Loading…
La DPDPA toma mucho del GDPR: limitación de la finalidad, derechos de los titulares de los datos, notificación de brechas y el propio concepto de Delegado de Protección de Datos. Pero el marco de la India es más ligero, más centrado en el consentimiento, prescinde de la base legal de «intereses legítimos» y utiliza topes en crores por infracción en lugar de multas por porcentaje de la facturación. Si presta servicios a titulares de datos de la India desde cualquier parte del mundo, necesita ambas perspectivas.
| Dimensión | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| Instrumento legal | Ley de Protección de Datos Personales Digitales, 2023 + Reglas DPDP 2025 (G.S.R. 846(E)) | Reglamento (UE) 2016/679 |
| Fecha de entrada en vigor | Ley: 11 ago 2023; Reglas: por fases hasta 2025-2026 | 25 may 2018 |
| Ámbito territorial | Tratamiento de datos personales digitales de titulares de la India — en cualquier parte del mundo (Sección 3) | UE/EEE + extraterritorial conforme al Art. 3 |
| Bases legales | Consentimiento O «ciertos usos legítimos» (Sección 7) — definidos de forma estricta | Seis bases (Art. 6); intereses legítimos ampliamente disponibles |
| Requisitos del consentimiento | Libre, específico, informado, incondicional, inequívoco — con aviso claro (Sección 6) | Libremente otorgado, específico, informado, inequívoco — revocable (Art. 7) |
| Delegado de Protección de Datos | Los Fiduciarios de Datos Significativos (SDF) — deben designar un DPO en la India (Sección 10) | Obligatorio en casos definidos (Art. 37) |
| Representante local | No exigido por la ley (pero operativamente crítico para la interacción con el Consejo) | Representante en la UE del Artículo 27 obligatorio para responsables fuera de la UE |
| Multa máxima (por instancia) | ₹250 crore (~$30M USD) — salvaguardas de seguridad (Regla 6) | €20M o el 4 % de la facturación global (Art. 83(5)) |
| Estructura escalonada de sanciones | ₹250 cr seguridad · ₹200 cr notificación de brechas · ₹150 cr datos de menores · ₹50 cr otros | Dos niveles: €10M/2 % (inferior) y €20M/4 % (superior) |
| Notificación de brechas | En un plazo de 72 horas al Consejo de Protección de Datos de la India + titulares de los datos afectados (Regla 7) | 72 horas a la Autoridad de Control (Art. 33) + interesados si hay alto riesgo (Art. 34) |
| Regulador | Consejo de Protección de Datos de la India (DPBI) | 27 APD de los Estados miembros de la UE + EDPB |
| Datos de menores | Consentimiento parental verificable para menores de 18 años (Sección 9). Sin seguimiento conductual, sin anuncios dirigidos. | Edad de consentimiento predeterminada de 16 años (los Estados miembros pueden reducirla a 13) |
| Derechos del titular de los datos | Acceso, rectificación, supresión, resolución de quejas, nominación, retirada del consentimiento (Secciones 11 a 14) | 8 derechos (Arts. 15 a 22), incluidos portabilidad y oposición a decisiones automatizadas |
| Derecho a la portabilidad | No otorgado conforme a la DPDPA | Sí — Art. 20 |
| Derecho a oponerse a las decisiones automatizadas | No otorgado conforme a la DPDPA | Sí — Art. 22 |
| Transferencia transfronteriza | Permitida salvo que el Gobierno Central restrinja el destino específico (Sección 16) | Restringida — se requieren SCCs/BCR/adecuación (Capítulo V) |
| Localización de datos | Sin localización general en la Ley; las normas del RBI exigen la localización de los datos de pago | El GDPR no exige localización; algunos Estados miembros imponen normas sectoriales |
| Categoría de datos sensibles | No categorizados explícitamente (un único nivel de datos personales) | Datos de categorías especiales (Art. 9) con requisito de consentimiento explícito |
| Equivalente al DPIA | Obligatorio para los SDF (Sección 10(2)) | Obligatorio para el tratamiento de alto riesgo (Art. 35) |
| Recurso ante autoridad de control independiente | Tribunal de Apelación y Resolución de Controversias de Telecomunicaciones (TDSAT) | Recurso judicial directo + derecho a reclamar ante la APD (Arts. 77 a 79) |
No, aunque toma prestado el vocabulario del GDPR. La DPDPA prioriza el consentimiento, con un conjunto más reducido de «usos legítimos», omite el derecho a la portabilidad de los datos y el derecho a oponerse a las decisiones automatizadas, y utiliza topes en crores por infracción en lugar de multas por porcentaje de la facturación. La exposición a sanciones aún puede alcanzar ₹500 crore por infracciones sistemáticas.
No, opere un único programa mapeado. Utilice los requisitos más estrictos del GDPR (DPIA, retirada del consentimiento, brechas en 72 h) como base, y añada las capas específicas de la DPDPA (notificación al Consejo, DPO en la India para los SDF, restricciones sobre datos de menores).
Sí, si ofrece bienes o servicios a titulares de datos en la India (Sección 3(b)). La ley se aplica de forma extraterritorial independientemente de dónde estén ubicados sus servidores o su entidad.
La Ley está en vigor, pero las Reglas se están implementando por fases hasta 2025-2026. El Consejo de Protección de Datos ya está operativo. Se espera que la aplicación se intensifique a lo largo de 2026 — prepárese ahora.
La India es más estricta: los menores de 18 años requieren consentimiento parental verificable y se prohíbe el seguimiento conductual o la publicidad dirigida. La edad de consentimiento predeterminada del GDPR es de 16 años, con reducción permitida hasta los 13, y el seguimiento conductual se permite con consentimiento y DPIA.
No en la Ley, pero en la práctica el Consejo de Protección de Datos de la India espera un punto de contacto designado y residente en la India para los Fiduciarios de Datos Significativos. Ese es el papel que desempeña nuestro servicio de representación en la India.
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.