La estructura de la DPDPA en 2026

La DPDPA es una ley autónoma de protección de datos, distinta de las leyes sectoriales de India sobre banca, telecomunicaciones y salud. Su despliegue fue deliberadamente escalonado para que el ecosistema del Gestor de Consentimiento, el DPBI y el régimen de transferencia transfronteriza pudieran entrar en funcionamiento de manera secuencial.

La aprobación de 2023 y el despliegue 2024-2025

La DPDPA superó el Parlamento en agosto de 2023 y recibió poco después la aprobación presidencial. El Ministerio de Electrónica y Tecnología de la Información (MeitY) pasó 2024 consultando sobre las normas de aplicación, y las normas definitivas fueron notificadas a lo largo de 2025 en varios tramos: primero el marco de registro del Gestor de Consentimiento, luego los procedimientos de derechos de los interesados, luego las notificaciones de transferencia transfronteriza y finalmente los umbrales para fiduciarios de datos significativos. A principios de 2026 el marco completo estaba en vigor.

Quién está regulado

La DPDPA se aplica al tratamiento de datos personales digitales de personas dentro de India. También se aplica extraterritorialmente cuando el tratamiento se realiza en relación con la oferta de bienes o servicios a titulares de datos en India. Un editor con sede en EE. UU. que atiende a usuarios indios a través de un sitio localizado, una versión en idioma indio o inventario programático comprado contra direcciones IP indias está dentro del ámbito de aplicación. Este alcance extraterritorial es inequívoco en el texto legal y ha sido reforzado en las primeras orientaciones del DPBI.

La brecha terminológica

La DPDPA utiliza su propio vocabulario, que difiere del GDPR y de la mayoría de los marcos asiáticos más nuevos. Un fiduciario de datos es lo que el GDPR llama responsable del tratamiento. Un encargado del tratamiento de datos se corresponde claramente con el encargado del tratamiento del GDPR. Un titular de datos es el interesado. Un fiduciario de datos significativo es un responsable del tratamiento por encima de los umbrales de tamaño o sensibilidad notificados por el gobierno central. Los editores extranjeros que se encuentran con la DPDPA por primera vez a menudo mapean incorrectamente estos términos; hacer bien el mapeo desde el principio evita confusiones posteriores.

Qué se considera dato personal

La definición de dato personal de la DPDPA es amplia y sigue de cerca la práctica internacional. Los datos personales son cualquier dato sobre una persona que sea identificable por o en relación con dichos datos. El DPBI ha indicado mediante orientaciones iniciales que los identificadores en línea — cookies, identificadores publicitarios, direcciones IP, huellas digitales de dispositivos y perfiles de comportamiento — son datos personales cuando se pueden vincular a una persona identificable directamente o a través de medios razonables.

Sin categoría sensible, pero normas sobre fiduciarios de datos significativos

A diferencia del GDPR, el LGPD y el PIPA, la DPDPA no define formalmente una categoría de datos personales sensibles. En cambio, la Ley se basa en la designación de fiduciario de datos significativo, que impone obligaciones adicionales a los responsables del tratamiento que tratan datos a gran escala, que tratan datos de menores, que tratan datos que podrían afectar a la integridad electoral o que tratan datos que podrían afectar a la seguridad nacional. El resultado neto es similar a las normas de categorías especiales del GDPR para los procesadores más grandes y sensibles, pero la arquitectura es diferente.

Por qué esto importa para las cookies

Una cookie que recopila un identificador publicitario rutinario es un dato personal, pero no está sujeta a obligaciones reforzadas simplemente porque alimenta un segmento de audiencia de apariencia sensible. Pero un editor que alcanza el umbral de fiduciario de datos significativo — por ejemplo una plataforma grande con decenas de millones de usuarios indios — adquiere obligaciones adicionales que incluyen un Delegado de Protección de Datos obligatorio, auditorías periódicas y Evaluaciones de Impacto sobre la Protección de Datos. Los umbrales de tamaño fueron notificados en 2025; la mayoría de las plataformas globales están ahora en el ámbito de aplicación.

El consentimiento bajo la DPDPA

La DPDPA sitúa el consentimiento en el centro de su marco, pero lo define con un conjunto específico de requisitos que no coinciden uno a uno con el consentimiento del GDPR.

El estándar de consentimiento válido

El consentimiento bajo la DPDPA debe ser:

• Libre — no condicionado a la prestación de un servicio al que el usuario tiene derecho de todos modos, y no coaccionado
• Específico — vinculado a una finalidad claramente identificada, no un consentimiento general paraguas
• Informado — el titular de datos comprende qué datos se tratan y con qué finalidad
• Incondicional — el consentimiento no está vinculado a condiciones irrelevantes
• Inequívoco — expresado mediante una acción afirmativa clara, no deducido del silencio o la inactividad

El requisito de aviso detallado

La DPDPA requiere un aviso en el momento del consentimiento o antes que describa los datos personales que se van a tratar, la finalidad del tratamiento, la manera en que el titular de datos puede ejercer sus derechos y la manera en que puede presentar una reclamación ante la Junta. El aviso debe estar disponible en inglés y en cualquiera de las 22 lenguas programadas de India que solicite el titular de datos.

La arquitectura del Gestor de Consentimiento

Aquí es donde la DPDPA diverge más marcadamente de otros marcos. La Ley establece un rol licenciado llamado Gestor de Consentimiento — una entidad de terceros registrada en el DPBI que proporciona un panel de consentimiento interoperable que permite a los titulares de datos otorgar, revisar, gestionar y retirar consentimientos a múltiples fiduciarios de datos desde una sola interfaz. Los Gestores de Consentimiento deben estar registrados en la Junta y deben cumplir las especificaciones técnicas de interoperabilidad. En la práctica, los fiduciarios de datos pueden obtener consentimiento directamente a través de su propio CMP o a través de un Gestor de Consentimiento registrado, y en muchos casos los titulares de datos optan por centralizar su consentimiento a través de un Gestor de Consentimiento en lugar de gestionar el banner de cada sitio por separado.

Cómo es un CMP conforme

Un CMP configurado para el tráfico indio en 2026 debería presentar:

• Un banner visible antes de que se active cualquier cookie o rastreador no esencial, con acciones Aceptar, Rechazar y Personalizar con igual prominencia visual
• Disponibilidad en inglés y en la lengua programada preferida del usuario donde se solicite
• Controles de consentimiento granulares por finalidad, incluyendo análisis, publicidad, personalización y transferencia transfronteriza
• Un enlace claro al aviso detallado completo que incluya los derechos y el canal de reclamación del DPBI
• Un mecanismo persistente y fácil de encontrar para retirar el consentimiento que sea tan fácil como otorgarlo
• Interoperabilidad técnica con Gestores de Consentimiento registrados para que el estado del consentimiento se pueda sincronizar con el Gestor de Consentimiento elegido por el titular de datos

Registros de consentimiento

Los fiduciarios de datos deben mantener registros de consentimiento, incluyendo quién consintió, cuándo, a través de qué interfaz, para qué finalidad y cualquier cambio posterior. El DPBI ha citado registros de consentimiento inadecuados en varios de sus primeros procedimientos, y los registros de consentimiento exportables y con marca de tiempo son la expectativa mínima.

Transferencias transfronterizas de datos

El marco de transferencia transfronteriza de la DPDPA es uno de los elementos más distintivos del régimen indio y difiere significativamente del patrón de adecuación más garantías utilizado por el GDPR, el PIPA y el KVKK modificado.

El marco de notificación

La DPDPA opera con un enfoque de lista negativa: las transferencias transfronterizas están generalmente permitidas a menos que el país de destino aparezca en una lista de jurisdicciones restringidas notificadas por el gobierno central. Esto es lo contrario del modelo de adecuación del GDPR, que trata las transferencias como prohibidas en ausencia de una decisión de adecuación positiva o garantías. El enfoque de la DPDPA es más permisivo en apariencia, pero la lista negativa puede ampliarse a discreción del gobierno, y varias jurisdicciones fueron colocadas en la lista durante 2025 para categorías específicas de datos.

Qué significa esto operativamente

Para la mayoría de los flujos de publicidad programática en 2026, la respuesta es que las transferencias transfronterizas a los principales destinos de adtech están permitidas siempre que el país de destino no esté en la lista restringida. Los editores necesitan verificar la lista notificada actual, mantener documentación de la transferencia y su finalidad, y estar preparados para redirigir o pausar flujos si se añade un destino. Esto es significativamente más sencillo que la mecánica de transferencia del GDPR para la mayoría de los flujos, pero el requisito de vigilancia es real.

Localización sectorial específica

Separadamente de la DPDPA, varios reguladores sectoriales indios — incluyendo el Banco de la Reserva de India para datos financieros y el Ministerio de Salud para datos sanitarios — tienen sus propios requisitos de localización que se superponen a la DPDPA. Un editor que atiende a usuarios indios en uno de estos sectores regulados necesita cumplir tanto la DPDPA como las normas sectoriales aplicables.

Derechos de los titulares de datos

La DPDPA otorga a los titulares de datos un conjunto de derechos familiar pero ligeramente más reducido que el GDPR:

• Derecho de acceso a los datos personales que se están tratando, incluyendo categorías y encargados del tratamiento
• Derecho de rectificación, compleción y actualización de datos personales
• Derecho de supresión de datos personales que ya no sean necesarios para la finalidad declarada
• Derecho a designar a otra persona para que ejerza los derechos en nombre del titular de datos en caso de fallecimiento o incapacidad
• Derecho a la resolución de reclamaciones a través del fiduciario de datos
• Derecho a presentar una reclamación ante la Junta de Protección de Datos si la resolución de la reclamación es insatisfactoria

Qué no está en la lista de derechos

En particular, la DPDPA no incluye un derecho autónomo a la portabilidad, un derecho general de oposición al tratamiento ni un derecho explícito contra la toma de decisiones automatizada — aunque el régimen de fiduciario de datos significativo y el mecanismo de retirada del consentimiento cubren indirectamente gran parte del mismo terreno.

Plazos de respuesta

Los fiduciarios de datos deben responder a las solicitudes de los titulares de datos dentro de los plazos especificados en las normas notificadas — que en la mayoría de los casos es dentro de un período razonable que no supere la ventana especificada, ya que el DPBI considera que un retraso significativo es un incumplimiento. El sistema de resolución de reclamaciones es el primer paso; solo las reclamaciones no resueltas escalan a la Junta.

Fiduciarios de datos significativos

La designación de fiduciario de datos significativo (SDF) activa obligaciones adicionales más allá de los requisitos básicos de la DPDPA.

Las obligaciones adicionales

• Nombramiento de un Delegado de Protección de Datos con sede en India
• Evaluaciones de Impacto sobre la Protección de Datos periódicas para las actividades de tratamiento especificadas
• Auditorías independientes periódicas
• Obligaciones de transparencia adicionales sobre el tratamiento algorítmico
• Notificación de brechas y gestión de registros más estrictas

Quién califica

El tamaño, el volumen de datos personales tratados, la sensibilidad de los datos, el riesgo para los titulares de datos, el impacto potencial sobre la democracia electoral, la seguridad y la soberanía, y el impacto potencial sobre el orden público son todos factores. El gobierno central notifica los SDF de manera individual o por clase. La mayoría de las grandes plataformas globales que atienden India caen dentro de las clases notificadas en 2026.

Datos de menores

La DPDPA define a un menor como cualquier persona menor de 18 años — un umbral superior al predeterminado de 16 del GDPR y los distintos umbrales nacionales inferiores. El tratamiento de datos personales de menores requiere el consentimiento parental verificable, y el seguimiento, la publicidad dirigida y la monitorización del comportamiento de menores están restringidos independientemente del estado del consentimiento. Los editores cuyas audiencias incluyen tráfico significativo de menores de 18 años necesitan verificación de edad, flujos de consentimiento parental y tratamiento restringido para el segmento de menores — todo lo cual requiere un trabajo de ingeniería real que pocos editores extranjeros han completado por defecto.

Sanciones y cumplimiento

La DPDPA introdujo un régimen de sanciones superior a las históricas multas administrativas indias y significativamente escalado a la gravedad de la infracción.

Sanciones administrativas

La DPDPA permite sanciones de hasta 250 crore INR (aproximadamente 30 millones USD) por infracción para las infracciones más graves. Se aplican sanciones de nivel inferior para incumplimientos relacionados con el consentimiento, el aviso, la seguridad, la notificación de brechas y la resolución de reclamaciones. El DPBI ha utilizado el punto medio del rango varias veces en 2025 y a principios de 2026, y la estructura de sanciones está diseñada para escalar con el incumplimiento sistemático.

Los temas de cumplimiento del DPBI

Las primeras decisiones del DPBI se agrupan en torno a un pequeño conjunto de problemas recurrentes: banners de consentimiento sin una opción genuina de rechazo, avisos que no describen los canales de reclamación del DPBI, flujos transfronterizos hacia destinos en la lista restringida, sistemas de resolución de reclamaciones que realmente no responden, y fallos de interoperabilidad del Gestor de Consentimiento. Los editores extranjeros han sido citados en casi todas estas categorías.

La dimensión reputacional

El DPBI publica sus decisiones públicamente, incluyendo el nombre del fiduciario y un resumen del incumplimiento. En un mercado indio donde la fricción regulatoria se traduce rápidamente en cobertura mediática y atención política, el coste reputacional de una decisión publicada del DPBI es significativo además de la sanción económica.

Lista de verificación de auditoría para el tráfico indio en 2026

• El banner del CMP se sirve con Aceptar, Rechazar y Personalizar con igual prominencia visual
• Aviso disponible en inglés y en la lengua programada solicitada del titular de datos donde sea aplicable
• El aviso describe explícitamente el canal de reclamación del DPBI y los derechos del titular de datos
• Las finalidades del consentimiento son granulares, con la transferencia transfronteriza como finalidad separada
• La interoperabilidad técnica con al menos un Gestor de Consentimiento registrado está establecida
• La retirada del consentimiento es tan fácil como otorgarlo, y activa el filtrado de eliminación y activación posterior
• El flujo de trabajo de derechos del titular de datos — acceso, rectificación, supresión, designación — cuenta con personal y está documentado
• El canal de resolución de reclamaciones cuenta con personal con plazos de respuesta rastreados
• Los destinos de transferencia transfronteriza se revisan contra la lista restringida actual y se documentan
• Las obligaciones de fiduciario de datos significativo — DPO, DPIA, auditoría — están establecidas si se ha superado el umbral
• Flujo consciente de la edad para usuarios menores de 18 años, con consentimiento parental verificable donde sea aplicable
• Las normas de localización y tratamiento específicas del sector están documentadas y cumplidas si el editor opera en un sector regulado

Las perspectivas para 2026

El régimen de privacidad de India ha pasado de abstracción legislativa a realidad operativa en poco más de dos años. La arquitectura de la DPDPA es distintiva — el ecosistema del Gestor de Consentimiento es el experimento global más visible en consentimiento portátil e interoperable, y el enfoque de transferencia por lista negativa es significativamente diferente del patrón de adecuación más garantías que domina otros marcos. Para los editores que ya operan una pila de consentimiento de nivel GDPR, la brecha hacia el cumplimiento de la DPDPA es operativa y no arquitectónica: interoperabilidad del Gestor de Consentimiento, avisos en lenguas programadas, divulgaciones de reclamación del DPBI, el umbral para menores de 18 años y la verificación de transferencia por lista negativa. La brecha puede cerrarse en semanas si se prioriza. Los editores que la cierren antes de que el DPBI llegue a su puerta no notarán la transición. Los que esperen encontrarán que 2026 y 2027 son significativamente más caros que los años anteriores.