Esta semana se notificaron las Normas de Protección de Datos Personales Digitales (DPDP) de 2025. dando inicio a la formación de la Junta de Protección de Datos de la India (DPBI) y el marco legal para salvaguardar los datos de los indios en línea. La propia Ley DPDP fue aprobada en el Parlamento en agosto de 2023, y un borrador de las Reglas que se notificó el viernes (14 de noviembre de 2025) se publicó para consulta en enero.
¿Qué hacen la Ley y las Normas del DPDP?
La Ley DPDP de 2023 es la versión de la India de las leyes de protección de datos, como el Reglamento General de Protección de Datos (GDPR) de Europa y regímenes similares en muchos otros países, como la Ley de Protección de Datos Personales de Singapur de 2012. Al igual que estos regímenes, la Ley establece algunas líneas de base sobre cómo las empresas (“fiduciarios de datos”) manejan los datos de sus usuarios en la India (“principales de datos”). Por ejemplo, debe haber control de acceso y cifrado, junto con auditorías de seguridad para grandes empresas (“fiduciarios de datos importantes”).
Los responsables de datos también deben obtener el consentimiento “informado” de sus usuarios y de cualquier persona cuyos datos recopilen, brindando un resumen de qué datos están recopilando y cómo los utilizarán. La ley también otorga a los usuarios el derecho de borrar o modificar los datos que proporcionen a las empresas, o eliminarlos. Después de un período determinado de inactividad, las empresas tienen la obligación de eliminar los datos que tienen sobre los usuarios. Las grandes empresas deben nombrar un Delegado de Protección de Datos, que supervisará el cumplimiento.
La ley también restringe la publicidad dirigida a niños y determinada recopilación de datos. Las Reglas establecen aquí una exención para los padres que rastrean la ubicación de sus hijos.
Para permitir a los usuarios ejercer derechos a través de una variedad de fiduciarios (cuentas en varias plataformas), la Ley y las Reglas establecen el marco para un “Administrador de Consentimiento”, un servicio que permitirá a los usuarios administrar sus datos a través de varios fiduciarios, similar a la configuración del administrador de permisos en un teléfono inteligente.
Las violaciones de datos deben informarse lo antes posible, según la ley. Las multas por incumplimiento de diferentes partes de la ley oscilan entre 10.000 y 250 millones de rupias.
¿Están vigentes estos requisitos?
No. Si bien han pasado más de dos años desde que se notificó la Ley, el Ministerio de Electrónica y Tecnología de la Información (MeitY) ha optado por dar a las empresas hasta 18 meses más para cumplir. Algunos requisitos, como el nombramiento de un DPO para las grandes empresas, entrarán en vigor dentro de un año.
Algunas partes de la ley se han puesto en práctica, como la formación del DPBI. El DPBI supervisará la implementación de la Ley y será una oficina subordinada de MeitY. El organismo estará compuesto por cuatro miembros.
Otra parte de la ley que entra en vigor es la enmienda a la Ley de Derecho a la Información de 2005, a la que se han opuesto furiosamente tanto los grupos de derechos digitales como los de transparencia.
¿Cómo se modifica la Ley RTI? ¿Por qué la enmienda es controvertida?
La Ley de 2023 modificó la Sección 8(1)(j) de la Ley de Derecho a la Información de 2005, que permite a los ciudadanos solicitar información pública a los organismos gubernamentales. Esa sección permitía a los organismos gubernamentales rechazar solicitudes de “información personal”, pero decía que esta exención no se aplicaría si hubiera un interés público mayor en revelar la información.
La Ley DPDP eliminó esa excepción, permitiendo a las organizaciones gubernamentales tener más discreción sobre lo que es y lo que no es información personal, y rechazarla incluso si hacerlo fuera de interés público. La ley de 2023 no iba a entrar en vigor (incluida esta enmienda) hasta que el gobierno de la Unión la notificara. Activistas por la transparencia, como los pertenecientes a Mazdoor Kisan Shakti Sangathan (MKSS) y la Campaña Nacional por el Derecho del Pueblo a la Información (NCPRI), pasaron años (desde que se publicó el borrador de la Ley DPDP de 2022) resistiéndose a este cambio.
Pero el viernes, el gobierno ignoró esa reacción e invocó específicamente su poder para impulsar la enmienda en forma de notificación. Otra enmienda, la Ley de tecnología de la información de 2000, aún no está en vigor.
Organizaciones como MKSS han trabajado con movimientos de base para obtener acceso a “listas de reunión” de racionamiento y libros de registro de órdenes de trabajo, lo que les permite examinar los registros públicos en busca de signos de corrupción y gasto indebido. Con una definición amplia de “información personal”, han argumentado, es posible que los ciudadanos no tengan espacio para realizar tales auditorías sociales. La enmienda también podría usarse para proteger la mala conducta de funcionarios poderosos, dijeron.
Nikhil Dey, miembro fundador de MKSS, prometió que “'[w]El pueblo luchará” después de que la enmienda entrara en vigor.
Publicado – 15 de noviembre de 2025 02:32 p. m. IST
