La Ley de Protección de Datos Personales Digitales de la India (DPDPA 2023) establece requisitos de protección de datos para 1.4 mil millones de personas: el marco de protección de datos más grande del mundo por población. La Junta de Protección de Datos de la India se volvió operativa en 2025, marcando el comienzo de la aplicación activa. Para las organizaciones globales que sirven a consumidores indios, procesan datos de empleados indios o operan con proveedores de servicios de TI indios, el cumplimiento del DPDPA es ahora un requisito de cumplimiento activo.
DPDPA: Resumen del Marco Clave
Alcance territorial: El DPDPA se aplica al procesamiento de datos personales digitales dentro de la India y al procesamiento fuera de la India con el propósito de ofrecer bienes o servicios a individuos en la India. Al igual que el alcance extraterritorial del GDPR, el DPDPA se aplica a cualquier organización que sirva a consumidores indios sin importar dónde ocurra el procesamiento.
Multas máximas: Hasta ₹250 crore (aproximadamente €27 millones a las tasas de cambio actuales) por violación. La Junta de Protección de Datos puede imponer sanciones basadas en la gravedad, duración y escala.
Bases legales para el procesamiento: Consentimiento (voluntario, informado, específico, inequívoco) o usos legítimos definidos en la Ley (empleo, obligaciones legales, intereses vitales, funciones de interés público, investigación/archivamiento, seguridad nacional).
Derechos de los titulares de datos: Derecho a la información sobre el procesamiento, derecho a la corrección y eliminación, derecho a la reparación de quejas y derecho a nombrar un representante en situaciones de incapacidad.
Fiduciarios de datos (equivalente a los controladores del GDPR): Las organizaciones que procesan datos personales son "Fiduciarios de Datos" con obligaciones de salvaguardias de seguridad, notificación de violaciones a la Junta de Protección de Datos dentro de 72 horas y nombramiento de un Oficial de Protección de Datos para fiduciarios de datos significativos.
Aadhaar: El Sistema de Identificación Biométrica Más Grande del Mundo
Aadhaar es el sistema nacional de identidad biométrica de la India: un número de identificación único de 12 dígitos vinculado a las huellas dactilares y escaneos de iris de cada titular. Emitido a 1.36 mil millones de residentes indios, Aadhaar se utiliza para:
- Distribución de beneficios gubernamentales (esquemas de bienestar PAN)
- Autenticación de servicios bancarios y financieros (eKYC)
- Registro de números de teléfono móvil (verificación de SIM obligatoria)
- Acceso a servicios de salud
- Verificación de empleo
Los números de Aadhaar aparecen en documentos financieros, de salud y administrativos indios. La Ley Aadhaar 2016 impone restricciones específicas sobre el uso de Aadhaar: no puede ser utilizado como identificación obligatoria para servicios privados y no puede ser almacenado en bases de datos más allá de casos de uso autorizados específicos.
Requisitos de detección: Aadhaar sigue un formato específico de 12 dígitos con validación de dígito de verificación Verhoeff. A diferencia de identificadores nacionales más simples, Aadhaar utiliza el algoritmo Verhoeff (un complejo esquema de detección de errores basado en teoría de grupos) para el cálculo del dígito de verificación. Las herramientas genéricas de coincidencia de patrones no detectan Aadhaar en documentos indios, y las herramientas que implementan coincidencia de patrones sin validación Verhoeff generan falsos positivos de cualquier número de 12 dígitos.
Otros Identificadores PII Indios
PAN (Número de Cuenta Permanente): Identificador fiscal alfanumérico de 10 caracteres en formato AAAAA9999A (5 letras + 4 dígitos + 1 letra). El 4º carácter codifica el tipo de contribuyente, el 5º carácter es la primera letra del nombre del contribuyente. El PAN es obligatorio para transacciones financieras superiores a ₹50,000 y aparece en prácticamente todos los documentos financieros indios.
Pasaporte indio: Formato X seguido de 7 dígitos. Formato específico del sistema de emisión de pasaportes de la India.
Licencia de conducir india: Formato basado en el código del estado (DL-0420110149646 para Delhi, por ejemplo): el formato varía según el estado de emisión, similar al RG de Brasil.
Números de cuenta bancaria: Sin formato estándar en la India: los números de cuenta bancaria varían de 9 a 18 dígitos dependiendo del banco, sin estandarización nacional. Los códigos IFSC (códigos de sucursal bancaria de 11 caracteres) aparecen junto a los números de cuenta en documentos de pago.
Números móviles: Formato de 10 dígitos con código de país +91. La penetración móvil de la India (1.2 mil millones de suscriptores móviles) significa que los números de teléfono son omnipresentes en documentos comerciales indios.
Requisitos Técnicos del DPDPA
El requisito de salvaguardias de seguridad del DPDPA se expresa en términos de resultados en lugar de medidas técnicas específicas (a diferencia de los requisitos enumerados del HIPAA):
Salvaguardias de seguridad: Los Fiduciarios de Datos deben implementar "salvaguardias de seguridad razonables" apropiadas al riesgo. Las Reglas del DPDPA (esperadas para 2025) especificarán estándares técnicos mínimos.
Notificación de violaciones: Dentro de 72 horas a la Junta de Protección de Datos para cualquier violación de datos personales. Este plazo es más exigente que las 72 horas del GDPR para la notificación a la DPA: el GDPR permite 72 horas para la notificación a la DPA y plazos separados para la notificación a los sujetos de datos. El DPDPA requiere ambas en la misma ventana de 72 horas para violaciones significativas.
Localización de datos (fiduciarios de datos significativos): Los fiduciarios de datos significativos —aquellos designados por el gobierno indio en función del volumen y la sensibilidad del procesamiento— pueden verse obligados a mantener una copia de los datos personales dentro de la India. Los requisitos específicos de localización se definirán en las Reglas, pero las empresas multinacionales que procesan grandes volúmenes de datos personales indios deben prepararse para posibles obligaciones de localización.
Transferencias transfronterizas: El DPDPA restringe las transferencias de datos personales a países que no están en una lista aprobada por el gobierno. La lista de países aprobados no se ha finalizado hasta 2025, creando incertidumbre de cumplimiento para los flujos de datos entre la UE y la India. La posición de transferencia UE-India difiere del DPF UE-EE. UU. del GDPR: no existe un acuerdo de adecuación bilateral existente, y se aconseja a las organizaciones implementar salvaguardias contractuales mientras se desarrolla el marco regulatorio.
Para organizaciones globales con operaciones en la India: la detección de Aadhaar y PAN con dígitos de verificación validados, el soporte de formato de pasaporte y licencia de conducir indios, y la documentación de los propósitos de procesamiento alineados con las bases legales del DPDPA son los requisitos técnicos básicos para el cumplimiento del DPDPA.
Fuentes: