Lei DPDP da Índia de 2023: Conformidade com a proteção de dados pessoais digitais

A Lei de Proteção de Dados Pessoais Digitais de 2023 (Lei DPDP) da Índia, promulgada em 11 de agosto de 2023, representa uma mudança histórica na abordagem da Índia à regulamentação da privacidade. Depois de quase uma década de deliberação legislativa — incluindo o relatório do Comité de Justiça Srikrishna (2017), vários projetos de lei sobre proteção de dados pessoais e um acórdão do Supremo Tribunal que afirma a privacidade como um direito fundamental (Juiz K.S. Puttaswamy vs. União da Índia, 2017) — a Índia dispõe agora de um quadro de proteção de dados abrangente e aplicável.

A Lei DPDP introduz conceitos como "fiduciário de dados", "principal de dados" e "gerente de consentimento", estabelece o Conselho de Proteção de Dados da Índia (DPBI) como a autoridade de execução e estabelece penalidades financeiras de até ₹250 crore (~$30 milhões de dólares) por violação. A lei está agora em vigor e espera-se que as suas regras de implementação sejam finalizadas e notificadas em 2025–2026.

Principais conclusões

• A Lei DPDP 2023 aplica-se ao processamento digital de dados pessoais na Índia e extraterritorialmente para serviços oferecidos a indivíduos indianos
• O consentimento é a principal base jurídica, complementado por "usos legítimos" para fins específicos (emprego, processos judiciais, interesse público)
• "Fiduciários de dados importantes" enfrentam obrigações acrescidas, incluindo requisitos de DPIA e nomeação de um auditor de dados independente
• O Conselho de Proteção de Dados da Índia (DPBI) é a autoridade de execução com poderes para investigar, julgar e impor penalidades
• A pena máxima é de ₹250 crore (~$30 milhões) por violação; as penalidades são cumulativas para múltiplas violações
• As transferências transfronteiriças de dados são permitidas para todos os países, exceto aqueles especificamente restritos por notificação do Governo Central
• Os titulares de dados (indivíduos) têm direitos de acesso, correção, eliminação, nomeação e reparação de reclamações
• As regras de implementação (ainda a serem finalizadas) especificarão os principais requisitos operacionais, incluindo formato de notificação de consentimento, períodos de retenção e critérios fiduciários de dados significativos

---

Lei DPDP 2023: Visão geral da estrutura

Terminologia Chave

A Lei DPDP introduz sua própria terminologia, distinta das estruturas influenciadas pelo GDPR:

• Dados pessoais: quaisquer dados sobre um indivíduo que seja identificável por ou em relação a esses dados
• Dados pessoais digitais: Dados pessoais em formato digital ou dados pessoais não digitais posteriormente digitalizados
• Principal dos dados: O indivíduo a quem os dados pessoais se referem (equivalente ao "titular dos dados" do GDPR)
• Fiduciário de dados: Qualquer pessoa que, sozinha ou em conjunto com outras, determine a finalidade e os meios de processamento (equivalente ao "controlador de dados" do GDPR)
• Processador de dados: uma pessoa que processa dados pessoais em nome de um fiduciário de dados
• Fiduciário de dados significativo (SDF): um fiduciário de dados designado pelo Governo Central com base no volume/sensibilidade dos dados, risco para os principais dos dados, considerações de segurança nacional e outros critérios

Escopo

A Lei DPDP se aplica a:

1. Processamento de dados pessoais digitais na Índia
2. Processamento de dados pessoais digitais fora da Índia — se for para fins de oferta de bens ou serviços a responsáveis de dados na Índia

Isenções: Processamento para fins pessoais ou domésticos; dados pessoais disponibilizados publicamente pelo próprio responsável pelos dados ou para os quais o responsável pelos dados é legalmente obrigado a torná-los públicos.

---

Consentimento como Fundação

Ao contrário da maioria das leis globais de proteção de dados com múltiplas bases jurídicas iguais, a Lei DPDP faz do consentimento a principal base jurídica, complementada por “usos legítimos” para categorias específicas enumeradas. Esta é uma escolha de design fundamental com implicações práticas significativas.

Requisitos de consentimento

O consentimento sob a Lei DPDP deve ser:

• Gratuito: Sem coerção ou condicionalidade
• Específico: Para cada finalidade descrita
• Informado: com base em um aviso de consentimento claro
• Incondicional: não depende do fornecimento de mais dados do que o necessário
• Inequívoco: ação afirmativa clara

Requisitos de notificação de consentimento (Seção 5 e 7): Antes de solicitar consentimento, os administradores de dados devem fornecer uma notificação contendo:

• Descrição dos dados pessoais a tratar
• Finalidade do processamento
• Forma como o titular dos dados pode exercer direitos
• Maneira pela qual as reclamações podem ser levantadas com o fiduciário de dados
• Forma como as reclamações podem ser feitas ao DPBI

Os avisos devem ser feitos em inglês e nos idiomas especificados no Oitavo Anexo da Constituição (22 idiomas oficiais) — um requisito operacional significativo para empresas voltadas para o consumidor.

Gerenciadores de consentimento: a Lei DPDP introduz gerentes de consentimento — entidades registradas que atuam como intermediários gerenciando o consentimento em nome dos responsáveis ​​pelos dados. Os responsáveis ​​pelos dados podem gerenciar seus consentimentos entre vários administradores de dados por meio de um único gerenciador de consentimentos. Este é um mecanismo inovador exclusivo da estrutura da Índia.

Usos legítimos (Seção 7)

O processamento sem consentimento é permitido para "usos legítimos" específicos:

1. Funções do Estado: Processamento por órgãos estatais para fornecimento de subsídios, benefícios, serviços, certificados, licenças
2. Emergência médica: Tratamento de emergência médica que ameaça a vida ou risco imediato à saúde
3. Epidemia/desastre: Resposta a epidemias, pandemias ou desastres
4. Fins de emprego: Processamento para cumprimento de obrigações ou exercício de direitos previstos na lei em relação ao emprego (incluindo verificação pré-contratação)
5. Ordens judiciais: Processamento exigido por ordens judiciais
6. Pesquisa e estatísticas: Processamento para prevenção/detecção de fraude, pontuação de crédito, pesquisa jurídica, fins estatísticos — dentro dos padrões prescritos
7. Fins justos e razoáveis: Processamento para fins especificados pelo Governo Central como justos e razoáveis

---

Direitos principais dos dados

A Lei DPDP concede aos responsáveis pelos dados os seguintes direitos (Seções 11 a 14):

Ausência notável: A Lei DPDP não inclui direitos explícitos de portabilidade, restrição ou objeção à tomada de decisão automatizada na mesma forma que o GDPR. As regras de implementação do Governo Central podem abordar algumas destas questões através de normas prescritas.

Cronograma de resposta: A lei não especifica prazos – espera-se que estes sejam prescritos nas regras de implementação. Os fiduciários de dados devem reconhecer as reclamações dentro de um prazo prescrito e resolvê-las dentro de outro prazo prescrito.

---

Obrigações Fiduciárias de Dados

Obrigações Gerais (Seção 8)

Todos os fiduciários de dados devem:

• Manter a precisão dos dados (completude, precisão, consistência com o propósito)
• Implementar proteções de segurança de dados, incluindo criptografia, controles de acesso e resposta a incidentes
• Eliminar dados pessoais quando a finalidade for cumprida ou o consentimento for retirado (a menos que obrigação legal exija a retenção)
• Ter um responsável por reclamações (ou responsável/mecanismo) para reclamações do principal de dados
• Não processar dados de crianças sem consentimento verificável dos pais (para crianças menores de 18 anos)
• Não rastrear ou monitorar o comportamento das crianças nem direcionar publicidade a crianças

Proteção de dados infantis

A Lei DPDP tem disposições rigorosas para dados de crianças (indivíduos com menos de 18 anos):

• O processamento requer consentimento verificável dos pais
• Proibição de rastreamento, monitoramento comportamental e publicidade direcionada dirigida a crianças
• Nenhum processamento de dados de crianças prejudicial ao seu bem-estar

As regras de implementação especificarão o mecanismo técnico para o consentimento verificável dos pais – este é um desafio técnico e de experiência do usuário significativo para aplicativos de consumo.

Fiduciários de Dados Significativos (SDFs)

O Governo Central designará certos fiduciários de dados como Fiduciários de Dados Significativos com base em fatores que incluem:

• Volume e sensibilidade dos dados pessoais tratados
• Risco para os direitos dos titulares de dados
• Impacto potencial na soberania e integridade da Índia
• Risco para a democracia eleitoral
• Segurança do estado
• Ordem pública

Os SDF enfrentam obrigações adicionais (Secção 10):

• Avaliação de impacto na proteção de dados (DPIA): Conduza e documente DPIAs para atividades de processamento de alto risco
• Auditoria de dados: Auditoria periódica realizada por um auditor de dados independente
• Oficial de proteção de dados (DPO): nomear um DPO baseado na Índia como pessoal gerencial chave
• Outras medidas: Conforme prescrito pelo Governo Central

Os critérios para a designação de FDS ainda não estão finalizados – as regras de implementação especificarão limiares. Com base em precedentes internacionais, as empresas tecnológicas com milhões de utilizadores indianos, as plataformas de redes sociais e as grandes empresas de comércio eletrónico são prováveis ​​candidatas.

---

Transferências de dados transfronteiriças

A Seção 16 da Lei DPDP adota uma abordagem notável: os dados pessoais podem ser transferidos para qualquer país fora da Índia, exceto aqueles especificamente restritos por notificação do Governo Central.

Esta é uma abordagem de lista positiva/restrição negativa – o padrão é que as transferências sejam permitidas, mas o governo pode restringir as transferências para países específicos por razões de segurança nacional, estratégicas ou outras.

Implicações práticas:

• As empresas podem transferir dados internacionalmente sem avaliação por transferência (sujeito às restrições do país)
• O Governo Central publicará uma lista de países restritos — as empresas devem monitorar e implementar restrições
• Os requisitos de localização específicos do setor (dados financeiros sob RBI, dados de saúde sob NMC/Ministério da Saúde) continuam a ser aplicados juntamente com a Lei DPDP

Situação atual: No início de 2026, nenhuma notificação de restrição ao país foi emitida. As regras de execução estabelecerão o quadro para a publicação e atualização da lista restrita.

---

Conselho de Proteção de Dados da Índia (DPBI)

A Secção 18 estabelece o DPBI como um órgão adjudicatório independente com poderes para:

• Receber e investigar reclamações de responsáveis de dados
• Conduzir investigações sobre supostas violações
• Passe pedidos, incluindo penalidades financeiras
• Emitir instruções para fiduciários e processadores de dados
• Encaminhar assuntos ao Governo Central para ação política

Estrutura do BIPD: Presidido por um Presidente nomeado pelo Governo Central; os membros incluem especialistas em tecnologia, direito e políticas públicas. O BIPD ainda não está constituído — a sua prontidão operacional dependerá das regras de implementação e das nomeações do governo.

Processo de investigação: Os responsáveis ​​pelos dados podem reclamar ao DPBI depois de esgotarem o mecanismo interno de reclamação do fiduciário de dados. O DPBI pode investigar, obter documentos, convocar testemunhas e emitir notificações de causa. As entidades têm o direito de ser ouvidas antes de uma ordem de sanção.

Penalidades

A Lei DPDP estabelece um cronograma de penalidades (Cronograma da DPBI):

As penalidades são por violação e podem ser cumulativas – uma única violação de dados envolvendo falha de segurança e falha de notificação poderia, teoricamente, atrair um total de ₹ 450 milhões.

---

Notificação de violação

A Seção 8 exige que os administradores de dados notifiquem o DPBI (e os responsáveis ​​pelos dados por meio dos meios prescritos) sobre qualquer violação de dados pessoais. Ao contrário do limite baseado no risco do GDPR (apenas “provável resultar em alto risco”), a Lei DPDP parece exigir a notificação de todas violações que afetem dados pessoais digitais. As regras de execução especificarão:

• Cronograma para notificação
• Forma e conteúdo da notificação
• Forma de notificar os principais de dados afetados

Na ausência de prazos especificados, a melhor prática é alinhar-se com o padrão de 72 horas do GDPR para notificação do DPBI e notificar os responsáveis ​​pelos dados sem demora injustificada sobre violações de alto risco.

---

Cronograma de implementação da lei DPDP

Agosto de 2023: Lei DPDP promulgada e recebida aprovação presidencial

2024: Consulta governamental sobre regras de implementação; períodos de feedback das partes interessadas

2025–2026: Espera-se que regras de implementação sejam notificadas, especificando:

• Formato do aviso de consentimento e requisitos de idioma
• Períodos de retenção de dados
• Critérios e limites de designação de SDF
• Mecanismo verificável de consentimento dos pais
• Requisitos de registro do gerente de consentimento
• Constituição e procedimentos operacionais do DPBI
• Requisitos de qualificação de auditor de dados

Situação atual: A lei está em vigor, mas muitos requisitos operacionais dependem de regras de implementação. As empresas devem conceber programas de conformidade assumindo o rigor do nível do RGPD, ao mesmo tempo que monitorizam o desenvolvimento das regras.

---

Lista de verificação de conformidade da Lei DPDP

• [] Análise de aplicabilidade concluída (operações na Índia, clientes indianos)
• [] Inventário de dados pessoais concluído para todas as atividades de processamento
• [] Aviso de consentimento desenvolvido atendendo aos requisitos das Seções 5 e 7
• Mecanismo de consentimento implementado (afirmativo, específico, incondicionado)
• [] Tradução do aviso de consentimento para os idiomas indianos aplicáveis planejada
• Análise de usos legítimos concluída para processamento sem consentimento
• [] Identificação dos dados das crianças concluída — mecanismo de consentimento dos pais planejado
• [] Procedimentos de direitos principais de dados documentados (acesso, correção, apagamento, nomeação)
• [] Oficial de reclamações designado e informações de contato publicadas
• [] Salvaguardas de segurança implementadas (criptografia, controle de acesso, resposta a incidentes)
• [] Procedimento de notificação de violação documentado (alinhado com os requisitos de relatórios da DPBI)
• Procedimentos de retenção e exclusão de dados documentados e automatizados
• Avaliação de transferência transfronteiriça — monitoramento restrito da lista de países planejado
• Avaliação de designação SDF — prepare-se para obrigações adicionais se for provável que se qualifique
• Processo DPIA estabelecido para processamento de alto risco
• [] Treinamento de funcionários sobre as obrigações da Lei DPDP concluído

---

Perguntas frequentes

A Lei DPDP 2023 está totalmente em vigor?

A Lei DPDP foi promulgada e recebeu parecer favorável do Presidente em Agosto de 2023. No entanto, muitas disposições dependem de regras de implementação (denominadas regras ao abrigo da Lei) que especificam requisitos operacionais. No início de 2026, as regras de execução não tinham sido totalmente notificadas. A própria Lei está em vigor — o que significa que os seus princípios e algumas obrigações se aplicam — mas os requisitos detalhados de conformidade (formato de notificação de consentimento, critérios SDF, procedimentos do DPBI) aguardam regras. As empresas devem preparar quadros de conformidade agora e atualizá-los à medida que as regras são publicadas.

Qual a diferença entre a Lei DPDP e o GDPR?

Várias diferenças significativas: (1) A Lei DPDP utiliza o consentimento como base primária, com “usos legítimos” limitados – o GDPR tem seis bases jurídicas iguais; (2) A Lei DPDP permite transferências transfronteiriças por padrão (com exceção de países restritos pelo governo) — o GDPR restringe as transferências, a menos que exista proteção adequada; (3) A Lei DPDP não inclui direitos explícitos à portabilidade de dados ou restrição no processamento; (4) A Lei DPDP introduz gestores de consentimento — uma inovação única; (5) A estrutura de penalidades da Lei DPDP (máximo de ₹250 crore) é inferior aos máximos potenciais do GDPR para grandes multinacionais; (6) A Lei DPDP aplica-se apenas a dados pessoais digitais – o GDPR aplica-se a todos os dados pessoais, independentemente do formato.

Quem provavelmente será designado como Fiduciário de Dados Significativos?

Os critérios da Secção 10 sugerem que os SDF incluirão: grandes plataformas de redes sociais a operar na Índia, grandes empresas de comércio eletrónico com bases substanciais de utilizadores indianos, empresas que processam dados sensíveis (saúde, financeiros) em grande escala, empresas tecnológicas com volumes de processamento significativos. Com base no limiar análogo de “monitorização sistemática em grande escala” do RGPD e na dimensão da Índia (1,4 mil milhões de população), as empresas com milhões de utilizadores indianos, especialmente nos setores da Internet de consumo, das fintech e das tecnologias de saúde, devem avaliar a probabilidade de SDF e preparar-se para obrigações acrescidas.

Quais são as disposições do gerenciador de consentimento?

Os gestores de consentimento são entidades registadas no DPBI que mantêm plataformas interoperáveis ​​através das quais os responsáveis ​​pelos dados podem dar, gerir, rever e retirar o consentimento entre vários fiduciários de dados. Os fiduciários de dados são responsáveis ​​pelo processamento com base no consentimento obtido por meio de um gerenciador de consentimento. Isto foi projetado para dar aos indivíduos uma visão centralizada e controle de seu consentimento em todo o ecossistema digital. Os requisitos de registo e as normas técnicas para gestores de consentimento serão especificados nas regras de execução.

Como a Lei DPDP se aplica aos dados dos funcionários?

Os dados de emprego são tratados através da disposição de "utilizações legítimas" (Secção 7(f)) - o processamento para efeitos de cumprimento de obrigações ou exercício de direitos ao abrigo da lei em relação ao emprego (incluindo verificação pré-contratação, verificações de antecedentes, folha de pagamento, benefícios) qualifica-se como uma utilização legítima sem necessidade de consentimento. No entanto, os dados dos funcionários para além dos fins de emprego exigiriam consentimento. Espera-se que as regras de execução clarifiquem o âmbito das utilizações legítimas relacionadas com o emprego.

Existem requisitos de localização de dados específicos do setor que ainda se aplicam?

Sim. As disposições de transferência transfronteiriça da Lei DPDP não substituem os requisitos de localização específicos do setor. O Reserve Bank of India (RBI) exige o armazenamento de dados financeiros na Índia (Payment System Data Storage Direction, 2018). A Comissão Médica Nacional e o Ministério da Saúde têm requisitos de localização de dados de saúde. IRDAI (seguros) possui requisitos de localização de dados para seguradoras. As empresas em sectores regulamentados devem satisfazer tanto a Lei DPDP como os requisitos específicos do sector.

---

Próximas etapas

A Lei DPDP da Índia representa um desenvolvimento regulatório significativo para qualquer negócio com operações, clientes ou funcionários indianos. Embora as regras de implementação ainda estejam a ser finalizadas, a construção do seu programa de conformidade agora – especialmente em torno de mecanismos de consentimento, direitos dos principais dados e salvaguardas de segurança – posiciona-o para alcançar a conformidade de forma eficiente quando as regras são notificadas.

A equipe de implementação de tecnologia da ECOSIRE ajuda as empresas a projetar arquiteturas de dados compatíveis com DPDP, sistemas de gerenciamento de consentimento e fluxos de trabalho de operações de privacidade adaptados ao mercado indiano.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. As regras de implementação da Lei DPDP estão pendentes; os requisitos evoluirão à medida que as regras forem notificadas. Consulte um consultor jurídico indiano qualificado para obter aconselhamento específico para a sua organização.