Struktur DPDPA di 2026

DPDPA adalah undang-undang perlindungan data tersendiri, terpisah dari undang-undang sektoral India tentang perbankan, telekomunikasi, dan kesehatan. Peluncurannya dilakukan secara bertahap agar ekosistem Consent Manager, DPBI, dan rezim transfer lintas batas masing-masing dapat berjalan secara berurutan.

Pengesahan 2023 dan Peluncuran 2024-2025

DPDPA disahkan oleh Parlemen pada Agustus 2023 dan segera mendapat persetujuan presiden. Kementerian Elektronik dan Teknologi Informasi (MeitY) menghabiskan 2024 untuk berkonsultasi mengenai Aturan implementasi, dan Aturan final dinotifikasikan sepanjang 2025 dalam beberapa tahap: kerangka pendaftaran Consent Manager pertama, kemudian prosedur hak subjek data, kemudian notifikasi transfer lintas batas, kemudian ambang batas pengelola data penting (significant data fiduciary). Pada awal 2026, kerangka penuh telah berlaku.

Siapa yang Diatur

DPDPA berlaku untuk pemrosesan data pribadi digital individu di India. Juga berlaku secara ekstrateritorial ketika pemrosesan berkaitan dengan penawaran barang atau jasa kepada pemilik data (data principal) di India. Penerbit berbasis AS yang melayani pengguna India melalui situs yang dilokalisasi, versi berbahasa India, atau inventaris programatik yang dibeli terhadap alamat IP India berada dalam cakupan. Jangkauan ekstrateritorial ini jelas dalam undang-undang dan telah diperkuat dalam panduan awal DPBI.

Kesenjangan Terminologi

DPDPA menggunakan kosakata tersendiri yang berbeda dari GDPR dan dari sebagian besar kerangka Asia yang lebih baru. Pengelola data (data fiduciary) adalah apa yang GDPR sebut sebagai pengontrol. Pemroses data (data processor) sesuai dengan pemroses GDPR. Pemilik data (data principal) adalah subjek data. Pengelola data penting (significant data fiduciary) adalah pengontrol di atas ambang ukuran atau sensitivitas yang dinotifikasikan oleh pemerintah pusat. Penerbit asing yang pertama kali bertemu DPDPA sering salah memetakan istilah-istilah ini; mendapatkan pemetaan yang benar sejak awal menghemat kebingungan di kemudian hari.

Apa yang Dianggap Data Pribadi

Definisi data pribadi DPDPA luas dan mengikuti praktik internasional. Data pribadi adalah data apa pun tentang individu yang dapat diidentifikasi oleh atau sehubungan dengan data tersebut. DPBI telah mengindikasikan melalui panduan awal bahwa pengidentifikasi online — cookie, ID iklan, alamat IP, sidik jari perangkat, dan profil perilaku — adalah data pribadi ketika dapat dikaitkan dengan individu yang dapat diidentifikasi secara langsung atau melalui cara yang wajar.

Tidak Ada Kategori Sensitif, Tetapi Ada Aturan Pengelola Data Penting

Tidak seperti GDPR, LGPD, dan PIPA, DPDPA tidak secara formal mendefinisikan kategori data pribadi sensitif. Sebagai gantinya, Undang-Undang mengandalkan penunjukan pengelola data penting, yang menerapkan kewajiban tambahan kepada pengontrol yang memproses data dalam skala besar, memproses data anak-anak, memproses data yang dapat memengaruhi integritas pemilu, atau memproses data yang dapat memengaruhi keamanan nasional. Hasil bersihnya serupa dengan aturan kategori sensitif GDPR untuk pemroses terbesar dan paling sensitif, tetapi arsitekturnya berbeda.

Mengapa Ini Penting untuk Cookie

Cookie yang mengumpulkan pengidentifikasi iklan rutin adalah data pribadi tetapi tidak tunduk pada kewajiban yang ditingkatkan hanya karena mengisi segmen audiens yang tampak sensitif. Tetapi penerbit yang mencapai ambang pengelola data penting — misalnya platform besar dengan puluhan juta pengguna India — mengambil kewajiban tambahan termasuk Petugas Perlindungan Data yang wajib, audit berkala, dan Penilaian Dampak Perlindungan Data. Ambang ukuran dinotifikasikan pada 2025; sebagian besar platform global kini berada dalam cakupan.

Persetujuan di Bawah DPDPA

DPDPA menempatkan persetujuan di pusat kerangkanya tetapi mendefinisikannya dengan serangkaian persyaratan yang tidak dipetakan satu-ke-satu dengan persetujuan GDPR.

Standar Persetujuan yang Valid

Persetujuan di bawah DPDPA harus:

• Bebas — tidak dikondisikan pada penyediaan layanan yang otherwise berhak diperoleh pengguna, dan tidak dipaksa
• Spesifik — terikat pada tujuan yang jelas diidentifikasi, bukan persetujuan umum yang luas
• Terinformasi — pemilik data memahami data apa yang diproses dan untuk tujuan apa
• Tanpa syarat — persetujuan tidak terikat pada kondisi yang tidak relevan
• Tidak ambigu — dinyatakan melalui tindakan afirmatif yang jelas, tidak disimpulkan dari diam atau ketidakaktifan

Persyaratan Pemberitahuan Terperinci

DPDPA mewajibkan pemberitahuan pada atau sebelum titik persetujuan yang menjelaskan data pribadi yang akan diproses, tujuan pemrosesan, cara pemilik data dapat menggunakan hak, dan cara pemilik data dapat mengajukan keluhan kepada Dewan. Pemberitahuan harus tersedia dalam bahasa Inggris dan dalam salah satu dari 22 bahasa terjadwal India yang diminta oleh pemilik data.

Arsitektur Consent Manager

Di sinilah DPDPA paling tajam menyimpang dari kerangka lain. Undang-Undang menetapkan peran berlisensi yang disebut Consent Manager — entitas pihak ketiga yang terdaftar di DPBI yang menyediakan dasbor persetujuan yang dapat dioperasikan bersama, memungkinkan pemilik data untuk memberikan, meninjau, mengelola, dan mencabut persetujuan di berbagai pengelola data dari satu antarmuka. Consent Manager harus terdaftar di Dewan dan harus memenuhi spesifikasi interoperabilitas teknis. Dalam praktiknya, pengelola data dapat memperoleh persetujuan baik langsung melalui CMP mereka sendiri atau melalui Consent Manager yang terdaftar, dan dalam banyak kasus pemilik data memilih untuk memusatkan persetujuan mereka melalui Consent Manager daripada mengelola spanduk setiap situs secara terpisah.

Seperti Apa CMP yang Patuh

CMP yang dikonfigurasi untuk lalu lintas India pada 2026 harus menampilkan:

• Spanduk yang terlihat sebelum cookie atau pelacak non-esensial apa pun aktif, dengan tindakan Terima, Tolak, dan Sesuaikan pada keunggulan visual yang sama
• Ketersediaan dalam bahasa Inggris dan dalam bahasa terjadwal pilihan pengguna jika diminta
• Toggle persetujuan terperinci per tujuan, termasuk analitik, iklan, personalisasi, dan transfer lintas batas
• Tautan yang jelas ke pemberitahuan terperinci lengkap termasuk hak dan saluran pengaduan DPBI
• Mekanisme yang mudah ditemukan secara persisten untuk mencabut persetujuan yang semudah memberikan persetujuan
• Interoperabilitas teknis dengan Consent Manager yang terdaftar sehingga status persetujuan dapat disinkronkan dengan Consent Manager pilihan pemilik data

Catatan Persetujuan

Pengelola data harus memelihara catatan persetujuan, termasuk siapa yang menyetujui, kapan, melalui antarmuka mana, untuk tujuan apa, dan perubahan selanjutnya. DPBI telah mengutip log persetujuan yang tidak memadai dalam beberapa proses awalnya, dan catatan persetujuan yang dapat diekspor dan diberi stempel waktu adalah ekspektasi dasar.

Transfer Data Lintas Batas

Kerangka transfer lintas batas DPDPA adalah salah satu elemen paling khas dari rezim India dan berbeda secara bermakna dari pola kecukupan-plus-perlindungan yang digunakan oleh GDPR, PIPA, dan KVKK yang telah diubah.

Kerangka Notifikasi

DPDPA beroperasi dengan pendekatan daftar negatif: transfer lintas batas umumnya diizinkan kecuali negara tujuan tercantum dalam daftar yurisdiksi terbatas yang dinotifikasikan oleh pemerintah pusat. Ini adalah kebalikan dari model kecukupan GDPR, yang memperlakukan transfer sebagai dilarang tanpa keputusan kecukupan positif atau perlindungan. Pendekatan DPDPA lebih permisif di permukaannya, tetapi daftar negatif dapat diperluas atas kebijaksanaan pemerintah, dan beberapa yurisdiksi telah ditempatkan dalam daftar selama 2025 untuk kategori data tertentu.

Apa Artinya Secara Operasional

Untuk sebagian besar aliran iklan programatik pada 2026, jawabannya adalah transfer lintas batas ke tujuan ad-tech utama diizinkan asalkan negara tujuan tidak ada dalam daftar terbatas. Penerbit perlu memeriksa daftar yang dinotifikasikan saat ini, menyimpan dokumentasi transfer dan tujuannya, dan bersiap untuk mengalihkan atau menjeda aliran jika tujuan ditambahkan. Ini jauh lebih sederhana daripada mekanisme transfer GDPR untuk sebagian besar aliran, tetapi persyaratan kewaspadaan itu nyata.

Lokalisasi Khusus Sektor

Terpisah dari DPDPA, beberapa regulator sektoral India — termasuk Reserve Bank of India untuk data keuangan dan Kementerian Kesehatan untuk data kesehatan — memiliki persyaratan lokalisasi sendiri yang berada di atas DPDPA. Penerbit yang melayani pengguna India di salah satu sektor yang diatur ini perlu mematuhi DPDPA dan aturan sektoral yang berlaku.

Hak Pemilik Data

DPDPA memberikan pemilik data kluster hak yang familiar tetapi sedikit lebih sempit dari GDPR:

• Hak untuk mengakses data pribadi yang sedang diproses, termasuk kategori dan pemroses
• Hak untuk koreksi, pelengkapan, dan pembaruan data pribadi
• Hak untuk penghapusan data pribadi yang tidak lagi diperlukan untuk tujuan yang dinyatakan
• Hak untuk menunjuk individu lain untuk menggunakan hak atas nama pemilik data jika terjadi kematian atau ketidakmampuan
• Hak redressal keluhan melalui pengelola data
• Hak untuk mengajukan keluhan kepada Dewan Perlindungan Data jika redressal keluhan tidak memuaskan

Apa yang Tidak Ada dalam Daftar Hak

Perlu dicatat bahwa DPDPA tidak mencakup hak portabilitas yang berdiri sendiri, hak umum untuk keberatan terhadap pemrosesan, atau hak eksplisit terhadap pengambilan keputusan otomatis — meskipun rezim pengelola data penting dan mekanisme penarikan persetujuan mencakup banyak area yang sama secara tidak langsung.

Tenggat Waktu Respons

Pengelola data harus merespons permintaan pemilik data dalam tenggat waktu yang ditentukan dalam Aturan yang dinotifikasikan — yang dalam kebanyakan kasus adalah dalam periode yang wajar tidak melebihi jendela yang ditentukan, dengan DPBI memperlakukan keterlambatan yang berarti sebagai kegagalan kepatuhan. Sistem redressal keluhan adalah langkah pertama; hanya keluhan yang tidak terselesaikan yang meningkat ke Dewan.

Pengelola Data Penting

Penunjukan pengelola data penting (SDF) memicu kewajiban tambahan di luar persyaratan dasar DPDPA.

Kewajiban Tambahan

• Penunjukan Petugas Perlindungan Data yang berbasis di India
• Penilaian Dampak Perlindungan Data berkala untuk aktivitas pemrosesan yang ditentukan
• Audit independen berkala
• Kewajiban transparansi tambahan tentang pemrosesan algoritmik
• Notifikasi pelanggaran dan penyimpanan catatan yang lebih ketat

Siapa yang Memenuhi Syarat

Ukuran, volume data pribadi yang diproses, sensitivitas data, risiko terhadap pemilik data, potensi dampak pada demokrasi pemilu, keamanan, dan kedaulatan, serta potensi dampak pada ketertiban umum semuanya menjadi faktor. Pemerintah pusat memberi tahu SDF secara individual atau berdasarkan kelas. Sebagian besar platform global besar yang melayani India berada dalam kelas yang dinotifikasikan pada 2026.

Data Anak

DPDPA mendefinisikan anak sebagai individu di bawah 18 tahun — ambang yang lebih tinggi dari default GDPR sebesar 16 dan berbagai ambang nasional yang lebih rendah. Memproses data pribadi anak-anak memerlukan persetujuan orang tua yang dapat diverifikasi, dan pelacakan, iklan bertarget, dan pemantauan perilaku anak-anak dibatasi terlepas dari status persetujuan. Penerbit yang audiensnya mencakup lalu lintas signifikan di bawah 18 tahun memerlukan pembatasan usia, alur persetujuan orang tua, dan pemrosesan terbatas untuk segmen minor — semuanya memerlukan pekerjaan rekayasa nyata yang belum diselesaikan secara default oleh sedikit penerbit asing.

Penalti dan Penegakan

DPDPA memperkenalkan rezim penalti yang lebih tinggi dari denda administratif India historis dan secara bermakna disesuaikan dengan tingkat keparahan pelanggaran.

Penalti Administratif

DPDPA mengizinkan penalti hingga INR 250 crore (sekitar USD 30 juta) per pelanggaran untuk pelanggaran paling serius. Penalti tingkat lebih rendah berlaku untuk kegagalan seputar persetujuan, pemberitahuan, keamanan, notifikasi pelanggaran, dan redressal keluhan. DPBI telah menggunakan bagian tengah kisaran beberapa kali pada 2025 dan awal 2026, dan struktur penalti dirancang untuk meningkat dengan kegagalan sistematis.

Tema Penegakan DPBI

Keputusan DPBI awal berkumpul di sekitar sejumlah kecil masalah berulang: spanduk persetujuan tanpa opsi Tolak yang tulus, pemberitahuan yang tidak menjelaskan saluran pengaduan DPBI, aliran lintas batas ke tujuan dalam daftar terbatas, sistem redressal keluhan yang tidak benar-benar merespons, dan kegagalan interoperabilitas Consent Manager. Penerbit asing telah dikutip di hampir semua kategori ini.

Dimensi Reputasi

DPBI menerbitkan keputusannya secara publik, termasuk nama pengelola data dan ringkasan kegagalan. Di pasar India di mana gesekan regulasi dengan cepat diterjemahkan menjadi liputan media dan perhatian politik, biaya reputasi dari keputusan DPBI yang diterbitkan bermakna di atas penalti finansial.

Daftar Periksa Audit untuk Lalu Lintas India di 2026

• Spanduk CMP disajikan dengan Terima, Tolak, dan Sesuaikan pada keunggulan visual yang sama
• Pemberitahuan tersedia dalam bahasa Inggris dan dalam bahasa terjadwal yang diminta pemilik data jika berlaku
• Pemberitahuan secara eksplisit menjelaskan saluran pengaduan DPBI dan hak pemilik data
• Tujuan persetujuan terperinci, dengan transfer lintas batas sebagai tujuan terpisah
• Interoperabilitas teknis dengan setidaknya satu Consent Manager terdaftar telah tersedia
• Penarikan persetujuan semudah memberikan persetujuan, dan memicu pemfilteran penghapusan dan aktivasi downstream
• Alur hak pemilik data — akses, koreksi, penghapusan, nominasi — sudah memiliki staf dan didokumentasikan
• Saluran redressal keluhan memiliki staf dengan tenggat waktu respons yang dilacak
• Tujuan transfer lintas batas ditinjau terhadap daftar terbatas saat ini dan didokumentasikan
• Kewajiban pengelola data penting — DPO, DPIA, audit — tersedia jika ambang terlampaui
• Alur yang sadar usia untuk pengguna di bawah 18 tahun, dengan persetujuan orang tua yang dapat diverifikasi jika berlaku
• Aturan lokalisasi dan pemrosesan khusus sektor didokumentasikan dan dipatuhi jika penerbit beroperasi di sektor yang diatur

Pandangan 2026

Rezim privasi India telah bergerak dari abstraksi legislatif ke kenyataan operasional dalam ruang sedikit lebih dari dua tahun. Arsitektur DPDPA khas — ekosistem Consent Manager adalah eksperimen global paling terlihat dalam persetujuan yang portabel dan dapat dioperasikan bersama, dan pendekatan transfer daftar negatif secara bermakna berbeda dari pola kecukupan-plus-perlindungan yang mendominasi kerangka lain. Bagi penerbit yang sudah menjalankan tumpukan persetujuan setara GDPR, kesenjangan menuju kepatuhan DPDPA bersifat operasional daripada arsitektural: interoperabilitas Consent Manager, pemberitahuan bahasa terjadwal, pengungkapan pengaduan DPBI, ambang batas di bawah 18 tahun, dan pemeriksaan transfer daftar negatif. Kesenjangan dapat ditutup dalam beberapa minggu jika diprioritaskan. Penerbit yang menutupnya sebelum DPBI tiba di pintu mereka tidak akan menyadari transisi itu. Mereka yang menunggu akan menemukan 2026 dan 2027 jauh lebih mahal dari tahun-tahun sebelumnya.