India DPDP Act: Guest WiFi Compliance for Indian Venues

Ley DPDP de la India: Cumplimiento de WiFi de invitados para establecimientos indios Un informe técnico de Purple — Aproximadamente 10 minutos [INTRODUCCIÓN Y CONTEXTO — 1 minuto] Le damos la bienvenida al informe técnico de Purple. Soy su anfitrión y hoy nos sumergiremos en algo que debería estar en el radar de todos los directores de TI y responsables de cumplimiento normativo en este momento: la Ley de Protección de Datos Personales Digitales de la India (la Ley DPDP) y lo que significa específicamente para las implementaciones de WiFi de invitados en los establecimientos de la India. Tanto si gestiona una cadena hotelera en Bombay, una superficie comercial en Bangalore, un estadio en Hyderabad o la filial india de una multinacional, si ofrece WiFi de invitados y recopila datos de registro a través de un Captive Portal, esta legislación le afecta directamente. Las normas ya están vigentes, la aplicación de la ley se está intensificando y las sanciones son sustanciales. Estamos hablando de hasta doscientos cincuenta millones de rupias de multa solo por fallos de seguridad. Así que entremos en materia. Durante los próximos diez minutos, le guiaré a través de las obligaciones principales, le mostraré en qué se diferencia de GDPR en la práctica, le proporcionaré un marco de retención práctico y señalaré los tres errores más comunes que los establecimientos están cometiendo en este momento. [ANÁLISIS TÉCNICO DETALLADO — 5 minutos] Comencemos con los aspectos fundamentales. La Ley de Protección de Datos Personales Digitales se promulgó en agosto de 2023, y las normas de aplicación se finalizaron a finales de 2025. Los plazos de cumplimiento se aplican de forma escalonada de doce a dieciocho meses a partir de la entrada en vigor de las normas; por lo tanto, si aún no ha iniciado su programa de cumplimiento, ya va con retraso. Lo primero que debe comprender es la terminología. Según la Ley DPDP, su establecimiento es el Fiduciario de Datos (usted decide por qué y cómo se procesan los datos personales). El proveedor de su plataforma de WiFi (ya sea Purple o cualquier otro proveedor) es el Procesador de Datos. Y su invitado es el Titular de los Datos. Esta distinción es enormemente importante porque, según la DPDP, a diferencia de GDPR, toda la responsabilidad del cumplimiento recae en el Fiduciario de Datos. El acuerdo de procesamiento de datos de su proveedor de plataforma no transfiere su riesgo. Es de su propiedad. Ahora, hablemos del consentimiento. Aquí es donde la mayoría de los establecimientos tropiezan. El artículo 6 de la Ley exige que el consentimiento sea libre, específico, informado, incondicional e inequívoco, con una acción afirmativa clara. Esa palabra "incondicional" es exclusiva de la DPDP (no figura en GDPR) y es realmente estricta. Significa que no se puede establecer el consentimiento de marketing como condición para recibir acceso a la WiFi. Sin excepciones. ¿Cómo se traduce esto en la práctica en un Captive Portal? Necesita tres cosas. En primer lugar, un aviso que cumpla con la DPDP visible antes de recopilar cualquier dato; este debe indicar qué datos está recopilando, por qué, cuánto tiempo los conservará, cómo puede el invitado retirar su consentimiento y cómo puede ponerse en contacto con su Delegado de Protección de Datos o con la persona responsable designada. En segundo lugar, casillas de verificación de consentimiento granulares: una para el acceso a la red (que es el tratamiento necesario) y casillas de verificación opcionales e independientes para comunicaciones de marketing y análisis o elaboración de perfiles. Estas deben estar desmarcadas por defecto. En tercer lugar, debe registrar el consentimiento (marca de tiempo, dirección IP, versión del consentimiento y exactamente qué se ha acordado) y debe poder presentar ese registro si se le solicita. Una nota práctica sobre el funcionamiento del Captive Portal: si realiza el despliegue en dispositivos Apple iOS, Android o equipos Windows, el Captive Network Assistant (o CNA) se comporta de forma diferente en cada plataforma. El CNA de Apple abre un mini-navegador que presenta limitaciones en cuanto a cookies y redireccionamientos. Debe asegurarse de que su mecanismo de consentimiento funcione dentro de esas limitaciones. La guía de Purple sobre detección de Captive Portals cubre la implementación técnica al detalle; vale la pena leerla junto con este informe de cumplimiento. Hablemos ahora de la retención de datos, porque aquí es donde veo mayor confusión. El enfoque de la Ley DPDP está orientado al propósito. Según la Sección 8(7), debe eliminar los datos personales cuando el Titular de los Datos retire su consentimiento o cuando ya no se cumpla el propósito especificado, lo que ocurra primero. La Regla 8 añade dos capas de control importantes. En primer lugar, para ciertas plataformas de gran volumen (comercio electrónico con más de dos millones de usuarios, redes sociales, juegos online), el Tercer Anexo establece un período de cese estimado de tres años. Si no ha habido interacción durante tres años, se considera que el propósito ya no se cumple. Para la mayoría de los operadores de espacios (hoteles, comercios, estadios), no entrará en estas categorías específicas del Tercer Anexo, por lo que aplicará el principio general de la Sección 8(8): si el invitado no ha interactuado con usted ni ha ejercido sus derechos durante un período de tiempo razonable, debe eliminar sus datos. En segundo lugar, la Regla 8(3) establece un límite mínimo: debe conservar los registros de tratamiento y los datos asociados durante al menos un año a partir de la fecha de tratamiento, independientemente del cese del propósito. Esto es para fines de auditoría y regulatorios. Por lo tanto, para una política práctica de retención en establecimientos, este es el marco que recomendaría: conserve los perfiles activos de WiFi de invitados durante la duración de la relación más un año. Si un invitado no se ha conectado ni interactuado durante veinticuatro meses, active un flujo de trabajo de nuevo consentimiento o eliminación. Mantenga los registros de tratamiento durante un mínimo de un año. Para los huéspedes de hoteles, la estancia crea una relación de tratamiento legítima, pero el marketing posterior a la estancia requiere un consentimiento independiente, y ese consentimiento tiene su propio plazo de retención. Ahora, hablemos de las transferencias internacionales de datos. En realidad, esto es más sencillo bajo la DPDP que bajo el GDPR. La Ley utiliza un enfoque de lista negra: las transferencias están permitidas a todos los países a menos que el Gobierno Central restrinja específicamente un país o territorio particular mediante notificación. Compare esto con el enfoque de lista blanca del GDPR, donde necesita una decisión de adecuación, Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes para cada transferencia a un país no adecuado. Para los establecimientos multinacionales que utilizan plataformas de WiFi basadas en la nube con centros de datos fuera de la India, actualmente existe una mayor flexibilidad bajo la DPDP, pero preste atención a este aspecto, ya que los poderes de notificación del Gobierno implican que el panorama puede cambiar. Permítame abordar también los derechos que tienen sus clientes bajo la DPDP, porque sus equipos de TI y operaciones deben ser capaces de responder a ellos. Los titulares de los datos tienen derecho a acceder a la información sobre su tratamiento, derecho de rectificación y supresión, y derecho a la resolución de reclamaciones, con un plazo de respuesta obligatorio de noventa días. Lo que no tienen, a diferencia de lo que ocurre con el GDPR, es el derecho a la portabilidad de los datos, el derecho a oponerse a la toma de decisiones automatizada o el derecho a la limitación del tratamiento. Se trata de un marco de derechos más estrecho, lo que simplifica en cierta medida sus obligaciones de respuesta. Los datos de los menores constituyen una categoría independiente de mayor riesgo. Bajo la DPDP, se requiere el consentimiento parental verificable para el tratamiento de datos de cualquier persona menor de dieciocho años. Si el WiFi de su establecimiento se encuentra en un entorno familiar (un centro comercial, un parque temático, un hotel familiar), necesita un mecanismo para identificar y gestionar a los usuarios menores de edad. Este es un desafío técnico y operativo no menor que muchos establecimientos aún no han abordado. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — 2 minutos] Permítame detallar los tres errores más comunes que observo y cómo evitarlos. Primer error: el consentimiento combinado. Esta es la infracción más frecuente. Los establecimientos presentan una única casilla de verificación de "Acepto los términos y condiciones" que cubre tanto el acceso a la red como el marketing. Bajo la Sección 6 de la DPDP, esto no cumple con la normativa. La solución es sencilla: separe su consentimiento en casillas de verificación distintas y específicas para cada finalidad, y asegúrese de que la de marketing sea opcional y aparezca desmarcada por defecto. Segundo error: la falta de una pista de auditoría del consentimiento. Si la Junta de Protección de Datos le solicita demostrar que un cliente concreto dio su consentimiento en una fecha específica para una finalidad determinada, ¿puede presentar ese registro? La mayoría de los establecimientos no pueden. Su plataforma de WiFi debe almacenar los registros de consentimiento con suficiente nivel de detalle: marca de tiempo, ID de sesión, dirección IP, versión del consentimiento y las finalidades específicas consentidas. La plataforma de Purple registra esto de forma nativa, pero si utiliza un sistema heredado, este es un vacío que debe subsanar urgentemente. Tercer error: ausencia de un acuerdo de procesamiento de datos. Según la Sección 8(2), debe tener un contrato válido con cualquier encargado del tratamiento que contrate. Si su proveedor de plataforma de WiFi no dispone de un Acuerdo de Procesamiento de Datos vigente que haga referencia a las obligaciones de la DPDP, quedará desprotegido. Esto no es solo un formalismo legal, sino un requisito previo para la defensa de cumplimiento del fiduciario de datos. En cuanto a la implementación, la decisión de arquitectura clave es dónde se almacenan los datos de consentimiento y cómo se integran con su CRM o plataforma de automatización de marketing. Necesita una única fuente de verdad para el estado del consentimiento que su equipo de marketing no pueda eludir. La revocación del consentimiento debe propagarse a todos los sistemas secundarios en un plazo razonable; yo recomendaría un máximo de setenta y dos horas como su SLA operativo. Para establecimientos con múltiples propiedades (cadenas hoteleras, complejos comerciales), debe decidir si el consentimiento otorgado en una propiedad se extiende a las demás. Bajo el requisito de especificidad de la DPDP, la postura más segura es el consentimiento a nivel de establecimiento, a menos que su aviso cubra explícitamente al grupo y los huéspedes hayan consentido el procesamiento a nivel de grupo. [PREGUNTAS Y RESPUESTAS RÁPIDAS — 1 minuto] Permítame repasar algunas preguntas que recibo con regularidad. «¿Puedo utilizar analíticas de WiFi (conteo de personas, tiempo de permanencia) sin consentimiento?» Si los datos se anonimizan de forma real y no pueden vincularse a un individuo, quedan fuera del ámbito de aplicación de la Ley DPDP. No obstante, la aleatorización de direcciones MAC hace que el seguimiento a nivel de dispositivo sea cada vez más ineficaz. Para analíticas identificadas, necesita consentimiento. «¿Necesito un Delegado de Protección de Datos?» Un DPO completo solo es obligatorio para los Fiduciarios de Datos Significativos, una clasificación que el Gobierno notificará. Para la mayoría de los operadores de establecimientos, basta con tener una persona responsable designada cuyos datos de contacto estén publicados. Es un listón más bajo, pero aun así debe ser alguien que realmente pueda responder a preguntas sobre protección de datos. «¿A cuánto asciende la penalización para una cadena hotelera mediana?» Un fallo de seguridad que provoque una brecha de datos conlleva sanciones de hasta doscientos cincuenta millones de rupias (250 crore). La falta de notificación de una brecha a la Junta supone otros doscientos millones de rupias (200 crore). Se trata de límites fijos, no de porcentajes de facturación, lo que significa que afectan a las organizaciones más pequeñas de forma proporcionalmente más dura que las penalizaciones basadas en la facturación de la GDPR a las grandes multinacionales. [RESUMEN Y PRÓXIMOS PASOS — 1 minuto] Para concluir, estas son sus cinco acciones inmediatas. Uno: audite hoy mismo el flujo de consentimiento de su Captive Portal. Si tiene una sola casilla de verificación o agrupa el marketing con el acceso, debe rediseñarse. Dos: implemente un registro de auditoría de consentimiento. Cada evento de consentimiento debe registrarse con marca de tiempo, IP, finalidad y versión. Tres: establezca una política de retención de datos. Para la mayoría de los establecimientos, un activador de inactividad de veinticuatro meses para volver a solicitar el consentimiento o proceder a la eliminación es un punto de partida razonable, con un mínimo de un año para los registros de procesamiento. Cuatro: revise sus Acuerdos de Procesamiento de Datos con su proveedor de plataforma WiFi y con cualquier otro proveedor de marketing o analítica secundario.Cinco: designe a una persona responsable de las consultas de protección de datos y publique sus datos de contacto en su Captive Portal y sitio web. La DPDP Act no es tan compleja como el GDPR en cuanto a la amplitud de las obligaciones, pero es igual de seria en cuanto a la intención de su cumplimiento. La Junta de Protección de Datos tiene herramientas reales y la estructura de sanciones está diseñada para ser significativa incluso para las grandes organizaciones. Para profundizar en la arquitectura de Captive Portal, las guías técnicas de Purple cubren detalladamente los aspectos específicos de la implementación. Y si está analizando cómo se integra el análisis de WiFi de invitados con su pila de inteligencia de espacios más amplia, la plataforma Purple WiFi Analytics está diseñada con la captura de datos basada en el consentimiento previo como eje central. Gracias por escucharnos. Hasta la próxima.