Cine intră sub incidența DPDP Act

DPDP Act reglementează prelucrarea datelor personale digitale în India, precum și prelucrarea din afara Indiei care are legătură cu oferirea de bunuri sau servicii persoanelor aflate în India. În practică, dacă site-ul tău este accesibil utilizatorilor din India și colectezi date personale prin el — inclusiv prin cookie-uri, SDK-uri, pixeli sau fingerprinting — legea aproape sigur ți se aplică.

Actul folosește două roluri-cheie: Data Fiduciary (echivalentul operatorului de date din GDPR) și Data Processor. Un număr redus dintre cei mai mari operatori pot fi desemnați drept Significant Data Fiduciaries, ceea ce declanșează obligații suplimentare, precum realizarea de evaluări de impact asupra protecției datelor și numirea unui Data Protection Officer rezident în India.

Cum tratează DPDP Act cookie-urile și tracker-ele

Spre deosebire de Directiva ePrivacy, DPDP Act nu tratează cookie-urile ca pe o categorie separată. În schimb, reglementează orice prelucrare a datelor personale digitale. Aceasta înseamnă că cookie-urile, identificatorii de dispozitiv, adresele IP, ID-urile de publicitate și adresele de e-mail hash-uite intră toate în domeniul de aplicare atunci când sunt legate — direct sau indirect — de o persoană identificabilă.

Implicația pentru publisheri este clară: dacă un cookie sau un tag de pe site-ul tău determină colectarea sau partajarea de date personale, ai nevoie de un temei juridic valabil. În baza DPDP Act, acest temei este aproape întotdeauna consimțământul, cu un set restrâns de excepții pentru „legitimate uses” definite de lege.

Cum arată un consimțământ valabil

DPDP Act stabilește un standard ridicat pentru consimțământ. Acesta trebuie să fie liber, specific, informat, necondiționat și lipsit de ambiguitate, și exprimat printr-o acțiune afirmativă clară. Căsuțele pre-bifate, consimțământul implicit dedus din continuarea navigării și designurile de tip „cookie wall” care condiționează accesul de acceptare nu sunt compatibile cu aceste cerințe.

Două reguli suplimentare, specifice DPDP, contează pentru UX-ul de consimțământ:

• Notificare detaliată pe elemente: Înainte sau în momentul acordării consimțământului, trebuie să furnizezi utilizatorului o notificare clară care identifică datele colectate, scopurile prelucrării și modul în care utilizatorul își poate retrage consimțământul sau poate depune o plângere la Data Protection Board of India.
• Limbaj clar și suport multilingv: Notificările trebuie să fie disponibile în engleză și în oricare dintre cele 22 de limbi oficiale ale Indiei pe care utilizatorul le selectează. Un CMP care nu poate afișa conținutul privind consimț��mântul în hindi, tamilă, bengaleză, marathi și alte limbi majore va avea dificultăți în a se conforma.

Datele copiilor și consimțământul parental

DPDP Act consideră orice persoană sub 18 ani ca fiind copil și impune obținerea consimțământului parental verificabil înainte de a-i prelucra datele personale. De asemenea, interzice monitorizarea comportamentală și publicitatea direcționată către copii. Orice site accesibil minorilor din India — ceea ce, în practică, înseamnă aproape orice site — are nevoie de o strategie de verificare a vârstei sau bazată pe risc și trebuie să poată bloca scripturile de tracking atunci când consimțământul parental lipsește.

Drepturile utilizatorilor pe care CMP-ul tău trebuie să le susțină

Data Principals (utilizatorii) din India au o serie de drepturi care trebuie să poată fi exercitate prin stratul tău de consimțământ și preferințe:

• Dreptul de acces la un rezumat al datelor lor personale care sunt prelucrate.
• Dreptul la rectificare și ștergere a datelor lor.
• Dreptul de a-și retrage consimțământul în orice moment, la fel de ușor cum l-au acordat.
• Dreptul de a desemna o altă persoană care să exercite drepturile în caz de deces sau incapacitate.
• Dreptul la soluționarea plângerilor, mai întâi la nivelul Data Fiduciary, apoi la Data Protection Board of India.

Un CMP conform ar trebui să afișeze un link persistent către centrul de preferințe, să permită retragerea consimțământului printr-un singur click și să înregistreze evenimentele de consimțământ într-un mod care poate fi prezentat la cerere în timpul unei investigații.

Transferuri transfrontaliere de date

DPDP Act adoptă o abordare de tip „listă negativă” pentru transferurile internaționale: datele personale pot fi transferate în afara Indiei, cu excepția cazului în care țara de destinație este în mod specific restricționată de către Guvernul Central. Aceasta este o abordare mai permisivă decât regimul de adecvare din GDPR, dar ar trebui totuși să documentezi ce state terțe primesc date de la utilizatori indieni și să monitorizezi lista de restricții publicată.

Sancțiuni și aplicare

Sancțiunile financiare prevăzute de DPDP Act sunt substanțiale. Data Protection Board poate impune amenzi de până la ₹250 crore (aproximativ $30 million USD) pentru neadoptarea unor măsuri de securitate rezonabile și de până la ₹200 crore pentru neîndeplinirea obligațiilor privind copiii. Nerespectarea cerințelor de consimțământ — inclusiv colectarea consimțământului prin bannere neconforme — este pasibilă de amenzi de până la ₹50 crore per încălcare.

Implementarea unui consimțământ conform DPDP în CMP-ul tău

1. Detectează geografic utilizatorii din India și aplică un template de consimțământ specific DPDP, în loc să refolosești un banner GDPR. Conținutul notificării și opțiunile de limbă sunt diferite.
2. Afișează notificări în mai multe limbi indiene. Cel puțin, oferă suport pentru hindi și engleză și adaugă limbi regionale în funcție de distribuția traficului.
3. Blochează implicit toți tracker-ii nenecesari. Încarcă reclamele, analytics și SDK-urile terțe doar după consimțământ explicit.
4. Separă clar scopurile. Nu grupa publicitatea, analytics și personalizarea într-o singură acțiune de „accept” dacă un utilizator ar putea dori în mod rezonabil să consimtă la unele, dar nu la altele.
5. Înregistrează evenimentele de consimțământ și de retragere cu marcă temporală, versiunea exactă a notificării afișate și limba selectată de utilizator, astfel încât să poți demonstra conformitatea în timpul unor investigații de reglementare.
6. Oferă un link vizibil către preferințe pe fiecare pagină, care să permită utilizatorilor să revizuiască, să actualizeze sau să își retragă consimțământul în orice moment.

DPDP vs. GDPR: diferențe practice

• Fără temeiul „interes legitim”. DPDP Act nu recunoaște interesul legitim ca temei general de prelucrare, așa cum face GDPR. Consimțământul are o pondere mai mare, astfel că designul UX contează mai mult.
• Reguli mai stricte pentru copii. Vârsta consimțământului digital este 18 ani, nu 13 sau 16, iar publicitatea direcționată către minori este în mod explicit interzisă.
• Cerința de notificare multilingvă este unică pentru DPDP Act și nu poate fi îndeplinită cu un banner doar în engleză.
• Obligațiile pentru Significant Data Fiduciary creează un al doilea nivel de conformitate pentru operatorii cu risc ridicat, fără un corespondent direct în GDPR.

Concluzie

DPDP Act plasează India în peisajul modern global al protecției datelor, cu un caracter distinct — consimțământul pe primul loc, design multilingv din start și o protecție neobișnuit de puternică a minorilor. Publisherii și platformele care operează deja un CMP compatibil cu GDPR au un avans, dar vor trebui totuși să ajusteze conținutul bannerelor, suportul lingvistic, gestionarea vârstei și logarea pentru a respecta cerințele DPDP. A trata India ca pe „încă o jurisdicție GDPR” este cel mai rapid mod de a ajunge în fața Data Protection Board.