India DPDPA 2023: Cumplimiento técnico para equipos globales
La Ley de Protección de Datos Personales Digitales de India cubre a 1.400 millones de personas. Es la ley de privacidad más grande del mundo por población. El Consejo de Protección de Datos se activó en 2025. La aplicación ha comenzado. Si su empresa atiende a usuarios indios, gestiona archivos de personal indio o trabaja con proveedores de TI indios, esta ley es ahora una obligación activa.
Qué cubre el DPDPA
Ámbito territorial: La ley cubre el tratamiento dentro de India. También cubre el tratamiento fuera de India cuando el objetivo es vender bienes o servicios a usuarios indios. Como el RGPD, sigue a la persona, no al servidor.
Multas máximas: Hasta ₹250 crore por infracción. Eso equivale a unos €27 millones al cambio actual. Las multas dependen de la gravedad y la duración de la infracción.
Bases legales: El consentimiento debe ser libre, informado y claro. Otras bases válidas incluyen el empleo, las obligaciones legales, los intereses vitales, el interés público y la investigación.
Derechos individuales: Las personas pueden preguntar cómo se usan sus datos. Pueden solicitar corrección o eliminación. Pueden presentar una queja. Pueden designar un representante si pierden su capacidad.
Data Fiduciaries: Este es el término DPDPA para los responsables del tratamiento. Deben proteger los datos personales. Deben notificar las brechas al Consejo en 72 horas. Deben nombrar un delegado de protección de datos si son un Significant Data Fiduciary.
Aadhaar: Un problema de detección único
Aadhaar es el sistema nacional de identificación biométrica de India. Cada titular recibe un número de 12 dígitos vinculado a sus huellas dactilares y escáneres de iris. Aproximadamente 1.360 millones de residentes tienen uno. Bancos, organismos gubernamentales, operadores de telefonía móvil y hospitales lo utilizan.
Los números Aadhaar aparecen en archivos financieros, de salud y administrativos. La Ley Aadhaar de 2016 limita su uso. Los servicios privados no pueden exigirlo como identificación obligatoria. El almacenamiento está restringido a casos específicamente autorizados.
Por qué la detección es difícil: Aadhaar usa el método Verhoeff para su dígito de control. Una herramienta que solo busca cadenas de 12 dígitos marcará cualquier número de 12 dígitos. Eso genera falsos positivos. Una buena detección necesita lógica de verificación Verhoeff. La simple coincidencia de patrones no es suficiente.
Otros formatos PII indios
PAN (Permanent Account Number): Un identificador fiscal de 10 caracteres. Formato: cinco letras, cuatro dígitos, una letra. La cuarta letra indica el tipo de contribuyente. La quinta es la primera letra del nombre del contribuyente. El PAN es necesario para transacciones superiores a ₹50.000. Es común en los archivos financieros indios.
Pasaporte indio: La letra X seguida de siete dígitos. Este formato es exclusivo de India.
Permisos de conducir: Cada estado tiene su propio formato. Un permiso de Delhi puede parecerse a DL-0420110149646.
Cuentas bancarias: No existe un estándar nacional. Los números de cuenta van de 9 a 18 dígitos. Los códigos IFSC — códigos de 11 caracteres de sucursales bancarias — aparecen junto a los números de cuenta en los archivos de pago.
Números de móvil: Diez dígitos con código de país +91. India tiene 1.200 millones de suscriptores móviles. Los números de teléfono aparecen con frecuencia en los documentos comerciales.
Vea cómo anonym.legal maneja todos los formatos PII indios: /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Requisitos técnicos del DPDPA
Medidas de seguridad: El DPDPA exige "medidas de seguridad razonables" acordes al riesgo. La ley define esto por resultado. No ofrece una lista fija de pasos. Los estándares técnicos mínimos vendrán en las Reglas DPDPA. Se esperan desde 2025.
Notificación de brechas: Notifique cualquier brecha de datos personales al Consejo en 72 horas. Bajo el RGPD, esa ventana cubre solo al regulador. Bajo el DPDPA, las brechas mayores requieren notificación al Consejo y a las personas afectadas. Ambas deben ocurrir dentro de las 72 horas.
Localización: El gobierno puede designar empresas como Significant Data Fiduciaries. Esas empresas pueden necesitar conservar una copia de los datos en India. Las reglas finales aún no están establecidas.
Transferencias transfronterizas: La ley bloquea las transferencias a países que no están en una lista aprobada. Esa lista no estaba fijada en 2025. No existe ninguna decisión de adecuación UE-India. Las empresas con flujos UE-India deben poner contratos en vigor ahora.
Para ver cómo se aplican las reglas transfronterizas entre distintas leyes: /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Lista de verificación técnica básica
Si gestiona datos personales indios, empiece aquí:
- Detección de Aadhaar con lógica de dígito de control Verhoeff.
- Detección de PAN con verificación del carácter de tipo de contribuyente.
- Soporte para pasaporte indio y permiso de conducir por estado.
- Detección de cuentas bancarias para longitudes de 9 a 18 dígitos con códigos IFSC.
- Registros de finalidad del tratamiento alineados con las bases legales del DPDPA.
- Un plan de respuesta a brechas que cumpla la ventana de 72 horas.
Lea cómo un solo preset cubre todos los tipos PII indios: /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.