A quién se aplica la DPDP Act

La DPDP Act regula el tratamiento de datos personales digitales dentro de la India, así como el tratamiento fuera de la India relacionado con la oferta de bienes o servicios a personas en la India. En la práctica, si tu sitio web es accesible para usuarios indios y recoges datos personales a través de él —incluidos los obtenidos mediante cookies, SDK, píxeles o técnicas de huella digital—, la Ley casi con toda seguridad se te aplica.

La Ley utiliza dos roles clave: el Data Fiduciary (equivalente a un responsable del tratamiento en el GDPR) y el Data Processor. Un número reducido de los operadores más grandes puede ser designado como Significant Data Fiduciaries, lo que activa obligaciones adicionales como la realización de Evaluaciones de Impacto en la Protección de Datos y el nombramiento de un Delegado de Protección de Datos residente en la India.

Cómo trata la DPDP Act las cookies y otros rastreadores

A diferencia de la Directiva de ePrivacy, la DPDP Act no destaca las cookies como una categoría separada. En su lugar, regula cualquier tratamiento de datos personales digitales. Esto significa que las cookies, los identificadores de dispositivo, las direcciones IP, los IDs publicitarios y los correos electrónicos con hash entran en el ámbito de aplicación cuando están vinculados —directa o indirectamente— a una persona identificable.

La implicación para los editores es sencilla: si una cookie o etiqueta en tu sitio hace que se recojan o compartan datos personales, necesitas una base jurídica válida. En virtud de la DPDP Act, esa base es casi siempre el consentimiento, con un conjunto limitado de excepciones para los "usos legítimos" definidos por la propia Ley.

Cómo debe ser un consentimiento válido

La DPDP Act establece un listón alto para el consentimiento. Debe ser libre, específico, informado, incondicional e inequívoco, y expresarse mediante una acción afirmativa clara. Las casillas premarcadas, el consentimiento implícito por la mera continuación de la navegación y los diseños tipo "muro de cookies" que condicionan el acceso a la aceptación no son compatibles con estos requisitos.

Dos normas adicionales específicas de la DPDP son relevantes para la experiencia de consentimiento:

• Aviso desglosado: Antes o en el momento de recabar el consentimiento, debes proporcionar al usuario un aviso claro que identifique los datos que se recogen, los fines del tratamiento y cómo puede retirar el consentimiento o presentar una reclamación ante el Data Protection Board of India.
• Lenguaje sencillo y soporte multilingüe: Los avisos deben estar disponibles en inglés y en cualquiera de las 22 lenguas oficiales de la India que el usuario seleccione. Un CMP que no pueda mostrar el contenido de consentimiento en hindi, tamil, bengalí, maratí y otros idiomas principales tendrá dificultades para cumplir.

Datos de menores y consentimiento parental

La DPDP Act considera menor a toda persona menor de 18 años y exige consentimiento parental verificable antes de tratar sus datos personales. También prohíbe la monitorización del comportamiento y la publicidad dirigida a menores. Cualquier sitio web accesible para menores en la India —lo que en la práctica significa casi cualquier sitio— necesita una estrategia de control de edad o basada en el riesgo, y debe ser capaz de bloquear los scripts de seguimiento cuando falte el consentimiento parental.

Derechos de los usuarios que tu CMP debe soportar

Los Data Principals (usuarios) en la India cuentan con una serie de derechos que deben poder ejercerse a través de tu capa de consentimiento y preferencias:

• Derecho de acceso a un resumen de sus datos personales que están siendo tratados.
• Derecho de rectificación y supresión de sus datos.
• Derecho a retirar el consentimiento en cualquier momento, con la misma facilidad con la que se otorgó.
• Derecho a designar a otra persona para que ejerza los derechos en caso de fallecimiento o incapacidad.
• Derecho a la resolución de reclamaciones, primero ante el Data Fiduciary y después ante el Data Protection Board of India.

Un CMP conforme debe ofrecer un enlace persistente a las preferencias, permitir la retirada del consentimiento con un solo clic y registrar los eventos de consentimiento de forma que puedan presentarse si se solicitan durante una investigación.

Transferencias transfronterizas de datos

La DPDP Act adopta un enfoque de "lista negativa" para las transferencias internacionales: los datos personales pueden transferirse fuera de la India salvo que el país de destino esté específicamente restringido por el Gobierno Central. Esto es más permisivo que el régimen de adecuación del GDPR, pero aun así deberías documentar qué terceros países reciben datos de usuarios indios y vigilar la lista de restricciones publicada.

Sanciones y aplicación

Las sanciones económicas en virtud de la DPDP Act son considerables. El Data Protection Board puede imponer multas de hasta ₹250 crore (aproximadamente 30 millones de dólares estadounidenses) por no adoptar medidas de seguridad razonables, y de hasta ₹200 crore por incumplir las obligaciones relativas a los menores. Los incumplimientos relacionados con el consentimiento —incluida la obtención de consentimiento mediante banners no conformes— están sujetos a multas de hasta ₹50 crore por infracción.

Implementar un consentimiento conforme a la DPDP en tu CMP

1. Detecta geográficamente a los usuarios indios y aplica una plantilla de consentimiento específica para la DPDP en lugar de reutilizar un banner de GDPR. El contenido del aviso y las opciones de idioma requeridas son diferentes.
2. Muestra los avisos en varios idiomas indios. Como mínimo, ofrece soporte para hindi e inglés, y añade lenguas regionales en función de la distribución de tu tráfico.
3. Bloquea por defecto todos los rastreadores no esenciales. Carga los SDK de publicidad, analítica y terceros solo después de obtener un consentimiento afirmativo.
4. Separa claramente los fines. No agrupes publicidad, analítica y personalización en una única acción de "aceptar" si un usuario podría razonablemente querer consentir unos fines y no otros.
5. Registra los eventos de consentimiento y retirada con marcas de tiempo, la versión exacta del aviso mostrado y el idioma seleccionado por el usuario, de modo que puedas demostrar el cumplimiento durante las investigaciones regulatorias.
6. Proporciona un enlace visible a las preferencias en cada página que permita a los usuarios revisar, actualizar o retirar el consentimiento en cualquier momento.

DPDP vs. GDPR: diferencias prácticas

• Sin base de "intereses legítimos". La DPDP Act no reconoce los intereses legítimos como base jurídica general del mismo modo que lo hace el GDPR. El consentimiento tiene más peso, por lo que el diseño de la experiencia de usuario es más importante.
• Normas más estrictas sobre menores. La edad de consentimiento digital es 18 años, no 13 o 16, y la publicidad dirigida a menores está explícitamente prohibida.
• La obligación de aviso multilingüe es exclusiva de la DPDP Act y no puede cumplirse con un banner solo en inglés.
• Las obligaciones de los Significant Data Fiduciary crean un segundo nivel de cumplimiento para operadores de alto riesgo que no tiene un análogo directo en el GDPR.

Conclusión

La DPDP Act sitúa a la India en el panorama global moderno de protección de datos con un enfoque propio: centrado en el consentimiento, multilingüe por diseño y especialmente protector de los menores. Los editores y plataformas que ya operan un CMP de nivel GDPR parten con ventaja, pero aun así deberán ajustar el contenido de los banners, el soporte de idiomas, la gestión de la edad y el registro de eventos para cumplir los requisitos de la DPDP. Tratar a la India como "simplemente otra jurisdicción GDPR" es la forma más rápida de acabar ante el Data Protection Board.