Loading…
O Digital Personal Data Protection Act, 2023 é a primeira lei de privacidade abrangente da Índia. Junto com as DPDP Rules, 2025 (G.S.R. 846(E)), ela regula como os dados pessoais dos titulares de dados indianos são coletados, tratados, armazenados e compartilhados — em qualquer lugar do mundo.
A fiscalização cabe ao Data Protection Board of India (DPBI), com penalidades financeiras de até ₹250 crore por instância e obrigações mais rigorosas para Significant Data Fiduciaries.
Da captura de consentimento à notificação ao Board, cada obrigação é mapeada para um controle, um responsável e um SLA.
Trate dados pessoais somente com consentimento válido ou um dos usos legítimos definidos pela Seção 7 do DPDP Act.
Colete apenas para finalidades específicas, explícitas e lícitas; nunca reutilize sem novo consentimento.
Limite a coleta ao necessário para a finalidade declarada — sem coleta oportunista de dados.
Mantenha os dados exatos; elimine-os quando a finalidade for cumprida ou o consentimento for retirado.
Implemente criptografia, controles de acesso, registro de logs e resiliência conforme exigido pela Rule 6 — penalidade de até ₹250 crore por falha.
Notifique o Data Protection Board of India em até 72 horas e os titulares de dados afetados sem demora injustificada (Rule 7).
Que oferecem serviços a usuários na Índia — a DPDPA se aplica de forma extraterritorial.
DPDPA sobreposta às estruturas do RBI / SEBI / IRDAI e de Saúde Digital.
Alto volume de dados pessoais de consumidores — candidatos típicos a Significant Data Fiduciary.
Obrigações reforçadas e um teto de penalidade de ₹150 crore para violações envolvendo dados de crianças.
Análise de lacunas em relação ao Act e às Rules 2025, com roteiro de remediação priorizado e orçamento.
Data Protection Officer nomeado na Índia para fazer a ligação com o Data Protection Board (DPBI) em seu nome.
Avisos em conformidade com a DPDPA em inglês e em mais 22 idiomas do cronograma oficial, com gestão de consentimento granular e revogável.
Portal de autoatendimento para tratar solicitações de acesso, correção, eliminação e reclamações dentro dos prazos legais.
Runbook, classificação, registro junto ao Board e comunicações aos titulares de dados — tratados de ponta a ponta durante um incidente.
Cadência de DPIA, auditoria independente e obrigações adicionais de governança para organizações designadas como SDF.
Uma implementação típica de DPDPA fica entre ₹1,48 e 2,22 crore (~US$ 178 a 267 mil). Comparado a mais de ₹500 crore em exposição a penalidades, isso representa um retorno de 23:1 a 34:1 sobre a prevenção.