Claves para entender la ley india sobre la protección de los datos personales digitales: un enfoque centrado en las personas y la IA con Proofpoint

Share with your network!

10/04/2026 - 02:57 Jerry Shi

Leer el documento técnico: Claves para entender la ley india sobre la protección de los datos personales digitales

Se pega una lista de clientes en una solicitud de IA generativa para "eliminar los duplicados".

Un analista financiero comparte el enlace a una hoja de cálculo, antes de darse cuenta de que la opción "Cualquier persona con el enlace" está activada.

Un empleado bienintencionado envía un archivo a un partner, pero la función de autocompletar selecciona al "Rahul" equivocado.

Ninguna de estas situaciones da la impresión de que pueda dar lugar a una violación grave. Se trata simplemente de procedimientos de trabajo modernos que evolucionan rápidamente.

Sin embargo, son precisamente estas acciones cotidianas las que dan lugar a la exposición de datos personales y, en el marco del nuevo régimen indio de protección de la privacidad, ahora están sujetas a requisitos más claros en materia de responsabilidad, medidas de protección y preparación ante incidentes.

Para Proofpoint, el nuevo marco establecido en la India supone un paso positivo. La ley de protección de datos personales digitales (DPDP) y las normas de la DPDP tienen por objeto reforzar la confianza en la economía digital. Establecen requisitos mínimos sobre la forma en que las organizaciones deben tratar los datos personales, sin imponer una lista de comprobación universal.

Y lo que es más importante, la ley DPDP puede servir de catalizador. Ofrece a los directivos una razón clara para tomar distancia y replantearse la seguridad de los datos como un sistema interconectado. Esto implica supervisar a las personas, los datos y las amenazas, así como armonizar los controles aplicados al correo electrónico, las aplicaciones cloud, las plataformas de colaboración, los endpoints y los flujos de trabajo basados en la IA. El objetivo no es solo garantizar el cumplimiento, pero también de ofrecer una protección duradera y demostrable.

Ley DPDP y reglas DPDP: ¿en qué consisten y por qué son importantes?

La ley de protección de datos personales digitales (DPDPA) de la India de 2023 establece los requisitos mínimos que deben cumplir las organizaciones para tratar los datos personales digitales de forma responsable. Las reglas sobre protección de datos personales digitales (DPDPR) de 2025 añaden detalles operativos que hacen que estos criterios sean concretos y aplicables.

Qué cubre el marco legislativo

La DPDPA se centra en los datos personales digitales, es decir, los datos personales tratados en formato digital (incluidos los datos recopilados fuera de línea y digitalizados posteriormente). En la mayoría de los casos, se aplica cuando el tratamiento se lleva a cabo en la India. Pero también puede aplicarse a determinados tratamientos realizados fuera de la India, cuando se refieran al suministro de bienes o servicios a personas residentes en la India.

Por qué es importante

La DPDPA se basa en un serie de principios. No se trata de comprar una herramienta concreta.

Se trata de poder demostrar que:

Recopila y utiliza los datos personales con fines legales y específicos.
Actúa de forma transparente y respeta las decisiones individuales.
Protege los datos personales mediante medidas de seguridad razonables.
Actúa con rapidez si surge algún problema.
Asume la responsabilidad a lo largo de todo el ciclo de vida de los datos.

En resumen, pasamos de las "políticas" a la prueba.

Puntos clave que deben tener en cuenta las organizaciones

Aunque los requisitos varían según el puesto y el contexto, la mayoría de las empresas reconocerán estos aspectos prácticos:

Información clara y opciones en materia de consentimiento: las personas deben comprender qué datos se recopilan, con qué fines y cómo pueden retirar su consentimiento.
Gestión de derechos y respuesta a las reclamaciones: los usuarios pueden solicitar el acceso, la rectificación o actualización, o la supresión de sus datos en determinadas situaciones, y las organizaciones deben establecer un procedimiento fiable para responder a estas solicitudes.
Preparación para la gestión de fugas de datos: en caso de que se produzca una fuga de datos personales, las organizaciones están obligadas a informar sin demora a los interesados y a seguir los procedimientos de notificación exigidos.
Protección adicional de los datos de los menores: debe poder verificarse el consentimiento de los padres o del tutor y deben adoptarse medidas de seguridad adicionales.
Se eleva el listón para los "fiduciarios de datos significativos" (FDS, Significant Data Fiduciaries): se aplican disposiciones más estrictas en materia de gobernanza (por ejemplo, auditorías y evaluaciones de impacto).

La DPDPA también tiene consecuencias importantes. La ley establece un régimen de sanciones civiles, reservando las sanciones más severas para las infracciones graves, como el incumplimiento de medidas de seguridad razonables.

El panorama de la seguridad de los datos en la India y los verdaderos retos en la práctica

La DPDPA llega en un momento en el que la situación en materia de protección de datos en la India ya es muy tensa.

La urgencia, en cifras

Según las conclusiones del informe Voice of the CISO 2025 de Proofpoint, el 99 % de los CISO informaron de una pérdida importante de datos sensibles durante el último año, el 90 % prevé un ciberataque de gran envergadura en los próximos 12 meses y el 96 % atribuye al menos una parte de las pérdidas de datos a empleados que abandonan la empresa. (Referencia)
Las conclusiones del informe Cost of a Data Breach de IBM para la India indican un coste medio de 220 millones de rupias indias (2025) y un ciclo de vida medio de 263 días para identificar y contener el incidente. (Referencia)
El estudio Data Security Landscape de Proofpoint muestra que las pérdidas de datos son generalizadas y, a menudo, se concentran en determinados ámbitos: El 85 % de las organizaciones sufrieron pérdidas de datos durante el último año, y el 1 % de los usuarios fue responsable del 76 % de las pérdidas de datos. (Referencia)

Estos hechos no son casos aislados y ponen de manifiesto que muchos equipos se esfuerzan por proteger los datos personales en entornos en los que los riesgos son omnipresentes y los datos circulan por todas partes.

El patrón de amenaza que más importa

Cuando las organizaciones hablan del cumplimiento de la DPDPA, suelen empezar por mencionar las normas y los aspectos jurídicos.

En la práctica, lo más difícil es proteger los datos personales allí donde más se mueven:

Correo electrónico y herramientas de colaboración: correos electrónicos enviados al destinatario equivocado, archivos adjuntos incorrectos, enlaces compartidos en exceso, suplantación de identidad y cuentas comprometidas.
Proliferación en la nube y en las aplicaciones SaaS: datos dispersos en aplicaciones empresariales, discos compartidos, repositorios no gestionados y aplicaciones de terceros.
Riesgos relacionados con los usuarios internos y con aquellos que abandonan la empresa: cambio de puesto, acceso con privilegios elevados, descargas inusuales, intercambio masivo de archivos y comportamiento de los empleados que están a punto de dejar la empresa.
IA generativa y Shadow AI: datos sensibles incluidos en los prompts, subidos a herramientas que escapan al control de gobierno o a los que pueden acceder agentes con permisos excesivos.
Lentitud de las investigaciones: herramientas fragmentadas, alertas inoportunas y correlaciones manuales que ralentizan la respuesta y complican la recopilación de pruebas para las auditorías.

Cinco retos "en la práctica" que observamos constantemente

Aquí es donde los requisitos de la DPDPA chocan con la realidad operativa, y donde los programas suelen atascarse:

No se puede proteger lo que no se ve. La identificación y clasificación de los datos personales se vuelve más difícil a medida que estos se distribuyen entre aplicaciones, servicios en la nube y herramientas de colaboración.
La mayoría de las filtraciones son accidentales, no maliciosas. Los controles deben reducir los riesgos sin obstaculizar las actividades de la empresa. Si los controles son demasiado estrictos, los empleados tienden a eludirlos.
No todos los empleados presentan el mismo nivel de riesgo. A menudo, un pequeño número de usuarios y equipos es el responsable de una parte desproporcionada de las incidencias. Tratar a todo el mundo de la misma manera es una pérdida de tiempo.
La IA amplía la exposición y multiplica las vías de ataque. La IA generativa aumenta la velocidad y el volumen de los flujos de datos. Las herramientas no autorizadas, o Shadow AI, amplían el intercambio de datos no autorizado. Los ataques optimizados mediante IA hacen que el phishing y la suplantación de identidad resulten más convincentes. Los flujos de trabajo automatizados también pueden actuar como usuarios internos con permisos excesivos si no se han establecido las medidas de seguridad necesarias.
Las "medidas de protección razonables" deben estar debidamente fundamentadas. No basta con decir "tenemos una solución para prevenir la pérdida de datos". Necesita una cobertura coherente, una reducción cuantificable de la exposición y una trazabilidad clara de los incidentes cuando los auditores lo soliciten.

¿Por qué elegir Proofpoint y cómo ayudamos a las organizaciones a cumplir con los requisitos de la DPDPA?

La visión de Proofpoint es sencilla: la protección de datos es un problema humano. La correlación entre el comportamiento de las personas, la sensibilidad de los datos y las señales de amenaza, así como la aplicación de controles en los canales donde realmente se lleva a cabo el trabajo, permiten obtener los mejores resultados.

Por eso, nuestro enfoque para la preparación del examen DPDPA se centra en tres aspectos:

Determinar la ubicación de los datos personales (para poder dar prioridad a los elementos más importantes)
Prevenir la exposición a través de los canales utilizados en el ámbito laboral (correos electrónicos, la nube, endpoints, herramientas de colaboración y de IA)
Investigar y reaccionar con rapidez (para poder intervenir, alertar y demostrar la responsabilidad)

En la práctica

Proofpoint reúne un conjunto de funciones clave que satisfacen las necesidades operativas relacionadas con la DPDPA:

Proofpoint Data Security Posture Management (DSPM): identifique, clasifique y priorice los datos sensibles en entornos cloud y SaaS.
Proofpoint Enterprise DLP (incluido Adaptive Email DLP): prevenga la pérdida de datos a través del correo electrónico, la nube y los endpoints, así como el intercambio accidental y las comunicaciones enviadas al destinatario equivocado.
Proofpoint Insider Threat Management (ITM): detecte los comportamientos de riesgo de usuarios negligentes, comprometidos y maliciosos, y priorice las investigaciones en función del contexto de comportamiento.

En conjunto, estas soluciones ayudan a los equipos a:

Reducir la exposición de los datos personales en los flujos de trabajo diarios.
Centrar los esfuerzos en los usuarios, los datos y los canales que presentan mayor riesgo.
Facilitar una clasificación más rápida gracias a pruebas y flujos de trabajo unificados.
Elaborar un argumento sólido basado en "medidas de protección razonables", con controles e informes claros.

Lista de comprobación práctica sobre el estado de preparación

Si está planificando su programa DPDPA, aquí tiene algunas preguntas que le ayudarán a detectar rápidamente las carencias:

¿Podemos localizar y clasificar de forma permanente los datos personales alojados en aplicaciones cloud y repositorios compartidos?
¿Nuestras políticas se aplican a los datos en el correo electrónico, la nube, los endpoints y las herramientas de colaboración, o solo en un único canal?
¿Podemos evitar los incidentes habituales (envíos a destinatarios equivocados, enlaces compartidos en exceso, descargas no seguras) con el menor esfuerzo posible?
¿Tenemos una visión clara de los riesgos relacionados con los empleados que abandonan la empresa y los movimientos inusuales de datos?
¿Sabemos dónde se utilizan las herramientas de IA generativa y podemos evitar que se introduzcan datos sensibles en los prompts o en los agentes?
Si mañana se produjera un incidente, ¿seríamos capaces de investigarlo rápidamente y elaborar un informe listo para las auditorías?

Si no está seguro de alguna de las respuestas a estas preguntas, tenga en cuenta que no es el único. Es precisamente ahí donde un enfoque unificado resulta útil.

Descargue el documento técnico y dé el siguiente paso

La DPDPA y las reglas DPDP constituyen un paso importante hacia el fortalecimiento de la confianza en el ámbito digital en la India. Además, ofrecen una oportunidad clara a los responsables de seguridad y cumplimiento normativo para modernizar la protección de los datos personales, especialmente en un contexto de aceleración de los flujos de trabajo optimizados mediante IA.

Lea el documento técnico: Claves para entender la ley india sobre la protección de los datos personales digitales

Para saber cómo Proofpoint puede ayudarle a cumplir con las disposiciones de la DPDPA y reforzar la protección de los datos personales, póngase en contacto con su representante de Proofpoint o solicite una consulta. Podemos ayudarle a evaluar los riesgos relacionados con la seguridad de los datos, a identificar las deficiencias y a elaborar un plan centrado en las personas que ofrezca resultados cuantificables.

Para obtener más información sobre nuestro enfoque unificado de la seguridad de los datos, explore las soluciones de seguridad de datos de Proofpoint o programe una demostración con su representante de Proofpoint.

Nota: este blog tiene carácter meramente informativo y no constituye asesoramiento jurídico.

La ciberseguridad para el espacio de trabajo agéntico comienza con la plataforma de seguridad centrada en las personas y los agentes de Proofpoint.

Únase a un evento Protect en vivo y descubra cómo proteger a las personas, los datos y la IA

Detenga las ciberamenazas con protección multicanal impulsada por IA.

Vea Core Email Protection en acción: bloquee el 99,99 % de las amenazas por correo electrónico.

Transforme la seguridad de los datos con un enfoque unificado y omnicanal.

Comprenda los principales riesgos de seguridad de datos a los que se enfrentan las organizaciones y cómo adelantarse a ellos.

Tecnologías de Proofpoint que impulsan una seguridad centrada en las personas y los agentes.

Explore los paquetes de Proofpoint

Optimice las soluciones de Proofpoint con servicios expertos.

«La asociación con Proofpoint es una extensión de nuestro equipo». — Celesta Capital

Soluciones integrales para las amenazas de ciberseguridad actuales.

Conozca los nuevos riesgos de la IA y cómo construir una base segura para su adopción empresarial.

Protección superior para todos los sectores, desde pequeñas empresas hasta grandes organizaciones.

Descubra los riesgos de seguridad que las organizaciones sanitarias no pueden permitirse ignorar.

Más de 80 empresas del Fortune 100 eligen Proofpoint para proteger a sus personas, datos e IA.

¿Evalúa proveedores de seguridad? Compárenos mediante comparaciones lado a lado.

Investigaciones, análisis y recursos de los expertos de Proofpoint.

Nuevos agentes, nuevos ataques: asegurar la colaboración en la era agéntica

Aprenda de nuestra inteligencia de amenazas experta y de análisis que no encontrará en ningún otro lugar.

Proofpoint DISCARDED: relatos desde las trincheras de la investigación de amenazas

Conozca más sobre el equipo que impulsa una seguridad centrada en las personas y los agentes.

¿Listo para unirse a una empresa que está redefiniendo la ciberseguridad?