medidas de TI/SI e segurança cibernética.
  3. Nomear diretores de conformidade apropriados dentro da organização.
  4. Projetar políticas e ferramentas de armazenamento de dados, arquivamento de dados e eliminação de dados para implementá-las.
    Os indivíduos também devem se informar sobre a lei e conhecer seus direitos e privilégios. Eles expuseram enormes quantidades de dados on-line a vários portais. Essa lei permite que eles assumam o controle de como seus dados podem ser utilizados e protegidos.

Se quiser saber mais sobre a Lei de Proteção de Dados Pessoais Digitais na Índia, entre em contato.