Cómo India planea proteger los datos del consumidor
Por Vijay Govindarajan, Anup Srivastava y Luminita Enache
Regulación
Harvard Business Review
El gobierno indio parece estar dispuesto a legislar un proyecto de ley de protección de datos personales (DPB), que controlaría la recopilación, el procesamiento, el almacenamiento, el uso, la transferencia, la protección y la divulgación de datos personales de los residentes indios. A pesar de su naturaleza regional, DPB es un desarrollo importante para los gerentes globales. Se espera que la economía digital en India alcance una valoración de $ 1 billón de dólares para 2022, y atraerá a numerosos actores globales que deben cumplir con DPB.
India ha seguido el Reglamento General de Protección de Datos (GDPR) de la UE al permitir que las compañías digitales globales realicen negocios bajo ciertas condiciones, en lugar de seguir el marco aislacionista de la regulación china que impide que jugadores globales como Facebook y Google operen dentro de sus fronteras. Sin embargo, el DPB indio lleva disposiciones adicionales más allá de la regulación de la UE. Debido a que India es un estado nación, trataría los datos generados por sus ciudadanos como un activo nacional, los almacenaría y protegería dentro de las fronteras nacionales, y se reservaría el derecho de usar esos datos para salvaguardar sus intereses estratégicos y de defensa.
Hay una serie de características del DPB que requerirán que las empresas cambien sus modelos, prácticas y principios comerciales. Muchos otros agregarán costos operativos y complejidad. Los problemas que planteamos aquí sirven como una introducción a lo que las empresas deben tener en cuenta sobre la nueva regulación de la India y el aumento de la regulación de protección de datos en todo el mundo. Comprender estos problemas ayudará a las compañías digitales a planificar con anticipación, abordar las regulaciones futuras y decidir si entrar o salir de ciertos mercados.
La privacidad como un derecho fundamental: en 2017, la Corte Suprema de India dictaminó que la privacidad es un derecho constitucional de los ciudadanos indios. Sin embargo, cada ciudadano deja un rastro visible de datos privados mientras navega en el mundo digital. DPB tiene la intención de proteger y salvaguardar los derechos de privacidad de los ciudadanos mediante el control de la recopilación, seguridad, almacenamiento, venta y explotación de estos datos. La nueva regulación afectaría el análisis de costo-beneficio para muchas empresas digitales que a menudo pierden dinero al ofrecer servicios gratuitos, pero apuntan a obtener ganancias de la venta y explotación de los datos personales de los clientes. Muchas de esas empresas digitales tendrían que repensar sus modelos de negocio si ya no pueden recopilar, explotar, retener y vender datos de usuarios de manera tan rentable como antes.
Consentimiento del usuario: DPB requiere que una empresa digital obtenga un permiso explícito de un usuario antes de recopilar sus datos personales. Al hacerlo, debe explicar el alcance y el propósito de la recopilación de datos. También se debe obtener permiso explícito en cada etapa del procesamiento posterior de datos. El cumplimiento de esta disposición podría ser complicado, porque las compañías digitales no solo recopilan datos personales, sino que también procesan esos datos para crear nueva información que no pertenece al usuario original. Por ejemplo, Uber determina los patrones de tráfico y Amazon analiza los comentarios de las transacciones individuales. Además, los datos sin procesar podrían transferirse a un procesador de datos de terceros para su análisis, creando nueva información junto con los datos recibidos de otros recolectores de datos. Las empresas tendrán que repensar sus procedimientos operativos para el seguimiento y la seguridad de los datos, así como determinar si, cuándo y cómo obtener los permisos de los usuarios. Las compañías digitales ahora se convierten en "fiduciarios de datos" como se define en el DPB, en lugar de ser simples recolectores de datos, cuando asumen la responsabilidad de obtener el permiso del usuario para la recopilación inicial y el procesamiento posterior de los datos del usuario.
Propiedad de los datos personales: en principio, DPB propone que el proveedor de datos sea el propietario de sus propios datos personales. Si bien su idea es simple, esta noción podría imponer una enorme carga de implementación para las empresas digitales. En el mundo físico, el propietario puede solicitar la devolución de su propiedad. Las empresas en el mundo digital tendrían que encontrar la manera de cumplir con este requisito cuando el usuario exige borrar o recuperar sus datos personales de una empresa digital, por ejemplo, cuando una persona solicita la eliminación de toda su información después de que dejan de ser Un miembro de Facebook. Las compañías digitales también tendrían que pensar más allá de su propio almacenamiento y uso de datos, porque podrían haber vendido los datos a un tercero.
Tres clases de datos: DPB ha identificado tres categorías de datos a partir de los cuales se puede identificar un director: los datos sensibles incluyen información sobre finanzas, salud, orientación sexual, genética, estado transgénero, casta y creencias religiosas. Los datos críticos incluyen información que el gobierno estipula de vez en cuando como extraordinariamente importante, como datos militares o de seguridad nacional. La tercera es una categoría general, que no está definida pero contiene los datos restantes. DPB prescribe requisitos específicos que los fiduciarios de datos deben seguir para el almacenamiento y el procesamiento de cada clase de datos.
Todos los datos confidenciales y críticos deben almacenarse en servidores ubicados en India. Los datos confidenciales pueden procesarse en el exterior, pero deben devolverse a la India para su almacenamiento. Los datos críticos no se pueden sacar del país en absoluto. No hay restricciones para los datos generales. Las compañías digitales actualmente operan en un mundo cibernético sin interrupciones, donde almacenan y procesan principalmente sus datos donde sea económicamente más eficiente. Esta división de ubicación propuesta por DPB impondría costos adicionales a las compañías digitales, podría conducir a capacidades de almacenamiento y procesamiento subeconómicas, y podría dar lugar a lo que algunos denominan "splinternet" o la fragmentación de las cadenas de suministro digital global.
Soberanía de datos: DPB se reserva el derecho de acceder a los datos almacenados localmente para proteger los intereses nacionales. Esto implica que DPB trataría los datos de los ciudadanos como un activo nacional, no diferente al control sobre las propiedades físicas de los ciudadanos. A este respecto, el DPB difiere del GDPR, que no impone requisitos de almacenamiento local ni acceso preferencial a los datos para proteger los intereses nacionales. Actualmente, las compañías digitales prácticamente poseen los datos siempre que puedan abordar los problemas de privacidad y cumplir con los requisitos de aceptación del usuario. Una implicación de la nueva política es que cuando el gobierno exige los datos de sus ciudadanos, en caso de ataques y vigilancia extranjeros, las empresas digitales tendrían que cumplir y ayudar a la política de defensa del gobierno indio.
Intereses nacionales: si bien se pone un gran énfasis en la privacidad de los ciudadanos, DPB ignora los derechos de privacidad en ciertos casos. Dice: "Todas o algunas de las disposiciones de esta Ley no se aplicarán a ninguna agencia del Gobierno con respecto al procesamiento de dichos datos personales ..." Es decir, varias entidades del sector público del gobierno de la India no requerirán el consentimiento de las personas. para obtener sus datos personales al responder a la seguridad del estado, la detección de cualquier actividad ilegal o fraude, y emergencias médicas y epidémicas. Esos datos podrían exigirse a las empresas digitales. Además, el gobierno puede ordenar a una empresa digital que proporcione datos no personales o anónimos para fines de investigación o planificación. Los críticos argumentan que estos datos pueden ser potencialmente mal utilizados por el gobierno para usos no deseados como la vigilancia política. Otros sostienen que los datos anónimos se pueden desanonimizar fácilmente. Las compañías digitales pueden tener que cambiar sus políticas para cumplir con estos requisitos. Recordemos la negativa de Apple a desbloquear un iPhone para una investigación del FBI. Es discutible si Apple podría rechazar esa solicitud bajo DPB.
Etiqueta de verificación: DPB requiere que todas las compañías digitales identifiquen a sus usuarios y los etiqueten en tres categorías para reducir el trolling (por ejemplo, un usuario anónimo o un bot que intente incitar a la violencia publicando comentarios incendiarios): usuarios que han verificado su registro y muestran nombres; usuarios que tienen un registro verificado pero han mantenido sus nombres anónimos; y usuarios que no han verificado el registro. Esta sería una primera regulación de este tipo en las redes sociales globales. Esto implica que las empresas digitales deben establecer procedimientos para recopilar y verificar las identidades reales de sus usuarios. Tenga en cuenta que Facebook tiene más de 100 millones de cuentas falsas y se enfrenta al dilema de continuar tal cual, intentar verificarlas o eliminar esas cuentas.
Cumplimiento y aplicación: DPB propone fuertes sanciones por incumplimiento. En caso de una violación o inacción de datos por parte del fiduciario en caso de violación de datos o una violación menor, las sanciones podrían alcanzar los $ 700,000 o el 2% de los ingresos globales de una empresa, lo que sea mayor. Para infracciones importantes, como datos compartidos sin consentimiento, las sanciones se duplicarían. Estas sanciones, que se basan en el ingreso global de las multinacionales y las posibles sentencias de cárcel para funcionarios de compañías digitales, implican que las regulaciones de DPB no pueden tomarse a la ligera. Sus disposiciones deben cumplirse para hacer negocios en la India.
Impuestos a las empresas digitales: como señalamos en un artículo anterior, las empresas digitales multinacionales pueden transferir fácilmente sus ingresos a los paraísos fiscales y evitar pagar impuestos a los gobiernos locales, sin temor a la confiscación de sus propiedades. El control físico sobre los datos y el temor a las sanciones de aplicación podrían dar al gobierno indio una influencia adicional para recaudar impuestos y cuotas de las compañías digitales. Esto reduciría la probabilidad de que las empresas digitales puedan saldar con poco o ningún impuesto a los gobiernos locales.
Otros problemas: el DPB se aplica a todas las empresas que recopilan datos personales, no solo a las empresas digitales. Por ejemplo, John Deere recopila y procesa datos obtenidos de sus equipos agrícolas. Si DPB se aplica a los tractores con sensores, si los datos recopilados pertenecen a los agricultores y cómo se comparten los beneficios de los datos agrícolas se convierte en un punto discutible.
En nuestra opinión, existe una necesidad urgente de regulación de protección de datos en la India, y es mejor tener una, aunque sea un poco defectuosa, que ninguna. Este proyecto de ley es un buen primer paso para proporcionar principios generales para la regulación, y es de esperar que las leyes y regulaciones detalladas continúen ajustadas, como sucedió con las normas de seguridad automotriz que han evolucionado desde principios del siglo XIX.
Cuando DPB entre en vigencia, los principios de las regulaciones de protección de datos serían similares en toda la UE, California, Canadá e India. Una compañía que aprende a cumplir con las regulaciones de una jurisdicción puede cumplir fácilmente con las regulaciones de otra. Los estándares uniformes, similares a ISO 9000, promoverían el comercio global. Un mercado digital ordenado sería beneficioso para los ciudadanos, las naciones y las corporaciones multinacionales.
Vijay Govindarajan es el distinguido profesor de administración de Coxe en la Escuela de Negocios Tuck de Dartmouth. Es autor de The Three Box Solution.
Anup Srivastava tiene la Cátedra de Investigación de Canadá en Contabilidad, Toma de Decisiones y Mercado de Capitales y es profesora asociada en la Escuela de Negocios Haskayne de la Universidad de Calgary. Examina los desafíos de valoración y de informes financieros de las empresas digitales.
Luminita Enache es profesora asistente en la Haskayne School of Business de la Universidad de Calgary. Ella investiga las revelaciones financieras de las empresas de la nueva economía.
No hay comentarios:
Publicar un comentario