Índia DPDPA 2023: Conformidade Técnica para Equipes Globais
A Lei de Proteção de Dados Pessoais Digitais da Índia cobre 1,4 bilhão de pessoas. É a maior lei de privacidade do mundo por população. O Conselho de Proteção de Dados tornou-se ativo em 2025. A fiscalização começou. Se sua empresa atende usuários indianos, mantém arquivos de funcionários indianos ou trabalha com fornecedores de TI indianos, esta lei é agora uma obrigação ativa.
O Que o DPDPA Cobre
Âmbito territorial: A lei cobre o tratamento dentro da Índia. Também cobre o tratamento fora da Índia quando o objetivo é vender bens ou serviços a usuários indianos. Como o RGPD, ela segue a pessoa — não o servidor.
Multas máximas: Até ₹250 crore por infração. Isso equivale a cerca de €27 milhões à taxa atual. As multas dependem da gravidade e da duração da infração.
Bases legais: O consentimento deve ser livre, informado e claro. Outras bases válidas incluem emprego, obrigações legais, interesses vitais, interesse público e pesquisa.
Direitos individuais: As pessoas podem perguntar como seus dados são usados. Podem solicitar correção ou exclusão. Podem apresentar uma reclamação. Podem designar um representante se perderem a capacidade.
Data Fiduciaries: Este é o termo DPDPA para controladores. Eles devem proteger os dados pessoais. Devem comunicar violações ao Conselho em 72 horas. Devem nomear um Encarregado de Proteção de Dados se forem um Significant Data Fiduciary.
Aadhaar: Um Problema de Detecção Único
Aadhaar é o sistema nacional de identificação biométrica da Índia. Cada titular recebe um número de 12 dígitos vinculado a impressões digitais e scans de íris. Cerca de 1,36 bilhão de residentes têm um. Bancos, agências governamentais, operadoras de celular e hospitais o utilizam.
Os números Aadhaar aparecem em arquivos financeiros, de saúde e administrativos. A Lei Aadhaar de 2016 limita seu uso. Serviços privados não podem exigi-lo como identificação obrigatória. O armazenamento é restrito a casos especificamente autorizados.
Por que a detecção é difícil: Aadhaar usa o método Verhoeff para seu dígito verificador. Uma ferramenta que apenas verifica strings de 12 dígitos vai sinalizar qualquer número de 12 dígitos. Isso gera falsos positivos. Uma boa detecção requer lógica de verificação Verhoeff. A simples correspondência de padrões não é suficiente.
Outros Formatos PII Indianos
PAN (Permanent Account Number): Um identificador fiscal de 10 caracteres. Formato: cinco letras, quatro dígitos, uma letra. A quarta letra indica o tipo de contribuinte. A quinta é a primeira letra do nome do contribuinte. O PAN é necessário para transações acima de ₹50.000. É comum em arquivos financeiros indianos.
Passaporte indiano: A letra X seguida de sete dígitos. Este formato é exclusivo da Índia.
Carteiras de habilitação: Cada estado tem seu próprio formato. Uma carteira de Delhi pode parecer DL-0420110149646.
Contas bancárias: Não há padrão nacional. Os números de conta variam de 9 a 18 dígitos. Os códigos IFSC — códigos de 11 caracteres de agências bancárias — aparecem ao lado dos números de conta em arquivos de pagamento.
Números de celular: Dez dígitos com código do país +91. A Índia tem 1,2 bilhão de assinantes de celular. Os números de telefone aparecem com frequência em documentos comerciais.
Veja como o anonym.legal trata todos os formatos PII indianos: /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Requisitos Técnicos do DPDPA
Medidas de segurança: O DPDPA exige "medidas de segurança razoáveis" adequadas ao risco. A lei define isso por resultado. Ela não fornece uma lista fixa de etapas. Os padrões técnicos mínimos virão nas Regras DPDPA. Estas são esperadas a partir de 2025.
Notificação de violação: Notifique qualquer violação de dados pessoais ao Conselho em 72 horas. Sob o RGPD, essa janela cobre apenas o regulador. Sob o DPDPA, violações graves exigem notificação ao Conselho e às pessoas afetadas. Ambas devem ocorrer dentro de 72 horas.
Localização: O governo pode designar empresas como Significant Data Fiduciaries. Essas empresas podem precisar manter uma cópia dos dados na Índia. As regras finais ainda não estão estabelecidas.
Transferências transfronteiriças: A lei bloqueia transferências para países que não estão em uma lista aprovada. Essa lista não estava definida em 2025. Não há decisão de adequação UE-Índia. Empresas com fluxos UE-Índia devem estabelecer contratos agora.
Para ver como as regras transfronteiriças se aplicam entre diferentes leis: /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Sua Lista de Verificação Técnica Básica
Se você trata dados pessoais indianos, comece aqui:
- Detecção de Aadhaar com lógica de dígito verificador Verhoeff.
- Detecção de PAN com verificação do caractere de tipo de contribuinte.
- Suporte para passaporte indiano e carteira de habilitação por estado.
- Detecção de conta bancária para comprimentos de 9 a 18 dígitos com códigos IFSC.
- Registros de finalidade de tratamento alinhados às bases legais do DPDPA.
- Um plano de resposta a violações que atenda à janela de 72 horas.
Leia como um único preset cobre todos os tipos PII indianos: /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.