Ley DPDP de India de 2023: Cumplimiento de la protección de datos personales digitales

La Ley de Protección de Datos Personales Digitales de 2023 de la India (Ley DPDP), promulgada el 11 de agosto de 2023, representa un cambio histórico en el enfoque de la India respecto de la regulación de la privacidad. Después de casi una década de deliberación legislativa, incluido el informe del Comité de Justicia Srikrishna (2017), múltiples proyectos de ley de protección de datos personales y una sentencia de la Corte Suprema que afirma la privacidad como un derecho fundamental (Juez K.S. Puttaswamy vs. Unión de la India, 2017), India ahora cuenta con un marco de protección de datos integral y aplicable.

La Ley DPDP introduce conceptos como "fiduciario de datos", "principal de datos" y "administrador de consentimiento", establece la Junta de Protección de Datos de la India (DPBI) como autoridad de aplicación y establece sanciones financieras de hasta 250 millones de rupias (~30 millones de dólares) por infracción. La Ley ya está en vigor y se espera que sus normas de aplicación se finalicen y notifiquen en 2025-2026.

Conclusiones clave

• La Ley DPDP de 2023 se aplica al procesamiento de datos personales digitales en la India y extraterritorialmente para los servicios ofrecidos a individuos indios.
• El consentimiento es la base jurídica principal, complementado por "usos legítimos" para fines específicos (empleo, procedimientos judiciales, interés público)
• Los "fiduciarios de datos importantes" enfrentan mayores obligaciones, incluidos los requisitos de DPIA y el nombramiento de un auditor de datos independiente
• La Junta de Protección de Datos de la India (DPBI) es la autoridad de aplicación con poderes para investigar, juzgar e imponer sanciones.
• La pena máxima es de 250 millones de rupias (~30 millones de dólares) por infracción; Las sanciones son acumulativas por múltiples infracciones.
• Las transferencias de datos transfronterizas están permitidas a todos los países, excepto aquellos específicamente restringidos por notificación del Gobierno Central.
• Los responsables de los datos (individuos) tienen derechos de acceso, corrección, eliminación, nominación y reparación de agravios.
• Las reglas de implementación (aún por finalizar) especificarán los requisitos operativos clave, incluido el formato de notificación de consentimiento, los períodos de retención y los criterios fiduciarios de datos importantes.

---

Ley DPDP de 2023: descripción general del marco

Terminología clave

La Ley DPDP introduce su propia terminología distinta de los marcos influenciados por el RGPD:

• Datos personales: cualquier dato sobre una persona que sea identificable por o en relación con dichos datos.
• Datos personales digitales: Datos personales en formato digital, o datos personales no digitales posteriormente digitalizados
• Principal de datos: la persona física a la que se refieren los datos personales (equivalente al "titular de los datos" del RGPD)
• Fiduciario de datos: Cualquier persona que sola o conjuntamente con otras determina la finalidad y los medios del procesamiento (equivalente al "responsable del tratamiento" del RGPD)
• Procesador de datos: Una persona que procesa datos personales en nombre de un fiduciario de datos.
• Fiduciario de datos significativos (SDF): un fiduciario de datos designado por el gobierno central en función del volumen/sensibilidad de los datos, el riesgo para los principales de los datos, las consideraciones de seguridad nacional y otros criterios.

Alcance

La Ley DPDP se aplica a:

1. Procesamiento de datos personales digitales dentro de la India
2. Procesamiento de datos personales digitales fuera de la India, si tiene como objetivo ofrecer bienes o servicios a los responsables de datos en la India.

Exenciones: Tratamiento para fines personales o domésticos; datos personales puestos a disposición del público por el propio titular de los datos o que el titular de los datos esté obligado legalmente a hacer públicos.

---

Consentimiento como base

A diferencia de la mayoría de las leyes globales de protección de datos con múltiples bases legales iguales, la Ley DPDP hace que el consentimiento sea la base legal principal, complementado con "usos legítimos" para categorías enumeradas específicas. Esta es una elección de diseño fundamental con importantes implicaciones prácticas.

Requisitos de consentimiento

El consentimiento en virtud de la Ley DPDP debe ser:

• Gratis: Sin coerción ni condicionalidad
• Específico: Para cada propósito descrito
• Informado: basado en un aviso de consentimiento claro
• Incondicional: no depende de que se proporcionen más datos de los necesarios
• Inequívoco: Acción afirmativa clara

Requisitos de notificación de consentimiento (Secciones 5 y 7): antes de solicitar el consentimiento, los fiduciarios de datos deben proporcionar una notificación que contenga:

• Descripción de los datos personales a tratar
• Finalidad del tratamiento
• Forma en que el titular de los datos puede ejercer sus derechos
• Forma en que se pueden presentar quejas ante el fiduciario de datos
• Forma en que se pueden presentar quejas ante la DPBI

Los avisos deben estar en inglés y en los idiomas especificados en el Anexo Octavo de la Constitución (22 idiomas oficiales), un requisito operativo importante para las empresas orientadas al consumidor.

Administradores de consentimiento: La Ley DPDP introduce administradores de consentimiento: entidades registradas que actúan como intermediarios que administran el consentimiento en nombre de los principales de datos. Los principales de datos pueden gestionar sus consentimientos entre múltiples fiduciarios de datos a través de un único administrador de consentimiento. Se trata de un mecanismo innovador exclusivo del marco de la India.

Usos legítimos (Sección 7)

Se permite el procesamiento sin consentimiento para "usos legítimos" específicos:

1. Funciones del Estado: Tramitación por parte de las instrumentalidades estatales para la provisión de subsidios, beneficios, servicios, certificados, licencias.
2. Emergencia médica: Tratamiento de una emergencia médica que amenaza la vida o un riesgo inmediato para la salud.
3. Epidemia/desastre: Respuesta a epidemias, pandemias o desastres
4. Fines laborales: Procesamiento para cumplir obligaciones o ejercer derechos conforme a la ley en relación con el empleo (incluida la investigación previa al empleo)
5. Órdenes judiciales: Procesamiento requerido por órdenes judiciales
6. Investigación y estadísticas: Procesamiento para prevención/detección de fraude, calificación crediticia, investigación legal, fines estadísticos, dentro de los estándares prescritos.
7. Fines justos y razonables: Procesamiento para fines especificados por el Gobierno Central como justos y razonables.

---

Derechos principales de datos

La Ley DPDP otorga a los responsables de datos los siguientes derechos (secciones 11 a 14):

Ausencia notable: La Ley DPDP no incluye derechos explícitos de portabilidad, restricción u objeción a la toma de decisiones automatizada en la misma forma que el GDPR. Las normas de implementación del Gobierno Central pueden abordar algunos de estos mediante normas prescritas.

Cronograma de respuesta: La Ley no especifica cronogramas; se espera que estén prescritos en las normas de implementación. Los fiduciarios de datos deberán reconocer las quejas dentro de un plazo determinado y resolverlas dentro de otro plazo determinado.

---

Obligaciones fiduciarias de datos

Obligaciones generales (Sección 8)

Todos los fiduciarios de datos deben:

• Mantener la exactitud de los datos (integridad, exactitud, coherencia con el propósito)
• Implementar medidas de seguridad de los datos, incluido el cifrado, los controles de acceso y la respuesta a incidentes.
• Suprimir los datos personales cuando se cumpla la finalidad o se retire el consentimiento (salvo que obligación legal obligue a conservarlos)
• Tener un oficial de quejas (u oficial/mecanismo) para las quejas principales de datos.
• No procesar datos de niños sin consentimiento paterno verificable (para niños menores de 18 años)
• No rastrear ni monitorear el comportamiento de los niños ni dirigir publicidad a niños.

Protección de datos infantiles

La Ley DPDP tiene disposiciones estrictas para los datos de niños (personas menores de 18 años):

• El procesamiento requiere el consentimiento parental verificable
• Prohibición de seguimiento, seguimiento del comportamiento y publicidad dirigida a niños
• Ningún tratamiento de datos de los niños perjudicial para su bienestar.

Las reglas de implementación especificarán el mecanismo técnico para el consentimiento de los padres verificable; este es un desafío técnico y de experiencia de usuario importante para las aplicaciones de consumo.

Fiduciarios de datos importantes (SDF)

El Gobierno Central designará a ciertos fiduciarios de datos como fiduciarios de datos importantes en función de factores que incluyen:

• Volumen y sensibilidad de los datos personales procesados
• Riesgo para los derechos de los titulares de datos
• Impacto potencial sobre la soberanía y la integridad de la India
• Riesgo para la democracia electoral
• Seguridad del estado
• orden publico

Los SDF enfrentan obligaciones adicionales (Sección 10):

• Evaluación de impacto de la protección de datos (DPIA): realizar y documentar DPIA para actividades de procesamiento de alto riesgo
• Auditoría de datos: Auditoría periódica realizada por un auditor de datos independiente
• Delegado de protección de datos (DPO): designar a un DPO con sede en la India como personal directivo clave.
• Otras medidas: Según lo prescrito por el Gobierno Central

Los criterios para la designación del SDF aún no están finalizados; las reglas de implementación especificarán los umbrales. Según los precedentes internacionales, las empresas de tecnología con millones de usuarios indios, las plataformas de redes sociales y las grandes empresas de comercio electrónico son posibles candidatos.

---

Transferencias de datos transfronterizas

La sección 16 de la Ley DPDP adopta un enfoque notable: los datos personales pueden transferirse a cualquier país fuera de la India, excepto aquellos específicamente restringidos mediante notificación al Gobierno Central.

Este es un enfoque de lista positiva/restricción negativa: el valor predeterminado es que se permiten las transferencias, pero el gobierno puede restringir las transferencias a países específicos por razones de seguridad nacional, estratégicas o de otro tipo.

Implicaciones prácticas:

• Las empresas pueden transferir datos internacionalmente sin evaluación por transferencia (sujeto a restricciones del país)
• El Gobierno Central publicará una lista de países restringidos: las empresas deben monitorear e implementar restricciones
• Los requisitos de localización específicos del sector (datos financieros según el RBI, datos de salud según el NMC/Ministerio de Salud) siguen aplicándose junto con la Ley DPDP.

Estado actual: hasta principios de 2026, no se han emitido notificaciones de restricciones por países. Las normas de desarrollo establecerán el marco para la publicación y actualización de la lista restringida.

---

Junta de Protección de Datos de la India (DPBI)

El artículo 18 establece el DPBI como un órgano decisorio independiente con poderes para:

• Recibir e investigar quejas de los responsables de datos.
• Realizar investigaciones sobre presuntos incumplimientos.
• Pasar órdenes que incluyen sanciones financieras.
• Emitir instrucciones a los fiduciarios y procesadores de datos.
• Remitir los asuntos al Gobierno Central para que adopte medidas políticas.

Estructura DPBI: Presidida por un Presidente designado por el Gobierno Central; Los miembros incluyen expertos en tecnología, derecho y políticas públicas. El DPBI aún no está constituido; su preparación operativa dependerá de las reglas de implementación y los nombramientos gubernamentales.

Proceso de investigación: Los responsables de datos pueden presentar quejas ante el DPBI después de agotar el mecanismo interno de quejas del fiduciario de datos. El DPBI puede investigar, buscar documentos, convocar a testigos y emitir avisos de causa. Las entidades tienen derecho a ser oídas ante una orden sancionadora.

Sanciones

La Ley DPDP establece un calendario de sanciones (Lista del DPBI):

Las sanciones son por infracción y pueden ser acumulativas: una sola vulneración de datos que involucre una falla de seguridad y una falla de notificación podría, en teoría, atraer un total de 450 millones de rupias.

---

Notificación de infracción

La Sección 8 requiere que los fiduciarios de datos notifiquen al DPBI (y a los responsables de datos a través de los medios prescritos) de cualquier violación de datos personales. A diferencia del umbral basado en el riesgo del RGPD (sólo "que probablemente resulte en un alto riesgo"), la Ley DPDP parece exigir la notificación de todas las infracciones que afecten a los datos personales digitales. Las normas de desarrollo especificarán:

• Cronograma de notificación
• Forma y contenido de la notificación
• Forma de notificar a los responsables de los datos afectados

En ausencia de plazos especificados, la mejor práctica es alinearse con el estándar de 72 horas del RGPD para la notificación DPBI y notificar a los responsables de datos sin demoras indebidas en caso de violaciones de alto riesgo.

---

Cronograma de implementación de la Ley DPDP

Agosto de 2023: Se promulga la Ley DPDP y se recibe la aprobación presidencial

2024: Consulta gubernamental sobre las normas de implementación; períodos de retroalimentación de las partes interesadas

2025-2026: Se espera notificar las normas de implementación, que especifican:

• Formato del aviso de consentimiento y requisitos de idioma.
• Plazos de conservación de los datos
• Criterios y umbrales de designación del SDF
• Mecanismo de consentimiento de los padres verificable.
• Requisitos de registro del administrador de consentimiento
• Constitución y procedimientos operativos del DPBI.
• Requisitos de calificación del auditor de datos

Situación actual: La Ley está en vigor, pero muchos requisitos operativos dependen de las normas de implementación. Las empresas deben diseñar programas de cumplimiento asumiendo el rigor del RGPD mientras monitorean el desarrollo de las reglas.

---

Lista de verificación de cumplimiento de la Ley DPDP

• [] Análisis de aplicabilidad completado (operaciones en India, clientes indios)
• Inventario de datos personales completado para todas las actividades de procesamiento
• [] Notificación de consentimiento desarrollada que cumple con los requisitos de las secciones 5 y 7
• Mecanismo de consentimiento implementado (afirmativo, específico, incondicionado)
• [] Se planea la traducción del aviso de consentimiento a los idiomas indios aplicables.
• Análisis de usos legítimos completado para procesamiento sin consentimiento
• Se completó la identificación de los datos de los niños; se planificó el mecanismo de consentimiento de los padres
• Datos principales procedimientos de derechos documentados (acceso, rectificación, supresión, nominación)
• Oficial de quejas designado e información de contacto publicada
• Medidas de seguridad implementadas (cifrado, control de acceso, respuesta a incidentes)
• Procedimiento de notificación de incumplimiento documentado (alinearse con los requisitos de informes de DPBI)
• Procedimientos de retención y eliminación de datos documentados y automatizados
• Evaluación de transferencias transfronterizas: seguimiento de la lista restringida de países prevista
• Evaluación de la designación del SDF: prepárese para obligaciones adicionales si es probable que califique
• Proceso EIPD establecido para procesamientos de alto riesgo
• Se completó la capacitación de los empleados sobre las obligaciones de la Ley DPDP

---

Preguntas frecuentes

¿Está plenamente vigente la Ley DPDP de 2023?

La Ley DPDP se promulgó y recibió la aprobación presidencial en agosto de 2023. Sin embargo, muchas disposiciones dependen de reglas de implementación (llamadas reglas según la Ley) que especifican requisitos operativos. A principios de 2026, las normas de aplicación no se habían notificado en su totalidad. La Ley en sí está en vigor (lo que significa que se aplican sus principios y algunas obligaciones), pero los requisitos de cumplimiento detallados (formato de notificación de consentimiento, criterios SDF, procedimientos DPBI) esperan reglas. Las empresas deberían preparar marcos de cumplimiento ahora y actualizarlos a medida que se publiquen las reglas.

¿En qué se diferencia la Ley DPDP del RGPD?

Varias diferencias significativas: (1) La Ley DPDP utiliza el consentimiento como base principal, con "usos legítimos" limitados: el RGPD tiene seis bases legales iguales; (2) La Ley DPDP permite transferencias transfronterizas por defecto (con excepción de los países con restricciones gubernamentales): el RGPD restringe las transferencias a menos que exista una protección adecuada; (3) La Ley DPDP no incluye derechos explícitos a la portabilidad de datos o restricción en el procesamiento; (4) La Ley DPDP introduce administradores de consentimiento, una innovación única; (5) la estructura de sanciones de la Ley DPDP (Máximo de 250 millones de rupias) es inferior a los máximos potenciales del RGPD para grandes multinacionales; (6) La Ley DPDP se aplica únicamente a los datos personales digitales: el RGPD se aplica a todos los datos personales independientemente del formato.

¿Quién es probable que sea designado fiduciario de datos importantes?

Los criterios de la Sección 10 sugieren que los SDF incluirán: principales plataformas de redes sociales que operan en la India, grandes empresas de comercio electrónico con importantes bases de usuarios indios, empresas que procesan datos confidenciales (salud, financieros) a escala, empresas de tecnología con importantes volúmenes de procesamiento. Con base en el umbral análogo de "monitoreo sistemático a gran escala" del GDPR y el tamaño de la India (1.4 mil millones de habitantes), las empresas con millones de usuarios indios, particularmente en los sectores de internet de consumo, fintech y tecnología de la salud, deberían evaluar la probabilidad de SDF y prepararse para mayores obligaciones.

¿Cuáles son las disposiciones del administrador de consentimiento?

Los administradores de consentimiento son entidades registradas en el DPBI que mantienen plataformas interoperables a través de las cuales los principales de datos pueden otorgar, administrar, revisar y retirar el consentimiento entre múltiples fiduciarios de datos. Los fiduciarios de datos son responsables del procesamiento basado en el consentimiento obtenido a través de un administrador de consentimiento. Esto está diseñado para brindar a las personas una vista centralizada y control de su consentimiento en todo el ecosistema digital. Los requisitos de registro y las normas técnicas para los gestores de consentimiento se especificarán en las normas de desarrollo.

¿Cómo se aplica la Ley DPDP a los datos de los empleados?

Los datos laborales se abordan a través de la disposición sobre "usos legítimos" (Sección 7(f)): el procesamiento con el fin de cumplir obligaciones o ejercer derechos conforme a la ley en relación con el empleo (incluida la verificación previa al empleo, verificación de antecedentes, nómina, beneficios) califica como un uso legítimo sin requerir consentimiento. Sin embargo, los datos de los empleados más allá de los fines laborales requerirían consentimiento. Se espera que las normas de aplicación aclaren el alcance de los usos legítimos relacionados con el empleo.

¿Existen requisitos de localización de datos específicos del sector que todavía se aplican?

Sí. Las disposiciones sobre transferencias transfronterizas de la Ley DPDP no reemplazan los requisitos de localización específicos del sector. El Banco de la Reserva de la India (RBI) exige el almacenamiento de datos financieros dentro de la India (Dirección de almacenamiento de datos del sistema de pago, 2018). La Comisión Médica Nacional y el Ministerio de Salud tienen requisitos de localización de datos de salud. IRDAI (seguros) tiene requisitos de localización de datos para las compañías de seguros. Las empresas en sectores regulados deben cumplir tanto con la Ley DPDP como con los requisitos específicos del sector.

---

Próximos pasos

La Ley DPDP de la India representa un desarrollo regulatorio importante para cualquier negocio con operaciones, clientes o empleados en la India. Si bien aún se están ultimando las reglas de implementación, desarrollar su programa de cumplimiento ahora (particularmente en torno a los mecanismos de consentimiento, los derechos principales de los datos y las salvaguardas de seguridad) lo posiciona para lograr el cumplimiento de manera eficiente cuando se notifiquen las reglas.

El equipo de implementación de tecnología de ECOSIRE ayuda a las empresas a diseñar arquitecturas de datos, sistemas de gestión de consentimiento y flujos de trabajo de operaciones de privacidad que cumplan con DPDP adaptados al mercado de la India.

Comenzar: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Las normas de aplicación de la Ley DPDP están pendientes; Los requisitos evolucionarán a medida que se notifiquen las reglas. Consulte a un asesor legal indio calificado para obtener asesoramiento específico para su organización.