L'estructura de la DPDPA el 2026

La DPDPA és una llei autònoma de protecció de dades, diferent de les lleis sectorials de l'Índia sobre banca, telecomunicacions i salut. El seu desplegament va ser deliberadament per etapes perquè l'ecosistema del Gestor de Consentiment, el DPBI i el règim de transferència transfronterera poguessin entrar en funcionament en seqüència.

L'aprovació del 2023 i el desplegament del 2024-2025

La DPDPA va superar el Parlament l'agost del 2023 i poc després va rebre l'aprovació presidencial. El Ministeri d'Electrònica i Tecnologia de la Informació (MeitY) va passar el 2024 consultant sobre les normes d'aplicació, i les normes definitives es van notificar al llarg del 2025 en diverses fases: primer el marc de registre del Gestor de Consentiment, després els procediments dels drets dels interessats, després les notificacions de transferència transfronterera, i finalment els llindars per als fiduciaris de dades significatius. A principis del 2026 el marc complet estava en vigor.

Qui és regulat

La DPDPA s'aplica al tractament de dades personals digitals de persones dins de l'Índia. També s'aplica extraterritorialment quan el tractament es fa en relació amb l'oferta de béns o serveis a principals de dades a l'Índia. Un editor amb seu als EUA que atén usuaris indis a través d'un lloc localitzat, una versió en idioma indi o un inventari programàtic comprat contra adreces IP índies entra en l'àmbit d'aplicació. Aquest abast extraterritorial és inequívoc a l'estatut i ha estat reforçat en les primeres orientacions del DPBI.

La bretxa terminològica

La DPDPA utilitza el seu propi vocabulari, que difereix del GDPR i de la majoria dels nous marcs asiàtics. Un fiduciari de dades és el que el GDPR anomena responsable del tractament. Un encarregat del tractament de dades es correspon clarament amb l'encarregat del tractament del GDPR. Un principal de dades és l'interessat. Un fiduciari de dades significatiu és un responsable del tractament per sobre dels llindars de mida o sensibilitat notificats pel govern central. Els editors estrangers que s'enfronten per primera vegada a la DPDPA sovint mapegen malament aquests termes; fer bé el mapeig aviat estalvia confusió més endavant.

Què es considera dades personals

La definició de dades personals de la DPDPA és àmplia i segueix de prop la pràctica internacional. Les dades personals són qualsevol dada sobre una persona que sigui identificable per o en relació amb aquestes dades. El DPBI ha indicat mitjançant orientacions inicials que els identificadors en línia — galetes, identificadors publicitaris, adreces IP, empremtes digitals de dispositius i perfils de comportament — són dades personals quan es poden vincular a una persona identificable de manera directa o per mitjans raonables.

Cap categoria sensible, però normes sobre fiduciaris de dades significatius

A diferència del GDPR, la LGPD i la PIPA, la DPDPA no defineix formalment una categoria de dades personals sensibles. En canvi, la Llei es basa en la designació de fiduciari de dades significatiu, que imposa obligacions addicionals als responsables del tractament que tracten dades a gran escala, que tracten dades de menors, que tracten dades que podrien afectar la integritat electoral o que tracten dades que podrien afectar la seguretat nacional. El resultat net és similar a les normes de categoria sensible del GDPR per als processadors més grans i sensibles, però l'arquitectura és diferent.

Per què això importa per a les galetes

Una galeta que recull un identificador publicitari rutinari és una dada personal però no està subjecta a obligacions reforçades simplement perquè alimenta un segment d'audiència d'aparença sensible. Però un editor que arriba al llindar de fiduciari de dades significatiu — per exemple, una plataforma gran amb desenes de milions d'usuaris indis — adquireix obligacions addicionals que inclouen un Delegat de Protecció de Dades obligatori, auditories periòdiques i Avaluacions d'Impacte sobre la Protecció de Dades. Els llindars de mida es van notificar el 2025; la majoria de les plataformes globals ara estan en l'àmbit d'aplicació.

El consentiment en virtut de la DPDPA

La DPDPA situa el consentiment al centre del seu marc, però el defineix amb un conjunt específic de requisits que no coincideixen un a un amb el consentiment del GDPR.

L'estàndard de consentiment vàlid

El consentiment en virtut de la DPDPA ha de ser:

• Lliure — no condicionat a la prestació d'un servei al qual l'usuari té dret, i no coaccionat
• Específic — vinculat a una finalitat clarament identificada, no un consentiment paraigua general
• Informat — el principal de dades comprèn quines dades es tracten i amb quina finalitat
• Incondicional — el consentiment no està vinculat a condicions irrellevants
• Inequívoc — expressat mitjançant una acció afirmativa clara, no deduïda del silenci o la inactivitat

El requisit d'avís detallat

La DPDPA requereix un avís en el moment del consentiment o abans que descrigui les dades personals que s'han de tractar, la finalitat del tractament, la manera com el principal de dades pot exercir els seus drets i la manera com el principal de dades pot reclamar davant la Junta. L'avís ha d'estar disponible en anglès i en qualsevol dels 22 idiomes programats de l'Índia que sol·liciti el principal de dades.

L'arquitectura del Gestor de Consentiment

Aquí és on la DPDPA divergeix més nítidament dels altres marcs. La Llei estableix un rol llicenciat anomenat Gestor de Consentiment — una entitat de tercers registrada al DPBI que proporciona un tauler de consentiment interoperable que permet als principals de dades atorgar, revisar, gestionar i retirar consentiments a múltiples fiduciaris de dades des d'una sola interfície. Els Gestors de Consentiment han d'estar registrats a la Junta i han de complir les especificacions tècniques d'interoperabilitat. A la pràctica, els fiduciaris de dades poden obtenir consentiment directament a través del seu propi CMP o a través d'un Gestor de Consentiment registrat, i en molts casos els principals de dades opten per centralitzar el seu consentiment a través d'un Gestor de Consentiment en lloc de gestionar el bàner de cada lloc per separat.

Com és un CMP conforme

Un CMP configurat per al trànsit indi el 2026 hauria de presentar:

• Un bàner visible abans que s'activi cap galeta o rastrejador no essencial, amb accions Acceptar, Rebutjar i Personalitzar amb la mateixa prominència visual
• Disponibilitat en anglès i en l'idioma programat preferit de l'usuari on es sol·liciti
• Controls de consentiment granulars per finalitat, incloent-hi anàlisi, publicitat, personalització i transferència transfronterera
• Un enllaç clar a l'avís detallat complet que inclogui els drets i el canal de reclamació del DPBI
• Un mecanisme persistent i fàcil de trobar per retirar el consentiment que sigui tan fàcil com donar-lo
• Interoperabilitat tècnica amb Gestors de Consentiment registrats perquè l'estat del consentiment es pugui sincronitzar amb el Gestor de Consentiment escollit pel principal de dades

Registres de consentiment

Els fiduciaris de dades han de mantenir registres de consentiment, incloent-hi qui va consentir, quan, a través de quina interfície, per a quina finalitat i qualsevol canvi posterior. El DPBI ha citat registres de consentiment inadequats en diversos dels seus primers procediments, i els registres de consentiment exportables i amb marca de temps són l'expectativa mínima.

Transferències de dades transfrontereres

El marc de transferència transfronterera de la DPDPA és un dels elements més distintius del règim indi i difereix significativament del patró d'adequació més salvaguardes utilitzat pel GDPR, la PIPA i la KVKK modificada.

El marc de notificació

La DPDPA opera amb un enfocament de llista negativa: les transferències transfrontereres estan generalment permeses tret que el país de destinació aparegui en una llista de jurisdiccions restringides notificades pel govern central. Això és l'invers del model d'adequació del GDPR, que tracta les transferències com a prohibides en absència d'una decisió d'adequació positiva o salvaguardes. L'enfocament de la DPDPA és més permissiu en aparença, però la llista negativa es pot ampliar a discreció del govern, i diverses jurisdiccions s'han inclòs a la llista durant el 2025 per a categories de dades específiques.

Què significa això operativament

Per a la majoria dels fluxos de publicitat programàtica el 2026, la resposta és que les transferències transfrontereres a les principals destinacions d'adtech estan permeses sempre que el país de destinació no estigui a la llista restringida. Els editors han de comprovar la llista notificada actual, mantenir documentació de la transferència i la seva finalitat, i estar preparats per redirigir o aturar fluxos si s'afegeix una destinació. Això és significativament més senzill que la mecànica de transferència del GDPR per a la majoria dels fluxos, però el requisit de vigilància és real.

Localització específica del sector

Separadament de la DPDPA, diversos reguladors sectorials indis — incloent-hi el Banc de la Reserva de l'Índia per a dades financeres i el Ministeri de Salut per a dades sanitàries — tenen els seus propis requisits de localització que s'afegeixen a la DPDPA. Un editor que atén usuaris indis en un d'aquests sectors regulats ha de complir tant la DPDPA com les normes sectorials aplicables.

Drets dels principals de dades

La DPDPA atorga als principals de dades un conjunt de drets familiar però lleugerament més estret que el GDPR:

• Dret d'accés a les dades personals que s'estan tractant, incloent-hi categories i encarregats del tractament
• Dret de rectificació, compleció i actualització de dades personals
• Dret de supressió de dades personals que ja no siguin necessàries per a la finalitat declarada
• Dret a designar un altre individu perquè exerceixi els drets en nom del principal de dades en cas de mort o incapacitat
• Dret a la resolució de reclamacions a través del fiduciari de dades
• Dret a reclamar davant la Junta de Protecció de Dades si la resolució de la reclamació és insatisfactòria

Què no hi ha a la llista de drets

En particular, la DPDPA no inclou un dret autònom a la portabilitat, un dret general d'oposició al tractament ni un dret explícit contra la presa de decisions automatitzada, tot i que el règim de fiduciari de dades significatiu i el mecanisme de retirada del consentiment cobreixen indirectament gran part del mateix terreny.

Terminis de resposta

Els fiduciaris de dades han de respondre a les sol·licituds dels principals de dades dins dels terminis especificats a les normes notificades — que en la majoria dels casos és dins d'un període raonable que no superi la finestra especificada, ja que el DPBI considera que un retard significatiu és un incompliment. El sistema de resolució de reclamacions és el primer pas; només les reclamacions no resoltes escalen a la Junta.

Fiduciaris de dades significatius

La designació de fiduciari de dades significatiu (SDF) activa obligacions addicionals més enllà dels requisits bàsics de la DPDPA.

Les obligacions addicionals

• Nomenament d'un Delegat de Protecció de Dades amb seu a l'Índia
• Avaluacions d'Impacte sobre la Protecció de Dades periòdiques per a les activitats de tractament especificades
• Auditories independents periòdiques
• Obligacions de transparència addicionals sobre el tractament algorítmic
• Notificació de violacions i gestió de registres més estrictes

Qui qualifica

La mida, el volum de dades personals tractades, la sensibilitat de les dades, el risc per als principals de dades, l'impacte potencial sobre la democràcia electoral, la seguretat i la sobirania, i l'impacte potencial sobre l'ordre públic són tots factors. El govern central notifica els SDF individualment o per classe. La majoria de les grans plataformes globals que atenen l'Índia entren en les classes notificades el 2026.

Dades de menors

La DPDPA defineix un menor com qualsevol individu menor de 18 anys — un llindar superior al 16 per defecte del GDPR i als diversos llindars nacionals inferiors. El tractament de dades personals de menors requereix el consentiment parental verificable, i el seguiment, la publicitat dirigida i el seguiment del comportament de menors estan restringits independentment de l'estat del consentiment. Els editors les audiències dels quals inclouen un trànsit significatiu de menors de 18 anys necessiten verificació d'edat, fluxos de consentiment parental i tractament restringit per al segment de menors, tot el qual requereix un treball d'enginyeria real que pocs editors estrangers han completat per defecte.

Sancions i execució

La DPDPA va introduir un règim de sancions superior a les multes administratives índies històriques i significativament escalonat en funció de la gravetat de la infracció.

Sancions administratives

La DPDPA permet sancions de fins a 250 crore INR (aproximadament 30 milions USD) per infracció per a les infraccions més greus. S'apliquen sancions de nivell inferior per incompliments relacionats amb el consentiment, l'avís, la seguretat, la notificació de violacions i la resolució de reclamacions. El DPBI ha utilitzat el punt mig del rang diverses vegades el 2025 i principis del 2026, i l'estructura de sancions està dissenyada per escalar amb un incompliment sistemàtic.

Els temes d'execució del DPBI

Les primeres decisions del DPBI s'agrupen al voltant d'un petit conjunt de problemes recurrents: bàners de consentiment sense una opció real de rebuig, avisos que no descriuen els canals de reclamació del DPBI, fluxos transfronterers a destinacions de la llista restringida, sistemes de resolució de reclamacions que no responen realment i errors d'interoperabilitat del Gestor de Consentiment. Els editors estrangers han estat citats en gairebé totes aquestes categories.

La dimensió reputacional

El DPBI publica les seves decisions públicament, incloent-hi el nom del fiduciari i un resum de l'incompliment. En un mercat indi on la fricció regulatòria es tradueix ràpidament en cobertura mediàtica i atenció política, el cost reputacional d'una decisió publicada del DPBI és significatiu a banda de la sanció econòmica.

Llista de verificació d'auditoria per al trànsit indi el 2026

• El bàner del CMP es serveix amb Acceptar, Rebutjar i Personalitzar amb la mateixa prominència visual
• L'avís disponible en anglès i en l'idioma programat sol·licitat del principal de dades on sigui aplicable
• L'avís descriu explícitament el canal de reclamació del DPBI i els drets del principal de dades
• Les finalitats del consentiment són granulars, amb la transferència transfronterera com a finalitat separada
• La interoperabilitat tècnica amb almenys un Gestor de Consentiment registrat és al seu lloc
• La retirada del consentiment és tan fàcil com donar-lo, i activa la supressió posterior i el filtratge d'activació
• El flux de treball dels drets del principal de dades — accés, rectificació, supressió, designació — compta amb personal i està documentat
• El canal de resolució de reclamacions compta amb personal amb terminis de resposta fets el seguiment
• Les destinacions de transferència transfronterera es revisen contra la llista restringida actual i es documenten
• Les obligacions de fiduciari de dades significatiu — DPO, DPIA, auditoria — estan al seu lloc si s'ha superat el llindar
• Flux conscient de l'edat per als usuaris menors de 18 anys, amb consentiment parental verificable on sigui aplicable
• Les normes de localització i tractament específiques del sector estan documentades i complides si l'editor opera en un sector regulat

Les perspectives del 2026

El règim de privadesa de l'Índia ha passat de l'abstracció legislativa a la realitat operativa en poc més de dos anys. L'arquitectura de la DPDPA és distintiva — l'ecosistema del Gestor de Consentiment és l'experiment global més visible en consentiment portàtil i interoperable, i l'enfocament de transferència per llista negativa és significativament diferent del patró d'adequació més salvaguardes que domina altres marcs. Per als editors que ja executen una pila de consentiment de nivell GDPR, la bretxa fins al compliment de la DPDPA és operativa i no arquitectònica: interoperabilitat del Gestor de Consentiment, avisos en idiomes programats, divulgacions de reclamació del DPBI, el llindar per als menors de 18 anys i la verificació de transferència per llista negativa. La bretxa es pot tancar en setmanes si es prioritza. Els editors que la tanquin abans que el DPBI arribi a la seva porta no notaran la transició. Els que esperin trobaran que el 2026 i el 2027 seran significativament més costosos que els anys anteriors.