L'11 agosto 2026, l'India ha promulgato il Digital Personal Data Protection Act (DPDPA), segnando una svolta nel suo approccio alla privacy digitale. Meno di un anno dopo, nel gennaio 2026, gli studi Cleary Gottlieb hanno pubblicato un'analisi comparativa dettagliata tra questo nuovo testo, il GDPR europeo e le leggi americane, tra cui il CCPA californiano. Oggi, nel maggio 2026, questi tre regimi coesistono e influenzano le strategie di conformità delle aziende che operano a livello internazionale. Ma come si confrontano realmente? E soprattutto, quali insidie evitare per i professionisti del digitale?
1. Ambito di applicazione: chi è interessato?
Il GDPR si applica a qualsiasi entità che tratta dati di residenti europei, indipendentemente dal luogo di stabilimento. Il CCPA, invece, si rivolge alle aziende che realizzano un certo fatturato o trattano un volume significativo di dati di californiani. Il DPDPA, invece, si applica al trattamento di dati personali digitali sul territorio indiano, inclusi quelli effettuati da entità straniere se i dati riguardano residenti indiani.
Secondo un'analisi di Cleary Cyberwatch (gennaio 2026), il DPDPA copre anche i dati raccolti offline e poi digitalizzati, ampliando così il suo perimetro rispetto al CCPA. D'altra parte, esclude i trattamenti per scopi personali o domestici, come il GDPR.
2. Consenso e finalità: divergenze marcate
Il GDPR richiede un consenso esplicito, libero, specifico e revocabile. Il CCPA si basa maggiormente sul diritto di rifiuto (opt-out) per la vendita di dati, mentre il DPDPA impone un consenso preventivo per qualsiasi trattamento, salvo eccezioni limitate.
Un articolo pubblicato su IGI Global nel 2026 sottolinea che il DPDPA, come il GDPR, richiede un consenso "libero, specifico, informato e inequivocabile", ma introduce una nozione aggiuntiva: il consenso deve essere dato mediante un "atto positivo chiaro". Gli autori criticano tuttavia l'assenza di precisazioni sul meccanismo di revoca del consenso, un punto centrale nel GDPR.
3. Diritti degli interessati: chi protegge meglio?
Il GDPR offre un catalogo esteso di diritti: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione. Il CCPA si concentra sul diritto di accesso, cancellazione e rifiuto della vendita. Il DPDPA, secondo una comparazione pubblicata da Nyusta nell'ottobre 2026, riprende la maggior parte dei diritti del GDPR, ma ne elimina alcuni come la portabilità e la profilazione automatizzata. Una lacuna notevole, rilevata da uno studio dell'IEEE (2026), è l'assenza di disposizioni chiare sulle decisioni automatizzate e la profilazione, cruciali nell'era dell'IA.
4. Sanzioni e applicazione: il costo della non conformità
Il GDPR può infliggere multe fino al 4% del fatturato annuo mondiale o 20 milioni di euro (viene applicato l'importo più elevato). Il CCPA prevede sanzioni civili di 2.500 $ per violazione involontaria e 7.500 $ per violazione intenzionale. Il DPDPA, invece, fissa multe fino a 250 crore INR (circa 30 milioni di euro) per infrazione. Secondo Global Privacy Blog (dicembre 2026), questo importo è paragonabile al massimale del GDPR, ma il DPDPA non prevede una percentuale del fatturato, il che può penalizzare maggiormente le piccole imprese.
5. Insidie da evitare per i professionisti
Errore n. 1: Pensare che CCPA e GDPR siano intercambiabili. Il CCPA non richiede il consenso preventivo per la raccolta, a differenza del GDPR. Un'azienda che trasferisce meccanicamente le proprie procedure GDPR in California rischia di scontrarsi con obblighi diversi.
Errore n. 2: Ignorare le specificità del DPDPA in materia di consenso parentale. Il DPDPA richiede un consenso verificabile del genitore o tutore per il trattamento dei dati dei minori (sotto i 18 anni). Nessun altro regime impone una soglia così alta.
Errore n. 3: Trascurare gli obblighi di notifica delle violazioni. Il GDPR impone una notifica entro 72 ore, il CCPA entro 30 giorni e il DPDPA entro 72 ore. Ma i criteri di notifica differiscono: il DPDPA richiede di notificare qualsiasi violazione suscettibile di causare un danno, il che è più ampio del GDPR.
6. Segnali d'allarme da monitorare
- Assenza di punto di contatto unico: A differenza del GDPR con l'autorità di controllo capofila, il DPDPA non prevede un meccanismo di sportello unico. Un'azienda che opera in più stati indiani deve conformarsi a ciascuna autorità locale.
- Tempi di adeguamento: Il DPDPA è entrato in vigore nel 2026, ma le sue regole di attuazione sono ancora in fase di elaborazione. Secondo DLA Piper (2026), l'India non ha ancora designato la sua autorità per la protezione dei dati, creando incertezza giuridica.
- Esenzioni governative: Il DPDPA autorizza il governo a esentare determinati trattamenti per motivi di sicurezza nazionale, una disposizione assente nel GDPR e nel CCPA. Ciò può indebolire la protezione dei cittadini.
7. Verso una convergenza?
Nonostante le loro differenze, queste tre leggi condividono principi comuni: trasparenza, limitazione delle finalità, minimizzazione dei dati. Un articolo della USC Gould School of Law (senza data) sottolinea che il GDPR ha servito da modello per il DPDPA, ma quest'ultimo ha adattato alcune disposizioni al contesto indiano, in particolare per quanto riguarda la sovranità dei dati.
In pratica, le aziende multinazionali devono adottare un approccio granulare: mappare i flussi di dati, identificare i regimi applicabili e implementare politiche modulabili. Lo studio Varonis ricorda che la conformità non è un esercizio unico, ma un processo continuo.
Per approfondire
- Globalprivacyblog - Confronto DPDPA vs GDPR
- Clearycyberwatch - Analisi comparativa dei tre regimi
- Gould Usc Edu - Articolo sulla privacy nell'era digitale
- Dlapiperdataprotection - Panoramica delle leggi sulla protezione dei dati nel mondo
- Igi-global - Studio critico del consenso nel DPDPA
- Varonis - Guida completa alle leggi americane sulla privacy
- Nyusta - Analisi comparativa DPDPA, GDPR e CCPA
- Ieeexplore Ieee - Studio comparativo del DPDPA con altre leggi