DPDPA India 2023: Conformitate tehnică pentru echipe globale
Legea indiană privind protecția datelor digitale cu caracter personal acoperă 1,4 miliarde de persoane. Este cea mai amplă lege privind confidențialitatea din lume prin populație. Consiliul pentru Protecția Datelor a devenit activ în 2025. Aplicarea a început. Dacă firma dvs. deservește utilizatori din India, deține dosare ale personalului indian sau lucrează cu furnizori IT indieni, această lege reprezintă acum o obligație activă.
Ce reglementează DPDPA
Sfera teritorială: Legea acoperă prelucrarea în India. Acoperă și prelucrarea în afara Indiei când scopul este vânzarea de bunuri sau servicii utilizatorilor indieni. Precum GDPR, urmărește persoana — nu serverul.
Amenzi maxime: Până la ₹250 crore per breșă. Aceasta reprezintă aproximativ 27 de milioane de euro la cursurile actuale. Amenzile depind de gravitatea breșei și de durata acesteia.
Temeiuri juridice: Consimțământul trebuie să fie liber, informat și clar. Alte temeiuri valide includ angajarea, obligațiile legale, nevoile vitale, interesul public și cercetarea.
Drepturile individuale: Persoanele pot solicita informații despre modul în care sunt utilizate înregistrările lor. Pot cere corectarea sau ștergerea. Pot depune o plângere. Pot numi un reprezentant dacă își pierd capacitatea.
Fiduciarii de date: Acesta este termenul DPDPA pentru operatori. Aceștia trebuie să protejeze datele cu caracter personal, să raporteze breșele Consiliului în termen de 72 de ore și să numească un Responsabil cu Protecția Datelor dacă sunt un Fiduciar Semnificativ de Date.
Aadhaar: O problemă unică de detectare
Aadhaar este sistemul național biometric de identificare din India. Fiecare deținător primește un număr de 12 cifre legat de amprentele digitale și scanările irisului. Aproximativ 1,36 miliarde de rezidenți îl dețin. Băncile, agențiile guvernamentale, operatorii de telefonie mobilă și spitalele îl utilizează.
Numerele Aadhaar apar în dosarele financiare, medicale și administrative. Legea Aadhaar din 2016 limitează utilizarea acestuia. Serviciile private nu pot impune Aadhaar ca identificare obligatorie. Stocarea este restricționată la cazuri autorizate specifice.
De ce detectarea este dificilă: Aadhaar utilizează metoda Verhoeff pentru cifra sa de control. Un instrument care caută pur și simplu șiruri de 12 cifre va semnala orice număr de 12 cifre — generând fals-pozitive. Detectarea corectă necesită logica de verificare Verhoeff. Potrivirea simplă de tipare nu este suficientă.
Alte formate indianeze de date cu caracter personal
PAN (Numărul permanent de cont): Un ID fiscal cu 10 caractere. Format: cinci litere, patru cifre, o literă. A patra literă indică tipul de contribuabil. A cincea este prima literă a numelui contribuabilului. PAN este necesar pentru orice tranzacție de peste ₹50.000 și este frecvent în dosarele financiare indiene.
Pașaport indian: Litera X urmată de șapte cifre. Acest format este unic pentru India.
Permise de conducere: Fiecare stat are propriul format. Un permis din Delhi poate arăta ca DL-0420110149646.
Conturi bancare: Nu există un standard național. Numerele de cont au între 9 și 18 cifre. Codurile IFSC — coduri de ramură bancară cu 11 caractere — apar alături de numerele de cont în dosarele de plată.
Numere de telefon: Zece cifre cu prefixul de țară +91. India are 1,2 miliarde de abonați de telefonie mobilă. Numerele de telefon apar frecvent în documentele comerciale.
Consultați cum gestionează anonym.legal toate formatele de date cu caracter personal din India la /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Cerințe tehnice DPDPA
Măsuri de securitate: DPDPA impune „măsuri de securitate rezonabile” proporționale cu riscul. Legea definește aceasta prin rezultat, nu printr-o listă fixă de pași. Standardele tehnice minime vor fi stabilite prin Regulamentele DPDPA, așteptate din 2025 înainte.
Notificarea breșelor: Raportați orice breșă de date cu caracter personal Consiliului în termen de 72 de ore. Spre deosebire de GDPR, unde fereastra acoperă doar autoritatea de reglementare, în cazul DPDPA, breșele majore necesită atât notificarea Consiliului, cât și notificarea persoanelor afectate — ambele în termen de 72 de ore.
Localizarea datelor: Guvernul poate desemna companii drept Fiduciari Semnificativi de Date. Acele companii ar putea fi obligate să păstreze o copie a înregistrărilor în India. Regulile finale nu sunt încă stabilite.
Transferuri transfrontaliere: Legea blochează transferurile către țări care nu se află pe o listă aprobată. Acea listă nu era stabilită în 2025. Nu există o decizie de adecvare UE-India. Firmele cu fluxuri UE-India ar trebui să implementeze contracte acum.
Pentru o perspectivă a modului în care regulile transfrontaliere se suprapun în diferite legi, consultați /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Lista de verificare tehnică de bază
Dacă gestionați înregistrări cu caracter personal din India, începeți cu:
- Detectarea Aadhaar cu logica de verificare a cifrei de control Verhoeff.
- Detectarea PAN cu verificări ale caracterului de tip de contribuabil.
- Suport pentru pașaportul indian și permisele de conducere pe state.
- Detectarea conturilor bancare pentru lungimi de 9–18 cifre cu coduri IFSC.
- Înregistrări de scop care corespund temeiurilor juridice DPDPA.
- Un plan de răspuns la breșe care respectă fereastra de 72 de ore.
Citiți cum un singur preset acoperă toate tipurile de date cu caracter personal din India la /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.