El Reglamento General de Protección de Datos es directamente aplicable en todo el Espacio Económico Europeo desde el 25 May 2018. La ley india de 2023 de protección de datos personales digitales recibió el asentimiento presidencial en agosto de 2023, pero quedó latente a la espera de normas subordinadas. Esas normas, las Digital Personal Data Protection Rules 2025, se notificaron el 13 November 2025, lo que desencadenó una entrada en vigor escalonada: las disposiciones del Data Protection Board surtieron efecto de inmediato, las obligaciones de registro de los Consent Managers siguen al cumplirse un año, y las obligaciones sustantivas y los derechos de los interesados pasan a ser exigibles a partir del 13 May 2027 (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Lo que sigue contrasta, por tanto, un régimen maduro y plenamente aplicado con uno joven que es jurídicamente completo pero que opera todavía dentro de su ventana de cumplimiento. El estado de la ley se expone a fecha de 6 June 2026, lo que deja aproximadamente once meses antes de que las obligaciones sustantivas y los derechos de los interesados del DPDP pasen a ser exigibles el 13 May 2027. Para un programa que debe rebasar el tratamiento lícito sobre el consentimiento, integrar un Consent Manager y poner en pie un régimen de menores de dieciocho años, once meses son un único horizonte de planificación, no un margen cómodo.
La ascendencia compartida, y las tres divergencias que importan
Las dos leyes comparten una ascendencia común. Los redactores indios tomaron del RGPD el vocabulario de la responsabilidad, la limitación de la finalidad, la minimización de datos y el consentimiento, y el parecido es lo bastante estrecho como para que una multinacional con un programa de RGPD operativo ya posea aproximadamente el setenta por ciento de lo que exige el DPDP. El treinta por ciento restante es donde se hallan el dinero y el riesgo, porque las divergencias son estructurales y no cosméticas.
Tres diferencias dominan todo lo demás. Primera, el tratamiento lícito: el RGPD ofrece seis bases lícitas, incluida la elástica prueba de ponderación del interés legítimo, mientras que el DPDP solo reconoce el consentimiento y una lista cerrada de usos legítimos enumerados, sin dejar ningún recurso general de reserva cuando el consentimiento es impracticable. Segunda, el catálogo de derechos: el RGPD concede ocho derechos a los interesados, incluidos la portabilidad, la oposición y la protección frente a decisiones exclusivamente automatizadas, mientras que el DPDP concede un conjunto más estrecho y añade un idiosincrático derecho de nominación. Tercera, la economía de la sanción: el RGPD limita las multas al mayor de veinte millones de euros o el cuatro por ciento del volumen de negocio anual mundial y otorga a los particulares un derecho privado a compensación, mientras que el DPDP impone penalizaciones pecuniarias fijas de hasta doscientos cincuenta crore de rupias sin vínculo con el volumen de negocio, sin responsabilidad penal y sin derecho de acción privado.
Para la organización sujeta a ambos regímenes, la lección práctica es que la conformidad con el RGPD es necesaria pero no suficiente. Un programa de nivel RGPD debe ampliarse, no solo copiarse, para absorber la arquitectura de consentimiento primero del DPDP, su régimen de menores de dieciocho años, su enfoque de lista negativa para las transferencias transfronterizas y su norma de notificación de brechas que no tolera ningún umbral de riesgo.
Dos cifras enmarcan lo que está en juego. El RGPD gobierna los datos personales de aproximadamente cuatrocientos cincuenta millones de personas en el Espacio Económico Europeo; el DPDP gobierna los de cerca de mil quinientos millones de interesados en la India, unas tres veces más. Así pues, aunque el techo de penalización por instancia del DPDP sea más bajo y fijo, la carga operativa que impone, la captura y la retirada del consentimiento, la gestión de derechos y la notificación de brechas sin umbral, opera a una escala de población mucho mayor. Una capacidad cómoda para una base de usuarios europea puede verse desbordada por una india, y esa capacidad debe construirse antes de que se agote el tiempo: con las obligaciones sustantivas exigibles a partir del 13 May 2027, aproximadamente once meses desde la fecha de redacción, la ventana para diseñar las canalizaciones de consentimiento, derechos y brechas para más de mil millones de interesados es estrecha.
Instrumentos, estado y arquitectura regulatoria
El RGPD es un reglamento, lo que significa que se aplica directamente en cada Estado miembro sin transposición nacional, si bien los Estados miembros conservan un margen limitado para legislar sobre puntos concretos como la edad del consentimiento digital y los datos laborales. Lo hacen cumplir una red de Autoridades de Control nacionales independientes coordinadas a través del Comité Europeo de Protección de Datos, con el mecanismo de coherencia y la ventanilla única resolviendo los casos transfronterizos. La elaboración de normas, las orientaciones y la aplicación recaen así en reguladores independientes y, en última instancia, en los tribunales y el Tribunal de Justicia de la Unión Europea (nuestra página de marco del RGPD resume brevemente sus obligaciones, a quién vincula y la fuente oficial).
La arquitectura del DPDP es más centralizada y más liderada por el ejecutivo. La ley DPDP es legislación primaria; el detalle operativo vive en las DPDP Rules, que el Gobierno Central dicta y puede modificar (nuestra página de marco del DPDP expone brevemente las obligaciones clave de la ley, a quién vincula y la fuente oficial). El Data Protection Board of India es el órgano adjudicador, pero es más estrecho que una Autoridad de Control europea: investiga brechas e impone penalizaciones, pero no emite códigos ni orientaciones vinculantes, y el poder sustantivo de elaboración de normas reside en el Gobierno Central y no en el Board. Los recursos contra el Board se elevan al Telecom Disputes Settlement and Appellate Tribunal. La consecuencia de diseño es que, en la India, el ejecutivo político conserva palancas (exenciones, restricciones de transferencia, modificaciones de normas) que en Europa recaen en autoridades independientes o tribunales.
Ámbito y alcance
El RGPD gobierna los datos personales tratados total o parcialmente por medios automatizados, y el tratamiento no automatizado cuando los datos forman o están destinados a formar parte de un fichero. Distingue una categoría especial de datos sensibles en el artículo 9: origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos y biométricos, salud, y vida u orientación sexual, cada una sujeta a condiciones reforzadas. El DPDP es más estrecho en un aspecto y más plano en otro. Gobierna únicamente los datos personales digitales, es decir, datos en forma digitalizada o datos recogidos en papel y luego digitalizados, y no regula los registros puramente no digitales. De forma decisiva, no traza ninguna distinción legal entre datos personales ordinarios y sensibles. No hay ningún nivel de categoría especial; los registros de salud y los historiales de compras quedan bajo las mismas reglas de base, y la protección adicional solo llega indirectamente a través del mecanismo del Significant Data Fiduciary y las disposiciones sobre menores. Para una organización sujeta a ambos regímenes, esta asimetría corta en ambos sentidos: el derecho indio no impone ninguna condición del artículo 9, pero un responsable maduro normalmente mantendrá sus controles del RGPD sobre datos sensibles a escala mundial en lugar de mantener dos esquemas de clasificación de datos.
Ambas leyes alcanzan más allá de su territorio de origen. El RGPD, en virtud del artículo 3, se aplica al tratamiento en el contexto de un establecimiento en la Unión con independencia de dónde ocurra el tratamiento, y a los responsables fuera de la Unión que ofrecen bienes o servicios a personas en la Unión, o que monitorizan su comportamiento. El DPDP, en virtud de la sección 3, se aplica al tratamiento de datos personales digitales dentro de la India, y al tratamiento fuera de la India cuando esté relacionado con la oferta de bienes o servicios a interesados en la India. El DPDP omite el inciso explícito de monitorización del comportamiento del RGPD, de modo que el perfilado puro de residentes indios sin una oferta de bienes o servicios queda en una zona más gris que su equivalente europeo.
| Dimensión | RGPD | DPDP |
|---|---|---|
| Forma de datos cubierta | Automatizada, más ficheros manuales estructurados | Solo digital (nacida digital o digitalizada después) |
| Nivel de datos sensibles | Sí (categorías especiales del artículo 9) | Sin nivel legal |
| Disparador extraterritorial | Establecimiento; oferta; monitorización del comportamiento | Oferta de bienes o servicios a personas en la India |
| Tratamiento excluido | Puramente personal o doméstico; aplicación de la ley bajo una directiva separada | Personal o doméstico; ciertos datos publicados; amplias exenciones del Estado |
Actores y vocabulario
La arquitectura de roles se traslada con la suficiente nitidez como para que la traducción sea casi unívoca, lo que ayuda al redactar políticas bilingües. El responsable del tratamiento del RGPD se convierte en el Data Fiduciary del DPDP, un enfoque basado en la confianza cuyas obligaciones operativas, no obstante, se asemejan a las de un responsable. El encargado del tratamiento del RGPD se convierte en el Data Processor, aunque el DPDP encauza la mayoría de los deberes del encargado a través del contrato del fiduciario en lugar de imponer muchos deberes legales directos. El interesado se convierte en el Data Principal, y para un menor, el interesado es el menor mientras el consentimiento lo ejerce un progenitor o tutor legal. La Autoridad de Control halla su análogo en el Data Protection Board of India, que adjudica y sanciona pero no emite orientaciones vinculantes y, por tanto, no es un regulador de espectro completo. Dos roles del DPDP no tienen contraparte en el RGPD: el Significant Data Fiduciary, una clase designada por el gobierno que porta deberes reforzados, y el Consent Manager, un intermediario registrado específico de la India a través del cual los interesados conceden, revisan y retiran el consentimiento.
Tratamiento lícito: la divergencia central
Aquí es donde los dos regímenes se separan con las consecuencias más graves. El RGPD, en virtud del artículo 6, prevé seis bases lícitas: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el cumplimiento de una misión de interés público, y los intereses legítimos del responsable o de un tercero sujetos a una prueba de ponderación frente a los derechos del interesado. La base del interés legítimo es deliberadamente abierta; es el caballo de tiro que permite a las organizaciones tratar datos para la prevención del fraude, la seguridad de la red, el marketing directo y la administración intragrupo sin buscar el consentimiento para cada operación.
El DPDP solo reconoce dos vías hacia la licitud: el consentimiento en virtud de la sección 6 y una lista cerrada de ciertos usos legítimos en virtud de la sección 7. La lista de usos legítimos es enumerada y finita: el aporte voluntario de datos por el interesado para una finalidad especificada, las funciones del Estado y la provisión de subsidios o servicios, el cumplimiento de la ley o de órdenes judiciales, las urgencias médicas, las finalidades laborales, y las situaciones de catástrofe u orden público, entre unos pocos otros. No hay ninguna prueba residual de ponderación. Si una actividad de tratamiento no encaja en un elemento de la lista, la única vía lícita es el consentimiento. Esta es la diferencia operativa más importante para una multinacional, porque los flujos de datos que Europa gestiona con comodidad bajo el interés legítimo, por ejemplo una analítica amplia, el enriquecimiento de marketing o el reporte transfronterizo de grupo, pueden requerir una arquitectura de consentimiento explícito en la India.
La norma del consentimiento en sí es similar sobre el papel. Ambas exigen que el consentimiento sea libre, específico, informado, inequívoco y señalado por un acto afirmativo claro, y ambas exigen que la retirada sea tan fácil como el otorgamiento. El DPDP superpone dos rasgos específicos de la India. Primero, el aviso que acompaña a una solicitud de consentimiento debe estar detallado y, a petición, disponible en inglés o en cualquiera de las lenguas del octavo anexo de la Constitución. Segundo, el consentimiento puede mediarse a través de un Consent Manager, una plataforma registrada que da a los interesados un único panel para conceder y revocar permisos ante varios fiduciarios, una construcción institucional sin equivalente en el RGPD.
La conformidad con el RGPD es necesaria pero no suficiente. Un programa de nivel RGPD debe ampliarse, no solo copiarse, para absorber la arquitectura de consentimiento primero del DPDP.
Derechos, obligaciones y menores
El RGPD confiere un amplio conjunto de derechos: acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición incluida la del marketing directo, y el derecho a no ser objeto de una decisión exclusivamente automatizada que produzca efectos jurídicos o similarmente significativos en virtud del artículo 22. El DPDP confiere un conjunto más estrecho: el acceso a un resumen de los datos personales y del tratamiento, la corrección y la supresión, la resolución de quejas, y un distintivo derecho de nominación que permite a un interesado designar a otra persona para ejercer sus derechos en caso de fallecimiento o incapacidad. Los huecos importan. El DPDP no contiene ningún derecho autónomo a la portabilidad de los datos, ningún derecho general de oposición, ningún derecho de limitación, y ninguna protección de tipo artículo 22 frente a la toma de decisiones automatizada. A la inversa, el derecho de nominación no tiene contraparte europea.
| Derecho | RGPD | DPDP |
|---|---|---|
| Acceso | Sí (Art 15) | Sí (resumen de datos y tratamiento) |
| Rectificación o corrección | Sí (Art 16) | Sí |
| Supresión | Sí (Art 17) | Sí (a la retirada o al completarse la finalidad) |
| Limitación del tratamiento | Sí (Art 18) | No |
| Portabilidad de los datos | Sí (Art 20) | No |
| Oposición | Sí (Art 21) | No |
| Garantías sobre decisiones automatizadas | Sí (Art 22) | No |
| Resolución de quejas | Vía denuncia ante la Autoridad de Control | Sí (derecho legal frente al fiduciario) |
| Nominación | No | Sí |
Ambos regímenes se construyen sobre la responsabilidad, pero distribuyen de forma distinta los deberes más pesados. Bajo el RGPD, cada responsable carga con una base de documentación de responsabilidad: los registros de actividades de tratamiento en virtud del artículo 30 con una excepción para organizaciones pequeñas, la protección de datos desde el diseño y por defecto en virtud del artículo 25, una evaluación de impacto relativa a la protección de datos para el tratamiento de alto riesgo en virtud del artículo 35, y contratos de encargo vinculantes en virtud del artículo 28. Un delegado de protección de datos es obligatorio en virtud del artículo 37 cuando las actividades principales implican una monitorización sistemática a gran escala o un tratamiento a gran escala de datos de categoría especial, y los responsables fuera de la Unión deben nombrar un representante en la Unión en virtud del artículo 27. El DPDP aplica una base universal más ligera y concentra los deberes pesados en el Significant Data Fiduciary. Cada fiduciario debe implementar salvaguardas de seguridad razonables, honrar el aviso y el consentimiento, suprimir los datos a la retirada o una vez servida la finalidad, y asegurar la conformidad del encargado mediante contrato. Solo las entidades que el Gobierno Central designa como Significant Data Fiduciaries deben además nombrar un Data Protection Officer con domicilio en la India, contratar un auditor de datos independiente, y realizar evaluaciones de impacto y auditorías periódicas. El disparador es, por tanto, la designación gubernamental en lugar de la prueba de riesgo autoevaluada del RGPD.
Ambos regímenes singularizan a los menores, y aquí el DPDP es el más estricto. El RGPD, en virtud del artículo 8, fija en dieciséis años la edad del consentimiento válido para los servicios de la sociedad de la información, permitiendo a los Estados miembros rebajarla hasta no menos de trece. El DPDP trata a toda persona menor de dieciocho años como un menor y exige un consentimiento parental o de tutor legal verificable antes de tratar los datos de un menor. Va más allá al prohibir el tratamiento susceptible de causar efectos perjudiciales en el bienestar de un menor, y al vedar de plano el rastreo conductual, la monitorización conductual y la publicidad dirigida a los menores, sujeto a exenciones limitadas que el gobierno pueda notificar. Para un servicio digital global esto es una restricción de diseño real: una capa de verificación de la edad y consentimiento parental calibrada a un umbral europeo de trece a dieciséis años no satisfará la regla india de menores de dieciocho, y las pilas de tecnología publicitaria deben poder desactivar la segmentación conductual para los menores indios a escala de población.
Transferencias transfronterizas: defectos en espejo
Los modelos de transferencia son casi imágenes en espejo en su postura por defecto. El RGPD, en el capítulo V, parte de la prohibición: los datos personales solo pueden salir del EEE bajo una decisión de adecuación, garantías apropiadas como las cláusulas contractuales tipo o las normas corporativas vinculantes, o un conjunto estrecho de excepciones. La carga recae sobre el exportador de establecer un mecanismo de transferencia lícito, y la jurisprudencia Schrems II exige una evaluación de impacto de la transferencia respecto del entorno de vigilancia del país de destino. Este es un modelo de lista blanca: prohibición por defecto, permitido solo donde hay un mecanismo en su lugar.
El DPDP parte del permiso. Las transferencias se permiten a cualquier país por defecto, y el Gobierno Central puede emitir una lista negativa que restrinja las transferencias a jurisdicciones especificadas. Este es un modelo de lista negra: permiso por defecto, bloqueado solo donde se nombra un destino. En principio es mucho más permisivo, pero dos salvedades lo atemperan. Primera, todavía no se ha poblado ninguna lista negativa, de modo que los contornos prácticos siguen siendo inciertos. Segunda, las normas sectoriales de localización de datos, en particular del Reserve Bank of India para los datos de pago, siguen aplicándose por encima del DPDP y pueden ser más estrictas que el régimen general. Para una multinacional la asimetría es marcada: mover datos de la UE a la India requiere un mecanismo documentado del artículo 46, mientras que mover datos indios a la UE actualmente no requiere nada bajo el propio DPDP, aunque una gobernanza prudente mantiene salvaguardas contractuales en ambos sentidos.
Notificación de brechas: el filtro de materialidad ausente
Ambos regímenes convergen en un reloj de setenta y dos horas pero divergen marcadamente en umbral y audiencia. El RGPD exige la notificación a la Autoridad de Control sin dilación indebida y, cuando sea factible, dentro de las setenta y dos horas desde que se tiene conocimiento, pero solo cuando la brecha es probable que entrañe un riesgo para los derechos y libertades de las personas; los afectados se notifican solo cuando el riesgo es alto. El umbral de riesgo filtra los incidentes triviales. Las DPDP Rules no imponen ningún umbral de riesgo. Al tener conocimiento de cualquier brecha de datos personales, el fiduciario debe informar sin dilación a los interesados afectados y debe facilitar al Data Protection Board una intimación inicial seguida de un informe detallado dentro de las setenta y dos horas que cubra la brecha, sus circunstancias, la mitigación y la identidad de cualquier parte responsable (MediaNama 2025; Ministry of Electronics and Information Technology 2025). La ausencia de un filtro de materialidad significa que los volúmenes indios de notificación de brechas correrán más altos que sus equivalentes europeos, y frente a una población de cerca de mil quinientos millones de interesados la maquinaria de notificación debe escalar en consecuencia. Los manuales de respuesta a incidentes afinados al filtro de riesgo del RGPD deben reescribirse para notificar cada brecha cualificante tanto al Board como a los afectados.
| Aspecto | RGPD | DPDP |
|---|---|---|
| Notificación a la autoridad | Dentro de 72 horas, si hay riesgo para los derechos | Intimación inicial, luego informe detallado dentro de 72 horas, sin umbral |
| Notificación a los individuos | Solo si hay riesgo alto | Siempre, sin dilación |
| Filtro de materialidad | Sí (basado en el riesgo) | Ninguno |
Economía de la sanción
La economía de la sanción difiere en clase, no solo en grado. Las multas administrativas del RGPD llegan hasta diez millones de euros o el dos por ciento del volumen de negocio anual mundial para el nivel inferior, y hasta veinte millones de euros o el cuatro por ciento del volumen de negocio anual mundial para el nivel superior, el mayor de ambos. El vínculo con el volumen de negocio escala la disuasión al tamaño de la empresa. El RGPD crea también un derecho privado: los interesados pueden reclamar compensación por daños materiales e inmateriales en virtud del artículo 82, y pueden presentar denuncias y ejercer recursos judiciales. El DPDP impone penalizaciones pecuniarias fijas desligadas del volumen de negocio, fijadas por referencia a anexos y limitadas por instancia: hasta doscientos cincuenta crore de rupias por no adoptar salvaguardas de seguridad razonables, hasta doscientos crore de rupias por fallos en la notificación de brechas o en las obligaciones sobre datos de menores, y techos inferiores para otros incumplimientos. No hay responsabilidad penal bajo el DPDP y, lo que es importante, ningún derecho de acción privado ni compensación legal a los individuos; la aplicación corre a través del Data Protection Board, con las penalizaciones pagadas al Estado. El DPDP introduce además penalizaciones a los interesados por presentar denuncias falsas o frívolas, lo que no tiene análogo en el RGPD. El efecto neto es que, para una empresa muy grande, el techo basado en el volumen de negocio del RGPD puede empequeñecer el techo fijo del DPDP, mientras que para la misma empresa el DPDP elimina la exposición a la acción colectiva y al litigio individual que ensombrece la conformidad con el RGPD en Europa.
Exenciones
El RGPD mantiene las exenciones estrechas y atadas a reglas. El artículo 23 permite que la ley de un Estado miembro restrinja derechos solo cuando sea necesario y proporcionado para objetivos de interés público enumerados, y hay exenciones específicas para el periodismo, la expresión académica, artística y literaria, y para la investigación y el archivo sujetos a garantías. El DPDP concede exenciones más amplias y más controladas por el ejecutivo. La sección 17 permite al Gobierno Central eximir a los instrumentos del Estado de la mayor parte de la ley en interés de la soberanía, la seguridad, el orden público y las relaciones amistosas, y prevé exenciones para el tratamiento necesario para la investigación, el archivo o fines estadísticos, para ciertas empresas emergentes por notificación, y para el ejercicio de derechos legales. La amplitud de las exenciones orientadas al Estado, y el hecho de que las confiera y delimite el ejecutivo en lugar de una autoridad independiente o un tribunal, es uno de los rasgos más debatidos del régimen indio y un tema recurrente en el comentario de la sociedad civil (Internet Freedom Foundation 2025).
Qué controles debe añadir un programa de doble régimen
Para una organización dentro de ambos regímenes, el modelo operativo es la convergencia con divergencia deliberada. La arquitectura pragmática consiste en ejecutar una única base global de nivel RGPD y acoplarle módulos específicos de la India en lugar de mantener dos programas independientes. Los activos reutilizables del RGPD son sustanciales: los registros de tratamiento, los controles de seguridad y de respuesta a brechas, las herramientas de derechos de los interesados para el acceso, la corrección y la supresión, las plantillas de contratación de encargados y la disciplina de protección de datos desde el diseño se transfieren todos al DPDP con una adaptación menor. Las adiciones específicas de la India son donde se concentra el esfuerzo, y son precisamente los controles que un programa solo de RGPD no tendrá en la fecha de aplicación del 13 May 2027: un diseño de base lícita de consentimiento primero que no se apoye en el interés legítimo; la integración con o la preparación para un Consent Manager; un régimen de menores de dieciocho años con consentimiento parental verificable y supresión de la publicidad conductual; un flujo de nominación; un proceso de brechas que notifique cada incidente cualificante sin filtro de riesgo; y una vigilancia sobre la lista negativa transfronteriza del gobierno y las normas sectoriales de localización. A la inversa, la organización no puede retirar ninguna maquinaria del RGPD, porque el conjunto de derechos más estrecho y el modelo de transferencia permisivo del DPDP no relajan los deberes europeos.
Qué cambia el utillaje de CCI
Un programa de doble régimen falla con más frecuencia no en la política sino en no saber, en términos de evidencia, dónde se hallan los datos personales, en qué base lícita se apoya cada flujo, y qué costaría un evento de aplicación. Las primitivas de CCI atacan exactamente esos huecos, y cada afirmación de abajo es una reducción de probabilidad respaldada por un producto existente y no una garantía.
NetDiagramer mapea el patrimonio de datos real, los flujos entre sistemas y las jurisdicciones que cada flujo cruza. Para el problema de la transferencia esto es fundacional: no puede aplicar la lista blanca de mecanismos del artículo 46 del RGPD ni vigilar la lista negra del DPDP si no puede ver qué flujos salen del EEE o aterrizan en la India. La misma topología hace aflorar cada flujo que actualmente se apoya en el interés legítimo, que es precisamente la población que debe rebasarse sobre el consentimiento antes de que el DPDP muerda.
EviGen convierte la responsabilidad de un ejercicio de documentación en evidencia automatizada. Los registros de tratamiento en virtud del artículo 30, los libros de consentimiento, y los artefactos de evaluación de impacto y auditoría que un Significant Data Fiduciary debe producir se generan y mantienen al día a partir del patrimonio vivo en lugar de reconstruirse desde hojas de cálculo en el momento de la auditoría. Una sola canalización de evidencia sirve tanto al deber europeo de registros como a los deberes indios de responsabilidad y auditoría.
Evidence Vault da al proceso de brechas la línea de tiempo a prueba de manipulaciones que necesita para sobrevivir a la regla sin umbral del DPDP. Cuando cada incidente cualificante debe llegar al Board dentro de las setenta y dos horas y a cada interesado afectado sin dilación, la restricción no es la voluntad sino la capacidad de ensamblar rápido un relato defendible de qué ocurrió, cuándo y a quién. El mismo cofre satisface la conservación de registros de los artículos 33 y 34 del RGPD.
cVaR pone precio en dinero a la divergente economía de la sanción. Cuantifica la exposición bajo ambos techos, el cuatro por ciento ligado al volumen de negocio del RGPD y los doscientos cincuenta crore fijos por instancia del DPDP, de modo que un consejo ve su superficie de penalización de doble régimen como un solo número en lugar de dos abstracciones jurídicas, y puede ordenar la remediación por reducción de pérdida esperada.
Domain Separation mantiene los patrimonios de datos europeo e indio lógicamente separables, de modo que los requisitos de localización, una futura lista negativa y los distintos regímenes de base lícita pueden aplicarse por jurisdicción sin bifurcar todo el programa en dos. Es el control que hace la convergencia con divergencia deliberada operable en lugar de aspiracional.
Poner en pie el doble mandato a tiempo
Las obligaciones sustantivas del DPDP aterrizan el 13 May 2027. Desde la fecha de redacción eso son unos once meses, lo que se lee como lejano y no lo es: una rearquitectura de consentimiento primero, una integración de Consent Manager y un régimen de menores de dieciocho años son programas de varios trimestres, y se ejecutan en serie con más frecuencia que en paralelo porque cada uno depende de una vista clara del patrimonio de datos que la mayoría de las organizaciones aún no tienen. Contando hacia atrás desde mayo de 2027, el trabajo de descubrimiento y mapeo de datos tiene que empezar este trimestre para que las fases de construcción, prueba y auditoría quepan antes de la aplicación. Donde una organización necesita un liderazgo sénior de privacidad para impulsar esa construcción sin añadir plantilla permanente, el CISO-as-a-Service de CCI ofrece un grupo de ocho o más profesionales certificados CISSP para cobertura interina, fraccionada, a demanda o posincidente, con la independencia preservada porque CCI no audita donde lidera. Ese grupo no es solo europeo: CCI tiene profesionales certificados CISSP con base en la India, especialistas sénior en privacidad de datos que conocen el DPDP, el modelo del Consent Manager y las obligaciones lingüísticas del octavo anexo desde dentro. Eso importa en la práctica, porque un Significant Data Fiduciary debe nombrar un Data Protection Officer domiciliado en la India, y un responsable local de privacidad acorta además la distancia al asesor jurídico indio, al Data Protection Board y a las realidades del consentimiento a escala nacional.
El otro hueco recurrente es fundacional más que jurídico: la mayoría de las organizaciones no pueden decir, en evidencia, dónde se hallan realmente sus datos personales. Los especialistas en inventario de datos de CCI mapean exactamente eso a lo largo de patrimonios heredados, datos calientes en sistemas vivos y datos fríos en archivos y copias de seguridad, registros estructurados en bases de datos y la dispersión no estructurada mucho más difícil en documentos, buzones, recursos compartidos de archivos y almacenes de objetos. Ese inventario es la condición previa de todo lo que viene después, el rebase del consentimiento, los flujos de derechos y supresión, la vista de transferencias transfronterizas y la evaluación del alcance de las brechas, de los cuales ninguno puede ser de fiar si el mapa del patrimonio está incompleto. Donde el hueco es utillaje a medida, el equipo interno de investigación y desarrollo, los académicos, investigadores de nivel doctoral e ingenieros que construyeron NetDiagramer, EviGen, cVaR y DORA-MAST, puede componer esas primitivas, la ingesta de inventario, la evidencia de configuración, el mapeo de topología y la cuantificación, en un conjunto rápido de preparación de doble régimen. Eso se enuncia como capacidad, con los productos entregados como prueba, no como una promesa de cronómetro. Para acotar una evaluación de preparación de doble régimen, hable con un profesional.
Matriz maestra lado a lado
| Dimensión | RGPD | DPDP |
|---|---|---|
| Instrumento | Reglamento (UE) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| En vigor | 25 May 2018 | Escalonado; obligaciones sustantivas a partir del 13 May 2027 |
| Datos cubiertos | Automatizados y manuales estructurados; nivel sensible | Solo digital; sin nivel sensible |
| Disparador extraterritorial | Establecimiento; oferta; monitorización | Oferta de bienes o servicios a personas en la India |
| Bases lícitas | Seis, incluido el interés legítimo | Consentimiento más lista cerrada de usos legítimos |
| Régimen de datos sensibles | Categorías especiales del artículo 9 | Ninguno (indirecto vía SDF y menores) |
| Edad de los menores | 16 (los Estados miembros pueden rebajar a 13) | Menores de 18; prohibición de publicidad conductual |
| Derechos | Ocho, incluidos portabilidad, oposición, Art 22 | Acceso, corrección, supresión, quejas, nominación |
| Delegado de protección de datos | Obligatorio según el riesgo | Solo Significant Data Fiduciaries; con base en la India |
| Modelo transfronterizo | Lista blanca (prohibición por defecto) | Lista negra (permiso por defecto) |
| Aviso de brecha | 72h a la AC si hay riesgo; individuos si riesgo alto | 72h al Board más todos los interesados afectados, sin umbral |
| Penalización máxima | EUR 20 m o 4% del volumen de negocio global | INR 250 crore por instancia, sin vínculo con el volumen de negocio |
| Derecho de acción privado | Sí (Art 82) | Ninguno |
| Regulador | Autoridades de Control independientes | Data Protection Board (solo adjudicador) |
| Elaboración de normas | CEPD, Comisión, Autoridades de Control | Gobierno Central |
Acrónimos
| Acrónimo | Forma desarrollada (inglés) | Traducción al español |
|---|---|---|
| BCR | Binding Corporate Rules | Normas corporativas vinculantes |
| CJEU | Court of Justice of the European Union | Tribunal de Justicia de la Unión Europea |
| DPDP | Digital Personal Data Protection | Protección de Datos Personales Digitales |
| DPIA | Data Protection Impact Assessment | Evaluación de impacto relativa a la protección de datos |
| DPO | Data Protection Officer | Delegado de protección de datos |
| EDPB | European Data Protection Board | Comité Europeo de Protección de Datos |
| EEA | European Economic Area | Espacio Económico Europeo |
| GDPR | General Data Protection Regulation | Reglamento General de Protección de Datos |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministerio de Electrónica y Tecnología de la Información (India) |
| RBI | Reserve Bank of India | Banco de la Reserva de la India |
| SA | Supervisory Authority | Autoridad de Control |
| SCC | Standard Contractual Clauses | Cláusulas contractuales tipo |
| SDF | Significant Data Fiduciary | Fiduciario de datos significativo |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Tribunal de Resolución y Apelación de Disputas de Telecomunicaciones |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html