Embora muitas de suas ideias e disposições se assemelhem ao GDPR, a lei de privacidade de dados da Índia não usa sempre a mesma linguagem que outras regulamentações em todo o mundo. Em vez do termo "titular dos dados" usado na Europa e nos Estados Unidos, o projeto de lei da Índia se refere às pessoas como "principais de dados".
Da mesma forma, em vez de usar os termos "processadores de dados" e "controladores de dados" do GDPR, ele se refere às organizações como "fiduciários de dados" e "fiduciários de dados significativos" (SDF).
Uma grande diferença em relação à maioria das regulamentações globais é que o DPDP não faz distinção entre níveis de dados pessoais. Não há conceito de "dados sensíveis" que normalmente recebe proteções adicionais em outras leis, oferecendo em vez disso uma proteção geral para dados pessoais, definidos como "qualquer dado sobre um indivíduo identificável por meio desses dados ou em relação a tais dados".
A nova lei se aplica tanto ao processamento de dados pessoais digitais dentro da Índia quanto ao processamento extraterritorial desses dados fora da Índia, desde que esteja relacionado à "oferta de bens ou serviços aos titulares de dados na Índia". Não diferencia entre entidades públicas e privadas, tratando ambas de forma igual.
É importante observar que a redação de nenhuma das definições faz referência a residentes ou cidadãos, o que faz com que alguns interpretem que a lei se aplica também a estrangeiros dentro da Índia, semelhante à cobertura extraterritorial do GDPR.
Ao contrário do GDPR, a lei de privacidade de dados da Índia não restringe de forma alguma a transferência de dados para outros países. Isso contrasta fortemente com a maioria das regulamentações atuais de privacidade de dados, que normalmente têm linguagem indicando que apenas países com medidas de proteção adequadas podem receber transferências de dados.
A lei de privacidade de dados da Índia oferece os seguintes direitos de dados: