Aller au contenu principal
NUKOE

RGPD, CCPA y DPDPA: ¿Quién lidera la protección de datos en 2026?

• 12 min •
Comparaison des trois grands régimes de protection des données en 2026.

El 11 de agosto de 2026, la India promulgó la Ley de Protección de Datos Personales Digitales (DPDPA), marcando un punto de inflexión en su enfoque de la privacidad digital. Menos de un año después, en enero de 2026, los bufetes Cleary Gottlieb publicaron un análisis comparativo detallado entre este nuevo texto, el RGPD europeo y las leyes estadounidenses, incluido el CCPA californiano. Hoy, en mayo de 2026, estos tres regímenes coexisten e influyen en las estrategias de cumplimiento de las empresas que operan a nivel internacional. Pero, ¿cómo se comparan realmente? Y, sobre todo, ¿qué trampas deben evitar los profesionales del ámbito digital?

1. Ámbito de aplicación: ¿a quién afecta?

El RGPD se aplica a cualquier entidad que trate datos de residentes europeos, independientemente de su lugar de establecimiento. El CCPA, por su parte, se dirige a empresas que alcanzan un determinado volumen de negocio o tratan un volumen significativo de datos de californianos. El DPDPA, en cambio, se aplica al tratamiento de datos personales digitales en territorio indio, incluso por entidades extranjeras si los datos se refieren a residentes indios.

Según un análisis de Cleary Cyberwatch (enero de 2026), el DPDPA también cubre los datos recopilados fuera de línea y luego digitalizados, lo que amplía su alcance en comparación con el CCPA. En cambio, excluye los tratamientos con fines personales o domésticos, como el RGPD.

2. Consentimiento y finalidades: divergencias marcadas

El RGPD exige un consentimiento explícito, libre, específico y revocable. El CCPA se basa más en el derecho de exclusión (opt-out) para la venta de datos, mientras que el DPDPA impone un consentimiento previo para todo tratamiento, salvo excepciones limitadas.

Un artículo publicado en IGI Global en 2026 destaca que el DPDPA, al igual que el RGPD, exige un consentimiento «libre, específico, informado e inequívoco», pero introduce un concepto adicional: el consentimiento debe darse mediante un «acto positivo claro». Los autores critican, no obstante, la falta de precisión sobre el mecanismo de retirada del consentimiento, un punto central en el RGPD.

3. Derechos de los interesados: ¿quién protege mejor?

El RGPD ofrece un catálogo amplio de derechos: acceso, rectificación, supresión, limitación, portabilidad, oposición. El CCPA se centra en el derecho de acceso, supresión y exclusión de la venta. El DPDPA, según una comparación publicada por Nyusta en octubre de 2026, retoma la mayoría de los derechos del RGPD, pero suprime algunos como la portabilidad y el perfilado automatizado. Una laguna notable, señalada por un estudio del IEEE (2026), es la ausencia de disposiciones claras sobre las decisiones automatizadas y el perfilado, cruciales en la era de la IA.

4. Sanciones y aplicación: el coste del incumplimiento

El RGPD puede imponer multas de hasta el 4 % del volumen de negocio anual mundial o 20 millones de euros (el importe más elevado). El CCPA prevé sanciones civiles de 2.500 $ por infracción involuntaria y 7.500 $ por infracción intencionada. El DPDPA, por su parte, fija multas de hasta 250 crores INR (unos 30 millones de euros) por infracción. Según Global Privacy Blog (diciembre de 2026), esta cantidad es comparable al límite máximo del RGPD, pero el DPDPA no prevé un porcentaje del volumen de negocio, lo que puede perjudicar más a las pequeñas empresas.

5. Trampas que deben evitar los profesionales

Error n.º 1: Pensar que el CCPA y el RGPD son intercambiables. El CCPA no exige consentimiento previo para la recogida, a diferencia del RGPD. Una empresa que traslade mecánicamente sus procedimientos del RGPD a California corre el riesgo de enfrentarse a obligaciones diferentes.

Error n.º 2: Ignorar las especificidades del DPDPA en materia de consentimiento parental. El DPDPA exige un consentimiento verificable del padre o tutor para el tratamiento de datos de menores (menores de 18 años). Ningún otro régimen impone un umbral tan elevado.

Error n.º 3: Descuidar las obligaciones de notificación de violaciones. El RGPD impone una notificación en un plazo de 72 horas, el CCPA en 30 días y el DPDPA también en 72 horas. Pero los criterios de notificación difieren: el DPDPA exige notificar cualquier violación susceptible de causar un perjuicio, lo que es más amplio que el RGPD.

6. Señales de alerta a vigilar

  • Ausencia de punto de contacto único: A diferencia del RGPD con la autoridad principal, el DPDPA no prevé un mecanismo de ventanilla única. Una empresa que opere en varios estados indios debe cumplir con cada autoridad local.
  • Plazos de cumplimiento: El DPDPA entró en vigor en 2026, pero sus normas de aplicación aún están en elaboración. Según DLA Piper (2026), la India aún no ha designado su autoridad de protección de datos, lo que crea incertidumbre jurídica.
  • Exenciones gubernamentales: El DPDPA autoriza al gobierno a eximir ciertos tratamientos por motivos de seguridad nacional, una disposición ausente en el RGPD y el CCPA. Esto puede debilitar la protección de los ciudadanos.

7. ¿Hacia una convergencia?

A pesar de sus diferencias, estas tres leyes comparten principios comunes: transparencia, limitación de la finalidad, minimización de datos. Un artículo de la USC Gould School of Law (sin fecha) destaca que el RGPD ha servido de modelo para el DPDPA, pero este último ha adaptado ciertas disposiciones al contexto indio, especialmente en materia de soberanía de datos.

En la práctica, las empresas multinacionales deben adoptar un enfoque granular: cartografiar los flujos de datos, identificar los regímenes aplicables y establecer políticas modulables. El bufete Varonis recuerda que el cumplimiento no es un ejercicio único, sino un proceso continuo.

Para saber más