O governo divulgou na sexta-feira o tão aguardado rascunho das Regras de Proteção de Dados Pessoais Digitais que especificam que o consentimento verificável dos pais deverá ser obtido pelas redes sociais ou plataformas online antes que as crianças possam criar qualquer conta. Além disso, a identidade e a idade dos pais também terão de ser validadas e verificadas através de prova de identidade fornecida voluntariamente “emitida por entidade mandatada por lei ou pelo Governo”, conforme o projecto de regras.
De acordo com as regras, as entidades só poderão utilizar e processar dados pessoais se os indivíduos derem o seu consentimento aos gestores de consentimento – que serão entidades encarregadas de gerir registos de consentimentos de pessoas.
No caso do tratamento de dados de crianças, as plataformas digitais terão de realizar a devida diligência para verificar se a pessoa que se identifica como progenitor da criança é um adulto e é identificável, se necessário no âmbito de qualquer conformidade legal.
“Um Fiduciário de Dados adotará medidas técnicas e organizacionais apropriadas para garantir que o consentimento verificável dos pais seja obtido antes do processamento de quaisquer dados pessoais de uma criança”, afirma o projeto de regra.
O comércio eletrônico, as mídias sociais e as plataformas de jogos se enquadrarão na categoria de fiduciários de dados.
De acordo com o projeto de regras, os responsáveis pelos dados terão de conservar os dados apenas durante o período para o qual tenha sido dado consentimento e apagá-los posteriormente.
O projeto de regras foi emitido após 14 meses da aprovação do Parlamento da Lei de Proteção de Dados Digitais de 2023.
“Projeto de regras proposto a ser elaborado pelo governo central no exercício dos poderes conferidos pelas subseções (1) e (2) da seção 40 da Lei de Proteção de Dados Pessoais Digitais de 2023 (22 de 2023), em ou após a data de entrada em vigor da Lei, são publicados para informação de todas as pessoas que possam ser afetadas por ela”, dizia o projeto de notificação.
A minuta de norma menciona o processo de suspensão ou cancelamento do registro do gerenciador de consentimento em caso de violação reiterada, mas não há menção às penalidades que foram aprovadas nos termos da Lei DPDP de 2023. A lei prevê a imposição de penalidade de até até Rs 250 milhões em fiduciários de dados.
O parceiro da IndusLaw, Shreya Suri, disse que havia uma expectativa de introdução de limites para relatórios de violação de dados, onde violações menores poderiam ter menos obrigações de conformidade.
“No entanto, o projeto atual trata todas as violações de maneira uniforme, exigindo o mesmo nível de comunicação e notificação ao Conselho de Proteção de Dados e aos responsáveis pelos dados afetados, sem conceder qualquer discrição aos fiduciários de dados. Além disso, embora as regras definam certas considerações para práticas de segurança razoáveis , a falta de orientação detalhada deixa espaço para interpretações variadas”, disse Suri.
O projeto de regras, que foi publicado para consulta pública, será levado em consideração para a elaboração da regra final após 18 de fevereiro. O projeto está disponível no site MyGov para comentários públicos.
Mayuran Palanisamy, sócio da Deloitte Índia, disse que o projeto de regras é bastante detalhado e dá a orientação necessária às empresas na Índia, expondo o cumprimento a ser realizado por elas, como medidas de obrigações para Fiduciários de Dados Significativos, registro e obrigações de Consentimento Gerentes, o estabelecimento e funcionamento do Conselho de Proteção de Dados, incluindo detalhes de denúncia de violação de dados aos Princípios de Dados e ao Conselho, processo para que os Diretores exerçam seus direitos e prazos para que os Fiduciários de Dados respondam às queixas.
“Prevemos que as empresas enfrentarão alguns desafios complexos na gestão do consentimento, uma vez que constitui o cerne da lei. Manter os artefactos de consentimento e oferecer a opção de retirar o consentimento para fins específicos pode exigir mudanças ao nível do design e da arquitetura das aplicações e plataformas”, Palanisamy disse.
Além disso, as organizações precisarão investir tanto em infraestrutura técnica quanto em processos para atender eficazmente aos requisitos. Isto inclui reavaliar as práticas de recolha de dados, implementar sistemas de gestão de consentimento, estabelecer protocolos claros para o ciclo de vida dos dados e realmente infiltrar estas práticas ao nível da implementação, acrescentou Palanisamy.
(Esta história não foi editada pela equipe da NDTV e é gerada automaticamente a partir de um feed distribuído.)
Acompanhe as novidades do Consumer Electronics Show no Gadgets 360, em nosso hub CES 2025.
source – www.gadgets360.com
