DPDPAren Egitura 2026an

DPDPA datu-babeseko lege autonomo bat da, Indiako sektore-espezifikoko banku, telekomunikazio eta osasuneko legeengandik ezberdina. Bere hedatzea nahita fasekakoa izan zen, Baimenen Kudeatzailearen ekosistema, DPBI eta mugaz gaindiko transferentzia-araubideak bakoitza segidan martxan jar zitezkeen.

2023ko Onarpena eta 2024-2025eko Hedatzea

DPDPA Parlamentutik igaro zen 2023ko abuztuan eta laster jaso zuen presidentearen onespena. Elektronika eta Informazioaren Teknologiaren Ministerioak (MeitY) 2024an kontsultatu zuen aplikazio-arauen inguruan, eta azken Arauak 2025ean jakinarazi ziren hainbat traitsutan: lehenik Baimenen Kudeatzailearen erregistratzeko esparrua, ondoren datu-subjektuen eskubideen prozedurak, gero mugaz gaindiko transferentzien jakinarazpenak, eta azkenik datu-fiduziarien garrantzizko atalaseak. 2026ko hasierarako esparru osoa indarrean zegoen.

Nortzuk Araututa Dauden

DPDPA Indián dauden pertsonen datu pertsonal digitalen prozesamenduari aplikatzen zaio. Era berean, lurraldez kanpo aplikatzen da prozesatzea Indian datu-nagusiei ondasun edo zerbitzuak eskaintzarekin lotuta dagoenean. Indian erabiltzaileak bertako gune baten bidez, indiako hizkuntza-bertsio baten bidez, edo Indiako IP helbideen aurka erositako programatikoko inbentario bidez zerbitzatzen dituen AEBtan oinarritutako argitaratzaile bat aplikazio-eremuan dago. Lurraldez kanpoko irismen hau legean argia da eta DPBIren goiztiako gidalerroetan indartuta dago.

Terminologia-Hutsunea

DPDPA bere hiztegi propioa erabiltzen du, GDPRengandik eta azken Asian esparru gehienetatik ezberdintzen dena. Datu-fiduziari bat GDPRk kontrolatzaile deitzen duena da. Datu-prozesatzaile batek GDPRren prozesatzailerekin zuzenean bat egiten du. Datu-nagusi bat datu-subjektua da. Datu-fiduziari garrantzitsu bat gobernuak jakinarazitako tamainaren edo sentsibilitatearen atalaseen gaineko kontrolatzaile bat da. DPDPArekin lehen aldiz topo egiten duten atzerriko argitaratzaileek sarritan termino hauek gaizki mapatu ohi dituzte; hasieran mapeoa ongi egiteak nahasmena ekiditen du gero.

Zer Kontatzen da Datu Pertsonal gisa

DPDPAren datu pertsonalen definizioa zabal da eta nazioarteko praktikarekin hurbil jarraitzen du. Datu pertsonalak datu horiekin edo horiekiko identifika daitekeen pertsona baten inguruko edozein datu dira. DPBIk goiztiako gidalieroetan adierazi du lineako identifikatzaileak — cookieak, publizitate-IDak, IP helbideak, gailuen aztarnak eta portaera-profilak — datu pertsonalak direla identifika daitekeen pertsona batekin zuzenean edo arrazoizko bidez lotu daitezkeenean.

Kategoria Sentsitiborik ez, baina Datu-Fiduziari Garrantzitsuen Arauak

GDPR, LGPD eta PIPAren ez bezala, DPDPAk ez du formalki datu pertsonal sentsitiboen kategoria bat definitzen. Horren ordez, Legeak datu-fiduziari garrantzitsua izendapenean oinarritzen da, zeinak betebehar gehigarriak ezartzen baitie eskalan datuak prozesatzen dituzten, haurren datuak prozesatzen dituzten, hauteskunde-osotasunari eragin diezaioketen datuak prozesatzen dituzten, edo segurtasun nazionalari eragin diezaioketen datuak prozesatzen dituzten kontrolatzaileei. Emaitza garbia GDPR sentsibilitate-kategoria arauen antzekoa da prozesatzaile handienetan eta sentsitiboenenetan, baina arkitektura ezberdina da.

Zergatik den Garrantzitsua Cookieetarako

Cookie batek publizitate-identifikatzaile arrunt bat bilduz gero datu pertsonalak dira, baina ez daude betebehar altuagoen pean soilik sentsibilitatearen antza duen audientzia-segmentu bat elikatzen duelako. Baina datu-fiduziari garrantzitsuaren atalasera iristen den argitaratzaile batek — adibidez, hamar milioi Indian erabiltzaile dituen plataforma handi batek — betebehar gehigarriak hartzen ditu, besteak beste Datu Babeserako Agente Derrigorrezkoa, aldizkako auditoretza eta Datu Babeserako Inpaktu-Ebaluazioak. Tamaina-atalaseak 2025ean jakinarazi ziren; plataforma global gehienak aplikazio-eremuan daude jada.

Baimena DPDPA Pean

DPDPAk baimena bere esparruaren erdigunean jartzen du, baina GDPRren baimenarekin bat-batera mapatzen ez diren eskakizun-multzo bereizgari batekin definitzen du.

Baliozko Baimenaren Estandarra

DPDPApeko baimena honakoa izan behar da:

• Askea — ez bateratua bestela hartua izateko eskubidea duen zerbitzu baten hornidurarekin, eta ez beharturikoa
• Espezifikoa — argi identifikatutako helburu bati lotua, ez baimen-aterpe orokor bati
• Informatua — datu-nagusiak ulertu du zer datu prozesatzen diren eta zein helburutarako
• Baldintzarik gabea — baimena ez dago lotuta garrantzirik ez duten baldintzekin
• Anbiguotasunik gabea — ekintza baieztagarri argi baten bidez adierazita, ez isiltasunetik edo inakziotatik ondorioztatuta

Jakinarazpen Deskribatuko Eskakizuna

DPDPAk baimenaren unean edo aurretik jakinarazpena eskatzen du prozesatuko diren datu pertsonalak, prozesamenduaren helburua, datu-nagusiak eskubideak nola erabili ditzakeen eta datu-nagusiak Batzordeak nola kexa dezakeen deskribatzen dituena. Jakinarazpena ingelesez eta datu-nagusiak eskatutako Indiako 22 programatutako hizkuntzetako edozeinetan eskuragarri egon behar da.

Baimenen Kudeatzailearen Arkitektura

Hemen da DPDPAk beste esparruengandik gehien aldendu egiten den tokia. Legeak Baimenen Kudeatzaile izeneko lizentziazko rol bat ezartzen du — DPBIrekin erregistratutako hirugarren alderdiko entitate bat, datu-nagusiei baimen-aginte baten interfaze bakar baten bidez hainbat datu-fiduziarirentzako baimenei ematea, berrikustea, kudeatzea eta kentzea ahalbidetzen dien baimenaren aginte interoperableak eskaintzen dituena. Baimenen Kudeatzaileak Batzordean erregistratuta egon behar dute eta interoperagarritasun teknologikoaren zehaztapenak bete behar dituzte. Praktikan, datu-fiduziarioak baimena lor dezakete zuzenean beren CMP bidez edo erregistratutako Baimenen Kudeatzaile baten bidez, eta kasu askotan datu-nagusiak baimena Baimenen Kudeatzaile baten bidez zentralizatzea aukeratzen ari dira, gune bakoitzaren banner-a bereizita kudeatzearen ordez.

CMP Batekin Bat Datorren Itxura

Indian trafikorako 2026an konfiguratutako CMP batek aurkeztu behar du:

• Banner ikusgai bat cookieak edo jarraitzaileak piztu aurretik, Onartu, Ukatu eta Pertsonalizatu ekintzak bisual nabarmentasun berarekin
• Ingelesez eta eskatutako programatutako hizkuntzan erabilgarritasuna
• Helburu bakoitzeko baimen-txandakatzaile xehatuak, analitika, publizitatea, pertsonalizazioa eta mugaz gaindiko transferentzia barne
• Eskubideak eta DPBI kexen kanala barne hartuz, jakinarazpen deskribatu osoari lotura argia
• Baimen ematea bezain erraza den baimen kentzeko mekanismo iraunkorra eta erraz aurkitzekoa
• Erregistratutako Baimenen Kudeatzaileekin interoperagarritasun teknikoa, datu-nagusiaren aukeratutako Baimenen Kudeatzailearekin baimen-egoera sinkronizatu ahal izateko

Baimenaren Erregistroak

Datu-fiduziarioek baimenaren erregistroak mantendu behar dituzte, besteak beste nor adostu den, noiz, zein interfaze bidez, zein helburutarako eta ondorengo aldaketak. DPBIk bere goiztiako prozesu batzuetan baimen-erregistro desegokiak aipatu ditu, eta esportagarriak eta denbora-zigilupeko baimen-erregistroak oinarrizko itxaropena dira.

Mugaz Gaindiko Datu Transferentziak

DPDPAren mugaz gaindiko transferentzia-esparrua indiako araubidearen elementu bereizgarrienetako bat da eta GDPRk, PIPAk eta aldatutako KVKKk erabiltzen duten egokitasun-gehi-berme ereduarekiko esanguratsuarena ezberdintzen da.

Jakinarazpen Esparrua

DPDPA zerrenda negatibo ikuspegiarekin funtzionatzen du: mugaz gaindiko transferentziak orokorrean onartuta daude, helburuko herrialdeak gobernuak jakinarazitako jurisdikzio mugatuen zerrendan agertzen ez bada. Hau GDPR egokitasun-modeluaren alderantzizkoa da, zeinak transferentziak egokitasun-erabaki positibo edo bermerik gabe debekatuta tratatzea baitio. DPDPAren planteamendua bere izaeraz baimenezkoa da, baina zerrenda negatiboa gobernuaren irizpide askeastenez zabaldu daiteke, eta 2025ean hainbat jurisdikzio zerrendara gehitu dira datu-kategoria zehatzei buruz.

Zer Esan Nahi duen Eraginkortasunean

2026an publizitate programatikoaren fluxu gehienentzat, erantzuna da mugaz gaindiko transferentziak publizitate-teknologiaren helburuko nagusietara onartuta daudela, baldin eta helburuko herrialdea mugatutako zerrendan ez badago. Argitaratzaileek jakinarazitako zerrenda onena egiaztatu behar dute, transferentziaren eta bere helburuaren dokumentazioa gorde behar dute, eta helmuga bat gehitu bada fluxuak birxuzteko edo geldiarazteko prest egon behar dute. Hau esanguratsu sinpleagoa da fluxu gehienentzat GDPR transferentzia-mekanikak baino, baina zaintzeko eskakizuna erreala da.

Sektore-Espezifikoko Lokalizazioa

DPDPAtik bereizita, Indiako hainbat sektore-erregulatzailek — datu finantzarioentzat Erreserbako Bankua eta osasun-datuetarako Osasun Ministerioa barne — DPDPAren gainean dauden lokalizazio-eskakizun propioak dituzte. Sektore erregulatu horietako batean Indian erabiltzaileak zerbitzatzen dituen argitaratzaile batek DPDPAri eta aplikagarriak diren sektore-arauen batekin bete behar ditu.

Datu-Nagusien Eskubideak

DPDPAk datu-nagusiei GDPRren baino ezagun baina apur bat estuagoa den eskubide-multzoa ematen die:

• Prozesatzen ari diren datu pertsonaletara sartzeko eskubidea, kategoriak eta prozesatzaileak barne
• Datu pertsonalak zuzentzeko, osatzeko eta eguneratzeko eskubidea
• Adierazitako helburutarako jada beharrezkoak ez diren datu pertsonalak ezabatzeko eskubidea
• Heriotzaren edo ezgaitasunaren kasuan datu-nagusiaren izenean eskubideak egikaritzeko beste pertsona bat izendatzeko eskubidea
• Datu-fiduziari bidez kexak konpontzeko eskubidea
• Kexak konpontze desegokia bada Datu Babeserako Batzordean kexatzeko eskubidea

Eskubideen Zerrendan ez Dagoena

Nabarmena da DPDPAk ez duela eramangarritasunerako eskubide autonomo bat, prozesamenduarekiko aurkakotasun-eskubide orokor bat, edo automatizatutako erabaki-hartzearen aurkako eskubide esplizitu bat barne hartzen — nahiz eta datu-fiduziari garrantzitsuaren araubideak eta baimenaren kentzeko mekanismoak zeharkako moduan lurralde bereko zati handia betetzen duten.

Erantzun-Epeak

Datu-fiduziarioek datu-nagusien eskaerei jakinarazitako Araueetan zehaztutako epeen barruan erantzun behar diete — gehienetan leiho zehaztua gainditzen ez duen aldi arrazoizko baten barruan, DPBIk atzerapen esanguratsu bat betetze-hutsegite gisa tratatuz. Kexak konpontzeko sistema lehen urratsa da; soilik konponduta gabeko kexak Batzordean eskalatzen dira.

Datu-Fiduziari Garrantzitsuak

Datu-fiduziari garrantzitsuaren (SDF) izendapena DPDPAren oinarrizko eskakizunez haraindiko betebehar gehigarriak aktibatzen ditu.

Betebehar Gehigarriak

• Indian oinarritutako Datu Babeserako Agente baten izendapena
• Zehaztutako prozesatze-jarduerei buruzko aldizkako Datu Babeserako Inpaktu-Ebaluazioak
• Aldizkako auditoria independenteak
• Prozesatze algoritmikoan gardentasun-betebehar gehigarriak
• Arau-hausteak jakinaraztea eta erregistratzea zorrotzagoak

Nork Kalifikatzen Duen

Tamaina, prozesatutako datu pertsonalen bolumena, datuen sentsibilitatea, datu-nagusiekiko arriskua, hauteskunde-demokrazian, segurtasunean eta subiranotasunean eragin potentziala, eta ordena publikoan eragin potentziala faktore guztiak dira. Gobernuak SDFak jakinarazten ditu banan-banan edo sailka. Indian zerbitzatzen duten plataforma global handi gehienak 2026an jakinarazitako sailetan daude.

Haurren Datuak

DPDPAk haur gisa definitzen du 18 urte azpiko edozein pertsona — GDPRren 16ko lehenetsitako atalasetik altuagoa eta nazioarteko hainbat atalas baxuagoa. Haurren datu pertsonalak prozesatzeak gurasoen baimen egiaztatzekoa eskatzen du, eta haurren jarraipena, zuzendutako publizitatea eta portaeraren jarraipena baimena-egoera kontuan hartu gabe mugatuta daude. Esangurazko 18 urte azpiko trafikoa duten audientziekin argitaratzaileek adin-baheztea, gurasoen baimen-fluxuak eta adin txikikoaren segmenterako prozesatze mugatua behar dute — denak atzerriko argitaratzaile gehienek lehenespenez osatu gabe duten benetako ingeniaritza-lana eskatzen duena.

Zigorrak eta Betearazpena

DPDPAk zigor-araubide bat sartu zuen, Indiako administrazio-isun historikoak baino altuagoa eta arau-haustearen larritasunarekin esanguratsu eskalatu zena.

Administrazio-Zigorrak

DPDPAk INR 250 crore (gutxi gorabehera USD 30 milioi)-ko zigorrak onartzen ditu arau-hauste bakoitzeko arau-hauste larrienetarako. Maila baxuagoko zigorrak baimena, jakinarazpena, segurtasuna, arau-hausteen jakinarazpena eta kexak konpontzeko inguruko hutsegiteei aplikatzen zaizkie. DPBIk tarteko barrutia hainbat aldiz erabili du 2025ean eta 2026 hasieran, eta zigor-egitura sistematikoki huts egitearekin eskalatzen diseinatuta dago.

DPBIren Betearazpen Gaiak

DPBIren lehen erabakiak errepikako arazo multzo txiki baten inguruan biltzen dira: benetako ukatzeko aukerarik gabeko baimen-bannerrak, DPBI kexen kanalak deskribatzen ez dituzten jakinarazpenak, mugatutako zerrendan dauden helmugeetara mugaz gaindiko fluxuak, benetan erantzuten ez duten kexak konpontzeko sistemak, eta Baimenen Kudeatzailearen interoperagarritasun akatsen. Atzerriko argitaratzaileak ia kategoria guztietan aipatu dira.

Ospea-Dimentsioa

DPBIk bere erabakiak publikoki argitaratzen ditu, fiduziari-izena eta hutsegiteen laburpena barne. Arauzko frikazioak komunikabide-estaldurara eta arreta politikora azkar itzultzen den Indiako merkatu batean, argitaratutako DPBI erabaki baten ospea-kostua esanguratsu da zigor finantzarioaz gain.

2026ko Indian Trafikorako Auditoretza Kontrol-Zerrenda

• CMP bannerra Onartu, Ukatu eta Pertsonalizatu nabarmentasun bisual berarekin zerbitzatzen da
• Jakinarazpena ingelesez eta aplikagarria bada datu-nagusiaren eskatutako programatutako hizkuntzan eskuragarri dago
• Jakinarazpenak berariaz deskribatzen ditu DPBI kexen kanala eta datu-nagusien eskubideak
• Baimen-helburuak xehatuak dira, mugaz gaindiko transferentzia helburu bereizia izanik
• Erregistratutako gutxienez Baimenen Kudeatzaile batekiko interoperagarritasun teknikoa martxan dago
• Baimen kentzea baimen ematea bezain erraza da, eta behe-joerako ezabatzea eta aktibazioaren iragazkia aktibatzen ditu
• Datu-nagusiaren eskubide-fluxua — sarbidea, zuzenketa, ezabaketa, izendapena — horniturik eta dokumentatuta dago
• Kexak konpontzeko kanala horniturik dago erantzun-epeak jarraituta
• Mugaz gaindiko transferentzia-helmuguak uneko mugatutako zerrenden aurka berrikusi eta dokumentatu dira
• Datu-fiduziari garrantzitsuaren betebeharrak — DPO, DPIA, auditoria — martxan daude atalasetik igarotzen bada
• 18 urte azpiko erabiltzaileentzako adin-jakitun fluxua, gurasoen baimen egiaztatzekoarekin aplikagarria bada
• Sektore-espezifikoko lokalizazioa eta prozesatze-arauak dokumentatu eta bete egiten dira argitaratzaileak arautu sektore batean jarduten badu

2026ko Ikuspegia

Indiako pribatutasun-araubidea legegintza-abstrakziotik eragiketa-errealitateera bi urte baino apur bat gehiagoko epean igaro da. DPDPAren arkitektura bereizgarria da — Baimenen Kudeatzailearen ekosistema eramangarri, interoperableko baimenaren esperimentu globalik ikusgarriena da, eta zerrenda negatiboaren transferentzia-planteamendua beste esparruetan nagusi den egokitasun-gehi-bermeen ereduarekiko esanguratsuarena da. GDPRren mailako baimen-piloa jada martxan duten argitaratzaileentzat, DPDPA betetze-hutsunea operazionala da, ez arkitekturala: Baimenen Kudeatzailearen interoperagarritasuna, programatutako hizkuntzetako jakinarazpenak, DPBI kexen jakinarazpenak, 18 urte azpiko atalasetik eta zerrenda negatiboaren transferentzia-egiaztapena. Hutsunea aste gutxietan itxi daiteke lehentasuna bada. DPBIk beren atea jo aurretik ixten duten argitaratzaileek ez dute trantsizioa nabarituko. Itxaroten dutenek 2026 eta 2027 aurretik igarotako urteek baino esanguratsu garestiagoa aurkituko dute.