Notícias

Darshil Surana
Sócio, Kreston OPR Advisors

Join Darshil Surana on LinkedIn

www.krestonopr.com

Darshil Surana é um profissional experiente e sócio da O. P. Rathi & Co., onde tem sido fundamental para impulsionar melhorias nos processos empresariais e implementar transformações digitais estratégicas desde abril de 2023. Com um conjunto diversificado de competências que inclui auditorias internas, tecnologias da informação e contabilidade de gestão, Darshil é conhecido pela sua experiência em consultoria e análise financeira no dinâmico mercado de Ahmedabad.

Antes da sua função atual, Darshil era o proprietário da Darshil Surana & Associates, um testemunho do seu espírito empreendedor e da sua proficiência em planeamento estratégico, análise financeira e tributação abrangente. A sua experiência também inclui funções fundamentais na Intech Systems, onde, como chefe de SBU e chefe de entrega, liderou equipas multifuncionais e geriu o desempenho estratégico da unidade de negócios para MS Dynamics NAV/BC.

A ascensão de Darshil de Consultor Funcional a Gestor de Projectos reflecte as suas excepcionais capacidades de liderança e de gestão de projectos. Os primeiros alicerces da sua carreira foram lançados no CA Pradeepkumar H. Shah & Co., onde aperfeiçoou as suas capacidades de contabilidade e auditoria durante o seu estágio. A carreira de Darshil Surana é uma mistura de experiências profissionais sólidas e um profundo conhecimento dos meandros das estratégias financeiras e empresariais.

Lei de Proteção dos Dados Pessoais Digitais da Índia, 2023 (Lei DPDP)

Novembro 3, 2023

A Lei de Proteção de Dados Pessoais Digitais, 2023 (Lei DPDP) foi aprovada na Índia em 11 de agosto de 2023. A lei visa proteger os dados pessoais e a privacidade dos indivíduos neste mundo digital. Trata-se de uma legislação de referência que pode permitir aos indivíduos e ao Estado garantir a privacidade dos dados. A lei estabelece um quadro para garantir a utilização dos dados para fins adequados e específicos e evitar a sua utilização indevida. Darshil Surana, da Kreston OPR Advisors, explica.

Definições da Lei da Proteção de Dados Pessoais Digitais

A lei dá ênfase à “proteção dos dados pessoais digitais”. Assim, os dados de qualquer pessoa no mundo digital têm de ser salvaguardados pelos responsáveis pela sua recolha, armazenamento e tratamento. Em primeiro lugar, tentemos compreender algumas definições da secção 2 da lei:

  1. Dados – “uma representação de informações, factos, conceitos, opiniões ou instruções de uma forma adequada à comunicação, interpretação ou processamento por seres humanos ou por meios automatizados” – Secção 2(h).
  2. Dados pessoais – “quaisquer dados sobre um indivíduo que seja identificável por ou em relação a esses dados” – Secção 2(t).
  3. Dados pessoais digitais – “dados pessoais em formato digital” – Secção 2(n)

O primeiro conjunto de definições é bastante simples. Os dados, os dados pessoais e os dados pessoais digitais foram explicitamente definidos de modo a eliminar qualquer confusão e ambiguidade. É de salientar que os dados foram amplamente definidos como “… susceptíveis de comunicação, interpretação ou tratamento por seres humanos ou por meios automatizados”. Assim, quer os dados sejam tratados pela inteligência humana ou pela inteligência artificial, ambos serão abrangidos pela lei. Alguns exemplos de dados pessoais digitais são:
– Registos KYC, como PAN, Aadhaar, carta de condução, etc.
– Dados de contacto, como endereço eletrónico, números de telefone, etc.
– IDs e perfis de utilizadores de redes sociais.
– Áudio – Identificação visual de pessoas, como imagens de CCTV, imagens de webcam, fotografias e vídeos nas redes sociais, etc.
– Biometria, como impressões digitais, digitalizações da íris, reconhecimento facial, etc.

  1. Responsável pelos dados – “a pessoa a quem os dados pessoais dizem respeito e se essa pessoa for
    (i) uma criança, inclui os pais ou o tutor legal dessa criança;
    (ii) uma pessoa com deficiência, incluindo o seu tutor legal, actuando em seu nome”
  • Secção 2 (j).
  1. Fiduciário de dados – “qualquer pessoa que, individualmente ou em conjunto com outras pessoas, determine a finalidade e os meios de tratamento de dados pessoais” – Secção 2(i).
  2. Processador de dados – “qualquer pessoa que processe dados pessoais em nome de um fiduciário de dados” – Secção 2(k).

O Diretor de Dados

O próximo conjunto de definições é importante. Estabelecem as bases do quadro de proteção de dados. A pessoa a quem os dados dizem respeito é designada por “Responsável pelos dados”. É o responsável pelo tratamento de dados que está no centro da lei. Por “fiduciário de dados” entende-se a pessoa que recolhe, armazena e trata os dados, quer a título pessoal, quer em conjunto com o “subcontratante”. Estes dois termos foram objeto de uma definição muito ampla. Vamos compreender as definições através de alguns exemplos:

Ilustração 1:
A Limited é um corretor da bolsa de valores e a Sra. X deseja abrir uma conta Demat com eles. A Limited recolhe o seu nome, morada, número de contacto, PAN e Aadhaar e utiliza os serviços da B Limited, que é um repositório de dados, para verificar o KYC. Neste caso, a Sra. X é o Responsável Principal pelos Dados, a A Limited é o Fiduciário dos Dados e a B Limited é o Processador de Dados.

Ilustração 2:
A Sra. X dirige uma academia de música onde ensina música clássica. O bebé Y (10 anos) é um dos seus alunos. A Sra. X recolhe o nome, a morada e os dados de contacto do bebé Y para os seus registos. Neste caso, o bebé Y e os seus pais são os responsáveis principais e a Sra. X é a fiduciária.

  1. Tratamento – “em relação aos dados pessoais, uma operação ou um conjunto de operações total ou parcialmente automatizadas efectuadas sobre dados pessoais digitais, incluindo operações como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação, a recuperação, a utilização, a comparação ou interconexão, a indexação, a partilha, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a limitação, o apagamento ou a destruição” – Secção 2(x).

O tratamento de dados engloba todos os modos e métodos, desde a recolha de dados até à sua destruição. Qualquer atividade realizada entre os dois, utilizando dados, será abrangida pela definição de processamento. Incluirá também software de reconhecimento facial ou de voz e ferramentas utilizadas para identificar pessoas.

Aplicação da lei sobre a proteção dos dados pessoais digitais

A Lei da Proteção dos Dados Pessoais Digitais aplica-se ao tratamento de dados pessoais digitais no território da Índia, quando os dados pessoais são recolhidos – em formato digital; ou em formato não digital e digitalizados posteriormente. Aplica-se igualmente ao tratamento de dados pessoais digitais fora do território da Índia, se esse tratamento estiver ligado a qualquer atividade relacionada com a oferta de bens ou serviços aos responsáveis pelo tratamento de dados no território da Índia.

Se os dados do responsável pelo tratamento de dados forem violados mesmo fora da Índia, a lei continua a ser aplicável se os bens/serviços forem adquiridos pelo responsável pelo tratamento de dados na Índia. Por conseguinte, a lei alargou o âmbito de aplicação e não se limita às fronteiras da Índia.

Ilustração:
A Sra. X é uma programadora sediada em Pune e trabalha como freelancer através de um portal (registado nos EUA) que actua como agregador de prestadores e receptores de serviços e que, para esse efeito, recolhe dados como nome, morada, informações de contacto, dados bancários, dados de cartões de crédito, etc. Neste caso, o Portal seria abrangido pelas disposições da lei em caso de violação dos dados pessoais digitais da Sra. X.

No entanto, esta lei não se aplica se os dados pessoais forem tratados por um indivíduo para fins pessoais e se os dados forem disponibilizados pelo responsável pelo tratamento de dados ou por qualquer outra pessoa sob obrigação legal.

Obrigações do fiduciário de dados

  1. Consentimento – A lei impõe várias obrigações ao fiduciário dos dados no que diz respeito à forma como os dados devem ser tratados e à proteção dos mesmos. A primeira e principal obrigação é obter o “consentimento” do responsável pelos dados. Nos termos da secção 6 da lei, o consentimento dado pelo responsável pelo tratamento de dados deve ser “livre, específico, informado, incondicional e inequívoco, com uma ação afirmativa clara”. Especifica ainda que o “consentimento significa um acordo para o tratamento de dados pessoais para uma finalidade específica e limita-se aos dados pessoais necessários para essa finalidade específica”. Isto significa que, mesmo que o responsável pelos dados tenha dado o seu consentimento a dados pertinentes e irrelevantes, o consentimento limitar-se-á apenas aos dados pertinentes e o fiduciário dos dados será responsável pelo incumprimento da obrigação relativamente aos dados irrelevantes.
    Ilustração:
    A Sra. X registou-se como compradora num portal de comércio eletrónico. O portal de comércio eletrónico pediu-lhe o número de telemóvel, a morada e a lista de contactos telefónicos. A Sra. X dá o seu consentimento a ambos. No entanto, a lista de contactos telefónicos não é necessária para o fornecimento dos seus bens/serviços. Assim, o seu consentimento será limitado ao seu número de telemóvel e endereço para efeitos de utilização de bens/serviços do portal de comércio eletrónico, embora possa ter consentido explicitamente em fornecer também uma lista de contactos.
    Assim, se o fiduciário processar dados para os quais o consentimento não foi obtido ou que se considera não terem sido obtidos de acordo com as disposições da lei, será responsável pelo incumprimento das suas obrigações.

Além disso, todos os pedidos apresentados ao responsável principal pelos dados pelo fiduciário dos dados devem ser acompanhados ou precedidos de um aviso que informe o responsável principal dos dados sobre:
– Os dados pessoais e a finalidade do seu tratamento.
– Como é que o responsável pelos dados pode retirar o consentimento e apresentar uma queixa.
– Como o responsável pelos dados pode apresentar uma queixa ao Conselho de Proteção de Dados da Índia.
Se a autorização contiver algo que infrinja as disposições da lei ou das regras nela estabelecidas, a autorização será inválida na medida dessa infração.

Ilustração:
X, um indivíduo, compra uma apólice de seguro utilizando a aplicação móvel ou o sítio Web de Y, uma seguradora. Ela dá a Y o seu consentimento para (i) o tratamento dos seus dados pessoais por Y para efeitos de emissão da apólice, e (ii) renunciar ao seu direito de apresentar uma queixa ao Conselho de Proteção de Dados da Índia. Parte (ii) da autorização, relativa à renúncia ao seu direito de apresentar queixa, não é válida.
O responsável pelos dados tem também o direito de retirar o consentimento relativamente aos dados pessoais para os quais tenha sido dado anteriormente um consentimento válido. Em caso de retirada do consentimento, o fiduciário terá de apagar os dados da sua base de dados e garantir que não são utilizados para tratamento.

  1. Determinada utilização legítima dos dados pessoais – O fiduciário pode tratar os dados pessoais do titular dos dados para determinados fins legítimos, tais como
    a. Se o responsável pelo tratamento de dados tiver fornecido voluntariamente dados pessoais e não tiver indicado explicitamente o seu não consentimento em relação a esses dados.
    b. Dados solicitados pelo Estado para efeitos de qualquer lei atualmente em vigor.
    c. Cumprimento de sentença ou decisão judicial
    d. Responder a uma emergência médica que envolva uma ameaça à vida ou uma ameaça imediata à saúde do diretor dos dados ou de qualquer outra pessoa
    e. Tomar medidas para fornecer tratamento médico ou serviços de saúde
    f. Tomar medidas para garantir a segurança de qualquer pessoa durante uma catástrofe ou uma rutura da ordem pública.
    g. Para efeitos de emprego ou relacionados com a proteção do empregador contra perdas ou responsabilidades, tais como a prevenção da espionagem empresarial, a manutenção da confidencialidade dos segredos comerciais, a propriedade intelectual, as informações classificadas ou a prestação de qualquer serviço ou benefício solicitado por um Responsável Principal pelos Dados que seja trabalhador.
  2. Obrigações gerais do fiduciário de dados – O fiduciário de dados tem certas obrigações a cumprir para cumprir a lei:
    a. O fiduciário dos dados é responsável pelo cumprimento das disposições da lei, independentemente do facto de o responsável principal não ter cumprido as obrigações previstas na lei.
    b. O fiduciário de dados só pode contratar um processador de dados ao abrigo de um contrato válido.
    c. Assegurar a exaustividade, a exatidão e a coerência dos dados.
    d. Aplicar medidas técnicas adequadas para garantir o cumprimento efetivo das disposições da lei.
    e. Deve dispor de garantias de segurança razoáveis para proteger os dados pessoais na sua posse ou sob o seu controlo, incluindo os dados que são tratados na sua própria capacidade ou por um processador de dados.
    f. Intimar o Conselho de Proteção de Dados da Índia em caso de violação de dados pessoais.
    g. Apagará e fará com que o subcontratante apague os dados pessoais se o responsável pelos dados retirar o seu consentimento ou se a finalidade especificada deixar de ser cumprida.
  3. Dados pessoais de crianças – O fiduciário dos dados deve:
    a. Obter o consentimento verificável dos pais/tutor legal de uma criança antes de processar quaisquer dados pessoais.
    b. Não efetuar rastreio ou monitorização comportamental de crianças ou publicidade dirigida a crianças.

Direitos e deveres do responsável pelos dados

A lei concedeu ao responsável pelos dados vários direitos e privilégios a fim de manter a privacidade dos seus dados pessoais digitais. Têm também o dever de cumprir as disposições da lei.

  1. Direitos do responsável pelos dados:
    a. Direito de acesso às informações sobre os dados pessoais: O responsável pelo tratamento dos dados tem o direito de obter um resumo dos dados pessoais que são tratados pelo fiduciário.
    b. O responsável pelos dados tem o direito de alterar os dados pessoais ou de os apagar, retirando o consentimento nos termos da lei.
    c. Em caso de violação por um fiduciário de dados, o responsável pelos dados terá o direito de apresentar queixa através do fiduciário de dados, bem como do Conselho de Proteção de Dados da Índia.
  2. Deveres do responsável principal pelos dados:
    a. Cumprir as disposições da lei.
    b. Não se fazer passar por outra pessoa ao fornecer dados pessoais para um fim específico.
    c. Não suprimir informações materiais ao fornecer dados pessoais para qualquer documento, identificador único, comprovativo de identidade ou comprovativo de morada emitido pelo Estado ou por qualquer um dos seus instrumentos.
    d. Não registar queixas ou reclamações falsas ou frívolas
    e. Fornecer informações verificáveis e autênticas.
    Sanções por violação das disposições da lei
    A lei contém disposições rigorosas para o cumprimento por parte dos fiduciários de dados. Prevê igualmente sanções severas em caso de violação das disposições da lei. Vejamos algumas das sanções previstas na lei:
    Sr. Não. Sanção por infração
    1 O incumprimento da obrigação do fiduciário de dados de tomar medidas de segurança razoáveis para evitar uma violação de dados pessoais ao abrigo da subsecção (5) da secção 8 pode ir até INR 250 Crores.
    2 Incumprimento da obrigação de notificar o Conselho de Administração ou o responsável pelos dados afetado de uma violação de dados pessoais nos termos da subsecção (6) da secção 8. Pode ser alargado até INR 200 Crores.
    3 Violação do cumprimento de obrigações adicionais em relação a crianças ao abrigo da secção 9 Pode ir até INR 200 Crores.
    4 Violação do cumprimento das obrigações adicionais do Fiduciário Significativo de Dados nos termos da secção 10. Pode ser alargado até INR 150 Crores.
    5 Violação de qualquer outra disposição da presente lei ou das regras nela estabelecidas. Pode ser alargado até INR 50 Crores.

Como se pode ver, a coima pode variar entre INR 50 Crore e INR 250 Crores, consoante o tipo de infração. Isto exige que todas as organizações abrangidas pela definição de fiduciário de dados ou de processador de dados tomem medidas para assegurar a conformidade com a lei e as suas regras em tempo útil. Espera-se que o Governo preveja um período de transição para permitir a aplicação de medidas destinadas a assegurar o cumprimento.

Conclusão

As organizações devem, de forma proactiva, realizar uma avaliação do impacto da proteção de dados e fazer um inventário das medidas a adotar. Estas podem abranger os seguintes domínios:

  1. Conceber mecanismos de consentimento.
  2. Adotar medidas de segurança informática e cibernética.
  3. Nomear responsáveis pela conformidade na organização.
  4. Conceber políticas de armazenamento de dados, de arquivo de dados, de eliminação de dados e ferramentas para a sua aplicação.
    As pessoas devem também informar-se sobre a lei e conhecer os seus direitos e privilégios. Expuseram enormes quantidades de dados em linha a múltiplos portais. Esta lei permite-lhes assumir o controlo da forma como os seus dados podem ser utilizados e protegidos.

Se quiser saber mais sobre a Lei de Proteção de Dados Pessoais Digitais na Índia, contacte-nos.