La Digital Personal Data Protection Act (DPDPA 2023) dell'India stabilisce requisiti di protezione dei dati per 1,4 miliardi di persone — il più grande quadro di protezione dei dati al mondo per popolazione. Il Data Protection Board dell'India è diventato operativo nel 2025, segnando l'inizio dell'applicazione attiva. Per le organizzazioni globali che servono i consumatori indiani, elaborano dati dei dipendenti indiani o operano con fornitori di servizi IT indiani, la conformità al DPDPA è ora un requisito di conformità attivo.
DPDPA: Panoramica del Quadro Principale
Ambito territoriale: Il DPDPA si applica all'elaborazione di dati personali digitali all'interno dell'India e all'elaborazione al di fuori dell'India per offrire beni o servizi a individui in India. Come il raggio d'azione extraterritoriale del GDPR, il DPDPA si applica a qualsiasi organizzazione che serve i consumatori indiani indipendentemente da dove avviene l'elaborazione.
Sanzioni massime: Fino a ₹250 crore (circa €27 milioni ai tassi di cambio attuali) per violazione. Il Data Protection Board può imporre sanzioni in base alla gravità, durata e scala.
Basi legali per l'elaborazione: Consenso (volontario, informato, specifico, inequivocabile) o usi legittimi definiti nella legge (occupazione, obblighi legali, interessi vitali, funzioni di interesse pubblico, ricerca/archiviazione, sicurezza nazionale).
Diritti dei titolari dei dati: Diritto all'informazione sull'elaborazione, diritto alla correzione e cancellazione, diritto alla risoluzione dei reclami e diritto di nominare un rappresentante per situazioni di incapacità.
Fiduciari dei dati (equivalenti ai controllori del GDPR): Le organizzazioni che elaborano dati personali sono "Fiduciari dei Dati" con obblighi per misure di sicurezza, notifica di violazioni al Data Protection Board entro 72 ore e nomina di un Data Protection Officer per fiduciari dei dati significativi.
Aadhaar: Il più grande sistema di identificazione biometrica al mondo
Aadhaar è il sistema nazionale di identità biometrica dell'India — un numero di identificazione unico di 12 cifre collegato alle impronte digitali e scansioni dell'iride di ciascun titolare. Emesso a 1,36 miliardi di residenti indiani, Aadhaar è utilizzato per:
- Disboscamento di benefici governativi (schemi di welfare PAN)
- Autenticazione dei servizi bancari e finanziari (eKYC)
- Registrazione del numero di cellulare (verifica SIM obbligatoria)
- Accesso ai servizi sanitari
- Verifica dell'occupazione
I numeri Aadhaar appaiono in documenti finanziari, sanitari e amministrativi indiani. La Aadhaar Act 2016 impone restrizioni specifiche sull'uso di Aadhaar — non può essere utilizzato come identificazione obbligatoria per servizi privati e non può essere memorizzato in database oltre specifici casi d'uso autorizzati.
Requisiti di rilevamento: Aadhaar segue un formato specifico di 12 cifre con validazione del numero di controllo Verhoeff. A differenza di identificatori nazionali più semplici, Aadhaar utilizza l'algoritmo Verhoeff (uno schema complesso di rilevamento degli errori basato sulla teoria dei gruppi) per il calcolo del numero di controllo. Gli strumenti generici di corrispondenza dei modelli non rilevano Aadhaar nei documenti indiani, e gli strumenti che implementano la corrispondenza dei modelli senza la validazione Verhoeff generano falsi positivi da qualsiasi numero di 12 cifre.
Altri identificatori PII indiani
PAN (Numero di conto permanente): Identificatore fiscale alfanumerico di 10 caratteri nel formato AAAAA9999A (5 lettere + 4 cifre + 1 lettera). Il 4° carattere codifica il tipo di contribuente, il 5° carattere è la prima lettera del nome del contribuente. Il PAN è obbligatorio per transazioni finanziarie superiori a ₹50.000 e appare praticamente in tutti i documenti finanziari indiani.
Passaporto indiano: Formato X seguito da 7 cifre. Formato specifico per il sistema di emissione dei passaporti dell'India.
Patente di guida indiana: Formato basato sul codice dello stato (DL-0420110149646 per Delhi, ad esempio) — il formato varia in base allo stato di emissione simile al RG del Brasile.
Numeri di conto bancario: Nessun formato standard in India — i numeri di conto bancario variano da 9 a 18 cifre a seconda della banca, senza standardizzazione nazionale. I codici IFSC (codici delle filiali bancarie di 11 caratteri) appaiono insieme ai numeri di conto nei documenti di pagamento.
Numeri di cellulare: Formato di 10 cifre con prefisso internazionale +91. La penetrazione mobile dell'India (1,2 miliardi di abbonati mobili) significa che i numeri di telefono sono onnipresenti nei documenti commerciali indiani.
Requisiti tecnici del DPDPA
Il requisito di misure di sicurezza del DPDPA è espresso in termini di risultati piuttosto che di misure tecniche specifiche (a differenza dei requisiti enumerati dell'HIPAA):
Misure di sicurezza: I Fiduciari dei Dati devono implementare "misure di sicurezza ragionevoli" appropriate al rischio. Le Regole del DPDPA (attese nel 2025) specificheranno standard tecnici minimi.
Notifica di violazione: Entro 72 ore al Data Protection Board per qualsiasi violazione dei dati personali. Questo termine è più impegnativo rispetto alle 72 ore del GDPR per la notifica all'Autorità di protezione dei dati — il GDPR consente 72 ore per la notifica all'Autorità e scadenze separate per la notifica ai soggetti interessati. Il DPDPA richiede entrambi nella stessa finestra di 72 ore per violazioni significative.
Localizzazione dei dati (fiduciari dei dati significativi): I fiduciari dei dati significativi — quelli designati dal governo indiano in base al volume e alla sensibilità dell'elaborazione — potrebbero essere tenuti a mantenere una copia dei dati personali all'interno dell'India. I requisiti specifici di localizzazione saranno definiti nelle Regole, ma le aziende multinazionali che elaborano grandi volumi di dati personali indiani dovrebbero prepararsi per potenziali obblighi di localizzazione.
Trasferimenti transfrontalieri: Il DPDPA limita i trasferimenti di dati personali verso paesi non presenti in un elenco approvato dal governo. L'elenco dei paesi approvati non è stato finalizzato entro il 2025, creando incertezze di conformità per i flussi di dati tra UE e India. La posizione sui trasferimenti UE-India differisce dal DPF UE-USA del GDPR — non esiste un accordo di adeguatezza bilaterale esistente, e le organizzazioni sono consigliate di implementare misure contrattuali di salvaguardia mentre si sviluppa il quadro normativo.
Per le organizzazioni globali con operazioni in India: il rilevamento di Aadhaar e PAN con numeri di controllo validati, il supporto per il formato del passaporto e della patente di guida indiani e la documentazione degli scopi di elaborazione allineati con le basi legali del DPDPA sono i requisiti tecnici di base per la conformità al DPDPA.
Fonti: