O Regulamento Geral sobre a Protecao de Dados e diretamente aplicavel em todo o Espaco Economico Europeu desde 25 May 2018. A Lei de Protecao de Dados Pessoais Digitais de 2023 da India recebeu sancao presidencial em agosto de 2023, mas permaneceu inativa enquanto aguardava regras subordinadas. Essas regras, as Regras de Protecao de Dados Pessoais Digitais de 2025, foram notificadas em 13 November 2025, desencadeando uma entrada em vigor faseada: as disposicoes relativas ao Conselho de Protecao de Dados produziram efeito imediato, os deveres de registo dos Gestores de Consentimento seguem-se ao fim de um ano, e as obrigacoes substantivas e os direitos dos titulares de dados tornam-se aplicaveis a partir de 13 May 2027 (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). O que se segue contrasta, portanto, um regime maduro e plenamente aplicado com um regime jovem que esta juridicamente completo mas operacionalmente ainda dentro do seu periodo de adaptacao a conformidade. O estado da lei e indicado a data de 6 June 2026, o que deixa cerca de onze meses antes de os deveres substantivos e os direitos dos titulares de dados da DPDP se tornarem aplicaveis em 13 May 2027. Para um programa que tem de reassentar o tratamento licito no consentimento, integrar um Gestor de Consentimento e montar um regime para menores de dezoito anos, onze meses sao um unico horizonte de planeamento, e nao uma margem confortavel.
A ascendencia partilhada e as tres divergencias que importam
As duas leis partilham uma ascendencia comum. Os redatores da India tomaram de emprestimo o vocabulario do RGPD de responsabilizacao, limitacao da finalidade, minimizacao dos dados e consentimento, e a semelhanca e suficientemente proxima para que uma multinacional com um programa de RGPD em funcionamento ja detenha cerca de setenta por cento daquilo que a DPDP exige. Os restantes trinta por cento sao onde residem o dinheiro e o risco, porque as divergencias sao estruturais e nao cosmeticas.
Tres diferencas dominam tudo o resto. Primeiro, o tratamento licito: o RGPD oferece seis fundamentos de licitude, incluindo o teste elastico de ponderacao do interesse legitimo, ao passo que a DPDP reconhece apenas o consentimento e uma lista fechada de usos legitimos enumerados, nao deixando qualquer alternativa de uso geral quando o consentimento e impraticavel. Segundo, o catalogo de direitos: o RGPD confere oito direitos aos titulares de dados, incluindo a portabilidade, a oposicao e a protecao contra decisoes exclusivamente automatizadas, enquanto a DPDP confere um conjunto mais restrito e acrescenta um idiossincratico direito de nomeacao. Terceiro, a economia da fiscalizacao: o RGPD limita as coimas ao maior valor entre vinte milhoes de euros ou quatro por cento do volume de negocios anual a nivel mundial e confere aos individuos um direito privado a indemnizacao, ao passo que a DPDP impoe sancoes pecuniarias fixas ate duzentos e cinquenta crore de rupias, sem ligacao ao volume de negocios, sem responsabilidade criminal e sem direito de acao privado.
Para a organizacao sujeita a ambos os regimes, a licao pratica e que a conformidade com o RGPD e necessaria mas nao suficiente. Um programa de nivel RGPD deve ser ampliado, e nao apenas copiado, para absorver a arquitetura assente no consentimento da DPDP, o seu regime para criancas menores de dezoito anos, a sua abordagem de lista negativa as transferencias internacionais e a sua regra de notificacao de violacoes que nao tolera qualquer limiar de risco.
Dois numeros enquadram o que esta em jogo. O RGPD governa os dados pessoais de cerca de quatrocentos e cinquenta milhoes de pessoas em todo o Espaco Economico Europeu; a DPDP governa os de quase mil e quinhentos milhoes de titulares de dados na India, cerca de tres vezes mais. Assim, embora o teto de sancao por instancia da DPDP seja mais baixo e fixo, a carga operacional que impoe, captura e retirada de consentimento, tratamento de direitos e notificacao de violacoes sem limiar, opera a uma escala populacional muito maior. A capacidade que e confortavel para uma base de utilizadores europeia pode ser sobrecarregada por uma indiana, e essa capacidade tem de ser construida antes de o tempo se esgotar: com os deveres substantivos aplicaveis a partir de 13 May 2027, cerca de onze meses a contar da data de redacao, a janela para engenheirar pipelines de consentimento, direitos e violacoes para mais de mil milhoes de titulares e estreita.
Instrumentos, estado e arquitetura regulatoria
O RGPD e um regulamento, o que significa que se aplica diretamente em cada Estado-Membro sem transposicao nacional, embora os Estados-Membros conservem uma margem limitada para legislar sobre pontos especificos, como a idade do consentimento digital e os dados laborais. E aplicado por uma rede de Autoridades de Controlo nacionais independentes, coordenadas atraves do Comite Europeu para a Protecao de Dados, com o mecanismo de coerencia e o balcao unico a resolverem os casos transfronteiricos. A elaboracao de normas, a orientacao e a fiscalizacao cabem, assim, a reguladores independentes e, em ultima instancia, aos tribunais e ao Tribunal de Justica da Uniao Europeia (a nossa pagina do regime RGPD resume as suas obrigacoes, quem vincula e a fonte oficial em sintese).
A arquitetura da DPDP e mais centralizada e mais conduzida pelo executivo. A Lei DPDP e legislacao primaria; o detalhe operacional reside nas Regras DPDP, que o Governo Central elabora e pode alterar (a nossa pagina do regime DPDP expoe as principais obrigacoes da lei, quem vincula e a fonte oficial em sintese). O Conselho de Protecao de Dados da India e o orgao decisorio, mas e mais limitado do que uma Autoridade de Controlo europeia: investiga violacoes e impoe sancoes, mas nao emite codigos ou orientacoes vinculativos, e o poder substantivo de elaboracao de normas cabe ao Governo Central e nao ao Conselho. Os recursos das decisoes do Conselho seguem para o Tribunal de Resolucao de Litigios e de Recurso em materia de Telecomunicacoes. A consequencia de conceptao e que, na India, o executivo politico conserva alavancas (isencoes, restricoes a transferencias, alteracoes de regras) que na Europa cabem a autoridades independentes ou a tribunais.
Ambito e alcance
O RGPD governa os dados pessoais tratados total ou parcialmente por meios automatizados, e o tratamento nao automatizado quando os dados constam ou se destinam a constar de um ficheiro. Reserva uma categoria especial de dados sensiveis ao abrigo do Article 9: origem racial ou etnica, opinioes politicas, conviccoes religiosas, filiacao sindical, dados geneticos e biometricos, saude e vida ou orientacao sexual, cada um sujeito a condicoes reforcadas. A DPDP e mais restrita num aspeto e mais plana noutro. Governa apenas dados pessoais digitais, isto e, dados em forma digitalizada ou dados recolhidos em papel e depois digitalizados, e nao regula registos puramente nao digitais. De forma critica, nao estabelece qualquer distincao legal entre dados pessoais comuns e sensiveis. Nao existe um escalao de categoria especial; os registos de saude e os historicos de compras estao sob as mesmas regras de base, com protecao adicional a surgir apenas indiretamente atraves do mecanismo do Fiduciario de Dados Significativo e das disposicoes relativas a criancas. Para uma organizacao sujeita a ambos os regimes, esta assimetria corta nos dois sentidos: a lei indiana nao impoe quaisquer condicoes do Article 9, mas um responsavel maduro mantera normalmente os seus controlos de dados sensiveis do RGPD em vigor a nivel global, em vez de manter dois esquemas de classificacao de dados.
Ambas as leis alcancam para alem do seu territorio de origem. O RGPD, ao abrigo do Article 3, aplica-se ao tratamento no contexto de um estabelecimento na UE, independentemente de onde o tratamento ocorra, e a responsaveis fora da Uniao que ofereçam bens ou servicos a individuos na Uniao, ou monitorizem o seu comportamento. A DPDP, ao abrigo da section 3, aplica-se ao tratamento de dados pessoais digitais dentro da India, e ao tratamento fora da India quando este esteja relacionado com a oferta de bens ou servicos a titulares de dados na India. A DPDP omite o ramo explicito do RGPD relativo a monitorizacao do comportamento, pelo que a mera definicao de perfis de residentes indianos sem uma oferta de bens ou servicos situa-se numa zona mais cinzenta do que o seu equivalente europeu.
| Dimensao | GDPR | DPDP |
|---|---|---|
| Forma de dados abrangidos | Automatizados, mais ficheiros manuais estruturados | Apenas digitais (nascidos digitais ou posteriormente digitalizados) |
| Escalao de dados sensiveis | Sim (categorias especiais do Article 9) | Sem escalao legal |
| Gatilho extraterritorial | Estabelecimento; oferta; monitorizacao do comportamento | Oferta de bens ou servicos a titulares na India |
| Tratamento excluido | Puramente pessoal ou domestico; aplicacao da lei sob diretiva separada | Pessoal ou domestico; certos dados publicados; amplas isencoes do Estado |
Atores e vocabulario
A arquitetura de papeis mapeia de forma suficientemente limpa para que a traducao seja maioritariamente de um para um, o que ajuda na redacao de politicas bilingues. O responsavel do RGPD torna-se o Fiduciario de Dados da DPDP, um enquadramento assente na confianca cujas obrigacoes operativas, ainda assim, se assemelham as de um responsavel. O subcontratante do RGPD torna-se o Processador de Dados, embora a DPDP encaminhe a maioria dos deveres do processador atraves do contrato do fiduciario, em vez de impor muitos deveres legais diretos. O titular dos dados torna-se o Titular de Dados, e, no caso de uma crianca, o titular e a crianca, ao passo que o consentimento e exercido por um progenitor ou tutor legal. A Autoridade de Controlo encontra o seu analogo no Conselho de Protecao de Dados da India, que decide e sanciona mas nao emite orientacoes vinculativas, nao sendo, por isso, um regulador de espetro completo. Dois papeis da DPDP nao tem contrapartida no RGPD: o Fiduciario de Dados Significativo, uma classe designada pelo governo que carrega deveres reforcados, e o Gestor de Consentimento, um intermediario registado especifico da India atraves do qual os titulares concedem, revem e retiram o consentimento.
Tratamento licito: a divergencia central
E aqui que os dois regimes se separam de forma mais consequente. O RGPD, ao abrigo do Article 6, prove seis fundamentos de licitude: o consentimento, a execucao de um contrato, o cumprimento de uma obrigacao legal, a protecao de interesses vitais, o exercicio de uma funcao de interesse publico e os interesses legitimos do responsavel ou de um terceiro, sujeitos a um teste de ponderacao face aos direitos do titular dos dados. O fundamento do interesse legitimo e deliberadamente de textura aberta; e o cavalo de batalha que permite as organizacoes tratar dados para prevencao de fraude, seguranca de redes, marketing direto e administracao intragrupo sem procurar consentimento para cada operacao.
A DPDP reconhece apenas duas vias para a licitude: o consentimento ao abrigo da section 6 e uma lista fechada de certos usos legitimos ao abrigo da section 7. A lista de usos legitimos e enumerada e finita: a disponibilizacao voluntaria de dados pelo titular para uma finalidade especificada, as funcoes do Estado e a prestacao de subsidios ou servicos, o cumprimento da lei ou de ordens judiciais, as emergencias medicas, as finalidades laborais e as situacoes de catastrofe ou de ordem publica, entre algumas outras. Nao existe um teste residual de ponderacao. Se uma atividade de tratamento nao corresponder a um item da lista, a unica via licita e o consentimento. Esta e a diferenca operacional mais importante para uma multinacional, porque fluxos de dados que a Europa trata confortavelmente sob o interesse legitimo, por exemplo, analitica ampla, enriquecimento de marketing ou reporte de grupo transfronteirico, podem exigir uma arquitetura de consentimento explicito na India.
O proprio padrao de consentimento e semelhante no papel. Ambos exigem que o consentimento seja livre, especifico, informado, inequivoco e sinalizado por uma acao afirmativa clara, e ambos exigem que a retirada seja tao facil como a concessao. A DPDP sobrepoe duas caracteristicas especificas da India. Primeiro, o aviso que acompanha um pedido de consentimento deve ser discriminado e, a pedido, disponivel em ingles ou em qualquer uma das linguas do Oitavo Anexo da Constituicao. Segundo, o consentimento pode ser mediado atraves de um Gestor de Consentimento, uma plataforma registada que da aos titulares um unico painel para conceder e revogar permissoes entre fiduciarios, uma construcao institucional sem equivalente no RGPD.
A conformidade com o RGPD e necessaria mas nao suficiente. Um programa de nivel RGPD deve ser ampliado, e nao apenas copiado, para absorver a arquitetura assente no consentimento da DPDP.
Direitos, obrigacoes e criancas
O RGPD confere um amplo conjunto de direitos: acesso, retificacao, apagamento, limitacao do tratamento, portabilidade dos dados, oposicao, incluindo ao marketing direto, e o direito de nao ficar sujeito a uma decisao exclusivamente automatizada que produza efeitos juridicos ou significativamente semelhantes ao abrigo do Article 22. A DPDP confere um conjunto mais restrito: acesso a um resumo dos dados pessoais e do tratamento, correcao e apagamento, resolucao de reclamacoes e um distintivo direito de nomeacao que permite a um titular designar outro individuo para exercer os seus direitos em caso de morte ou incapacidade. As lacunas importam. A DPDP nao contem qualquer direito autonomo a portabilidade dos dados, nenhum direito geral de oposicao, nenhum direito a limitacao e nenhuma protecao do tipo Article 22 contra a tomada de decisoes automatizada. Inversamente, o direito de nomeacao nao tem contrapartida europeia.
| Direito | GDPR | DPDP |
|---|---|---|
| Acesso | Sim (Art 15) | Sim (resumo dos dados e do tratamento) |
| Retificacao ou correcao | Sim (Art 16) | Sim |
| Apagamento | Sim (Art 17) | Sim (em caso de retirada ou conclusao da finalidade) |
| Limitacao do tratamento | Sim (Art 18) | Nao |
| Portabilidade dos dados | Sim (Art 20) | Nao |
| Oposicao | Sim (Art 21) | Nao |
| Salvaguardas sobre decisoes automatizadas | Sim (Art 22) | Nao |
| Resolucao de reclamacoes | Via reclamacao a Autoridade de Controlo | Sim (direito legal contra o fiduciario) |
| Nomeacao | Nao | Sim |
Ambos os regimes assentam na responsabilizacao, mas distribuem os deveres mais pesados de forma diferente. Ao abrigo do RGPD, cada responsavel carrega uma base de documentacao de responsabilizacao: registos das atividades de tratamento ao abrigo do Article 30 com uma excecao para pequenas organizacoes, protecao de dados desde a conceptao e por defeito ao abrigo do Article 25, uma avaliacao de impacto sobre a protecao de dados para tratamento de risco elevado ao abrigo do Article 35 e contratos vinculativos com subcontratantes ao abrigo do Article 28. Um encarregado da protecao de dados e obrigatorio ao abrigo do Article 37 quando as atividades principais envolvem monitorizacao sistematica em larga escala ou tratamento em larga escala de dados de categoria especial, e os responsaveis fora da Uniao devem nomear um representante na UE ao abrigo do Article 27. A DPDP aplica uma base universal mais leve e concentra os deveres pesados no Fiduciario de Dados Significativo. Cada fiduciario deve implementar salvaguardas de seguranca razoaveis, respeitar o aviso e o consentimento, apagar dados em caso de retirada ou uma vez cumprida a finalidade, e assegurar a conformidade do processador atraves de contrato. Apenas as entidades que o Governo Central designar como Fiduciarios de Dados Significativos devem, adicionalmente, nomear um Encarregado da Protecao de Dados sediado na India, contratar um auditor de dados independente e realizar avaliacoes de impacto e auditorias periodicas. O gatilho e, portanto, a designacao governamental, e nao o teste de risco autoavaliado do RGPD.
Ambos os regimes destacam as criancas, e aqui a DPDP e a mais rigorosa. O RGPD, ao abrigo do Article 8, fixa a idade do consentimento valido para servicos da sociedade da informacao em dezasseis anos, permitindo aos Estados-Membros baixa-la para nao menos de treze. A DPDP trata qualquer pessoa com menos de dezoito anos como crianca e exige consentimento parental ou de tutor legal verificavel antes de tratar os dados de uma crianca. Vai mais longe, ao proibir o tratamento suscetivel de causar efeitos prejudiciais ao bem-estar de uma crianca e ao proibir rotundamente o rastreio comportamental, a monitorizacao comportamental e a publicidade direcionada a criancas, sujeito a isencoes limitadas que o governo pode notificar. Para um servico digital global, esta e uma restricao de conceptao significativa: uma camada de garantia de idade e consentimento parental calibrada para um limiar europeu de treze a dezasseis anos nao satisfara a regra indiana de menores de dezoito, e as pilhas de tecnologia publicitaria devem ser capazes de desligar a segmentacao comportamental para menores indianos a escala populacional.
Transferencias internacionais: defeitos em espelho
Os modelos de transferencia sao quase imagens em espelho na sua postura por defeito. O RGPD, no Chapter V, parte da proibicao: os dados pessoais so podem sair do EEE ao abrigo de uma decisao de adequacao, de salvaguardas adequadas como as clausulas contratuais-tipo ou as regras vinculativas para empresas, ou de um conjunto restrito de derrogacoes. O onus recai sobre o exportador para estabelecer um mecanismo de transferencia licito, e a jurisprudencia Schrems II exige uma avaliacao de impacto da transferencia ao ambiente de vigilancia do pais de destino. Este e um modelo de lista branca: proibicao por defeito, permitida apenas quando exista um mecanismo em vigor.
A DPDP parte da permissao. As transferencias sao permitidas para qualquer pais por defeito, e o Governo Central pode emitir uma lista negativa que restrinja as transferencias para jurisdicoes especificadas. Este e um modelo de lista negra: permissao por defeito, bloqueada apenas quando um destino e designado. Em principio e muito mais permissivo, mas duas ressalvas temperam isso. Primeiro, ainda nao foi povoada qualquer lista negativa, pelo que os contornos praticos permanecem incertos. Segundo, as regras setoriais de localizacao de dados, nomeadamente do Banco de Reserva da India para dados de pagamento, continuam a aplicar-se sobre a DPDP e podem ser mais rigorosas do que o regime geral. Para uma multinacional, a assimetria e flagrante: mover dados da UE para a India exige um mecanismo documentado do Article 46, ao passo que mover dados indianos para a UE nao exige atualmente nada ao abrigo da propria DPDP, embora uma governacao prudente mantenha salvaguardas contratuais em vigor de qualquer modo.
Notificacao de violacoes: o filtro de materialidade em falta
Ambos os regimes convergem num relogio de setenta e duas horas, mas divergem acentuadamente quanto ao limiar e ao publico. O RGPD exige a notificacao a Autoridade de Controlo sem demora injustificada e, quando exequivel, no prazo de setenta e duas horas apos o conhecimento, mas apenas quando a violacao for suscetivel de resultar num risco para os direitos e liberdades dos individuos; os individuos afetados sao notificados apenas quando o risco for elevado. O limiar de risco filtra os incidentes triviais. As Regras DPDP nao impoem qualquer limiar de risco. Ao tomar conhecimento de qualquer violacao de dados pessoais, o fiduciario deve informar os titulares de dados afetados sem demora e deve fornecer ao Conselho de Protecao de Dados uma comunicacao inicial seguida de um relatorio detalhado no prazo de setenta e duas horas que cubra a violacao, as suas circunstancias, a mitigacao e a identidade de qualquer parte responsavel (MediaNama 2025; Ministry of Electronics and Information Technology 2025). A ausencia de um filtro de materialidade significa que os volumes de comunicacao de violacoes na India serao mais elevados do que os seus equivalentes europeus, e, face a uma populacao de quase mil e quinhentos milhoes de titulares, a maquinaria de notificacao deve escalar em conformidade. Os manuais de resposta a incidentes afinados para a porta de risco do RGPD devem ser refeitos para notificar cada violacao qualificada tanto ao Conselho como aos individuos afetados.
| Aspeto | GDPR | DPDP |
|---|---|---|
| Notificacao a autoridade | No prazo de 72h, se houver risco para os direitos | Comunicacao inicial, depois relatorio detalhado no prazo de 72h, sem limiar |
| Notificacao aos individuos | Apenas se o risco for elevado | Sempre, sem demora |
| Filtro de materialidade | Sim (baseado no risco) | Nenhum |
Economia da fiscalizacao
A economia da fiscalizacao difere em natureza, e nao apenas em grau. As coimas administrativas do RGPD vao ate dez milhoes de euros ou dois por cento do volume de negocios anual a nivel mundial para o escalao inferior, e ate vinte milhoes de euros ou quatro por cento do volume de negocios anual a nivel mundial para o escalao superior, consoante o que for maior. A ligacao ao volume de negocios escalona o efeito dissuasor a dimensao da empresa. O RGPD cria tambem um direito privado: os titulares de dados podem reclamar indemnizacao por danos materiais e imateriais ao abrigo do Article 82, e podem apresentar reclamacoes e exercer vias de recurso judiciais. A DPDP impoe sancoes pecuniarias fixas desligadas do volume de negocios, definidas por referencia a anexos e limitadas por instancia: ate duzentos e cinquenta crore de rupias por falha na adocao de salvaguardas de seguranca razoaveis, ate duzentos crore de rupias por falhas na notificacao de violacoes ou nas obrigacoes relativas a dados de criancas, e tetos mais baixos para outros incumprimentos. Nao existe responsabilidade criminal ao abrigo da DPDP e, de forma importante, nenhum direito de acao privado e nenhuma indemnizacao legal aos individuos; a fiscalizacao corre atraves do Conselho de Protecao de Dados, com as sancoes pagas ao Estado. A DPDP introduz tambem sancoes aos titulares de dados por apresentarem reclamacoes falsas ou frivolas, o que nao tem analogo no RGPD. O efeito liquido e que, para uma empresa muito grande, o teto baseado no volume de negocios do RGPD pode ofuscar o teto fixo da DPDP, ao passo que, para a mesma empresa, a DPDP remove a exposicao a acao coletiva e a litigancia individual que ensombra a conformidade com o RGPD na Europa.
Isencoes
O RGPD mantem as isencoes restritas e regradas. O Article 23 permite que a lei do Estado-Membro restrinja direitos apenas quando necessario e proporcional para objetivos de interesse publico enumerados, e existem excecoes especificas para o jornalismo, a expressao academica, artistica e literaria, e para a investigacao e o arquivo sujeitos a salvaguardas. A DPDP concede isencoes mais amplas e mais controladas pelo executivo. A Section 17 permite que o Governo Central isente os organismos do Estado da maior parte da lei no interesse da soberania, da seguranca, da ordem publica e das relacoes amistosas, e prove isencoes para o tratamento necessario a investigacao, ao arquivo ou a finalidades estatisticas, para certas start-ups mediante notificacao, e para a execucao de direitos legais. A amplitude das isencoes viradas para o Estado, e o facto de serem conferidas e delimitadas pelo executivo, e nao por uma autoridade independente ou um tribunal, e uma das caracteristicas mais debatidas do regime indiano e um tema recorrente nos comentarios da sociedade civil (Internet Freedom Foundation 2025).
Que controlos um programa sujeito a ambos os regimes deve acrescentar
Para uma organizacao dentro de ambos os regimes, o modelo operacional e convergencia com divergencia deliberada. A arquitetura pragmatica e executar uma unica base global de nivel RGPD e acoplar modulos especificos da India, em vez de manter dois programas independentes. Os ativos reutilizaveis do RGPD sao substanciais: os registos de tratamento, os controlos de seguranca e de resposta a violacoes, as ferramentas dos direitos dos titulares para acesso, correcao e apagamento, os modelos de contratacao de subcontratantes e a disciplina da privacidade desde a conceptao transferem-se todos para a DPDP com adaptacao menor. As adicoes especificas da India sao onde o esforco se concentra, e sao precisamente os controlos que um programa apenas RGPD nao tera na data de aplicacao de 13 May 2027: uma conceptao de fundamento licito assente no consentimento que nao se apoie no interesse legitimo; integracao com, ou prontidao para, um Gestor de Consentimento; um regime para criancas menores de dezoito anos com consentimento parental verificavel e supressao da publicidade comportamental; um fluxo de trabalho de nomeacao; um processo de violacoes que notifique cada incidente qualificado sem porta de risco; e uma vigilancia sobre a lista negativa transfronteirica do governo e as regras setoriais de localizacao. Inversamente, a organizacao nao pode aposentar qualquer maquinaria do RGPD, porque o conjunto de direitos mais restrito e o modelo de transferencia permissivo da DPDP nao aliviam os deveres europeus.
O que a ferramenta da CCI muda
Um programa de duplo regime falha mais frequentemente nao na politica, mas em nao saber, em termos de prova, onde estao os dados pessoais, em que fundamento licito assenta cada fluxo e quanto custaria um evento de fiscalizacao. As primitivas da CCI atacam exatamente essas lacunas, e cada afirmacao abaixo e uma reducao de probabilidade apoiada por um produto existente, e nao uma garantia.
O NetDiagramer mapeia o patrimonio de dados real, os fluxos entre sistemas e as jurisdicoes que cada fluxo atravessa. Para o problema das transferencias, isto e fundacional: nao se pode aplicar a lista branca de mecanismos do Article 46 do RGPD ou vigiar a lista negra da DPDP se nao se conseguir ver quais os fluxos que saem do EEE ou aterram na India. A mesma topologia faz emergir cada fluxo que atualmente se apoia no interesse legitimo, que e precisamente a populacao que deve ser reassentada no consentimento antes de a DPDP morder.
O EviGen transforma a responsabilizacao de um exercicio de documentacao em prova automatizada. Os registos de tratamento ao abrigo do Article 30, os livros de consentimento, e os artefactos de avaliacao de impacto e de auditoria que um Fiduciario de Dados Significativo deve produzir sao gerados e mantidos atualizados a partir do patrimonio vivo, em vez de reconstruidos a partir de folhas de calculo no momento da auditoria. Um unico pipeline de prova serve tanto o dever europeu de registos como os deveres indianos de responsabilizacao e de auditoria.
O Evidence Vault da ao processo de violacoes a linha temporal a prova de adulteracao de que necessita para sobreviver a regra sem limiar da DPDP. Quando cada incidente qualificado deve chegar ao Conselho no prazo de setenta e duas horas e a cada titular afetado sem demora, a restricao nao e a vontade, mas a capacidade de reunir rapidamente um relato defensavel do que aconteceu, quando e a quem. O mesmo cofre satisfaz a manutencao de registos do Article 33 e 34 do RGPD.
O cVaR precifica em dinheiro a economia da fiscalizacao divergente. Quantifica a exposicao sob ambos os tetos, os quatro por cento ligados ao volume de negocios do RGPD e os duzentos e cinquenta crore fixos por instancia da DPDP, de modo que uma direcao veja a sua superficie de sancao de duplo regime como um unico numero, em vez de duas abstracoes juridicas, e possa ordenar a remediacao pela reducao esperada de perda.
A Domain Separation mantem os patrimonios de dados europeu e indiano logicamente separaveis, de modo que os requisitos de localizacao, uma futura lista negativa e os regimes de fundamento licito divergentes possam ser aplicados por jurisdicao sem bifurcar todo o programa em dois. E o controlo que torna a convergencia com divergencia deliberada operavel, em vez de aspiracional.
Pôr o duplo mandato de pe a tempo
Os deveres substantivos da DPDP aterram em 13 May 2027. A partir da data de redacao, isso e cerca de onze meses, o que se le como distante e nao e: uma re-arquitetura assente no consentimento, uma integracao de Gestor de Consentimento e um regime para menores de dezoito anos sao programas de varios trimestres, e correm em serie mais frequentemente do que em paralelo, porque cada um depende de uma visao limpa do patrimonio de dados que a maioria das organizacoes ainda nao tem. Contando para tras a partir de maio de 2027, o trabalho de descoberta e mapeamento de dados tem de comecar neste trimestre para que as fases de construcao, teste e auditoria caibam antes da aplicacao. Quando uma organizacao precisa de lideranca senior de privacidade para conduzir essa construcao sem acrescentar quadros permanentes, o CISO-as-a-Service da CCI oferece um conjunto de oito ou mais profissionais certificados CISSP para cobertura interina, fracional, em chamada ou pos-incidente, com a independencia preservada porque a CCI nao audita onde lidera. Esse conjunto nao e apenas europeu: a CCI tem profissionais certificados CISSP sediados na India, especialistas seniores em privacidade de dados que conhecem por dentro a DPDP, o modelo de Gestor de Consentimento e as obrigacoes linguisticas do Oitavo Anexo. Isso importa na pratica, porque um Fiduciario de Dados Significativo deve nomear um Encarregado da Protecao de Dados domiciliado na India, e um responsavel local de privacidade tambem encurta a distancia ao aconselhamento juridico indiano, ao Conselho de Protecao de Dados e as realidades do consentimento a escala nacional.
A outra lacuna recorrente e fundacional, e nao juridica: a maioria das organizacoes nao consegue dizer, em prova, onde os seus dados pessoais realmente estao. Os especialistas em inventario de dados da CCI mapeiam exatamente isso em patrimonios legados, dados quentes em sistemas vivos e dados frios em arquivos e copias de seguranca, registos estruturados em bases de dados e a muito mais dificil dispersao nao estruturada em documentos, caixas de correio, partilhas de ficheiros e armazenamentos de objetos. Esse inventario e a pre-condicao para tudo a jusante, o reassentamento do consentimento, os fluxos de trabalho de direitos e de apagamento, a visao das transferencias transfronteiricas e a avaliacao do ambito da violacao, nenhum dos quais pode ser confiavel se o mapa do patrimonio estiver incompleto. Quando a lacuna e ferramenta feita por medida, a equipa interna de I&D, os academicos, investigadores de doutoramento e engenheiros que construiram o NetDiagramer, o EviGen, o cVaR e o DORA-MAST, pode compor essas primitivas, ingestao de inventario, prova de configuracao, mapeamento de topologia e quantificacao, num conjunto rapido de ferramentas de prontidao para duplo regime. Isso e indicado como capacidade, com os produtos enviados como prova, e nao como uma promessa cronometrada. Para definir o ambito de uma avaliacao de prontidao para duplo regime, fale com um profissional.
Matriz mestra lado a lado
| Dimensao | GDPR | DPDP |
|---|---|---|
| Instrumento | Regulation (EU) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| Em vigor | 25 May 2018 | Faseado; deveres substantivos a partir de 13 May 2027 |
| Dados abrangidos | Automatizados e manuais estruturados; escalao sensivel | Apenas digitais; sem escalao sensivel |
| Gatilho extraterritorial | Estabelecimento; oferta; monitorizacao | Oferta de bens ou servicos a titulares na India |
| Fundamentos de licitude | Seis, incluindo interesses legitimos | Consentimento mais lista fechada de usos legitimos |
| Regime de dados sensiveis | Categorias especiais do Article 9 | Nenhum (indireto via SDF e criancas) |
| Idade das criancas | 16 (Estados-Membros podem baixar para 13) | Menores de 18; proibicao de publicidade comportamental |
| Direitos | Oito, incluindo portabilidade, oposicao, Art 22 | Acesso, correcao, apagamento, reclamacao, nomeacao |
| Encarregado da protecao de dados | Obrigatorio com base no risco | Apenas Fiduciarios de Dados Significativos; sediado na India |
| Modelo transfronteirico | Lista branca (proibicao por defeito) | Lista negra (permissao por defeito) |
| Aviso de violacao | 72h a SA se houver risco; individuos se risco elevado | 72h ao Conselho mais todos os titulares afetados, sem limiar |
| Sancao maxima | EUR 20m or 4% of global turnover | INR 250 crore per instance, no turnover link |
| Direito de acao privado | Sim (Art 82) | Nenhum |
| Regulador | Autoridades de Controlo independentes | Conselho de Protecao de Dados (apenas decisorio) |
| Elaboracao de normas | EDPB, Comissao, Autoridades de Controlo | Governo Central |
Acronimos
| Acronym | Expansion (English) | Tradução portuguesa |
|---|---|---|
| BCR | Binding Corporate Rules | Regras Vinculativas para Empresas |
| CJEU | Court of Justice of the European Union | Tribunal de Justica da Uniao Europeia |
| DPDP | Digital Personal Data Protection | Protecao de Dados Pessoais Digitais |
| DPIA | Data Protection Impact Assessment | Avaliacao de Impacto sobre a Protecao de Dados |
| DPO | Data Protection Officer | Encarregado da Protecao de Dados |
| EDPB | European Data Protection Board | Comite Europeu para a Protecao de Dados |
| EEA | European Economic Area | Espaco Economico Europeu |
| GDPR | General Data Protection Regulation | Regulamento Geral sobre a Protecao de Dados |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministerio da Eletronica e Tecnologias de Informacao (India) |
| RBI | Reserve Bank of India | Banco de Reserva da India |
| SA | Supervisory Authority | Autoridade de Controlo |
| SCC | Standard Contractual Clauses | Clausulas Contratuais-Tipo |
| SDF | Significant Data Fiduciary | Fiduciario de Dados Significativo |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Tribunal de Resolucao de Litigios e de Recurso em materia de Telecomunicacoes |
Referencias
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html