Quem está sujeito ao DPDP Act

O DPDP Act regula o tratamento de dados pessoais digitais na Índia, bem como o tratamento realizado fora da Índia que se relacione com a oferta de bens ou serviços a indivíduos na Índia. Na prática, se o seu site é acessível a utilizadores indianos e você recolhe dados pessoais através dele — incluindo por meio de cookies, SDKs, pixels ou fingerprinting — a Lei quase certamente se aplica a si.

A Lei utiliza dois papéis principais: o Data Fiduciary (equivalente ao controlador no GDPR) e o Data Processor. Um pequeno número dos maiores operadores pode ser designado como Significant Data Fiduciaries, o que acarreta obrigações adicionais, como a realização de Avaliações de Impacto sobre Proteção de Dados e a nomeação de um Encarregado de Proteção de Dados residente na Índia.

Como o DPDP Act trata cookies e trackers

Ao contrário da diretiva ePrivacy, o DPDP Act não destaca os cookies como uma categoria separada. Em vez disso, regula qualquer tratamento de dados pessoais digitais. Isto significa que cookies, identificadores de dispositivo, endereços IP, IDs de publicidade e e‑mails com hash ficam todos dentro do âmbito quando estão ligados — direta ou indiretamente — a uma pessoa identificável.

A implicação para publishers é simples: se um cookie ou tag no seu site faz com que dados pessoais sejam recolhidos ou partilhados, você precisa de uma base jurídica válida. Ao abrigo do DPDP Act, essa base é quase sempre o consentimento, com um conjunto restrito de exceções para "utilizações legítimas" definidas pela própria Lei.

Como é um consentimento válido

O DPDP Act estabelece um padrão elevado para o consentimento. Ele deve ser livre, específico, informado, incondicional e inequívoco, e manifestado através de uma ação afirmativa clara. Caixas pré‑selecionadas, consentimento implícito pela continuação da navegação e "muros de cookies" que condicionem o acesso à aceitação não são compatíveis com estes requisitos.

Duas regras adicionais específicas do DPDP são importantes para o UX de consentimento:

• Aviso itemizado: Antes ou no momento da recolha do consentimento, você deve fornecer ao utilizador um aviso claro identificando os dados recolhidos, as finalidades do tratamento e como o utilizador pode retirar o consentimento ou apresentar uma queixa ao Data Protection Board of India.
• Linguagem simples e suporte multilíngue: Os avisos devem estar disponíveis em inglês e em qualquer uma das 22 línguas oficiais da Índia que o utilizador selecionar. Um CMP que não consiga apresentar o conteúdo de consentimento em hindi, tâmil, bengali, marata e outras línguas principais terá dificuldade em cumprir a Lei.

Dados de crianças e consentimento parental

O DPDP Act trata qualquer pessoa com menos de 18 anos como criança e exige consentimento parental verificável antes de tratar os seus dados pessoais. Também proíbe a monitorização comportamental e a publicidade direcionada dirigida a crianças. Qualquer site acessível a menores na Índia — o que, na prática, significa quase todos os sites — precisa de uma estratégia de controlo de idade ou baseada em risco e deve ser capaz de bloquear scripts de rastreamento quando o consentimento parental estiver ausente.

Direitos dos utilizadores que o seu CMP deve suportar

Os Data Principals (utilizadores) na Índia têm um conjunto de direitos que devem ser operacionalizáveis através da sua camada de consentimento e preferências:

• Direito de acesso a um resumo dos dados pessoais que estão a ser tratados.
• Direito de correção e eliminação dos seus dados.
• Direito de retirar o consentimento a qualquer momento, com a mesma facilidade com que o deu.
• Direito de nomear outra pessoa para exercer direitos em caso de morte ou incapacidade.
• Direito à resolução de queixas, primeiro junto do Data Fiduciary e depois junto do Data Protection Board of India.

Um CMP em conformidade deve disponibilizar um link persistente para preferências, suportar retirada de consentimento com um só clique e registar eventos de consentimento de forma a poder apresentá‑los quando solicitados numa investigação.

Transferências internacionais de dados

O DPDP Act adota uma abordagem de "lista negativa" para transferências internacionais: dados pessoais podem ser transferidos para fora da Índia, a menos que o país de destino seja especificamente restringido pelo Governo Central. Isto é mais permissivo do que o regime de adequação do GDPR, mas você deve, ainda assim, documentar que países terceiros recebem dados de utilizadores indianos e monitorizar a lista de restrições publicada.

Sanções e aplicação

As sanções financeiras ao abrigo do DPDP Act são substanciais. O Data Protection Board pode impor multas de até ₹250 crore (aproximadamente $30 million USD) por não adotar salvaguardas de segurança razoáveis, e até ₹200 crore por não cumprir obrigações relativas a crianças. Falhas relacionadas com consentimento — incluindo a recolha de consentimento através de banners não conformes — estão sujeitas a multas de até ₹50 crore por infração.

Implementar consentimento em conformidade com o DPDP no seu CMP

1. Detete geograficamente utilizadores indianos e aplique um modelo de consentimento específico para o DPDP, em vez de reutilizar um banner concebido para o GDPR. O conteúdo de aviso exigido e as opções de idioma são diferentes.
2. Apresente avisos em várias línguas indianas. No mínimo, suporte hindi e inglês, e adicione línguas regionais com base na distribuição do seu tráfego.
3. Bloqueie todos os trackers não essenciais por padrão. Carregue SDKs de publicidade, analítica e terceiros apenas após o consentimento afirmativo.
4. Separe claramente as finalidades. Não agregue publicidade, analítica e personalização numa única ação de "aceitar" se o utilizador puder razoavelmente querer consentir com algumas finalidades, mas não com outras.
5. Registe eventos de consentimento e de retirada com carimbos de data e hora, a versão exata do aviso apresentada e o idioma selecionado pelo utilizador, para que possa demonstrar conformidade durante inquéritos regulatórios.
6. Forneça um link de preferências visível em todas as páginas, permitindo que os utilizadores revejam, atualizem ou retirem o consentimento a qualquer momento.

DPDP vs. GDPR: diferenças práticas

• Sem base de "interesses legítimos". O DPDP Act não reconhece interesses legítimos como base jurídica geral, ao contrário do GDPR. O consentimento tem mais peso, por isso o design de UX torna‑se ainda mais importante.
• Regras mais rigorosas para crianças. A idade de consentimento digital é 18, e não 13 ou 16, e a publicidade direcionada a menores é explicitamente proibida.
• Requisito de aviso multilíngue é exclusivo do DPDP Act e não pode ser cumprido com um banner apenas em inglês.
• Obrigações para Significant Data Fiduciary criam um segundo nível de conformidade para operadores de alto risco que não tem um análogo direto no GDPR.

Conclusão

O DPDP Act coloca a Índia no cenário moderno da proteção global de dados, com características próprias — centrado no consentimento, multilíngue por conceção e com uma proteção de menores invulgarmente elevada. Publishers e plataformas que já operam um CMP em nível de GDPR têm uma vantagem inicial, mas ainda precisar��o de ajustar o conteúdo dos banners, o suporte de idiomas, o tratamento de idade e os registos para cumprir os requisitos do DPDP. Tratar a Índia como "apenas mais uma jurisdição GDPR" é a forma mais rápida de acabar perante o Data Protection Board.