Ley DPDP de la India: calendario de aplicación escalonada

No deje que los plazos escalonados de la DPDP de la India pillen por sorpresa a su programa de privacidad

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma GRC alojada en Suiza que integra los plazos escalonados de la Ley DPDP de la India en los programas de RGPD existentes, reduciendo de meses a semanas los plazos de cumplimiento multientidad.

La Ley DPDP de la India se implanta en 5 fases, con sanciones de hasta 250 millones de rupias (₹250 Cr) por infracción. Si ya gestiona el RGPD, añadir la India no debería significar empezar de cero. Priverion integra las obligaciones de la DPDP en su programa existente en semanas.

Obtenga su plan de preparación para la DPDP
Infraestructura conforme con la ISO 27001 Residencia de datos en Suiza 92 % de satisfacción del cliente (encuesta del 1.er trimestre de 2025)

¿Ya es cliente de Priverion? Su equipo de cuenta puede activar la cobertura de la Ley DPDP en una sola llamada.

Ha creado un programa de privacidad que cubre el RGPD, quizá la LGPD, quizá la CCPA. Ahora la Ley DPDP de la India añade otra capa.

Viene con su propio marco de consentimiento, particularidades de localización de datos y una implantación escalonada que hace peligrosamente fácil incumplir un plazo. El coste de equivocarse en el calendario no son solo multas de hasta 250 millones de rupias (~30 M USD). Es el caos operativo en todas sus filiales.

Cifra de la sanción según la Ley DPDP de la India, 2023, Sección 33, Schedule (sanción máxima por instancia para infracciones especificadas)

₹250 Cr

Sanción máxima por infracción

Ley DPDP, 2023, Schedule

5 fases

Implantación escalonada de la aplicación

Según el texto de la Ley y el Borrador de Reglamento (enero de 2025)

72 h

Plazo de notificación de brechas

Ley DPDP, 2023, Sección 8(6)

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Por qué este calendario es diferente

Por qué el calendario de cumplimiento de la Ley DPDP de la India es especialmente complejo para las organizaciones multientidad

Tres características estructurales de la Ley DPDP hacen que sea más difícil de gestionar que cualquier normativa con una única fecha de aplicación, sobre todo cuando ya gestiona el cumplimiento del RGPD, la LPD suiza o la LGPD.

Aplicación escalonada

Sin una única fecha de «entrada en vigor»: solo una oleada continua de plazos

A diferencia del «big bang» del RGPD del 25 de mayo de 2018, la Ley DPDP delega el calendario de aplicación en el Gobierno Central, que activa las disposiciones mediante notificaciones independientes. Los Significant Data Fiduciaries afrontan obligaciones meses antes que los fiduciarios generales. Si gestiona varias entidades indias con clasificaciones distintas, está siguiendo varios relojes de cumplimiento a la vez, cada uno con puntos de partida y requisitos diferentes.

Resultado: un fabricante de aeronaves utiliza el panel multientidad de Priverion para seguir los plazos específicos de cada jurisdicción en todas sus filiales desde una única vista, sin necesidad de malabarismos con hojas de cálculo.

Fabricante de aeronaves, primeros 6 meses de implantación

Estructura de sanciones

Hasta 250 millones de rupias por infracción, sin tope basado en los ingresos

El RGPD limita las multas al 4 % de la facturación anual mundial. La Ley DPDP aplica sanciones fijas por instancia, de hasta 250 millones de rupias (~30 millones USD) por infracción. Para un grupo con varias entidades fiduciarias de datos en la India, una única laguna de cumplimiento replicada en las filiales multiplica la exposición. La implantación escalonada genera una falsa sensación de seguridad: las organizaciones que esperen al reglamento definitivo antes de actuar se enfrentarán a un plazo de implementación comprimido que resulta operativamente inviable para estructuras de grupo complejas.

Resultado: un proveedor sanitario logró una cobertura del 100 % en la evaluación de riesgos de proveedores con Priverion, y el mismo flujo de trabajo se extiende ahora a las obligaciones de la Ley DPDP frente a terceros.

Proveedor sanitario, resultado verificado de cliente

Solapamiento de marcos

Las obligaciones de la DPDP se integran en su programa de RGPD existente, pero no son un reflejo idéntico

La Ley DPDP toma prestados conceptos del RGPD (consentimiento, EIPD, notificación de brechas en un plazo de 72 horas), pero los implementa de forma distinta. El marco de consentimiento de la India exige un Consent Manager (un intermediario registrado), no solo una plataforma de gestión del consentimiento. Las transferencias internacionales utilizan un modelo de lista negativa, no decisiones de adecuación. El tratamiento de datos de menores exige un consentimiento parental verificable, sin posibilidad de recurrir al «interés legítimo». Superponer todo esto a un programa existente sin duplicar esfuerzos requiere una plataforma que comprenda la correlación entre múltiples marcos, no un mero cumplimiento de casillas.

Resultado: una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001 reutilizando artefactos de cumplimiento entre marcos, el mismo enfoque que Priverion aplica a la incorporación de la Ley DPDP.

Empresa de tecnología médica, resultado verificado de cliente

200+

Horas ahorradas en la gestión del ROPA

Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001 al sustituir el seguimiento manual del registro de tratamientos por flujos de trabajo de recertificación automatizados.

60 %

Menor coste frente a OneTrust

Un fabricante de aeronaves logró una cobertura de cumplimiento completa para todo el grupo por una fracción del precio de las plataformas empresariales, sin trampas de expansión por usuario o por módulo.

3 meses

De adelanto en la ISO 27001

Una empresa de tecnología médica aceleró en tres meses el calendario de su certificación ISO 27001 gracias a los paquetes de evidencias listos para auditoría y la documentación automatizada de Priverion.

Lo que dicen nuestros clientes

La confianza de los equipos de privacidad que gestionan el cumplimiento multijurisdiccional

«Evaluamos OneTrust y otras dos plataformas. Priverion fue la única que entendió la gestión de privacidad multientidad desde el primer día. Estuvimos plenamente operativos en todas las filiales en menos de cuatro semanas, no los seis meses que nos presupuestaban en otros sitios.»

Director de Cumplimiento en un fabricante de aeronaves

Resultado: 60 % de reducción del tiempo de administración de cumplimiento en 6 meses

«Añadir un nuevo marco normativo solía significar semanas de correlación manual. Con Priverion, integramos la LPD suiza en nuestro programa de RGPD existente en días. Ahora hacemos lo mismo con la Ley DPDP de la India, reutilizando el 70 % de nuestras medidas existentes.»

CEO en un proveedor sanitario

Resultado: 100 % de cobertura en la evaluación de riesgos de proveedores en todas las entidades

Basado en entrevistas con clientes y resultados verificados, del 4.º trimestre de 2024 al 1.er trimestre de 2025

Priverion frente a OneTrust

Nivel empresarial sin la complejidad empresarial

Las empresas del mercado intermedio con estructuras multientidad merecen una plataforma creada para su forma real de trabajar, no una versión recortada de algo diseñado para los ciclos de compras de las Fortune 500.

La experiencia típica con OneTrust

Precios por usuario y por módulo

Los costes se disparan de forma impredecible a medida que añade filiales, usuarios o módulos. Las conversaciones sobre presupuesto se convierten en negociaciones trimestrales.

Infraestructura alojada en EE. UU.

En un panorama posterior a Schrems II, las plataformas alojadas en EE. UU. requieren una justificación legal adicional para cada transferencia internacional de datos.

Creado para las Fortune 500

Exceso de funciones en ESG, ética, consentimiento de cookies y mucho más. Los equipos del mercado intermedio acaban pagando por capacidades que nunca activan.

Implementación compleja

Incorporación de varios meses con consultores externos. El tiempo hasta obtener valor se mide en trimestres, no en semanas.

Más de 200 integraciones superficiales

Un mercado de conectores que parece impresionante, pero que a menudo genera una carga de mantenimiento sin aportar un valor real al flujo de trabajo de privacidad.

La diferencia de Priverion

Precios predecibles y con todo incluido

Precios basados en el número de empresas y el tamaño de la organización, no por usuario ni por módulo. Sin trampas de expansión. Su director financiero se lo agradecerá.

Creado en Suiza, alojado en Suiza

Residencia de datos europea por defecto. Todo el tratamiento de datos dentro de infraestructura suiza. Esto no es una casilla de marketing, sino una ventaja legal para las transferencias internacionales.

Diseñado específicamente para la privacidad multientidad

ROPA, EIPD, riesgo de proveedores, solicitudes de los interesados, gestión de incidentes y preparación para la Ley de IA. Todo lo que un DPD necesita, nada de lo que no. No cubrimos ESG, líneas éticas ni consentimiento de cookies, y es algo intencionado.

Operativo en semanas

Un fabricante de aeronaves logró una reducción del 60 % en el tiempo de administración de cumplimiento durante sus primeros 6 meses. Sin proyectos de implementación de varios meses.

Fabricante de aeronaves, primeros 6 meses tras la implantación

Integraciones profundas donde importa

Integraciones enfocadas con sistemas de RR. HH., compras y gestión de activos de TI, los que realmente impulsan los flujos de trabajo de privacidad. Conexiones profundas, no un mercado superficial de conectores.

¿Ya está evaluando OneTrust? Vea cómo se compara Priverion para las organizaciones multientidad.

Reserve una demostración de 30 minutos
Recurso gratuito

Lista de verificación de cumplimiento de la Ley DPDP de la India para organizaciones multientidad

La mayoría de los grupos globales que ya gestionan el RGPD dan por hecho que están cubiertos para la Ley de Protección de Datos Personales Digitales de la India. No lo están. Esta lista de verificación identifica las brechas entre su programa de privacidad europeo existente y lo que la Ley DPDP exige específicamente, para que pueda dimensionar el trabajo antes de que lleguen los plazos.

Qué incluye la lista de verificación:

  • Un calendario de cumplimiento fase por fase alineado con los hitos previstos de aplicación de la Ley DPDP, incluida la designación del Data Protection Board y la publicación de los reglamentos subordinados
  • Un marco de análisis de brechas que correlaciona las medidas del RGPD que ya tiene con los requisitos específicos de la DPDP que probablemente no tenga, incluido el texto del aviso de consentimiento, las obligaciones del Data Fiduciary y los umbrales del Significant Data Fiduciary
  • Los requisitos de transferencia internacional comparados en paralelo con las CCT del RGPD y los mecanismos de la LPD suiza, para que su equipo jurídico pueda evaluar el riesgo de transferencia en una sola vista
  • Una hoja de trabajo de delimitación entidad por entidad para grupos con filiales indias, clientes indios o datos de empleados indios, porque la Ley DPDP se aplica a los tres casos

PDF gratuito. Sin necesidad de demostración. Se lo enviaremos a su bandeja de entrada.

Deje de gestionar la privacidad en hojas de cálculo

Descubra cómo es la gestión de privacidad para todo el grupo cuando realmente funciona

En 30 minutos, le mostraremos cómo organizaciones como un fabricante de aeronaves automatizaron la recertificación del ROPA en todas las filiales, reduciendo un 60 % el tiempo de administración de cumplimiento en sus primeros seis meses.

Sin discurso de ventas. Sin avalancha de funciones. Solo una demostración enfocada y adaptada a su estructura de entidades, sus marcos y sus mayores quebraderos de cabeza de cumplimiento.

Semanas, no meses

Tiempo medio hasta la puesta en marcha

Precios predecibles

Sin trampas por usuario ni por módulo

Alojado en Suiza

Residencia de datos íntegramente europea

Resultados del fabricante de aeronaves basados en los primeros 6 meses tras la implementación. Satisfacción del cliente: 92 % (encuesta del 1.er trimestre de 2025, n=47).

Obtenga su plan de preparación para la DPDP

Consulta gratuita, sin compromiso

Acerca de esta página: referencias, definiciones y preguntas frecuentes

Puntos clave: calendario de cumplimiento de la Ley DPDP de la India

La Ley de Protección de Datos Personales Digitales de la India, 2023 introduce un modelo de aplicación escalonada con cinco etapas de implantación, sanciones de hasta 250 millones de rupias por infracción y un plazo de notificación de brechas de 72 horas. Las organizaciones multientidad que ya gestionan el RGPD, la LPD suiza o la LGPD pueden correlacionar aproximadamente el 70 % de las medidas existentes con las obligaciones de la DPDP, pero deben abordar requisitos específicos de la India, como los Consent Managers registrados, un modelo de transferencia internacional de lista negativa y el consentimiento parental verificable para los datos de menores.

Definiciones

¿Qué es la Ley DPDP de la India?

La Ley de Protección de Datos Personales Digitales, 2023 (Ley DPDP) es la ley integral de protección de datos de la India, promulgada el 11 de agosto de 2023. Establece derechos para los data principals (las personas físicas), obligaciones para los data fiduciaries (responsables del tratamiento) y crea el Data Protection Board of India como autoridad de aplicación. La Ley se aplica a los datos personales digitales tratados dentro de la India y al tratamiento realizado fuera de la India si está relacionado con la oferta de bienes o servicios a data principals en la India. [IAPP — India DPDP Act Resource]

¿Qué es un Significant Data Fiduciary (SDF)?

Un Significant Data Fiduciary es un data fiduciary designado por el Gobierno Central en virtud de la Sección 10 de la Ley DPDP en función del volumen y la sensibilidad de los datos personales tratados, el riesgo para los derechos de los data principals, el posible impacto en la soberanía y la integridad de la India y otros factores prescritos. Los SDF deben designar a un delegado de protección de datos residente en la India, nombrar a un auditor de datos independiente y realizar evaluaciones de impacto relativas a la protección de datos periódicas.

¿Qué es un Consent Manager según la Ley DPDP?

Un Consent Manager es un intermediario registrado, en virtud de la Sección 6 de la Ley DPDP, que permite a los data principals dar, gestionar, revisar y retirar el consentimiento a través de una plataforma accesible, transparente e interoperable. A diferencia de las plataformas de gestión del consentimiento del RGPD, los Consent Managers de la India deben estar registrados ante el Data Protection Board y cumplir normas técnicas y operativas prescritas.

Preguntas frecuentes

¿Cuál es el calendario de cumplimiento de la Ley DPDP de la India?

La Ley DPDP de la India se aplica en 5 fases mediante notificaciones independientes del Gobierno Central. Los Significant Data Fiduciaries afrontan obligaciones meses antes que los fiduciarios generales. El Borrador de Reglamento publicado en enero de 2025 aporta detalles de implementación adicionales. Las sanciones alcanzan hasta 250 millones de rupias (~30 millones USD) por infracción, en virtud de la Sección 33 y el Schedule de la Ley.

¿En qué se diferencia la Ley DPDP del RGPD?

Aunque la Ley DPDP toma prestados conceptos del RGPD —consentimiento, evaluaciones de impacto relativas a la protección de datos y notificación de brechas en 72 horas—, los implementa de forma distinta. Entre las diferencias clave: (1) la India exige un intermediario Consent Manager registrado, no solo una plataforma de gestión del consentimiento; (2) las transferencias internacionales utilizan un modelo de lista negativa en lugar de decisiones de adecuación; (3) el tratamiento de datos de menores requiere un consentimiento parental verificable, sin posibilidad de recurrir al «interés legítimo»; y (4) las sanciones son importes fijos por instancia (hasta 250 millones de rupias) en lugar de topes basados en un porcentaje de los ingresos. [GDPR full text — EUR-Lex]

¿Cuáles son las sanciones máximas según la Ley DPDP?

El Schedule de la Ley DPDP (al que remite la Sección 33) prescribe sanciones por instancia de hasta 250 millones de rupias (~30 millones USD). A diferencia del tope del RGPD del 4 % de la facturación anual mundial, no existe un límite basado en los ingresos. Para los grupos corporativos multientidad, una única laguna de cumplimiento replicada en las filiales indias multiplica la exposición total de forma proporcional.

¿Cuál es el requisito de notificación de brechas?

En virtud de la Sección 8(6) de la Ley DPDP, 2023, los data fiduciaries deben notificar tanto al Data Protection Board of India como a los data principals afectados toda brecha de datos personales en un plazo de 72 horas. Esto se alinea con el plazo de notificación a la autoridad de control del RGPD (Artículo 33), pero añade el requisito de notificación individual simultánea. [GDPR Article 33 — EUR-Lex]

¿Cómo gestiona la Ley DPDP las transferencias internacionales de datos?

La Ley DPDP adopta un modelo de lista negativa: los datos personales pueden transferirse a cualquier país, salvo a aquellos específicamente restringidos mediante notificación del Gobierno Central. Esto contrasta con el marco de adecuación de lista positiva del RGPD y con el enfoque de la LPD suiza basado en la lista de países del Encargado Federal de la Protección de Datos y de la Transparencia. Las organizaciones deben supervisar de forma continua las notificaciones gubernamentales para detectar jurisdicciones recién restringidas. [IAPP — DPDP cross-border transfers]

¿Pueden reutilizarse las medidas existentes del RGPD para el cumplimiento de la DPDP?

Aproximadamente el 70 % de las medidas existentes del RGPD pueden correlacionarse con las obligaciones de la Ley DPDP, según las evaluaciones de cumplimiento multimarco. Entre los elementos reutilizables se incluyen el registro de actividades de tratamiento (ROPA), las evaluaciones de impacto relativas a la protección de datos, los flujos de trabajo de gestión de riesgos de proveedores y la tramitación de las solicitudes de los interesados. Entre las adiciones específicas de la India se encuentran el registro del Consent Manager, la supervisión de transferencias de lista negativa y los mecanismos de consentimiento parental verificable para los datos de menores.

¿Cuál es la función del Data Protection Board of India?

El Data Protection Board of India (DPBI) es el órgano de resolución establecido en virtud del Capítulo 5 de la Ley DPDP. Recibe las notificaciones de brechas, resuelve las reclamaciones de los data principals e impone sanciones. A diferencia de las autoridades de control europeas, el DPBI funciona como un tribunal digital, con procedimientos que se desarrollan principalmente en línea.

Estadísticas y contexto

Según el Informe anual de gobernanza de la privacidad IAPP-EY 2023, la organización media gestiona el cumplimiento de 4,2 marcos de protección de datos de forma simultánea. La Ley DPDP de la India añade un quinto para muchas organizaciones multinacionales que operan en el mercado indio. El informe también constató que el 63 % de los profesionales de la privacidad citan el cumplimiento multijurisdiccional como su principal reto operativo.

La economía digital de la India abarca más de 800 millones de usuarios de internet a fecha de 2024, lo que la convierte en la segunda mayor población en línea del mundo. El enfoque de aplicación escalonada de la Ley DPDP refleja la magnitud del reto de cumplimiento: el Borrador de Reglamento publicado en enero de 2025 aporta detalles de implementación para la gestión del consentimiento, las transferencias internacionales y las obligaciones de los Significant Data Fiduciaries.

Ley DPDP frente al RGPD frente a la LPD suiza: comparativa

CaracterísticaLey DPDP de la India (2023)RGPD de la UE (2016/679)LPD suiza (nLPD 2023)
Modelo de aplicaciónImplantación escalonada mediante notificaciones del Gobierno CentralFecha única de aplicación (25 de mayo de 2018)Fecha única de aplicación (1 de septiembre de 2023)
Sanción máxima250 millones de rupias (~30 M USD) por instancia20 M EUR o 4 % de la facturación mundial250.000 CHF (responsabilidad individual)
Notificación de brechas72 horas (Board + data principals)72 horas (autoridad de control)Lo antes posible (FDPIC)
Transferencias internacionalesModelo de lista negativaDecisiones de adecuación + CCT/BCRLista de adecuación + CCT/BCR
Mecanismo de consentimientoConsent Manager registradoPlataforma de gestión del consentimientoConsentimiento u otra base jurídica
Datos de menoresSe exige consentimiento parental verificableConsentimiento parental para menores de 16 años (variación por Estado miembro)Sin umbral de edad específico
Requisito de DPDEl SDF debe designar a un DPD residente en la IndiaObligatorio para determinados responsables/encargadosVoluntario (recomendado)
Órgano de controlData Protection Board of IndiaAutoridades de control nacionalesFDPIC