Il Regolamento generale sulla protezione dei dati è direttamente applicabile in tutto lo Spazio economico europeo dal 25 May 2018. La legge indiana del 2023 sulla protezione dei dati personali digitali ha ricevuto l'assenso presidenziale ad agosto 2023, ma è rimasta dormiente in attesa di norme subordinate. Quelle norme, le Digital Personal Data Protection Rules 2025, sono state notificate il 13 November 2025, innescando un'entrata in vigore scaglionata: le disposizioni del Data Protection Board hanno avuto effetto immediato, gli obblighi di registrazione dei Consent Managers seguono al traguardo di un anno, e gli obblighi sostanziali nonché i diritti degli interessati diventano esecutivi a partire dal 13 May 2027 (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Ciò che segue mette quindi a confronto un regime maturo, pienamente applicato, con uno giovane che è giuridicamente completo ma ancora operativamente all'interno della propria finestra di conformità. Lo stato della legge è esposto alla data del 6 June 2026, il che lascia circa undici mesi prima che gli obblighi sostanziali e i diritti degli interessati del DPDP diventino esecutivi il 13 May 2027. Per un programma che deve ri-fondare il trattamento lecito sul consenso, integrare un Consent Manager e mettere in piedi un regime per i minori di diciotto anni, undici mesi sono un unico orizzonte di pianificazione, non un margine confortevole.
L'ascendenza condivisa, e le tre divergenze che contano
Le due leggi condividono un'ascendenza comune. I redattori indiani hanno preso in prestito dal GDPR il vocabolario della responsabilità, della limitazione della finalità, della minimizzazione dei dati e del consenso, e la somiglianza è abbastanza stretta da far sì che una multinazionale con un programma GDPR operativo possieda già circa il settanta per cento di ciò che il DPDP richiede. Il restante trenta per cento è dove si trovano il denaro e il rischio, perché le divergenze sono strutturali e non cosmetiche.
Tre differenze dominano tutto il resto. Primo, il trattamento lecito: il GDPR offre sei basi lecite compreso l'elastico test di bilanciamento del legittimo interesse, mentre il DPDP riconosce solo il consenso e un elenco chiuso di usi legittimi enumerati, senza lasciare alcun ripiego di carattere generale quando il consenso è impraticabile. Secondo, il catalogo dei diritti: il GDPR concede otto diritti agli interessati compresi la portabilità, l'opposizione e la protezione dalle decisioni esclusivamente automatizzate, mentre il DPDP ne concede un insieme più ristretto e vi aggiunge un idiosincratico diritto di nomina. Terzo, l'economia della sanzione: il GDPR limita le multe al maggiore tra venti milioni di euro o il quattro per cento del fatturato annuo mondiale e concede ai singoli un diritto privato al risarcimento, mentre il DPDP impone penalità pecuniarie fisse fino a duecentocinquanta crore di rupie senza legame con il fatturato, senza responsabilità penale e senza diritto di azione privato.
Per l'organizzazione soggetta a entrambi i regimi, la lezione pratica è che la conformità al GDPR è necessaria ma non sufficiente. Un programma di livello GDPR deve essere esteso, non semplicemente copiato, per assorbire l'architettura del consenso prima propria del DPDP, il suo regime per i minori di diciotto anni, il suo approccio per elenco negativo ai trasferimenti transfrontalieri e la sua regola di notifica delle violazioni che non tollera alcuna soglia di rischio.
Due numeri inquadrano la posta in gioco. Il GDPR governa i dati personali di circa quattrocentocinquanta milioni di persone nello Spazio economico europeo; il DPDP governa quelli di quasi un miliardo e mezzo di interessati in India, circa tre volte tanto. Così, sebbene il tetto di penalità per istanza del DPDP sia più basso e fisso, il carico operativo che impone, la raccolta e il ritiro del consenso, la gestione dei diritti e la notifica delle violazioni senza soglia, opera a una scala di popolazione molto più ampia. Una capacità confortevole per una base di utenti europea può essere sopraffatta da una indiana, e quella capacità deve essere costruita prima che il tempo si esaurisca: con gli obblighi sostanziali esecutivi a partire dal 13 May 2027, circa undici mesi dalla data di redazione, la finestra per progettare le pipeline di consenso, diritti e violazioni per oltre un miliardo di interessati è stretta.
Strumenti, stato e architettura regolatoria
Il GDPR è un regolamento, il che significa che si applica direttamente in ogni Stato membro senza recepimento nazionale, sebbene gli Stati membri conservino un margine limitato per legiferare su punti specifici come l'età del consenso digitale e i dati relativi al lavoro. È applicato da una rete di Autorità di controllo nazionali indipendenti coordinate tramite il Comitato europeo per la protezione dei dati, con il meccanismo di coerenza e lo sportello unico a risolvere i casi transfrontalieri. L'elaborazione delle norme, gli orientamenti e l'applicazione spettano così a regolatori indipendenti e, in ultima istanza, ai tribunali e alla Corte di giustizia dell'Unione europea (la nostra pagina del framework GDPR riassume brevemente i suoi obblighi, chi vincola e la fonte ufficiale).
L'architettura del DPDP è più centralizzata e più guidata dall'esecutivo. La legge DPDP è legislazione primaria; il dettaglio operativo vive nelle DPDP Rules, che il Governo centrale emana e può modificare (la nostra pagina del framework DPDP espone brevemente gli obblighi chiave della legge, chi vincola e la fonte ufficiale). Il Data Protection Board of India è l'organo aggiudicatore, ma è più ristretto di un'Autorità di controllo europea: indaga sulle violazioni e impone penalità ma non emette codici o orientamenti vincolanti, e il potere sostanziale di elaborazione delle norme spetta al Governo centrale anziché al Board. I ricorsi contro il Board sono portati davanti al Telecom Disputes Settlement and Appellate Tribunal. La conseguenza di progettazione è che, in India, l'esecutivo politico conserva leve (esenzioni, restrizioni ai trasferimenti, modifiche delle norme) che in Europa spettano ad autorità indipendenti o ai tribunali.
Ambito e portata
Il GDPR governa i dati personali trattati in tutto o in parte con mezzi automatizzati, e il trattamento non automatizzato quando i dati fanno o sono destinati a fare parte di un archivio. Distingue una categoria particolare di dati sensibili ai sensi dell'articolo 9: origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici e biometrici, salute, e vita o orientamento sessuale, ciascuna soggetta a condizioni rafforzate. Il DPDP è più ristretto sotto un aspetto e più piatto sotto un altro. Governa solo i dati personali digitali, cioè dati in forma digitalizzata o dati raccolti su carta e poi digitalizzati, e non regolamenta gli archivi puramente non digitali. In modo decisivo, non traccia alcuna distinzione legale tra dati personali ordinari e sensibili. Non esiste alcun livello di categoria particolare; le cartelle sanitarie e gli storici di acquisto rientrano nelle stesse regole di base, con una protezione aggiuntiva che arriva solo indirettamente tramite il meccanismo del Significant Data Fiduciary e le disposizioni sui minori. Per un'organizzazione soggetta a entrambi i regimi, questa asimmetria taglia in entrambi i sensi: il diritto indiano non impone alcuna condizione dell'articolo 9, ma un titolare maturo manterrà di norma i propri controlli GDPR sui dati sensibili a livello globale anziché mantenere due schemi di classificazione dei dati.
Entrambe le leggi si estendono oltre il loro territorio d'origine. Il GDPR, ai sensi dell'articolo 3, si applica al trattamento nel contesto di uno stabilimento nell'Unione indipendentemente dal luogo del trattamento, e ai titolari fuori dall'Unione che offrono beni o servizi a persone nell'Unione, o ne monitorano il comportamento. Il DPDP, ai sensi della sezione 3, si applica al trattamento di dati personali digitali all'interno dell'India, e al trattamento fuori dall'India quando è connesso all'offerta di beni o servizi a interessati in India. Il DPDP omette l'inciso esplicito di monitoraggio del comportamento del GDPR, di modo che la pura profilazione di residenti indiani senza un'offerta di beni o servizi si colloca in una zona più grigia rispetto al suo equivalente europeo.
| Dimensione | GDPR | DPDP |
|---|---|---|
| Forma di dati coperta | Automatizzata, più archivi manuali strutturati | Solo digitale (nata digitale o successivamente digitalizzata) |
| Livello di dati sensibili | Sì (categorie particolari dell'articolo 9) | Nessun livello legale |
| Innesco extraterritoriale | Stabilimento; offerta; monitoraggio del comportamento | Offerta di beni o servizi a persone in India |
| Trattamento escluso | Puramente personale o domestico; contrasto della criminalità ai sensi di una direttiva separata | Personale o domestico; certi dati pubblicati; ampie esenzioni statali |
Attori e vocabolario
L'architettura dei ruoli si traspone in modo abbastanza netto da rendere la traduzione quasi univoca, il che aiuta nella stesura di politiche bilingui. Il titolare del trattamento del GDPR diventa il Data Fiduciary del DPDP, un inquadramento basato sulla fiducia i cui obblighi operativi tuttavia somigliano a quelli di un titolare. Il responsabile del trattamento del GDPR diventa il Data Processor, sebbene il DPDP incanali la maggior parte dei doveri del responsabile attraverso il contratto del fiduciario anziché imporre molti doveri legali diretti. L'interessato diventa il Data Principal, e per un minore l'interessato è il minore mentre il consenso è esercitato da un genitore o tutore legale. L'Autorità di controllo trova il suo analogo nel Data Protection Board of India, che aggiudica e sanziona ma non emette orientamenti vincolanti e non è quindi un regolatore a spettro completo. Due ruoli del DPDP non hanno controparte nel GDPR: il Significant Data Fiduciary, una classe designata dal governo che porta doveri rafforzati, e il Consent Manager, un intermediario registrato specifico dell'India attraverso il quale gli interessati concedono, riesaminano e ritirano il consenso.
Trattamento lecito: la divergenza centrale
È qui che i due regimi si separano con le conseguenze più gravi. Il GDPR, ai sensi dell'articolo 6, prevede sei basi lecite: il consenso, l'esecuzione di un contratto, l'adempimento di un obbligo legale, la protezione di interessi vitali, l'esecuzione di un compito di interesse pubblico, e gli interessi legittimi del titolare o di un terzo soggetti a un test di bilanciamento rispetto ai diritti dell'interessato. La base del legittimo interesse è deliberatamente aperta; è il cavallo da tiro che consente alle organizzazioni di trattare dati per la prevenzione delle frodi, la sicurezza della rete, il marketing diretto e l'amministrazione infragruppo senza cercare il consenso per ogni operazione.
Il DPDP riconosce solo due vie verso la liceità: il consenso ai sensi della sezione 6 e un elenco chiuso di certi usi legittimi ai sensi della sezione 7. L'elenco degli usi legittimi è enumerato e finito: il conferimento volontario di dati da parte dell'interessato per una finalità specificata, le funzioni dello Stato e la fornitura di sussidi o servizi, l'adempimento della legge o di ordini giudiziari, le emergenze mediche, le finalità legate al lavoro, e le situazioni di catastrofe o ordine pubblico, tra alcune altre. Non esiste alcun test residuale di bilanciamento. Se un'attività di trattamento non corrisponde a una voce dell'elenco, l'unica via lecita è il consenso. Questa è la singola differenza operativa più importante per una multinazionale, perché i flussi di dati che l'Europa gestisce comodamente sotto il legittimo interesse, per esempio un'analitica ampia, l'arricchimento di marketing o la rendicontazione transfrontaliera di gruppo, possono richiedere un'architettura di consenso esplicito in India.
Lo standard del consenso in sé è simile sulla carta. Entrambi richiedono che il consenso sia libero, specifico, informato, inequivocabile e segnalato da un'azione affermativa chiara, ed entrambi richiedono che il ritiro sia facile quanto il conferimento. Il DPDP sovrappone due caratteristiche specifiche dell'India. Primo, l'informativa che accompagna una richiesta di consenso deve essere dettagliata e, su richiesta, disponibile in inglese o in una qualsiasi delle lingue dell'ottavo allegato della Costituzione. Secondo, il consenso può essere mediato attraverso un Consent Manager, una piattaforma registrata che offre agli interessati un'unica dashboard per concedere e revocare permessi presso più fiduciari, un costrutto istituzionale senza equivalente nel GDPR.
La conformità al GDPR è necessaria ma non sufficiente. Un programma di livello GDPR deve essere esteso, non semplicemente copiato, per assorbire l'architettura del consenso prima propria del DPDP.
Diritti, obblighi e minori
Il GDPR conferisce un ampio ventaglio di diritti: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione compresa quella al marketing diretto, e il diritto di non essere sottoposto a una decisione esclusivamente automatizzata che produca effetti giuridici o similmente significativi ai sensi dell'articolo 22. Il DPDP conferisce un insieme più ristretto: l'accesso a una sintesi dei dati personali e del trattamento, la correzione e la cancellazione, la risoluzione dei reclami, e un distintivo diritto di nomina che consente a un interessato di designare un'altra persona per esercitare i suoi diritti in caso di decesso o incapacità. Le lacune contano. Il DPDP non contiene alcun diritto autonomo alla portabilità dei dati, alcun diritto generale di opposizione, alcun diritto di limitazione, e alcuna protezione di tipo articolo 22 dalla decisione automatizzata. Al contrario, il diritto di nomina non ha controparte europea.
| Diritto | GDPR | DPDP |
|---|---|---|
| Accesso | Sì (Art 15) | Sì (sintesi dei dati e del trattamento) |
| Rettifica o correzione | Sì (Art 16) | Sì |
| Cancellazione | Sì (Art 17) | Sì (al ritiro o al completamento della finalità) |
| Limitazione del trattamento | Sì (Art 18) | No |
| Portabilità dei dati | Sì (Art 20) | No |
| Opposizione | Sì (Art 21) | No |
| Garanzie sulle decisioni automatizzate | Sì (Art 22) | No |
| Risoluzione dei reclami | Tramite reclamo all'Autorità di controllo | Sì (diritto legale verso il fiduciario) |
| Nomina | No | Sì |
Entrambi i regimi sono costruiti sulla responsabilità, ma distribuiscono in modo diverso i doveri più pesanti. Sotto il GDPR ogni titolare porta una base di documentazione di responsabilità: i registri delle attività di trattamento ai sensi dell'articolo 30 con un'esenzione per le piccole organizzazioni, la protezione dei dati fin dalla progettazione e per impostazione predefinita ai sensi dell'articolo 25, una valutazione d'impatto sulla protezione dei dati per il trattamento ad alto rischio ai sensi dell'articolo 35, e contratti di responsabile vincolanti ai sensi dell'articolo 28. Un responsabile della protezione dei dati è obbligatorio ai sensi dell'articolo 37 quando le attività principali comportano un monitoraggio sistematico su larga scala o un trattamento su larga scala di dati di categoria particolare, e i titolari fuori dall'Unione devono nominare un rappresentante nell'Unione ai sensi dell'articolo 27. Il DPDP applica una base universale più leggera e concentra i doveri pesanti sul Significant Data Fiduciary. Ogni fiduciario deve attuare misure di sicurezza ragionevoli, onorare informativa e consenso, cancellare i dati al ritiro o una volta servita la finalità, e assicurare la conformità del responsabile tramite contratto. Solo le entità che il Governo centrale designa come Significant Data Fiduciaries devono inoltre nominare un Data Protection Officer domiciliato in India, ingaggiare un revisore di dati indipendente, e condurre valutazioni d'impatto e audit periodici. L'innesco è quindi la designazione governativa anziché il test di rischio autovalutato del GDPR.
Entrambi i regimi distinguono i minori, e qui il DPDP è il più severo. Il GDPR, ai sensi dell'articolo 8, fissa a sedici anni l'età del consenso valido per i servizi della società dell'informazione, consentendo agli Stati membri di abbassarla fino a non meno di tredici. Il DPDP tratta chiunque abbia meno di diciotto anni come un minore e richiede un consenso parentale o di tutore legale verificabile prima di trattare i dati di un minore. Va oltre vietando il trattamento suscettibile di causare effetti pregiudizievoli al benessere di un minore, e bandendo del tutto il tracciamento comportamentale, il monitoraggio comportamentale e la pubblicità mirata diretta ai minori, fatte salve esenzioni limitate che il governo può notificare. Per un servizio digitale globale questa è un vincolo di progettazione reale: un livello di verifica dell'età e consenso parentale calibrato su una soglia europea da tredici a sedici anni non soddisferà la regola indiana dei minori di diciotto, e gli stack di tecnologia pubblicitaria devono poter disattivare la profilazione comportamentale per i minori indiani a scala di popolazione.
Trasferimenti transfrontalieri: impostazioni predefinite a specchio
I modelli di trasferimento sono quasi immagini speculari nella loro postura predefinita. Il GDPR, nel capo V, parte dal divieto: i dati personali possono lasciare il SEE solo in virtù di una decisione di adeguatezza, garanzie appropriate come le clausole contrattuali tipo o le norme vincolanti d'impresa, o un insieme ristretto di deroghe. L'onere ricade sull'esportatore di stabilire un meccanismo di trasferimento lecito, e la giurisprudenza Schrems II richiede una valutazione d'impatto del trasferimento rispetto all'ambiente di sorveglianza del paese di destinazione. Questo è un modello a lista bianca: divieto per impostazione predefinita, consentito solo dove un meccanismo è in atto.
Il DPDP parte dal permesso. I trasferimenti sono consentiti verso qualsiasi paese per impostazione predefinita, e il Governo centrale può emanare un elenco negativo che restringa i trasferimenti verso giurisdizioni specificate. Questo è un modello a lista nera: permesso per impostazione predefinita, bloccato solo dove una destinazione è nominata. In linea di principio è molto più permissivo, ma due riserve lo temperano. Primo, non è ancora stato popolato alcun elenco negativo, di modo che i contorni pratici restano incerti. Secondo, le norme settoriali di localizzazione dei dati, in particolare della Reserve Bank of India per i dati di pagamento, continuano ad applicarsi al di sopra del DPDP e possono essere più severe del regime generale. Per una multinazionale l'asimmetria è netta: spostare dati dell'UE in India richiede un meccanismo documentato dell'articolo 46, mentre spostare dati indiani nell'UE attualmente non richiede nulla ai sensi del DPDP stesso, sebbene una governance prudente mantenga garanzie contrattuali in entrambi i sensi.
Notifica delle violazioni: il filtro di materialità mancante
Entrambi i regimi convergono su un orologio di settantadue ore ma divergono nettamente su soglia e destinatari. Il GDPR richiede la notifica all'Autorità di controllo senza ingiustificato ritardo e, ove fattibile, entro settantadue ore dalla presa di conoscenza, ma solo quando la violazione è suscettibile di presentare un rischio per i diritti e le libertà delle persone; gli interessati sono notificati solo quando il rischio è elevato. La soglia di rischio filtra gli incidenti banali. Le DPDP Rules non impongono alcuna soglia di rischio. Al venire a conoscenza di qualsiasi violazione di dati personali, il fiduciario deve informare senza ritardo gli interessati colpiti e deve fornire al Data Protection Board un'intimazione iniziale seguita da un rapporto dettagliato entro settantadue ore che copra la violazione, le sue circostanze, la mitigazione e l'identità di qualsiasi parte responsabile (MediaNama 2025; Ministry of Electronics and Information Technology 2025). L'assenza di un filtro di materialità significa che i volumi indiani di segnalazione delle violazioni correranno più alti dei loro equivalenti europei, e a fronte di una popolazione di quasi un miliardo e mezzo di interessati la macchina di notifica deve scalare di conseguenza. I manuali di risposta agli incidenti messi a punto sul filtro di rischio del GDPR devono essere riscritti per notificare ogni violazione qualificante sia al Board sia agli interessati colpiti.
| Aspetto | GDPR | DPDP |
|---|---|---|
| Notifica all'autorità | Entro 72 ore, se rischio per i diritti | Intimazione iniziale, poi rapporto dettagliato entro 72 ore, senza soglia |
| Notifica agli individui | Solo se rischio elevato | Sempre, senza ritardo |
| Filtro di materialità | Sì (basato sul rischio) | Nessuno |
Economia della sanzione
L'economia della sanzione differisce in natura, non solo in grado. Le multe amministrative del GDPR arrivano fino a dieci milioni di euro o il due per cento del fatturato annuo mondiale per il livello inferiore, e fino a venti milioni di euro o il quattro per cento del fatturato annuo mondiale per il livello superiore, il maggiore dei due. Il legame con il fatturato scala la deterrenza alla dimensione dell'impresa. Il GDPR crea anche un diritto privato: gli interessati possono chiedere il risarcimento del danno materiale e immateriale ai sensi dell'articolo 82, e possono presentare reclami e perseguire rimedi giudiziari. Il DPDP impone penalità pecuniarie fisse svincolate dal fatturato, fissate per riferimento ad allegati e limitate per istanza: fino a duecentocinquanta crore di rupie per il mancato adottare misure di sicurezza ragionevoli, fino a duecento crore di rupie per i mancamenti nella notifica delle violazioni o negli obblighi sui dati dei minori, e tetti inferiori per altri inadempimenti. Non vi è responsabilità penale sotto il DPDP e, soprattutto, nessun diritto di azione privato e nessun risarcimento legale ai singoli; l'applicazione corre attraverso il Data Protection Board, con le penalità versate allo Stato. Il DPDP introduce anche penalità sugli interessati per la presentazione di reclami falsi o frivoli, il che non ha analogo nel GDPR. L'effetto netto è che, per un'impresa molto grande, il tetto basato sul fatturato del GDPR può sovrastare il tetto fisso del DPDP, mentre per la stessa impresa il DPDP rimuove l'esposizione all'azione collettiva e al contenzioso individuale che ombreggia la conformità al GDPR in Europa.
Esenzioni
Il GDPR mantiene le esenzioni strette e ancorate a regole. L'articolo 23 consente al diritto di uno Stato membro di limitare i diritti solo quando ciò è necessario e proporzionato per obiettivi di interesse pubblico enumerati, e vi sono deroghe specifiche per il giornalismo, l'espressione accademica, artistica e letteraria, e per la ricerca e l'archiviazione fatte salve garanzie. Il DPDP concede esenzioni più ampie e più controllate dall'esecutivo. La sezione 17 consente al Governo centrale di esentare gli strumenti dello Stato dalla maggior parte della legge nell'interesse della sovranità, della sicurezza, dell'ordine pubblico e delle relazioni amichevoli, e prevede esenzioni per il trattamento necessario alla ricerca, all'archiviazione o a fini statistici, per certe imprese emergenti tramite notifica, e per l'esercizio di diritti legali. L'ampiezza delle esenzioni rivolte allo Stato, e il fatto che siano conferite e delimitate dall'esecutivo anziché da un'autorità indipendente o da un tribunale, è una delle caratteristiche più dibattute del regime indiano e un tema ricorrente nel commento della società civile (Internet Freedom Foundation 2025).
Quali controlli un programma a doppio regime deve aggiungere
Per un'organizzazione all'interno di entrambi i regimi, il modello operativo è la convergenza con divergenza deliberata. L'architettura pragmatica consiste nell'eseguire un'unica base globale di livello GDPR e nell'innestarvi moduli specifici dell'India anziché mantenere due programmi indipendenti. Gli asset GDPR riutilizzabili sono sostanziali: i registri di trattamento, i controlli di sicurezza e di risposta alle violazioni, gli strumenti per i diritti degli interessati per l'accesso, la correzione e la cancellazione, i modelli di contrattualizzazione dei responsabili e la disciplina della protezione dei dati fin dalla progettazione si trasferiscono tutti al DPDP con un adattamento minore. Le aggiunte specifiche dell'India sono dove si concentra lo sforzo, e sono precisamente i controlli che un programma solo GDPR non avrà alla data di applicazione del 13 May 2027: una progettazione di base lecita orientata al consenso prima che non si appoggi sul legittimo interesse; l'integrazione con o la prontezza per un Consent Manager; un regime per i minori di diciotto anni con consenso parentale verificabile e soppressione della pubblicità comportamentale; un flusso di nomina; un processo di violazione che notifichi ogni incidente qualificante senza filtro di rischio; e una vigilanza sull'elenco negativo transfrontaliero del governo e sulle norme settoriali di localizzazione. Al contrario, l'organizzazione non può ritirare alcuna macchina GDPR, perché l'insieme di diritti più ristretto e il modello di trasferimento permissivo del DPDP non allentano i doveri europei.
Cosa cambia il toolset di CCI
Un programma a doppio regime fallisce più spesso non sulla politica ma sul non sapere, in termini di evidenza, dove si trovano i dati personali, su quale base lecita si appoggia ogni flusso, e quanto costerebbe un evento di applicazione. Le primitive di CCI attaccano esattamente quelle lacune, e ogni affermazione qui sotto è una riduzione di probabilità sostenuta da un prodotto esistente anziché una garanzia.
NetDiagramer mappa il patrimonio di dati reale, i flussi tra i sistemi e le giurisdizioni che ogni flusso attraversa. Per il problema del trasferimento questo è fondante: non potete applicare la lista bianca dei meccanismi dell'articolo 46 del GDPR né vigilare la lista nera del DPDP se non potete vedere quali flussi lasciano il SEE o atterrano in India. La stessa topologia fa emergere ogni flusso che attualmente si appoggia sul legittimo interesse, che è precisamente la popolazione che deve essere ri-fondata sul consenso prima che il DPDP morda.
EviGen trasforma la responsabilità da esercizio di documentazione in evidenza automatizzata. I registri di trattamento ai sensi dell'articolo 30, i registri del consenso, e gli artefatti di valutazione d'impatto e audit che un Significant Data Fiduciary deve produrre sono generati e tenuti aggiornati dal patrimonio vivo anziché ricostruiti da fogli di calcolo al momento dell'audit. Una sola pipeline di evidenza serve sia il dovere europeo dei registri sia i doveri indiani di responsabilità e audit.
Evidence Vault dà al processo di violazione la cronologia a prova di manomissione di cui ha bisogno per sopravvivere alla regola senza soglia del DPDP. Quando ogni incidente qualificante deve raggiungere il Board entro settantadue ore e ogni interessato colpito senza ritardo, il vincolo non è la volontà ma la capacità di assemblare in fretta un resoconto difendibile di cosa è accaduto, quando e a chi. Lo stesso caveau soddisfa la conservazione dei registri degli articoli 33 e 34 del GDPR.
cVaR mette un prezzo in denaro alla divergente economia della sanzione. Quantifica l'esposizione sotto entrambi i tetti, il quattro per cento legato al fatturato del GDPR e i duecentocinquanta crore fissi per istanza del DPDP, di modo che un consiglio veda la sua superficie di penalità a doppio regime come un solo numero anziché due astrazioni giuridiche, e possa ordinare la remediation per riduzione di perdita attesa.
Domain Separation mantiene i patrimoni di dati europeo e indiano logicamente separabili, di modo che i requisiti di localizzazione, un futuro elenco negativo e i diversi regimi di base lecita possano essere applicati per giurisdizione senza biforcare l'intero programma in due. È il controllo che rende la convergenza con divergenza deliberata operabile anziché aspirazionale.
Mettere in piedi in tempo il doppio mandato
Gli obblighi sostanziali del DPDP atterrano il 13 May 2027. Dalla data di redazione ciò fa circa undici mesi, il che si legge come lontano e non lo è: una ri-architettura orientata al consenso prima, un'integrazione di Consent Manager e un regime per i minori di diciotto anni sono programmi pluri-trimestrali, e si eseguono in serie più spesso che in parallelo perché ciascuno dipende da una vista chiara del patrimonio di dati che la maggior parte delle organizzazioni non ha ancora. Contando a ritroso da maggio 2027, il lavoro di scoperta e mappatura dei dati deve iniziare questo trimestre affinché le fasi di costruzione, test e audit stiano prima dell'applicazione. Dove un'organizzazione necessita di una leadership senior della privacy per guidare quella costruzione senza aggiungere organico permanente, il CISO-as-a-Service di CCI offre un bacino di otto o più professionisti certificati CISSP per una copertura interinale, frazionata, a chiamata o post-incidente, con l'indipendenza preservata perché CCI non audita dove guida. Quel bacino non è solo europeo: CCI dispone di professionisti certificati CISSP con base in India, specialisti senior della privacy dei dati che conoscono il DPDP, il modello del Consent Manager e gli obblighi linguistici dell'ottavo allegato dall'interno. Ciò conta in pratica, perché un Significant Data Fiduciary deve nominare un Data Protection Officer domiciliato in India, e un responsabile locale della privacy accorcia inoltre la distanza dal consulente legale indiano, dal Data Protection Board e dalle realtà del consenso a scala nazionale.
L'altra lacuna ricorrente è fondante anziché giuridica: la maggior parte delle organizzazioni non sa dire, in termini di evidenza, dove si trovano realmente i propri dati personali. Gli specialisti dell'inventario dei dati di CCI mappano esattamente questo su patrimoni ereditati, dati caldi nei sistemi vivi e dati freddi negli archivi e nei backup, record strutturati nelle banche dati e la dispersione non strutturata ben più difficile in documenti, caselle di posta, condivisioni di file e archivi di oggetti. Quell'inventario è la condizione preliminare di tutto ciò che viene dopo, la ri-fondazione del consenso, i flussi di diritti e cancellazione, la vista dei trasferimenti transfrontalieri e la valutazione della portata delle violazioni, nessuno dei quali può essere affidabile se la mappa del patrimonio è incompleta. Dove la lacuna è un toolset su misura, il team interno di ricerca e sviluppo, gli accademici, ricercatori di livello dottorale e ingegneri che hanno costruito NetDiagramer, EviGen, cVaR e DORA-MAST, può comporre quelle primitive, l'ingestione di inventario, l'evidenza di configurazione, la mappatura della topologia e la quantificazione, in un rapido toolset di prontezza a doppio regime. Ciò è enunciato come capacità, con i prodotti consegnati a riprova, non come una promessa al cronometro. Per delineare una valutazione di prontezza a doppio regime, parlate con un professionista.
Matrice principale a confronto
| Dimensione | GDPR | DPDP |
|---|---|---|
| Strumento | Regolamento (UE) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| In vigore | 25 May 2018 | Scaglionato; obblighi sostanziali a partire dal 13 May 2027 |
| Dati coperti | Automatizzati e manuali strutturati; livello sensibile | Solo digitale; nessun livello sensibile |
| Innesco extraterritoriale | Stabilimento; offerta; monitoraggio | Offerta di beni o servizi a persone in India |
| Basi lecite | Sei, compreso il legittimo interesse | Consenso più elenco chiuso di usi legittimi |
| Regime dei dati sensibili | Categorie particolari dell'articolo 9 | Nessuno (indiretto via SDF e minori) |
| Età dei minori | 16 (gli Stati membri possono abbassare a 13) | Minori di 18; divieto di pubblicità comportamentale |
| Diritti | Otto, compresi portabilità, opposizione, Art 22 | Accesso, correzione, cancellazione, reclami, nomina |
| Responsabile della protezione dei dati | Obbligatorio in base al rischio | Solo Significant Data Fiduciaries; con base in India |
| Modello transfrontaliero | Lista bianca (divieto per impostazione predefinita) | Lista nera (permesso per impostazione predefinita) |
| Avviso di violazione | 72h all'AC se rischio; individui se rischio elevato | 72h al Board più tutti gli interessati colpiti, senza soglia |
| Penalità massima | EUR 20 mln o 4% del fatturato globale | INR 250 crore per istanza, senza legame con il fatturato |
| Diritto di azione privato | Sì (Art 82) | Nessuno |
| Regolatore | Autorità di controllo indipendenti | Data Protection Board (solo aggiudicatore) |
| Elaborazione delle norme | EDPB, Commissione, Autorità di controllo | Governo centrale |
Acronimi
| Acronimo | Forma estesa (inglese) | Traduzione italiana |
|---|---|---|
| BCR | Binding Corporate Rules | Norme vincolanti d'impresa |
| CJEU | Court of Justice of the European Union | Corte di giustizia dell'Unione europea |
| DPDP | Digital Personal Data Protection | Protezione dei dati personali digitali |
| DPIA | Data Protection Impact Assessment | Valutazione d'impatto sulla protezione dei dati |
| DPO | Data Protection Officer | Responsabile della protezione dei dati |
| EDPB | European Data Protection Board | Comitato europeo per la protezione dei dati |
| EEA | European Economic Area | Spazio economico europeo |
| GDPR | General Data Protection Regulation | Regolamento generale sulla protezione dei dati |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministero dell'elettronica e delle tecnologie dell'informazione (India) |
| RBI | Reserve Bank of India | Banca di riserva dell'India |
| SA | Supervisory Authority | Autorità di controllo |
| SCC | Standard Contractual Clauses | Clausole contrattuali tipo |
| SDF | Significant Data Fiduciary | Fiduciario di dati significativo |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Tribunale di risoluzione e appello delle controversie delle telecomunicazioni |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html