Loading…
La Digital Personal Data Protection Act, 2023 es la primera ley de privacidad integral de India. Junto con las DPDP Rules, 2025 (G.S.R. 846(E)), regula cómo se recopilan, procesan, almacenan y comparten los datos personales de los titulares de datos indios, en cualquier parte del mundo.
La aplicación de la ley recae en la Data Protection Board of India (DPBI), con sanciones económicas de hasta ₹250 crore por incidente y obligaciones más estrictas para los Significant Data Fiduciaries.
Desde la captura del consentimiento hasta la notificación a la Board, cada obligación se asigna a un control, un responsable y un SLA.
Procese datos personales únicamente con un consentimiento válido o con alguno de los usos legítimos determinados conforme a la Sección 7 de la DPDP Act.
Recopile únicamente para fines determinados, explícitos y lícitos; nunca reutilice los datos sin un nuevo consentimiento.
Limite la recopilación a lo necesario para la finalidad declarada, sin recolección oportunista de datos.
Mantenga los datos exactos; suprímalos cuando se cumpla la finalidad o se retire el consentimiento.
Implemente cifrado, controles de acceso, registro de actividad y resiliencia según lo exigido por la Rule 6, con una sanción de hasta ₹250 crore por incumplimiento.
Notifique a la Data Protection Board of India en un plazo de 72 horas, y a los titulares de datos afectados sin demora indebida (Rule 7).
Que ofrecen servicios a usuarios en India: la DPDPA se aplica de forma extraterritorial.
La DPDPA se superpone a los marcos de RBI / SEBI / IRDAI y de salud digital.
Gran volumen de datos personales de consumidores: candidatos típicos a Significant Data Fiduciary.
Obligaciones reforzadas y un límite de sanción de ₹150 crore por infracciones relativas a datos de menores.
Análisis de brechas frente a la Act y las Rules 2025, con una hoja de ruta de subsanación priorizada y presupuesto.
Data Protection Officer designado en India para actuar de enlace con la Data Protection Board (DPBI) en su nombre.
Avisos conformes con la DPDPA en inglés y en las 22 lenguas oficiales, con una gestión del consentimiento granular y revocable.
Portal de autoservicio para gestionar solicitudes de acceso, corrección, supresión y reclamación dentro de los plazos legales.
Manual de actuación, clasificación, presentación ante la Board y comunicaciones a los titulares de datos, gestionados de principio a fin durante un incidente.
Cadencia de DPIA, auditoría independiente y obligaciones de gobernanza adicionales para organizaciones designadas como SDF.
Una implementación típica de la DPDPA cuesta entre ₹1,48 y 2,22 crore (~$178–267K USD). Frente a una exposición a sanciones de más de ₹500 crore, eso supone un retorno de la prevención de 23:1–34:1.