A chi si applica il DPDP Act

Il DPDP Act disciplina il trattamento dei dati personali digitali all'interno dell'India, nonché il trattamento al di fuori dell'India che riguarda l'offerta di beni o servizi a persone che si trovano in India. In pratica, se il tuo sito è accessibile agli utenti indiani e attraverso di esso raccogli dati personali — anche tramite cookie, SDK, pixel o fingerprinting — la legge ti si applica quasi certamente.

La normativa utilizza due ruoli chiave: il Data Fiduciary (equivalente al titolare del trattamento del GDPR) e il Data Processor. Un numero ristretto tra i più grandi operatori può essere designato come Significant Data Fiduciary, con l'attivazione di obblighi aggiuntivi quali le Data Protection Impact Assessment e la nomina di un Data Protection Officer residente in India.

Come il DPDP Act tratta cookie e tracker

A differenza della direttiva ePrivacy, il DPDP Act non individua i cookie come categoria separata. Regola invece qualsiasi trattamento di dati personali digitali. Ciò significa che cookie, identificatori di dispositivo, indirizzi IP, ID pubblicitari ed email in hash rientrano tutti nell'ambito quando sono collegati — direttamente o indirettamente — a una persona identificabile.

L'implicazione per i publisher è chiara: se un cookie o un tag presente sul tuo sito fa sì che vengano raccolti o condivisi dati personali, ti serve una base giuridica valida. Secondo il DPDP Act quella base è quasi sempre il consenso, con una ristretta serie di eccezioni per gli "utilizzi legittimi" definiti dalla legge.

Che aspetto ha un consenso valido

Il DPDP Act fissa un'asticella alta per il consenso. Deve essere libero, specifico, informato, incondizionato e inequivocabile, ed espresso attraverso un'azione affermativa chiara. Caselle pre-selezionate, consenso implicito ricavato dalla continuazione della navigazione e design di tipo "cookie wall" che condizionano l'accesso all'accettazione non sono compatibili con questi requisiti.

Due ulteriori regole specifiche del DPDP sono rilevanti per l'UX del consenso:

• Informativa dettagliata: prima o al momento del consenso devi fornire all'utente un'informativa chiara che identifichi i dati raccolti, le finalità del trattamento e le modalità con cui l'utente può ritirare il consenso o presentare un reclamo al Data Protection Board of India.
• Linguaggio semplice e supporto multilingue: le informative devono essere disponibili in inglese e in una qualsiasi delle 22 lingue ufficiali indiane scelte dall'utente. Una CMP che non è in grado di presentare i contenuti di consenso in hindi, tamil, bengalese, marathi e altre lingue principali farà fatica a essere conforme.

Dati dei minori e consenso dei genitori

Il DPDP Act considera chiunque abbia meno di 18 anni un minore e richiede un consenso genitoriale verificabile prima di trattarne i dati personali. Vieta inoltre il monitoraggio comportamentale e la pubblicità mirata rivolta ai minori. Qualsiasi sito accessibile a minori in India — che in pratica significa quasi tutti i siti — deve prevedere una strategia di age-gating o basata sul rischio e deve essere in grado di bloccare gli script di tracciamento in assenza di consenso genitoriale.

Diritti degli utenti che la tua CMP deve supportare

I Data Principal (utenti) in India dispongono di una serie di diritti che devono essere esercitabili tramite il tuo livello di consenso e preferenze:

• Diritto di accesso a un riepilogo dei propri dati personali in corso di trattamento.
• Diritto di rettifica e cancellazione dei propri dati.
• Diritto di revocare il consenso in qualsiasi momento, con la stessa facilità con cui è stato prestato.
• Diritto di nominare un'altra persona che eserciti i diritti in caso di decesso o incapacità.
• Diritto al reclamo, prima presso il Data Fiduciary e poi presso il Data Protection Board of India.

Una CMP conforme dovrebbe esporre un link permanente alle preferenze, supportare la revoca del consenso con un clic e registrare gli eventi di consenso in modo da poterli produrre su richiesta in caso di accertamento.

Trasferimenti transfrontalieri di dati

Il DPDP Act adotta un approccio a "lista negativa" per i trasferimenti internazionali: i dati personali possono essere trasferiti al di fuori dell'India a meno che il paese di destinazione non sia specificamente limitato dal governo centrale. È più permissivo del regime di adequacy del GDPR, ma dovresti comunque documentare quali paesi terzi ricevono dati provenienti da utenti indiani e monitorare l'elenco delle restrizioni pubblicato.

Sanzioni e applicazione

Le sanzioni pecuniarie previste dal DPDP Act sono significative. Il Data Protection Board può imporre multe fino a 250 crore di rupie (circa 30 milioni di dollari USA) in caso di mancata adozione di ragionevoli misure di sicurezza e fino a 200 crore di rupie in caso di mancato adempimento degli obblighi nei confronti dei minori. Le violazioni relative al consenso — inclusa la raccolta del consenso tramite banner non conformi — sono soggette a sanzioni fino a 50 crore di rupie per violazione.

Implementare un consenso conforme al DPDP nella tua CMP

1. Rileva geograficamente gli utenti indiani e applica un template di consenso specifico per il DPDP anziché riutilizzare un banner GDPR. I contenuti dell'informativa richiesti e le opzioni linguistiche sono differenti.
2. Presenta le informative in più lingue indiane. Come minimo supporta hindi e inglese e aggiungi le lingue regionali in base alla distribuzione del tuo traffico.
3. Blocca per impostazione predefinita tutti i tracker non essenziali. Carica gli SDK di pubblicità, analytics e terze parti solo dopo un consenso affermativo.
4. Separa chiaramente le finalità. Non raggruppare pubblicità, analytics e personalizzazione in un'unica azione di "accetta" se un utente potrebbe ragionevolmente voler acconsentire solo ad alcune e non ad altre.
5. Registra gli eventi di consenso e revoca con timestamp, la versione esatta dell'informativa mostrata e la scelta linguistica dell'utente, così da poter dimostrare la conformità in caso di indagini regolamentari.
6. Fornisci un link alle preferenze visibile in ogni pagina, che permetta agli utenti di rivedere, aggiornare o revocare il consenso in qualsiasi momento.

DPDP vs. GDPR: differenze pratiche

• Nessuna base del "legittimo interesse". Il DPDP Act non riconosce il legittimo interesse come base giuridica generale nel modo in cui lo fa il GDPR. Il consenso assume maggior peso, quindi il design dell'UX conta di più.
• Regole più severe sui minori. L'età del consenso digitale è 18 anni, non 13 o 16, e la pubblicità mirata ai minori è espressamente vietata.
• L'obbligo di informativa multilingue è peculiare del DPDP Act e non può essere soddisfatto con un banner solo in inglese.
• Gli obblighi del Significant Data Fiduciary creano un secondo livello di conformità per gli operatori ad alto rischio che non ha un analogo diretto nel GDPR.

Conclusione

Il DPDP Act porta l'India nel moderno panorama globale della protezione dei dati con una propria impronta distintiva — consent-first, multilingue per progettazione e protettiva nei confronti dei minori in misura inusuale. Publisher e piattaforme che già operano con una CMP di livello GDPR partono avvantaggiati, ma dovranno comunque adattare i contenuti dei banner, il supporto linguistico, la gestione dell'età e il logging per rispettare i requisiti del DPDP. Trattare l'India come "solo un'altra giurisdizione GDPR" è il modo più rapido per ritrovarsi davanti al Data Protection Board.