A quen se aplica a DPDP Act

A DPDP Act regula o tratamento de datos persoais dixitais dentro da India, así como o tratamento realizado fóra da India que estea relacionado coa oferta de bens ou servizos a persoas na India. Na práctica, se o teu sitio web é accesible para usuarios indios e recolles datos persoais a través del —incluíndo mediante cookies, SDKs, píxeles ou técnicas de pegada dixital (fingerprinting)—, a Lei case con toda seguridade se che aplica.

A Lei utiliza dous roles clave: o Data Fiduciary (equivalente a un responsable do tratamento segundo o GDPR) e o Data Processor. Un número reducido dos operadores máis grandes pode ser designado como Significant Data Fiduciaries, o que activa obrigas adicionais como a realización de Avaliacións de Impacto na Protección de Datos e o nomeamento dun Data Protection Officer residente na India.

Como trata a DPDP Act as cookies e outros rastrexadores

Ao contrario que a Directiva ePrivacy, a DPDP Act non destaca as cookies como unha categoría separada. No seu lugar, regula calquera tratamento de datos persoais dixitais. Isto significa que as cookies, os identificadores de dispositivo, os enderezos IP, os IDs publicitarios e os correos electrónicos hasheados entran todos no ámbito de aplicación cando están vinculados —directa ou indirectamente— cunha persoa identificable.

A implicación para os editores é directa: se unha cookie ou etiqueta no teu sitio fai que se recollan ou compartan datos persoais, necesitas unha base xurídica válida. Ao abeiro da DPDP Act, esa base é case sempre o consentimento, cun conxunto moi limitado de excepcións para "usos lexítimos" definidos pola propia Lei.

Como debe ser un consentimento válido

A DPDP Act fixa un listón alto para o consentimento. Debe ser libre, específico, informado, incondicional e inequívoco, e expresarse mediante unha acción afirmativa clara. As casiñas pre-marcadas, o consentimento implícito pola simple continuación da navegación e os deseños tipo "cookie wall" que condicionan o acceso á aceptación non son compatibles con estes requisitos.

Dúas regras adicionais específicas da DPDP son relevantes para a experiencia de consentimento:

• Información detallada por elementos: Antes ou no momento de recoller o consentimento, debes proporcionar ao usuario un aviso claro que identifique os datos que se recollen, os fins do tratamento e como pode retirar o consentimento ou presentar unha reclamación ante o Data Protection Board of India.
• Linguaxe sinxela e soporte multilingüe: Os avisos deben estar dispoñibles en inglés e en calquera das 22 linguas recoñecidas oficialmente na India que o usuario seleccione. Un CMP que non poida mostrar o contido de consentimento en hindi, tamil, bengalí, marathi e outras linguas principais terá dificultades para cumprir.

Datos de menores e consentimento parental

A DPDP Act considera nena ou neno a calquera persoa menor de 18 anos e esixe consentimento parental verificable antes de tratar os seus datos persoais. Tamén prohibe a monitorización comportamental e a publicidade dirixida a menores. Calquera sitio web accesible para menores na India —o que na práctica significa case todos os sitios— necesita unha estratexia de control de idade ou baseada no risco, e debe ser capaz de bloquear scripts de seguimento cando non exista consentimento parental.

Dereitos de usuario que o teu CMP debe soportar

Os Data Principals (usuarios) na India dispoñen dunha serie de dereitos que deben poder exercerse a través da túa capa de consentimento e preferencias:

• Dereito de acceso a un resumo dos seus datos persoais que están a ser tratados.
• Dereito de rectificación e supresión dos seus datos.
• Dereito a retirar o consentimento en calquera momento, coa mesma facilidade coa que foi outorgado.
• Dereito a nomear outra persoa para exercer os dereitos no caso de falecemento ou incapacidade.
• Dereito á resolución de reclamacións, primeiro ante o Data Fiduciary e despois ante o Data Protection Board of India.

Un CMP conforme debería ofrecer unha ligazón persistente ás preferencias, permitir a retirada do consentimento cun só clic e rexistrar os eventos de consentimento dun modo que poida presentarse se así se solicita durante unha investigación.

Transferencias transfronteirizas de datos

A DPDP Act adopta un enfoque de "lista negativa" para as transferencias internacionais: os datos persoais poden transferirse fóra da India salvo que o país de destino estea especificamente restrinxido polo Goberno Central. Isto é máis permisivo que o réxime de adecuación do GDPR, pero deberías documentar igualmente que terceiros países reciben datos de usuarios indios e monitorizar a lista de restricións publicada.

Sancións e aplicación

As sancións económicas ao abeiro da DPDP Act son considerables. O Data Protection Board pode impoñer multas de ata ₹250 crore (aproximadamente 30 millóns de dólares estadounidenses) por non adoptar salvagardas de seguridade razoables, e de ata ₹200 crore por incumprir as obrigas relativas a menores. Os incumprimentos relacionados co consentimento —incluíndo a recollida de consentimento mediante banners non conformes— poden ser sancionados con multas de ata ₹50 crore por infracción.

Implementar un consentimento conforme á DPDP no teu CMP

1. Detecta por xeolocalización os usuarios da India e aplica un modelo de consentimento específico para a DPDP en lugar de reutilizar un banner de GDPR. O contido do aviso e as opcións de idioma requiridas son diferentes.
2. Mostra os avisos en múltiples linguas da India. Como mínimo, ofrece soporte para hindi e inglés, e engade linguas rexionais en función da distribución do teu tráfico.
3. Bloquea por defecto todos os rastrexadores non esenciais. Carga a publicidade, a analítica e os SDKs de terceiros só despois de obter un consentimento afirmativo.
4. Separa claramente os fins. Non agrupes publicidade, analítica e personalización nunha única acción de "aceptar" se un usuario podería razoablemente querer consentir nuns fins e noutros non.
5. Rexistra os eventos de consentimento e retirada con marcas de tempo, a versión exacta do aviso mostrado e o idioma seleccionado polo usuario, de modo que poidas demostrar o cumprimento durante investigacións reguladoras.
6. Proporciona unha ligazón visible ás preferencias en cada páxina que permita aos usuarios revisar, actualizar ou retirar o consentimento en calquera momento.

DPDP vs. GDPR: diferenzas prácticas

• Sen base de "intereses lexítimos". A DPDP Act non recoñece os intereses lexítimos como base xurídica xeral do mesmo modo que o GDPR. O consentimento ten máis peso, polo que o deseño da experiencia de usuario é aínda máis relevante.
• Normas máis estritas para menores. A idade de consentimento dixital é 18 anos, non 13 ou 16, e a publicidade dirixida a menores está explicitamente prohibida.
• O requisito de aviso multilingüe é exclusivo da DPDP Act e non pode cumprirse cun banner só en inglés.
• As obrigas para Significant Data Fiduciary crean un segundo nivel de cumprimento para operadores de alto risco que non ten un equivalente directo no GDPR.

Conclusión

A DPDP Act incorpora a India ao panorama global moderno de protección de datos cun enfoque propio: centrado no consentimento, multilingüe por deseño e cun nivel de protección dos menores pouco habitual. Os editores e plataformas que xa operan cun CMP adaptado ao GDPR parten con vantaxe, pero aínda así deberán axustar o contido dos banners, o soporte de idiomas, a xestión da idade e o rexistro de eventos para cumprir os requisitos da DPDP. Tratar a India como "simplemente outra xurisdición GDPR" é a forma máis rápida de acabar diante do Data Protection Board.