Conformità8 mag 2026 | FlexyConsent

Il DPDP Act indiano nel 2026: La guida per editori e inserzionisti ai Consent Manager, ai trasferimenti transfrontalieri e al Data Protection Board

Il Digital Personal Data Protection Act (DPDPA, 2023) indiano è stato promulgato nell'agosto 2023 e poi ha trascorso la maggior parte del 2024 e del 2025 in un rollout lento e graduale che ha tenuto molti editori stranieri in una fase di attesa. Quel periodo è terminato. Le Regole DPDP sono state notificate integralmente nel corso del 2025, il Data Protection Board of India (DPBI) è ora operativo e gestisce i reclami, e il quadro del Consent Manager — il contributo architetturale distintivo dell'India al diritto globale sulla privacy — è attivo in produzione. Per qualsiasi editore, inserzionista o piattaforma che tratta dati personali di utenti indiani nel 2026, il DPDPA non è più una preoccupazione futura. È l'attuale baseline di conformità, e differisce dal GDPR in modi che contano per come vengono progettati i CMP, i flussi transfrontalieri e i diritti degli interessati. Questa guida illustra il DPDPA nella sua forma attiva, cosa richiede effettivamente il consenso indiano, come l'ecosistema dei Consent Manager cambia il panorama dei CMP e come si presenta in pratica la postura di enforcement del DPBI nel 2026.

La struttura del DPDPA nel 2026

Il DPDPA è una legge autonoma sulla protezione dei dati, distinta dalle leggi settoriali indiane su banca, telecomunicazioni e salute. Il suo rollout è stato deliberatamente graduale in modo che l'ecosistema dei Consent Manager, il DPBI e il regime dei trasferimenti transfrontalieri potessero ciascuno entrare in vigore in sequenza.

L'approvazione del 2023 e il rollout 2024-2025

Il DPDPA è stato approvato dal Parlamento nell'agosto 2023 e ha ricevuto l'assenso presidenziale poco dopo. Il Ministero dell'Elettronica e Informatica (MeitY) ha trascorso il 2024 a consultarsi sulle Regole di attuazione, e le Regole definitive sono state notificate nel corso del 2025 in diverse tranche: prima il quadro di registrazione dei Consent Manager, poi le procedure sui diritti degli interessati, poi le notifiche sui trasferimenti transfrontalieri, poi le soglie per i titolari di dati rilevanti (significant data fiduciary). All'inizio del 2026 l'intero quadro era in vigore.

Chi è soggetto alla normativa

Il DPDPA si applica al trattamento di dati personali digitali di individui in India. Si applica anche in modo extraterritoriale quando il trattamento è in relazione con l'offerta di beni o servizi a interessati (data principal) in India. Un editore con sede negli Stati Uniti che serve utenti indiani attraverso un sito localizzato, una versione in lingua indiana o inventario programmatico acquistato su indirizzi IP indiani rientra nell'ambito. Questa portata extraterritoriale è inequivoca nella legge ed è stata ribadita nelle prime linee guida del DPBI.

Il divario terminologico

Il DPDPA usa un proprio vocabolario che differisce dal GDPR e dalla maggior parte dei più recenti framework asiatici. Un titolare del trattamento (data fiduciary) è ciò che il GDPR chiama controller. Un responsabile del trattamento (data processor) corrisponde perfettamente al processor del GDPR. Un interessato (data principal) è l'interessato al trattamento dei dati. Un titolare di dati rilevante (significant data fiduciary) è un controller al di sopra delle soglie di dimensione o sensibilità notificate dal governo centrale. Gli editori stranieri che si imbattono per la prima volta nel DPDPA spesso mappano erroneamente questi termini; ottenere la mappatura corretta fin dall'inizio evita confusione in seguito.

Cosa conta come dato personale

La definizione di dato personale del DPDPA è ampia e segue da vicino la pratica internazionale. I dati personali sono qualsiasi dato relativo a un individuo che sia identificabile tramite o in relazione a tali dati. Il DPBI ha indicato attraverso le prime linee guida che gli identificatori online — cookie, ID pubblicitari, indirizzi IP, fingerprint dei dispositivi e profili comportamentali — sono dati personali quando possono essere collegati a un individuo identificabile direttamente o attraverso mezzi ragionevoli.

Nessuna categoria sensibile, ma regole sui titolari di dati rilevanti

A differenza del GDPR, dell'LGPD e del PIPA, il DPDPA non definisce formalmente una categoria di dati personali sensibili. La legge si basa invece sulla designazione di titolare di dati rilevante, che applica obblighi aggiuntivi ai controller che trattano dati su larga scala, trattano dati di minori, trattano dati che potrebbero influenzare l'integrità elettorale o trattano dati che potrebbero influenzare la sicurezza nazionale. Il risultato netto è simile alle regole sulle categorie sensibili del GDPR per i trattamenti più grandi e sensibili, ma l'architettura è diversa.

Perché questo conta per i cookie

Un cookie che raccoglie un identificatore pubblicitario ordinario è un dato personale ma non è soggetto a obblighi rafforzati solo perché alimenta un segmento di pubblico dall'aspetto sensibile. Ma un editore che raggiunge la soglia di titolare di dati rilevante — per esempio una grande piattaforma con decine di milioni di utenti indiani — si assume obblighi aggiuntivi tra cui un Responsabile della Protezione dei Dati obbligatorio, audit periodici e Valutazioni d'Impatto sulla Protezione dei Dati. Le soglie di dimensione sono state notificate nel 2025; la maggior parte delle grandi piattaforme globali è ora nell'ambito.

Il consenso ai sensi del DPDPA

Il DPDPA mette il consenso al centro del suo quadro ma lo definisce con un insieme distinto di requisiti che non si mappano uno a uno sul consenso del GDPR.

Lo standard del consenso valido

Il consenso ai sensi del DPDPA deve essere:

Libero — non condizionato alla fornitura di un servizio a cui l'utente ha altrimenti diritto, e non coercitivo
Specifico — legato a una finalità chiaramente identificata, non un consenso generale e generico
Informato — l'interessato comprende quali dati vengono trattati e per quale finalità
Incondizionato — il consenso non è legato a condizioni irrilevanti
Inequivocabile — espresso attraverso una chiara azione affermativa, non dedotto dal silenzio o dall'inattività

Il requisito dell'informativa dettagliata

Il DPDPA richiede un'informativa al momento o prima del consenso che descriva i dati personali da trattare, la finalità del trattamento, le modalità con cui un interessato può esercitare i diritti e le modalità con cui l'interessato può presentare un reclamo al Board. L'informativa deve essere disponibile in inglese e in una qualsiasi delle 22 lingue programmate dell'India richieste dall'interessato.

L'architettura del Consent Manager

È qui che il DPDPA si discosta più nettamente dagli altri framework. La legge istituisce un ruolo con licenza chiamato Consent Manager — un'entità terza registrata presso il DPBI che fornisce una dashboard di consenso interoperabile che consente agli interessati di concedere, rivedere, gestire e revocare i consensi tra più titolari del trattamento da un'unica interfaccia. I Consent Manager devono essere registrati presso il Board e devono soddisfare specifiche di interoperabilità tecnica. In pratica, i titolari del trattamento possono ottenere il consenso direttamente attraverso il proprio CMP o attraverso un Consent Manager registrato, e in molti casi gli interessati scelgono di centralizzare il loro consenso attraverso un Consent Manager piuttosto che gestire separatamente il banner di ciascun sito.

Come appare un CMP conforme

Un CMP configurato per il traffico indiano nel 2026 dovrebbe presentare:

Un banner visibile prima che qualsiasi cookie o tracker non essenziale si attivi, con le azioni Accetta, Rifiuta e Personalizza con uguale prominenza visiva
Disponibilità in inglese e nella lingua programmata preferita dall'utente, se richiesta
Toggle di consenso granulari per finalità, inclusi analisi, pubblicità, personalizzazione e trasferimento transfrontaliero
Un chiaro collegamento all'informativa dettagliata completa con diritti e canale di reclamo del DPBI
Un meccanismo persistente e facile da trovare per revocare il consenso, facile quanto concederlo
Interoperabilità tecnica con i Consent Manager registrati in modo che lo stato del consenso possa essere sincronizzato con il Consent Manager scelto dall'interessato

Registri dei consensi

I titolari del trattamento devono mantenere registri dei consensi, inclusi chi ha acconsentito, quando, attraverso quale interfaccia, a quale finalità, e le eventuali modifiche successive. Il DPBI ha citato registri dei consensi inadeguati in diversi dei suoi procedimenti iniziali, e i registri dei consensi esportabili con timestamp sono l'aspettativa di base.

Trasferimenti di dati transfrontalieri

Il quadro dei trasferimenti transfrontalieri del DPDPA è uno degli elementi più distintivi del regime indiano e differisce in modo significativo dal modello adeguatezza-più-garanzie utilizzato dal GDPR, dal PIPA e dal KVKK modificato.

Il quadro di notifica

Il DPDPA opera su un approccio a lista negativa: i trasferimenti transfrontalieri sono generalmente consentiti a meno che il paese di destinazione non compaia in un elenco di giurisdizioni ristrette notificato dal governo centrale. Questo è l'inverso del modello di adeguatezza del GDPR, che tratta i trasferimenti come vietati in assenza di una decisione di adeguatezza positiva o di garanzie. L'approccio del DPDPA è più permissivo in apparenza, ma la lista negativa può essere ampliata a discrezione del governo, e diverse giurisdizioni sono state inserite nell'elenco nel corso del 2025 per specifiche categorie di dati.

Cosa significa operativamente

Per la maggior parte dei flussi di pubblicità programmatica nel 2026, la risposta è che i trasferimenti transfrontalieri verso le principali destinazioni ad-tech sono consentiti a condizione che il paese di destinazione non sia nella lista ristretta. Gli editori devono verificare l'attuale lista notificata, mantenere documentazione del trasferimento e della sua finalità, ed essere pronti a reindirizzare o sospendere i flussi se una destinazione viene aggiunta. Questo è significativamente più semplice della meccanica dei trasferimenti GDPR per la maggior parte dei flussi, ma il requisito di vigilanza è reale.

Localizzazione settoriale specifica

Separatamente dal DPDPA, diversi regolatori settoriali indiani — tra cui la Reserve Bank of India per i dati finanziari e il Ministero della Salute per i dati sanitari — hanno requisiti di localizzazione propri che si sommano al DPDPA. Un editore che serve utenti indiani in uno di questi settori regolamentati deve conformarsi sia al DPDPA che alle regole settoriali applicabili.

Diritti degli interessati

Il DPDPA garantisce agli interessati un insieme di diritti familiare ma leggermente più ristretto rispetto al GDPR:

Diritto di accesso ai dati personali in corso di trattamento, incluse categorie e responsabili del trattamento
Diritto alla rettifica, al completamento e all'aggiornamento dei dati personali
Diritto alla cancellazione dei dati personali non più necessari per la finalità dichiarata
Diritto di nominare un altro individuo per esercitare i diritti per conto dell'interessato in caso di decesso o incapacità
Diritto al ricorso per i reclami tramite il titolare del trattamento
Diritto di presentare reclamo al Data Protection Board se il ricorso è insoddisfacente

Cosa non è nell'elenco dei diritti

In modo rilevante, il DPDPA non include un diritto autonomo alla portabilità, un diritto generale di opposizione al trattamento, o un diritto esplicito contro le decisioni automatizzate — sebbene il regime dei titolari di dati rilevanti e il meccanismo di revoca del consenso coprano indirettamente gran parte dello stesso terreno.

Tempistiche di risposta

I titolari del trattamento devono rispondere alle richieste degli interessati entro i termini specificati nelle Regole notificate — che nella maggior parte dei casi è entro un periodo ragionevole non superiore alla finestra specificata, con il DPBI che tratta i ritardi significativi come un fallimento di conformità. Il sistema di ricorso per i reclami è il primo passo; solo i reclami irrisolti vengono escalati al Board.

Titolari di dati rilevanti

La designazione di titolare di dati rilevante (SDF) fa scattare obblighi aggiuntivi oltre ai requisiti di base del DPDPA.

Gli obblighi aggiuntivi

Nomina di un Responsabile della Protezione dei Dati con sede in India
Valutazioni d'Impatto sulla Protezione dei Dati periodiche per le attività di trattamento specificate
Audit indipendenti periodici
Obblighi di trasparenza aggiuntivi sul trattamento algoritmico
Notifica delle violazioni e conservazione dei registri più rigorosa

Chi si qualifica

Dimensione, volume di dati personali trattati, sensibilità dei dati, rischio per gli interessati, potenziale impatto sulla democrazia elettorale, sicurezza e sovranità, e potenziale impatto sull'ordine pubblico sono tutti fattori. Il governo centrale notifica gli SDF individualmente o per classe. La maggior parte delle grandi piattaforme globali che servono l'India rientra nelle classi notificate nel 2026.

Dati dei minori

Il DPDPA definisce bambino qualsiasi individuo di età inferiore ai 18 anni — una soglia più alta rispetto all'impostazione predefinita del GDPR di 16 anni e alle varie soglie nazionali più basse. Il trattamento dei dati personali dei minori richiede il consenso verificabile dei genitori, e il tracciamento, la pubblicità mirata e il monitoraggio comportamentale dei minori sono limitati indipendentemente dallo stato del consenso. Gli editori i cui pubblici includono un traffico significativo di under 18 hanno bisogno di age-gating, flussi di consenso parentale e trattamento limitato per il segmento dei minori — tutto ciò richiede un vero lavoro di ingegneria che pochi editori stranieri hanno completato per impostazione predefinita.

Sanzioni e enforcement

Il DPDPA ha introdotto un regime sanzionatorio più alto rispetto alle storiche sanzioni amministrative indiane e significativamente calibrato sulla gravità della violazione.

Sanzioni amministrative

Il DPDPA consente sanzioni fino a INR 250 crore (circa USD 30 milioni) per violazione per le violazioni più gravi. Sanzioni di livello inferiore si applicano alle mancanze relative a consenso, informativa, sicurezza, notifica delle violazioni e ricorso per reclami. Il DPBI ha utilizzato la fascia media della scala diverse volte nel 2025 e all'inizio del 2026, e la struttura sanzionatoria è progettata per escalare con il fallimento sistematico.

I temi di enforcement del DPBI

Le prime decisioni del DPBI si concentrano attorno a un piccolo insieme di problemi ricorrenti: banner di consenso senza una vera opzione di rifiuto, informative che non descrivono i canali di reclamo del DPBI, flussi transfrontalieri verso destinazioni nella lista ristretta, sistemi di ricorso che non rispondono effettivamente, e fallimenti di interoperabilità dei Consent Manager. Gli editori stranieri sono stati citati in quasi tutte queste categorie.

Dimensione reputazionale

Il DPBI pubblica le sue decisioni pubblicamente, incluso il nome del titolare del trattamento e un riepilogo del fallimento. In un mercato indiano dove l'attrito regolatorio si traduce rapidamente in copertura mediatica e attenzione politica, il costo reputazionale di una decisione del DPBI pubblicata è significativo oltre alla penalità finanziaria.

Checklist di audit per il traffico indiano nel 2026

Il banner CMP viene servito con Accetta, Rifiuta e Personalizza con uguale prominenza visiva
L'informativa è disponibile in inglese e nella lingua programmata richiesta dall'interessato, ove applicabile
L'informativa descrive esplicitamente il canale di reclamo del DPBI e i diritti dell'interessato
Le finalità del consenso sono granulari, con il trasferimento transfrontaliero come finalità separata
L'interoperabilità tecnica con almeno un Consent Manager registrato è in atto
La revoca del consenso è facile quanto concederlo e attiva l'eliminazione downstream e il filtraggio dell'attivazione
Il flusso di lavoro sui diritti degli interessati — accesso, rettifica, cancellazione, nomina — è presidiato e documentato
Il canale di ricorso per i reclami è presidiato con i tempi di risposta monitorati
Le destinazioni dei trasferimenti transfrontalieri vengono verificate rispetto all'attuale lista ristretta e documentate
Gli obblighi dei titolari di dati rilevanti — DPO, DPIA, audit — sono in atto se la soglia è superata
Un flusso sensibile all'età per gli utenti under 18, con consenso parentale verificabile ove applicabile
Le regole di localizzazione e trattamento specifiche del settore sono documentate e rispettate se l'editore opera in un settore regolamentato

Le prospettive per il 2026

Il regime della privacy indiano è passato dall'astrazione legislativa alla realtà operativa nello spazio di poco più di due anni. L'architettura del DPDPA è distintiva — l'ecosistema dei Consent Manager è l'esperimento globale più visibile nel consenso portabile e interoperabile, e l'approccio dei trasferimenti a lista negativa è significativamente diverso dal modello adeguatezza-più-garanzie che domina gli altri framework. Per gli editori che già gestiscono uno stack di consenso di livello GDPR, il divario verso la conformità al DPDPA è operativo piuttosto che architetturale: interoperabilità dei Consent Manager, informative in lingua programmata, comunicazioni sui reclami al DPBI, la soglia under 18 e il controllo dei trasferimenti a lista negativa. Il divario può essere colmato in settimane se viene prioritizzato. Gli editori che lo colmano prima che il DPBI bussi alla loro porta non noteranno la transizione. Quelli che aspettano troveranno il 2026 e il 2027 significativamente più costosi degli anni precedenti.