A estrutura do DPDPA en 2026

O DPDPA é un estatuto autónomo de protección de datos, distinto das leis sectoriais da India sobre banca, telecomunicacións e saúde. O seu despregamento foi deliberadamente por fases para que o ecosistema do Xestor de Consentimento, a DPBI e o réxime de transferencias transfronteirizas puidesen cada un entrar en liña de forma secuencial.

A aprobación de 2023 e o despregamento 2024-2025

O DPDPA pasou polo Parlamento en agosto de 2023 e recibiu pouco despois o asentimento presidencial. O Ministerio de Electrónica e Tecnoloxía da Información (MeitY) consultou sobre as normas de aplicación en 2024, e as normas finais foron notificadas ao longo de 2025 en varios tramos: o marco de rexistro dos Xestores de Consentimento primeiro, despois os procedementos de dereitos dos interesados, despois as notificacións de transferencias transfronteirizas, despois os limiares de fiduciarios de datos significativos. Para principios de 2026 o marco completo estaba en vigor.

Quen está regulado

O DPDPA aplícase ao procesamento de datos persoais dixitais de persoas dentro da India. Tamén se aplica extraterritorialmente cando o procesamento está en relación co ofrecemento de bens ou servizos a titulares de datos en India. Un editor con sede en EE.UU. que serve usuarios indios a través dun sitio localizado, unha versión en lingua india ou inventario programático comprado fronte a enderezos IP indios está no ámbito de aplicación. Este alcance extraterritorial é inequívoco no estatuto e foi reforzado nas primeiras orientacións da DPBI.

A brecha terminolóxica

O DPDPA usa o seu propio vocabulario, que difere do GDPR e da maior parte dos novos marcos asiáticos. Un fiduciario de datos é o que o GDPR chama responsable do tratamento. Un procesador de datos corresponde claramente ao encargado do tratamento do GDPR. Un titular de datos é o interesado. Un fiduciario de datos significativo é un responsable do tratamento por riba dos limiares de tamaño ou sensibilidade notificados polo goberno central. Os editores estranxeiros que se encontran co DPDPA por primeira vez adoitan facer correspondencias incorrectas destes termos; establecer a correspondencia correcta desde o principio aforra confusión máis adiante.

O que conta como datos persoais

A definición de datos persoais do DPDPA é ampla e segue de perto a práctica internacional. Os datos persoais son calquera dato sobre un individuo que é identificable por ou en relación con eses datos. A DPBI indicou a través das primeiras orientacións que os identificadores en liña — cookies, ID de publicidade, enderezos IP, pegadas dixitais de dispositivos e perfís de comportamento — son datos persoais cando se poden vincular a un individuo identificable directamente ou por medios razoables.

Sen categoría sensible, pero normas de fiduciarios de datos significativos

A diferenza do GDPR, o LGPD e o PIPA, o DPDPA non define formalmente unha categoría de datos persoais sensibles. No seu lugar, a lei recorre á designación de fiduciario de datos significativo, que aplica obrigas adicionais aos responsables do tratamento que procesan datos a escala, procesan datos de nenos, procesan datos que poderían afectar á integridade electoral ou processan datos que poderían afectar á seguridade nacional. O resultado neto é similar ás normas sobre categorías sensibles do GDPR para os procesadores máis grandes e máis sensibles, pero a arquitectura é diferente.

Por que isto importa para as cookies

Unha cookie que recolle un identificador publicitario rutineiro son datos persoais pero non está suxeita a obrigas reforzadas só porque alimenta un segmento de audiencia de aparencia sensible. Pero un editor que alcanza o limiar de fiduciario de datos significativo — por exemplo unha gran plataforma con decenas de millóns de usuarios indios — asume obrigas adicionais que inclúen un Delegado de Protección de Datos obrigatorio, auditorías periódicas e Avaliacións de Impacto de Protección de Datos. Os limiares de tamaño foron notificados en 2025; a maior parte das plataformas globais están agora no ámbito de aplicación.

Consentimento baixo o DPDPA

O DPDPA sitúa o consentimento no centro do seu marco pero defíneo cunha serie distintiva de requisitos que non se corresponden un a un co consentimento do GDPR.

O estándar de consentimento válido

O consentimento baixo o DPDPA debe ser:

• Libre — non condicionado á provisión dun servizo ao que o usuario ten dereito, e non coaccionado
• Específico — vinculado a un propósito claramente identificado, non un consentimento xenérico
• Informado — o titular dos datos entende que datos se procesan e con que finalidade
• Incondicional — o consentimento non está vinculado a condicións irrelevantes
• Inequívoco — expresado mediante unha acción afirmativa clara, non inferido do silencio ou da inactividade

O requisito de aviso detallado

O DPDPA require un aviso no momento do consentimento ou antes del que describa os datos persoais que se van procesar, a finalidade do procesamento, a forma en que un titular de datos pode exercer os seus dereitos e a forma en que pode presentar unha queixa á Junta. O aviso debe estar dispoñible en inglés e en calquera das 22 linguas programadas da India que o titular de datos solicite.

A arquitectura do Xestor de Consentimento

É aquí onde o DPDPA diverxe máis nitidamente doutros marcos. A lei establece un papel licenciado chamado o Xestor de Consentimento — unha entidade terceira rexistrada na DPBI que proporciona un panel de control de consentimento interoperable que permite aos titulares de datos outorgar, revisar, xestionar e retirar consentimentos a múltiples fiduciarios de datos desde unha única interface. Os Xestores de Consentimento deben estar rexistrados na Junta e deben cumprir as especificacións técnicas de interoperabilidade. Na práctica, os fiduciarios de datos poden obter o consentimento directamente a través do seu propio CMP ou a través dun Xestor de Consentimento rexistrado, e en moitos casos os titulares de datos optan por centralizar o seu consentimento a través dun Xestor de Consentimento en lugar de xestionar o banner de cada sitio por separado.

Como é un CMP conforme

Un CMP configurado para o tráfico indio en 2026 debería presentar:

• Un banner visible antes de que se active calquera cookie ou rastreador non esencial, con accións Aceptar, Rexeitar e Personalizar con igual prominencia visual
• Dispoñibilidade en inglés e na lingua programada preferida polo usuario cando se solicite
• Opcións de consentimento granulares por finalidade, incluíndo análise, publicidade, personalización e transferencia transfronteiriza
• Un enlace claro ao aviso completo e detallado, incluíndo os dereitos e o canal de queixas da DPBI
• Un mecanismo permanente e fácil de atopar para retirar o consentimento que sexa tan sinxelo como outorgalo
• Interoperabilidade técnica cos Xestores de Consentimento rexistrados para que o estado do consentimento se poida sincronizar co Xestor de Consentimento escollido polo titular dos datos

Rexistros de consentimento

Os fiduciarios de datos deben manter rexistros de consentimento, incluíndo quen consentiu, cando, a través de que interface, para que finalidade e calquera cambio posterior. A DPBI citou rexistros de consentimento inadequados en varios dos seus procedementos iniciais, e os rexistros de consentimento exportables con marca de tempo son a expectativa de referencia.

Transferencias transfronteirizas de datos

O marco de transferencias transfronteirizas do DPDPA é un dos elementos máis distintivos do réxime indio e difire significativamente do patrón de adecuación máis garantías empregado polo GDPR, o PIPA e o KVKK modificado.

O marco de notificación

O DPDPA funciona cun enfoque de lista negativa: as transferencias transfronteirizas están xeralmente permitidas agás que o país de destino apareza nunha lista de xurisdicións restrinxidas notificada polo goberno central. É o inverso do modelo de adecuación do GDPR, que trata as transferencias como prohibidas sen unha decisión de adecuación positiva ou garantías. O enfoque do DPDPA é máis permisivo na superficie, pero a lista negativa pode ampliarse á discreción do goberno, e varias xurisdicións foron engadidas á lista durante 2025 para categorías de datos específicas.

O que isto significa operativamente

Para a maioría dos fluxos de publicidade programática en 2026, a resposta é que as transferencias transfronteirizas aos principais destinos de tecnoloxía publicitaria están permitidas sempre que o país de destino non estea na lista restrinxida. Os editores necesitan verificar a lista notificada actualmente, manter documentación da transferencia e a súa finalidade, e estar preparados para redirixir ou pausar os fluxos se se engade un destino. Isto é significativamente máis sinxelo que a mecánica de transferencia GDPR para a maioría dos fluxos, pero o requisito de vixilancia é real.

Localización sectorial

Ao marxe do DPDPA, varios reguladores sectoriais indios — incluíndo o Banco de Reserva da India para datos financeiros e o Ministerio de Saúde para datos de saúde — teñen os seus propios requisitos de localización que se engaden ao DPDPA. Un editor que serve usuarios indios nun destes sectores regulados necesita cumprir tanto o DPDPA como as normas sectoriais aplicables.

Dereitos dos titulares de datos

O DPDPA outorga aos titulares de datos un conxunto de dereitos familiar pero lixeiramente máis estreito que o GDPR:

• Dereito a acceder aos datos persoais que se procesan, incluíndo categorías e procesadores
• Dereito á corrección, completude e actualización dos datos persoais
• Dereito á supresión dos datos persoais que xa non sexan necesarios para a finalidade declarada
• Dereito a designar outra persoa para exercer os dereitos en nome do titular dos datos en caso de falecemento ou incapacidade
• Dereito á reparación de agravios a través do fiduciario de datos
• Dereito a presentar queixa á Junta de Protección de Datos se a reparación de agravios é insatisfactoria

O que non está na lista de dereitos

Cabe destacar que o DPDPA non inclúe un dereito autónomo á portabilidade, un dereito xeral a opoñerse ao procesamento nin un dereito explícito contra a toma de decisións automatizada — aínda que o réxime de fiduciarios de datos significativos e o mecanismo de retirada do consentimento cobren moito do mesmo terreo de forma indirecta.

Prazos de resposta

Os fiduciarios de datos deben responder ás solicitudes dos titulares de datos dentro dos prazos especificados nas normas notificadas — que na maioría dos casos é dentro dun prazo razoable que non supere a ventá especificada, considerando a DPBI o atraso significativo como un fallo de cumprimento. O sistema de reparación de agravios é o primeiro paso; só as queixas non resoltas se escalan á Junta.

Fiduciarios de datos significativos

A designación de fiduciario de datos significativo (SDF) desencadea obrigas adicionais máis aló dos requisitos base do DPDPA.

As obrigas adicionais

• Nomeamento dun Delegado de Protección de Datos con sede en India
• Avaliacións periódicas de Impacto de Protección de Datos para actividades de procesamento especificadas
• Auditorías independentes periódicas
• Obrigas adicionais de transparencia sobre o procesamento algorítmico
• Notificación de violacións e mantemento de rexistros máis estritos

Quen cualifica

O tamaño, o volume de datos persoais procesados, a sensibilidade dos datos, o risco para os titulares de datos, o impacto potencial na democracia electoral, a seguridade e a soberanía, e o impacto potencial na orde pública son todos factores. O goberno central notifica os SDF individualmente ou por clase. A maioría das grandes plataformas globais que serven a India están dentro das clases notificadas en 2026.

Datos de menores

O DPDPA define un menor como calquera individuo menor de 18 anos — un limiar máis alto que o defecto de 16 do GDPR e os varios limiares nacionais máis baixos. O procesamento de datos persoais de menores require o consentimento parental verificable, e o rastrexamento, a publicidade dirixida e o seguimento do comportamento de menores están restrinxidos independentemente do estado do consentimento. Os editores cuxas audiencias inclúen tráfico significativo de menores de 18 anos necesitan verificación de idade, fluxos de consentimento parental e procesamento restrinxido para o segmento de menores — todo o cal require traballo de enxeñería real que poucos editores estranxeiros completaron por defecto.

Sancións e execución

O DPDPA introduciu un réxime de sancións que era máis alto que as multas administrativas indias históricas e significativamente escalado á gravidade da violación.

Sancións administrativas

O DPDPA permite sancións de ata 250 crore INR (aproximadamente 30 millóns USD) por violación para as violacións máis graves. As sancións de nivel inferior aplícanse aos fallos relacionados co consentimento, o aviso, a seguridade, a notificación de violacións e a reparación de agravios. A DPBI utilizou o rango medio varias veces en 2025 e principios de 2026, e a estrutura de sancións está deseñada para escalar con fallos sistemáticos.

Os temas de aplicación da DPBI

As primeiras decisións da DPBI agrúpanse en torno a un pequeno conxunto de problemas recorrentes: banners de consentimento sen unha opción de rexeitamento real, avisos que non describen os canais de queixas da DPBI, fluxos transfronteirizos a destinos na lista restrinxida, sistemas de reparación de agravios que en realidade non responden e fallos de interoperabilidade dos Xestores de Consentimento. Os editores estranxeiros foron citados en case todas estas categorías.

A dimensión reputacional

A DPBI publica as súas decisións publicamente, incluíndo o nome do fiduciario e un resumo do fallo. Nun mercado indio onde a fricción regulatoria se traduce rapidamente en cobertura mediática e atención política, o custo reputacional dunha decisión publicada pola DPBI é significativo ademais da sanción financeira.

Lista de verificación de auditoría para o tráfico indio en 2026

• O banner CMP serve con Aceptar, Rexeitar e Personalizar con igual prominencia visual
• O aviso está dispoñible en inglés e na lingua programada solicitada polo titular dos datos se procede
• O aviso describe explicitamente o canal de queixas da DPBI e os dereitos do titular dos datos
• As finalidades do consentimento son granulares, coa transferencia transfronteiriza como finalidade separada
• A interoperabilidade técnica con polo menos un Xestor de Consentimento rexistrado está en vigor
• A retirada do consentimento é tan fácil como outorgalo, e desencadea a eliminación posterior e o filtrado de activación
• O fluxo de traballo de dereitos do titular dos datos — acceso, corrección, supresión, nomeamento — está dotado de persoal e documentado
• O canal de reparación de agravios está dotado de persoal con prazos de resposta rastrexados
• Os destinos de transferencia transfronteiriza revisáronse fronte á lista restrinxida actual e foron documentados
• As obrigas de fiduciario de datos significativo — DPO, DPIA, auditoría — están en vigor se o limiar se supera
• Fluxo con conciencia da idade para usuarios menores de 18 anos, con consentimento parental verificable se procede
• As normas de localización e procesamento sectoriais están documentadas e cumpridas se o editor opera nun sector regulado

Perspectivas para 2026

O réxime de privacidade da India pasou da abstracción lexislativa á realidade operativa en pouco máis de dous anos. A arquitectura do DPDPA é distintiva — o ecosistema dos Xestores de Consentimento é o experimento global máis visible en consentimento portátil e interoperable, e o enfoque de transferencia por lista negativa diferénciase significativamente do patrón de adecuación máis garantías que domina outros marcos. Para os editores que xa usan unha pila de consentimento de nivel GDPR, a brecha ata o cumprimento DPDPA é operativa máis que arquitectónica: interoperabilidade dos Xestores de Consentimento, avisos en lingua programada, divulgacións de queixas á DPBI, o limiar de menores de 18 anos e a verificación de transferencias por lista negativa. A brecha pódese pechar en semanas se se prioriza. Os editores que a pechan antes de que a DPBI chegue á súa porta non notarán a transición. Os que esperen atoparán 2026 e 2027 significativamente máis caros que os anos anteriores.