Loading…
A DPDPA toma muito emprestado do GDPR — limitação de finalidade, direitos dos titulares de dados, notificação de violações, o próprio conceito de Encarregado de Proteção de Dados. Mas a estrutura indiana é mais enxuta, mais centrada no consentimento, dispensa a base legal de "legítimo interesse" e usa limites em crores por violação em vez de multas baseadas em percentual de faturamento. Se você atende titulares de dados indianos de qualquer lugar do mundo, precisa das duas perspectivas.
| Dimensão | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| Instrumento legal | Lei de Proteção de Dados Pessoais Digitais, 2023 + Regras DPDP 2025 (G.S.R. 846(E)) | Regulamento (UE) 2016/679 |
| Data de vigência | Lei: 11 de ago. de 2023; Regras: faseadas ao longo de 2025–2026 | 25 de maio de 2018 |
| Escopo territorial | Tratamento de dados pessoais digitais de titulares de dados indianos — em qualquer lugar do mundo (Seção 3) | UE/EEE + extraterritorial nos termos do Art. 3 |
| Bases legais | Consentimento OU "certos usos legítimos" (Seção 7) — definidos de forma restrita | Seis bases (Art. 6); legítimo interesse amplamente disponível |
| Requisitos de consentimento | Livre, específico, informado, incondicional, inequívoco — com aviso claro (Seção 6) | Livremente concedido, específico, informado, inequívoco — revogável (Art. 7) |
| Encarregado de Proteção de Dados | Fiduciários de Dados Significativos (SDFs) — devem nomear DPO na Índia (Seção 10) | Obrigatório em casos definidos (Art. 37) |
| Representante local | Não exigido por lei (mas operacionalmente crítico para interação com o Conselho) | Representante da UE do Artigo 27 obrigatório para controladores fora da UE |
| Multa máxima (por ocorrência) | ₹250 crore (~US$30M) — salvaguardas de segurança (Regra 6) | €20M ou 4% do faturamento global (Art. 83(5)) |
| Estrutura escalonada de penalidades | ₹250 cr segurança · ₹200 cr notificação de violação · ₹150 cr dados de crianças · ₹50 cr outros | Dois níveis: €10M/2% (inferior) e €20M/4% (superior) |
| Notificação de violação | Dentro de 72 horas ao Conselho de Proteção de Dados da Índia + titulares de dados afetados (Regra 7) | 72 horas à Autoridade de Supervisão (Art. 33) + titulares dos dados se houver alto risco (Art. 34) |
| Regulador | Conselho de Proteção de Dados da Índia (DPBI) | 27 DPAs de Estados-Membros da UE + EDPB |
| Dados de crianças | Consentimento parental verificável para menores de 18 anos (Seção 9). Sem rastreamento comportamental, sem anúncios direcionados. | Idade padrão de consentimento de 16 anos (Estados-Membros podem reduzir para 13) |
| Direitos do titular de dados | Acesso, correção, apagamento, reparação de queixas, indicação, retirada de consentimento (Seções 11 a 14) | 8 direitos (Arts. 15 a 22) incluindo portabilidade e oposição a decisões automatizadas |
| Direito à portabilidade | Não concedido pela DPDPA | Sim — Art. 20 |
| Direito de oposição a decisões automatizadas | Não concedido pela DPDPA | Sim — Art. 22 |
| Transferência internacional | Permitida, a menos que o Governo Central restrinja o destino específico (Seção 16) | Restrita — SCCs/BCR/adequação exigidos (Capítulo V) |
| Localização de dados | Sem localização ampla na Lei; as regras do RBI exigem localização de dados de pagamento | Sem localização pelo GDPR; alguns Estados-Membros impõem regras setoriais |
| Categoria de dados sensíveis | Não categorizada explicitamente (nível único de dados pessoais) | Dados de categoria especial (Art. 9) com exigência de consentimento explícito |
| Equivalente ao DPIA | Obrigatório para SDFs (Seção 10(2)) | Obrigatório para tratamento de alto risco (Art. 35) |
| Recurso à autoridade independente | Tribunal de Apelação e Resolução de Disputas de Telecomunicações (TDSAT) | Recurso judicial direto + direito de reclamação à DPA (Arts. 77 a 79) |
Não — embora tome emprestado o vocabulário do GDPR. A DPDPA é centrada no consentimento, com um conjunto mais restrito de "usos legítimos", omite o direito à portabilidade de dados e o direito de oposição a decisões automatizadas, e usa limites em crores por violação em vez de multas baseadas em percentual de faturamento. A exposição a penalidades ainda pode chegar a ₹500 crore por violações sistemáticas.
Não — opere um único programa mapeado. Use os requisitos mais rígidos do GDPR (DPIA, retirada de consentimento, violação em 72h) como linha de base e adicione as camadas específicas da DPDPA (notificação ao Conselho, DPO na Índia para SDFs, restrições a dados de crianças).
Sim, se você oferece bens ou serviços a titulares de dados na Índia (Seção 3(b)). A lei se aplica de forma extraterritorial, independentemente de onde seus servidores ou entidade estejam localizados.
A Lei está em vigor, mas as Regras estão sendo implementadas em fases ao longo de 2025–2026. O Conselho de Proteção de Dados está operacional. Espera-se que a fiscalização se intensifique ao longo de 2026 — prepare-se agora.
A Índia é mais rígida: menores de 18 anos exigem consentimento parental verificável e o rastreamento comportamental ou a publicidade direcionada são proibidos. A idade padrão de consentimento do GDPR é 16, com redução permitida para 13, e o rastreamento comportamental é permitido com consentimento e DPIA.
Não na Lei, mas, na prática, o Conselho de Proteção de Dados da Índia espera um ponto de contato designado, residente na Índia, para os Fiduciários de Dados Significativos. É esse o papel que nosso serviço de representação na Índia desempenha.
Mapeie os controles uma vez e cumpra duas. A RegulatoryBridge oferece um único pipeline de DSAR, um único DPO, um único runbook de violações — cobrindo ambas as estruturas.