India DPDP Act: Guest WiFi Compliance for Indian Venues

Ley DPDP de la India: Cumplimiento de WiFi para invitados en establecimientos de la India Una sesión informativa técnica de Purple — Aproximadamente 10 minutos [INTRODUCCIÓN Y CONTEXTO — 1 minuto] Bienvenido a la sesión informativa técnica de Purple. Soy su anfitrión, y hoy nos adentraremos en algo que debería estar en el radar de todo director de TI y líder de cumplimiento en este momento: la Ley de Protección de Datos Personales Digitales de la India (la Ley DPDP) y lo que significa específicamente para las implementaciones de WiFi para invitados en los establecimientos de la India. Ya sea que dirija una cadena hotelera en Bombay, un complejo comercial en Bangalore, un estadio en Hyderabad o la filial india de una multinacional; si opera un servicio de WiFi para invitados y captura datos de registro a través de un Captive Portal, esta legislación le afecta directamente. Las normas ya están vigentes, la aplicación de la ley se está intensificando y las sanciones son sustanciales. Estamos hablando de hasta doscientos cincuenta millones de rupias (250 crore) solo por fallas de seguridad. Así que entremos en materia. Durante los próximos diez minutos, lo guiaré a través de las obligaciones principales, le mostraré cómo difiere esto de GDPR en la práctica, le daré un marco de retención práctico y señalaré los tres errores más comunes que los establecimientos están cometiendo en este momento. [ANÁLISIS TÉCNICO DETALLADO — 5 minutos] Comencemos con lo fundamental. La Ley de Protección de Datos Personales Digitales se promulgó en agosto de 2023, y las normas de implementación se finalizaron a finales de 2025. Los plazos de cumplimiento se ejecutan de forma escalonada de doce a dieciocho meses a partir de la entrada en vigor de las normas; por lo tanto, si aún no ha comenzado su programa de cumplimiento, ya está retrasado. Lo primero que hay que entender es la terminología. Según la Ley DPDP, su establecimiento es el Fiduciario de Datos (Data Fiduciary): usted decide por qué y cómo se procesan los datos personales. Su proveedor de la plataforma de WiFi (ya sea Purple o cualquier otro proveedor) es el Procesador de Datos (Data Processor). Y su invitado es el Titular de los Datos (Data Principal). Esta distinción es sumamente importante porque, bajo la DPDP, a diferencia de GDPR, toda la responsabilidad de cumplimiento recae en el Fiduciario de Datos. El DPA de su proveedor de plataforma no transfiere su riesgo. Usted es el responsable. Ahora, el consentimiento. Aquí es donde la mayoría de los establecimientos tropiezan. La Sección 6 de la Ley exige que el consentimiento sea libre, específico, informado, incondicional e inequívoco, con una acción afirmativa clara. Esa palabra "incondicional" es exclusiva de la DPDP (no está en GDPR) y tiene un impacto real. Significa que no puede hacer que el consentimiento de marketing sea una condición para recibir acceso a WiFi. Punto final. ¿Cómo se ve eso en la práctica en un Captive Portal? Necesitas tres cosas. Primero, un aviso que cumpla con la DPDP que se muestre antes de recopilar cualquier dato; este debe indicar qué datos estás recopilando, por qué, cuánto tiempo los conservarás, cómo puede el invitado retirar su consentimiento y cómo puede ponerse en contacto con tu Oficial de Protección de Datos o la persona responsable designada. Segundo, casillas de verificación de consentimiento granulares: una para el acceso a la red —que es el procesamiento necesario— y casillas de verificación opcionales y separadas para comunicaciones de marketing y análisis o elaboración de perfiles. Estas deben estar desmarcadas por defecto. Tercero, debes registrar el consentimiento —marca de tiempo, dirección IP, versión del consentimiento y exactamente qué se acordó— y debes poder presentar ese registro si se te solicita. Una nota práctica sobre la mecánica del Captive Portal: si estás implementando en dispositivos Apple iOS, Android o máquinas Windows, el Captive Network Assistant —o CNA— se comporta de manera diferente en cada plataforma. El CNA de Apple abre un mini-navegador que tiene limitaciones en cuanto a cookies y redireccionamientos. Debes asegurarte de que tu mecanismo de consentimiento funcione dentro de esas restricciones. La guía de Purple sobre la detección de Captive Portal cubre la implementación técnica en detalle; vale la pena leerla junto con este informe de cumplimiento. Ahora hablemos de la retención de datos, porque aquí es donde veo la mayor confusión. El enfoque de la Ley DPDP está orientado al propósito. Según la Sección 8(7), debes eliminar los datos personales cuando el Titular de los Datos retire su consentimiento o cuando el propósito especificado ya no se esté cumpliendo, lo que ocurra primero. La Regla 8 luego agrega dos capas importantes. Primero, para ciertas plataformas de alto volumen —comercio electrónico con más de dos millones de usuarios, redes sociales, juegos en línea— el Tercer Anexo establece un período de cese estimado de tres años. Si no ha habido interacción durante tres años, se considera que el propósito ya no se cumple. Para la mayoría de los operadores de establecimientos —hoteles, tiendas minoristas, estadios— no entrarás en estas categorías específicas del Tercer Anexo, por lo que aplicas el principio general de la Sección 8(8): si el invitado no ha interactuado contigo ni ha ejercido sus derechos durante un período razonable, debes eliminar sus datos. Segundo, la Regla 8(3) crea un límite mínimo: debes conservar los registros de procesamiento y los datos asociados durante al menos un año a partir de la fecha de procesamiento, independientemente del cese del propósito. Esto es para fines de auditoría y regulatorios. Por lo tanto, para una política práctica de retención en establecimientos, este es el marco que recomendaría: conservar los perfiles activos de WiFi de invitados durante la duración de la relación más un año. Si un invitado no se ha conectado o interactuado durante veinticuatro meses, activa un flujo de trabajo de nuevo consentimiento o eliminación. Mantén los registros de procesamiento por un mínimo de un año. Para los huéspedes de hoteles, la estancia crea una relación de procesamiento legítima, pero el marketing posterior a la estancia requiere un consentimiento por separado, y ese consentimiento tiene su propio cronómetro de retención. Ahora, las transferencias internacionales de datos. Esto es en realidad más sencillo bajo la DPDP que bajo el GDPR. La Ley utiliza un enfoque de lista negra: las transferencias están permitidas a todos los países a menos que el Gobierno Central restrinja específicamente un país o territorio en particular mediante notificación. Compare eso con el enfoque de lista blanca del GDPR, donde necesita una decisión de adecuación, Cláusulas Contractuales Estándar o Normas Corporativas Vinculantes para cada transferencia a un país no adecuado. Para los establecimientos multinacionales que utilizan plataformas de WiFi basadas en la nube con centros de datos fuera de la India, actualmente tienen más flexibilidad bajo la DPDP, pero manténgase atento, porque los poderes de notificación del Gobierno significan que el panorama puede cambiar. Permítame también cubrir los derechos que tienen sus huéspedes bajo la DPDP, porque sus equipos de TI y operaciones deben ser capaces de responder a ellos. Los Titulares de los Datos tienen derecho a acceder a la información sobre su procesamiento, derecho a la rectificación y cancelación, y derecho a la resolución de quejas, con un plazo de respuesta obligatorio de noventa días. Lo que no tienen, a diferencia de lo que ocurre bajo el GDPR, es el derecho a la portabilidad de datos, el derecho a oponerse a la toma de decisiones automatizada o el derecho a la limitación del procesamiento. Ese es un marco de derechos más estrecho, lo que simplifica un poco sus obligaciones de respuesta. Los datos de los niños son una categoría separada y de mayor riesgo. Bajo la DPDP, se requiere el consentimiento parental verificable para procesar datos de cualquier persona menor de dieciocho años. Si el WiFi de su establecimiento se encuentra en un entorno familiar (un centro comercial, un parque temático, un hotel familiar), necesita un mecanismo para identificar y gestionar a los usuarios menores de edad. Este es un desafío técnico y operativo no menor que muchos establecimientos aún no han abordado. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — 2 minutos] Permítame presentarle los tres errores más comunes que veo y cómo evitarlos. Error uno: consentimiento empaquetado. Esta es la infracción más frecuente. Los establecimientos presentan una única casilla de verificación de "Acepto los términos y condiciones" que cubre tanto el acceso a la red como el marketing. Bajo la Sección 6 de la DPDP, esto no cumple con la normativa. La solución es sencilla: separe su consentimiento en casillas de verificación distintas y específicas para cada propósito, y asegúrese de que la de marketing sea opcional y esté desmarcada por defecto. Error dos: sin registro de auditoría de consentimiento. Si la Junta de Protección de Datos le pide demostrar que un huésped específico dio su consentimiento en una fecha específica para un propósito específico, ¿puede presentar ese registro? La mayoría de los establecimientos no pueden. Su plataforma de WiFi debe almacenar los registros de consentimiento con suficiente nivel de detalle: marca de tiempo, ID de sesión, dirección IP, versión del consentimiento y los propósitos específicos consentidos. La plataforma de Purple captura esto de forma nativa, pero si utiliza un sistema heredado, esta es una brecha que debe cerrar con urgencia. Tercer error: no contar con un acuerdo de procesamiento de datos. Según la Sección 8(2), debe tener un contrato válido con cualquier Encargado del Tratamiento de Datos que contrate. Si su proveedor de plataforma de WiFi no cuenta con un Acuerdo de Procesamiento de Datos vigente que haga referencia a las obligaciones de la DPDP, usted queda expuesto. Esto no es solo una formalidad legal; es un requisito previo para la defensa de cumplimiento del Responsable del Tratamiento de Datos. En cuanto a la implementación, la decisión arquitectónica clave es dónde se almacenan los datos de consentimiento y cómo se integran con su CRM o plataforma de automatización de marketing. Necesita una única fuente de verdad para el estado del consentimiento que su equipo de marketing no pueda anular. La revocación del consentimiento debe propagarse a todos los sistemas descendentes dentro de un plazo razonable; recomendaría un máximo de setenta y dos horas como su SLA operativo. Para establecimientos con múltiples propiedades (cadenas hoteleras, complejos comerciales), debe decidir si el consentimiento otorgado en una propiedad se extiende a las demás. Bajo el requisito de especificidad de la DPDP, la postura más segura es el consentimiento a nivel de propiedad, a menos que su aviso cubra explícitamente al grupo y los huéspedes hayan consentido el procesamiento a nivel de todo el grupo. [PREGUNTAS Y RESPUESTAS RÁPIDAS — 1 minuto] Permítame responder rápidamente a algunas preguntas que recibo con frecuencia. "¿Puedo utilizar analíticas de WiFi (conteo de personas, tiempo de permanencia) sin consentimiento?" Si los datos son genuinamente anonimizados y no se pueden vincular a un individuo, quedan fuera del alcance de la Ley DPDP. Sin embargo, la aleatorización de direcciones MAC significa que el rastreo a nivel de dispositivo es cada vez más inestable de todos modos. Para analíticas identificadas, necesita consentimiento. "¿Necesito un Delegado de Protección de Datos?" Un DPO completo es obligatorio únicamente para los Responsables de Datos Significativos, una clasificación que el Gobierno notificará. Para la mayoría de los operadores de establecimientos, se requiere una persona responsable designada cuyos datos de contacto estén publicados. Ese es un estándar más bajo, pero aun así debe ser alguien que realmente pueda responder preguntas sobre protección de datos. "¿Cuál es la exposición a sanciones para una cadena hotelera mediana?" Una falla de seguridad que provoque una brecha de datos conlleva una sanción de hasta doscientos cincuenta millones de rupias. No notificar una brecha a la Junta implica otros doscientos millones. Estos son límites máximos fijos, no porcentajes de facturación, lo que significa que afectan a las organizaciones más pequeñas de manera proporcionalmente más dura que las sanciones basadas en la facturación de la GDPR a las grandes multinacionales. [RESUMEN Y PRÓXIMOS PASOS — 1 minuto] Para concluir, aquí tiene sus cinco acciones inmediatas. Uno: audite hoy mismo el flujo de consentimiento de su Captive Portal. Si tiene una sola casilla de verificación o agrupa el marketing con el acceso, debe reconstruirse. Dos: implemente un registro de auditoría de consentimiento. Cada evento de consentimiento debe registrarse con marca de tiempo, IP, propósito y versión. Tres: establezca una política de retención de datos. Para la mayoría de los establecimientos, un activador de inactividad de veinticuatro meses para volver a solicitar el consentimiento o proceder a la eliminación es un punto de partida razonable, con un mínimo de un año para los registros de procesamiento. Cuatro: revise sus Acuerdos de Procesamiento de Datos con su proveedor de plataforma de WiFi y cualquier otro proveedor de marketing o analíticas descendente. Cinco: designe a una persona responsable de las consultas de protección de datos y publique sus datos de contacto en su Captive Portal y sitio web. La Ley DPDP no es tan compleja como el GDPR en términos del alcance de las obligaciones, pero es igualmente seria en cuanto a la intención de su cumplimiento. La Junta de Protección de Datos tiene herramientas reales para actuar, y la estructura de sanciones está diseñada para ser significativa incluso para las grandes organizaciones. Para profundizar en la arquitectura de Captive Portal, las guías técnicas de Purple cubren los detalles de implementación minuciosamente. Y si está analizando cómo se integra la analítica de guest WiFi con su plataforma de inteligencia de recintos más amplia, la plataforma Purple WiFi Analytics está diseñada con la captura de datos basada en el consentimiento como pilar fundamental. Gracias por escucharnos. Hasta la próxima.