Em 11 de agosto de 2026, a Índia promulgou a Lei de Proteção de Dados Pessoais Digitais (DPDPA), marcando um ponto de virada em sua abordagem à privacidade digital. Menos de um ano depois, em janeiro de 2026, os escritórios Cleary Gottlieb publicaram uma análise comparativa detalhada entre este novo texto, o RGPD europeu e as leis americanas, incluindo o CCPA da Califórnia. Hoje, em maio de 2026, esses três regimes coexistem e influenciam as estratégias de conformidade das empresas que operam internacionalmente. Mas como eles realmente se comparam? E, acima de tudo, quais armadilhas evitar para os profissionais de tecnologia?
1. Âmbito de aplicação: quem é afetado?
O RGPD aplica-se a qualquer entidade que processe dados de residentes europeus, independentemente de sua localização. O CCPA, por sua vez, visa empresas que atingem um determinado faturamento ou processam um volume significativo de dados de californianos. O DPDPA, por sua vez, aplica-se ao processamento de dados pessoais digitais em território indiano, inclusive por entidades estrangeiras se os dados disserem respeito a residentes indianos.
De acordo com uma análise da Cleary Cyberwatch (janeiro de 2026), o DPDPA também abrange dados coletados offline e depois digitalizados, ampliando seu escopo em relação ao CCPA. Por outro lado, exclui o processamento para fins pessoais ou domésticos, como o RGPD.
2. Consentimento e finalidades: divergências marcantes
O RGPD exige consentimento explícito, livre, específico e revogável. O CCPA baseia-se mais no direito de opt-out para a venda de dados, enquanto o DPDPA exige consentimento prévio para qualquer processamento, salvo exceções limitadas.
Um artigo publicado na IGI Global em 2026 destaca que o DPDPA, à semelhança do RGPD, exige consentimento "livre, específico, informado e inequívoco", mas introduz uma noção adicional: o consentimento deve ser dado por um "ato positivo claro". Os autores criticam, no entanto, a falta de precisão sobre o mecanismo de retirada do consentimento, um ponto central no RGPD.
3. Direitos dos titulares: quem protege melhor?
O RGPD oferece um catálogo extenso de direitos: acesso, retificação, apagamento, limitação, portabilidade, oposição. O CCPA concentra-se no direito de acesso, exclusão e opt-out de venda. O DPDPA, segundo uma comparação publicada pela Nyusta em outubro de 2026, retoma a maioria dos direitos do RGPD, mas suprime alguns, como a portabilidade e a definição de perfis automatizados. Uma lacuna notável, apontada por um estudo do IEEE (2026), é a ausência de disposições claras sobre decisões automatizadas e definição de perfis, cruciais na era da IA.
4. Sanções e aplicação: o custo da não conformidade
O RGPD pode impor multas de até 4% do faturamento anual global ou 20 milhões de euros (o valor mais alto é aplicado). O CCPA prevê sanções civis de $2.500 por violação involuntária e $7.500 por violação intencional. O DPDPA, por sua vez, estabelece multas de até 250 crore INR (cerca de 30 milhões de euros) por infração. De acordo com o Global Privacy Blog (dezembro de 2026), esse valor é comparável ao teto do RGPD, mas o DPDPA não prevê uma porcentagem do faturamento, o que pode prejudicar mais as pequenas empresas.
5. Armadilhas a evitar para os profissionais
Erro nº 1: Pensar que o CCPA e o RGPD são intercambiáveis. O CCPA não exige consentimento prévio para a coleta, ao contrário do RGPD. Uma empresa que transpõe mecanicamente seus procedimentos do RGPD para a Califórnia corre o risco de enfrentar obrigações diferentes.
Erro nº 2: Ignorar as especificidades do DPDPA em relação ao consentimento parental. O DPDPA exige consentimento verificável dos pais ou responsáveis para o processamento de dados de crianças (menores de 18 anos). Nenhum outro regime impõe um limite tão alto.
Erro nº 3: Negligenciar as obrigações de notificação de violações. O RGPD exige notificação em 72 horas, o CCPA em 30 dias e o DPDPA também em 72 horas. Mas os critérios de notificação diferem: o DPDPA exige a notificação de qualquer violação suscetível de causar dano, o que é mais amplo que o RGPD.
6. Sinais de alerta a observar
- Ausência de ponto de contato único: Ao contrário do RGPD com a autoridade de controle principal, o DPDPA não prevê um mecanismo de balcão único. Uma empresa que opera em vários estados indianos deve cumprir cada autoridade local.
- Prazos de conformidade: O DPDPA entrou em vigor em 2026, mas suas regras de aplicação ainda estão sendo elaboradas. De acordo com a DLA Piper (2026), a Índia ainda não designou sua autoridade de proteção de dados, criando incerteza jurídica.
- Isenções governamentais: O DPDPA permite que o governo isente certos processamentos por motivos de segurança nacional, disposição ausente no RGPD e no CCPA. Isso pode enfraquecer a proteção dos cidadãos.
7. Rumo a uma convergência?
Apesar de suas diferenças, essas três leis compartilham princípios comuns: transparência, limitação de finalidades, minimização de dados. Um artigo da USC Gould School of Law (sem data) destaca que o RGPD serviu de modelo para o DPDPA, mas este adaptou certas disposições ao contexto indiano, especialmente em termos de soberania de dados.
Na prática, as empresas multinacionais devem adotar uma abordagem granular: mapear fluxos de dados, identificar os regimes aplicáveis e implementar políticas moduláveis. O escritório Varonis lembra que a conformidade não é um exercício único, mas um processo contínuo.
Para saber mais
- Globalprivacyblog - Comparação DPDPA vs RGPD
- Clearycyberwatch - Análise comparativa dos três regimes
- Gould Usc Edu - Artigo sobre privacidade na era digital
- Dlapiperdataprotection - Visão geral das leis de proteção de dados no mundo
- Igi-global - Estudo crítico do consentimento sob o DPDPA
- Varonis - Guia completo das leis americanas de privacidade
- Nyusta - Análise comparativa DPDPA, RGPD e CCPA
- Ieeexplore Ieee - Estudo comparativo do DPDPA com outras leis