A Lei de Proteção de Dados Pessoais Digitais da Índia (DPDPA 2023) estabelece requisitos de proteção de dados para 1,4 bilhões de pessoas — a maior estrutura de proteção de dados do mundo em termos de população. O Conselho de Proteção de Dados da Índia tornou-se operacional em 2025, marcando o início da aplicação ativa. Para organizações globais que atendem consumidores indianos, processam dados de funcionários indianos ou operam com provedores de serviços de TI indianos, a conformidade com a DPDPA é agora um requisito de conformidade ativo.
DPDPA: Visão Geral do Quadro Principal
Escopo territorial: A DPDPA se aplica ao processamento de dados pessoais digitais dentro da Índia e ao processamento fora da Índia com o propósito de oferecer bens ou serviços a indivíduos na Índia. Assim como o alcance extraterritorial do GDPR, a DPDPA se aplica a qualquer organização que atenda consumidores indianos, independentemente de onde o processamento ocorra.
Multas máximas: Até ₹250 crore (aproximadamente €27 milhões nas taxas de câmbio atuais) por violação. O Conselho de Proteção de Dados pode impor penalidades com base na gravidade, duração e escala.
Bases legais para processamento: Consentimento (voluntário, informado, específico, inequívoco) ou usos legítimos definidos na Lei (emprego, obrigações legais, interesses vitais, funções de interesse público, pesquisa/arquivamento, segurança nacional).
Direitos dos titulares de dados: Direito à informação sobre o processamento, direito à correção e exclusão, direito à reparação de queixas e direito de nomear um representante para situações de incapacidade.
Fiduciários de dados (equivalente aos controladores do GDPR): Organizações que processam dados pessoais são "Fiduciários de Dados" com obrigações de salvaguardas de segurança, notificação de violação ao Conselho de Proteção de Dados dentro de 72 horas e nomeação de um Oficial de Proteção de Dados para fiduciários de dados significativos.
Aadhaar: O Maior Sistema de ID Biométrico do Mundo
Aadhaar é o sistema nacional de identidade biométrica da Índia — um número de identificação único de 12 dígitos vinculado às impressões digitais e escaneamentos de íris de cada portador. Emitido para 1,36 bilhões de residentes indianos, o Aadhaar é usado para:
- Distribuição de benefícios governamentais (esquemas de bem-estar PAN)
- Autenticação de serviços bancários e financeiros (eKYC)
- Registro de número de telefone móvel (verificação de SIM obrigatória)
- Acesso a serviços de saúde
- Verificação de emprego
Os números Aadhaar aparecem em documentos financeiros, de saúde e administrativos indianos. A Lei Aadhaar de 2016 impõe restrições específicas ao uso do Aadhaar — não pode ser usado como identificação obrigatória para serviços privados e não pode ser armazenado em bancos de dados além de casos de uso autorizados específicos.
Requisitos de detecção: Aadhaar segue um formato específico de 12 dígitos com validação de dígito de verificação Verhoeff. Ao contrário de identificadores nacionais mais simples, o Aadhaar utiliza o algoritmo Verhoeff (um esquema complexo de detecção de erros baseado em teoria de grupos) para o cálculo do dígito de verificação. Ferramentas genéricas de correspondência de padrões não detectam o Aadhaar em documentos indianos, e ferramentas que implementam correspondência de padrões sem validação Verhoeff geram falsos positivos a partir de qualquer número de 12 dígitos.
Outros Identificadores de PII Indianos
PAN (Número de Conta Permanente): Identificador fiscal alfanumérico de 10 caracteres no formato AAAAA9999A (5 letras + 4 dígitos + 1 letra). O 4º caractere codifica o tipo de contribuinte, o 5º caractere é a primeira letra do nome do contribuinte. O PAN é obrigatório para transações financeiras acima de ₹50.000 e aparece em praticamente todos os documentos financeiros indianos.
Passaporte indiano: Formato X seguido de 7 dígitos. Formato específico do sistema de emissão de passaportes da Índia.
Carteira de motorista indiana: Formato baseado em código de estado (DL-0420110149646 para Delhi, por exemplo) — o formato varia de acordo com o estado de emissão, semelhante ao RG do Brasil.
Números de contas bancárias: Sem formato padrão na Índia — os números de contas bancárias variam de 9 a 18 dígitos dependendo do banco, sem padronização nacional. Códigos IFSC (códigos de 11 caracteres para agências bancárias) aparecem ao lado dos números das contas em documentos de pagamento.
Números de telefone móvel: Formato de 10 dígitos com código do país +91. A penetração móvel da Índia (1,2 bilhões de assinantes móveis) significa que os números de telefone são onipresentes em documentos comerciais indianos.
Requisitos Técnicos da DPDPA
O requisito de salvaguardas de segurança da DPDPA é expresso em termos de resultados em vez de medidas técnicas específicas (ao contrário dos requisitos enumerados do HIPAA):
Salvaguardas de segurança: Os Fiduciários de Dados devem implementar "salvaguardas de segurança razoáveis" apropriadas ao risco. As Regras da DPDPA (esperadas para 2025) especificarão padrões técnicos mínimos.
Notificação de violação: Dentro de 72 horas ao Conselho de Proteção de Dados para qualquer violação de dados pessoais. Este prazo é mais exigente do que as 72 horas do GDPR para notificação ao DPA — o GDPR permite 72 horas para notificação ao DPA e prazos separados para notificação ao titular dos dados. A DPDPA exige ambos no mesmo prazo de 72 horas para violações significativas.
Localização de dados (fiduciários de dados significativos): Fiduciários de dados significativos — aqueles designados pelo governo indiano com base no volume e sensibilidade do processamento — podem ser obrigados a manter uma cópia dos dados pessoais dentro da Índia. Os requisitos específicos de localização serão definidos nas Regras, mas empresas multinacionais que processam grandes volumes de dados pessoais indianos devem se preparar para possíveis obrigações de localização.
Transferências transfronteiriças: A DPDPA restringe transferências de dados pessoais para países que não estão em uma lista aprovada pelo governo. A lista de países aprovados não foi finalizada até 2025, criando incerteza de conformidade para fluxos de dados entre a UE e a Índia. A posição de transferência UE-Índia difere do DPF UE-EUA do GDPR — não há um arranjo de adequação bilateral existente, e as organizações são aconselhadas a implementar salvaguardas contratuais enquanto o quadro regulatório se desenvolve.
Para organizações globais com operações na Índia: Detecção de Aadhaar e PAN com dígitos de verificação validados, suporte a formatos de passaporte e carteira de motorista indianos e documentação dos propósitos de processamento alinhados com as bases legais da DPDPA são os requisitos técnicos básicos para a conformidade com a DPDPA.
Fontes: