A qui s’aplica la Llei DPDP

La Llei DPDP regula el tractament de dades personals digitals dins de l’Índia, així com el tractament fora de l’Índia relacionat amb l’oferta de béns o serveis a persones a l’Índia. En la pràctica, si el teu lloc web és accessible per a usuaris de l’Índia i hi reculls dades personals — incloent-hi mitjançant cookies, SDKs, píxels o tècniques de fingerprinting —, la Llei gairebé amb tota seguretat s’aplica al teu cas.

La Llei utilitza dos rols clau: el Data Fiduciary (equivalent a un responsable del tractament segons el GDPR) i el Data Processor. Un petit nombre dels operadors més grans poden ser designats com a Significant Data Fiduciaries, cosa que activa obligacions addicionals com ara les avaluacions d’impacte en la protecció de dades i el nomenament d’un Delegat de Protecció de Dades resident a l’Índia.

Com tracta la Llei DPDP les cookies i altres traçadors

A diferència de la Directiva ePrivacy, la Llei DPDP no destaca les cookies com una categoria separada. En canvi, regula qualsevol tractament de dades personals digitals. Això vol dir que les cookies, els identificadors de dispositiu, les adreces IP, els identificadors publicitaris i els correus electrònics amb hash entren tots dins de l’àmbit d’aplicació quan estan vinculats — directament o indirectament — a una persona identificable.

La implicació per als editors és directa: si una cookie o una etiqueta al teu lloc fa que es recullin o es comparteixin dades personals, necessites una base jurídica vàlida. En virtut de la Llei DPDP, aquesta base és gairebé sempre el consentiment, amb un conjunt reduït d’excepcions per a «usos legítims» definits per la Llei.

Com ha de ser un consentiment vàlid

La Llei DPDP estableix un llindar alt per al consentiment. Ha de ser lliure, específic, informat, incondicional i inequívoc, i expressat mitjançant una acció afirmativa clara. Les caselles premarcades, el consentiment implícit per la simple continuació de la navegació i els «murs de cookies» que condicionen l’accés a l’acceptació no són compatibles amb aquests requisits.

Hi ha dues regles addicionals específiques de la Llei DPDP que són rellevants per al disseny de l’experiència de consentiment:

• Avís detallat per ítems: Abans o en el moment del consentiment, has de proporcionar a l’usuari un avís clar que identifiqui les dades que es recullen, les finalitats del tractament i com pot retirar el consentiment o presentar una reclamació davant del Data Protection Board of India.
• Llenguatge planer i suport multilingüe: Els avisos han d’estar disponibles en anglès i en qualsevol de les 22 llengües oficials de l’Índia que l’usuari seleccioni. Un CMP que no pugui mostrar el contingut de consentiment en hindi, tàmil, bengalí, marathi i altres llengües principals tindrà dificultats per complir la Llei.

Dades de menors i consentiment parental

La Llei DPDP considera menor qualsevol persona menor de 18 anys i exigeix el consentiment parental verificable abans de tractar-ne les dades personals. També prohibeix la monitorització del comportament i la publicitat dirigida a menors. Qualsevol lloc web accessible per a menors a l’Índia — cosa que, en la pràctica, significa gairebé qualsevol lloc — necessita una estratègia de control d’edat o basada en el risc, i ha de poder bloquejar els scripts de seguiment quan no hi hagi consentiment parental.

Drets dels usuaris que el teu CMP ha de permetre exercir

Els Data Principals (usuaris) a l’Índia disposen d’un conjunt de drets que han de ser exercibles a través de la teva capa de consentiment i preferències:

• Dret d’accés a un resum de les seves dades personals que estan sent tractades.
• Dret de rectificació i supressió de les seves dades.
• Dret a retirar el consentiment en qualsevol moment, amb la mateixa facilitat amb què es va atorgar.
• Dret a nomenar una altra persona perquè exerceixi els drets en cas de defunció o incapacitat.
• Dret a la resolució de reclamacions, primer davant del Data Fiduciary i després davant del Data Protection Board of India.

Un CMP conforme hauria d’oferir un enllaç persistent a les preferències, permetre la retirada del consentiment amb un sol clic i registrar els esdeveniments de consentiment de manera que es puguin presentar a petició durant una investigació.

Transferències internacionals de dades

La Llei DPDP adopta un enfocament de «llista negativa» per a les transferències internacionals: les dades personals es poden transferir fora de l’Índia tret que el país de destinació estigui específicament restringit pel Govern Central. Això és més permissiu que el règim d’adequació del GDPR, però igualment hauries de documentar quins tercers països reben dades d’usuaris de l’Índia i monitorar la llista de restriccions publicada.

Sancions i aplicació

Les sancions econòmiques sota la Llei DPDP són substancials. El Data Protection Board pot imposar multes de fins a ₹250 crore (aproximadament 30 milions de dòlars americans) per no adoptar mesures de seguretat raonables, i fins a ₹200 crore per incomplir les obligacions relatives als menors. Els incompliments relacionats amb el consentiment — inclosa la recollida de consentiment mitjançant bàners no conformes — estan subjectes a multes de fins a ₹50 crore per infracció.

Implementar un consentiment conforme a la Llei DPDP al teu CMP

1. Detecta geogràficament els usuaris de l’Índia i aplica una plantilla de consentiment específica per a la Llei DPDP en lloc de reutilitzar un bàner pensat per al GDPR. El contingut de l’avís i les opcions d’idioma són diferents.
2. Mostra els avisos en diverses llengües índies. Com a mínim, dona suport a l’hindi i a l’anglès, i afegeix llengües regionals segons la distribució del teu trànsit.
3. Bloca per defecte tots els traçadors no essencials. Carrega els SDKs de publicitat, analítica i tercers només després d’obtenir un consentiment afirmatiu.
4. Separa clarament les finalitats. No agrupis publicitat, analítica i personalització en una sola acció d’«acceptar» si és raonable que l’usuari vulgui consentir-ne algunes però no d’altres.
5. Registra els esdeveniments de consentiment i de retirada amb marques de temps, la versió exacta de l’avís mostrat i l’idioma seleccionat per l’usuari, de manera que puguis demostrar el compliment durant les investigacions reguladores.
6. Proporciona un enllaç de preferències visible a totes les pàgines que permeti als usuaris revisar, actualitzar o retirar el consentiment en qualsevol moment.

Llei DPDP vs. GDPR: diferències pràctiques

• Sense base de «interessos legítims». La Llei DPDP no reconeix els interessos legítims com a base jurídica general de la manera que ho fa el GDPR. El consentiment té més pes, de manera que el disseny de l’experiència d’usuari és encara més important.
• Normes més estrictes sobre menors. L’edat de consentiment digital és de 18 anys, no de 13 o 16, i la publicitat dirigida a menors està explícitament prohibida.
• El requisit d’avís multilingüe és exclusiu de la Llei DPDP i no es pot complir amb un bàner només en anglès.
• Les obligacions dels Significant Data Fiduciary creen un segon nivell de compliment per als operadors d’alt risc que no té un equivalent directe al GDPR.

Conclusió

La Llei DPDP situa l’Índia dins del panorama global modern de protecció de dades amb un enfocament propi — centrat en el consentiment, multilingüe per disseny i amb una protecció dels menors especialment intensa. Els editors i plataformes que ja operen un CMP d’estàndard GDPR parteixen amb avantatge, però igualment hauran d’ajustar el contingut dels bàners, el suport d’idiomes, la gestió de l’edat i el registre de dades per complir els requisits de la Llei DPDP. Tractar l’Índia com «només una altra jurisdicció GDPR» és la manera més ràpida d’acabar davant del Data Protection Board.