La Ley de Protección de Datos Personales de Arabia Saudita (PDPL) se creó para proteger la privacidad de las personas y las empresas en el Reino de Arabia Saudita (KSA). Esta ley se aplica a cualquier entidad que opere en Arabia Saudita y responsabiliza a los responsables y encargados del tratamiento de datos de la protección de los datos personales de las personas y las empresas.
¿Qué es la Ley de Protección de Datos Personales de Arabia Saudita?
La PDPL es la primera ley integral de protección de datos de Arabia Saudita. Su objetivo es proteger la privacidad de los datos personales de las personas y regular la recopilación, el procesamiento, la divulgación y la conservación de datos personales por parte de las organizaciones.
La PDPL establece requisitos integrales relacionados con los principios de procesamiento, derechos de los interesados, las obligaciones de las organizaciones al procesar los datos personales de las personas, y transferencias transfronterizas de datos mecanismos y establece sanciones para las organizaciones en caso de incumplimiento de la PDPL.
PDPL vs RGPD
Desde su aprobación en 2016, la Reglamento general de protección de datos (RGPD) Ha influido en gran parte de la legislación posterior sobre privacidad, protección y gobernanza de datos. Al comparar la PDPL y el RGPD, se observa que ambas leyes son similares en su esencia; sin embargo, cabe destacar varias diferencias clave.
La ley de protección de datos de los EAU no proporciona tanta información sobre cómo los titulares de datos pueden ejercer sus derechos. Además, la PDPL impone restricciones más estrictas a las organizaciones que desean transferir datos personales fuera de Arabia Saudita. Otras diferencias incluyen las obligaciones de registro para los responsables del tratamiento de datos y el mayor énfasis de la PDPL en el consentimiento como requisito previo para el tratamiento lícito de datos.
Se espera que los requisitos de la PDPL se aclaren con la publicación del Reglamento Ejecutivo. El borrador de este reglamento se puso a disposición del público el 10 de marzo de 2022, y se espera que la versión final se publique antes de la fecha de entrada en vigor de la ley en 2023.
Reglamento Ejecutivo de la PDPL
Las regulaciones ejecutivas de KSA PDPL cubren una amplia gama de iniciativas de protección de datos, que incluyen:
- Autoridad reguladora: Cualquier autoridad gubernamental o entidad que tenga personalidad pública independiente y que tenga, de acuerdo con sus poderes y responsabilidades, deberes y responsabilidades regulatorias o de supervisión sobre un determinado sector o actividad en el Reino.
- Marketing directo: Comunicación, por cualquier medio, con una persona o un grupo de personas, con el fin de enviar material de marketing, publicitario o de concienciación a dicha persona o grupo.
- Necesidad práctica: Necesidad real de tratar datos personales, con lealtad e integridad y sin entrar en conflicto con los derechos y expectativas del Titular de los Datos Personales.
- Violación de datos personales: Cualquier acto que, de cualquier manera, conduzca a la divulgación ilegal de Datos Personales, sea intencional o no.
- Riesgos e impacto: La posibilidad de que los Titulares de Datos Personales sufran daños debido al tratamiento de sus Datos Personales y el impacto de dicho riesgo.
- Anonimización: Eliminar cualquier característica directa o indirecta de los Datos Personales que pueda permitir la identificación específica del Titular de los Datos Personales.
- Transferencia de Datos Personales fuera del Reino: Enviar o compartir Datos Personales, por cualquier medio, a o con una entidad fuera del Reino, con el fin de procesar dichos Datos Personales total o parcialmente, para fines específicos basados en una justificación legal o Necesidad Práctica.
- Consentimiento implícito: Consentimiento que no se otorga explícitamente por el Titular de los Datos o la persona autorizada, sino que se otorga implícitamente a través de las acciones de la persona y de los hechos y circunstancias de la situación.
Procesamiento de datos PDPL
La Ley de Protección de Datos Personales (PDPL) solo se aplica a los responsables y encargados del tratamiento de datos establecidos en el Reino de Arabia Saudita o que procesan datos personales de personas en Arabia Saudita. Sin embargo, la ley también se aplica a los responsables y encargados del tratamiento de datos que operan fuera del país si procesan datos de personas en Arabia Saudita.
La PDPL establece algunos principios críticos que los controladores y procesadores de datos deben cumplir, incluidos:
- Los controladores y procesadores de datos deben obtener el consentimiento de una persona antes de recopilar, usar, transferir o almacenar datos personales.
- Consentimiento explícito es necesario procesar datos sensibles para fines de marketing y publicidad.
- Los datos personales deben recopilarse y utilizarse únicamente para fines legítimos.
- Los controladores y procesadores de datos deben garantizar que los datos personales sean precisos, relevantes y actualizados.
- Los datos personales deben mantenerse seguros y no deben divulgarse a ningún tercero sin el consentimiento por escrito del individuo.
- Los responsables y encargados del tratamiento de datos deben: eliminar cualquier dato personal que ya no sea necesario.
- Los controladores y procesadores de datos deben proporcionar a las personas información sobre cómo se utilizan sus datos.
- Los responsables del tratamiento no podrán utilizar las comunicaciones personales (incluido el correo postal y el correo electrónico) para enviar publicidad o materiales informativos a un Titular de Datos Personales sin su consentimiento previo.
- Los controladores deben proporcionar información clara optar por no participar mecanismos.
Derechos del consumidor de la PDPL
El artículo 4 de las enmiendas propuestas a la PDPL creó derechos procesables sobre datos para los ciudadanos saudíes (titulares de los datos), incluyendo, entre otros, el derecho de acceso, el derecho de rectificación y el derecho de supresión. Además, la PDPL no permite modificar los datos procesados sin el consentimiento del consumidor. Sin embargo, al igual que con el RGPD, los consumidores también pueden revocar su consentimiento (sin excepciones).
- Derecho a estar informado: Los consumidores deben estar informados de la base legal y el propósito del uso de datos personales.
- Derecho de acceso: Los consumidores pueden solicitar su información y tienen derecho a saber cómo se recopilan, almacenan, procesan y comparten los datos.
- Derecho a corregir: Los consumidores pueden solicitar actualizaciones y correcciones al responsable del tratamiento. Sin embargo, este también debe notificar a todas las partes que hayan recibido la información para que corrijan, completen o actualicen los datos personales.
- Derecho a la destrucción: Los consumidores pueden solicitar la eliminación, con excepciones, por ejemplo, si los datos son necesarios para una finalidad legal y solo se conservan durante un periodo determinado. Además, los responsables del tratamiento podrán conservar los Datos Personales una vez que deje de existir la finalidad de la Recopilación si eliminan los factores de identificación de los Datos Personales.
- Derecho a obtener: Los consumidores tienen derecho a obtener sus datos personales en un formato claro y conciso, incluido el derecho a solicitar la transferencia de datos.
Registro de actividades de tratamiento
De conformidad con la Ley de Protección de Datos Personales (PDPL), las organizaciones deben mantener un registro de las actividades de tratamiento de datos personales, de modo que los registros documentados estén disponibles siempre que la Autoridad los solicite. Los registros deben contener, como mínimo, la siguiente información:
- La finalidad del Tratamiento
- Una descripción de las categorías de interesados;
- Los datos de contacto de la organización
- Cualquier otra entidad a la que se hayan divulgado o se divulgarán datos personales.
- Si los Datos Personales han sido/serán transferidos o divulgados fuera de KSA;
- El período esperado durante el cual se conservarán los Datos Personales.
Evaluaciones de riesgos de privacidad
Según la Ley de Protección de Datos Personales (PDPL), las organizaciones deben realizar una evaluación de riesgos para la privacidad al procesar datos personales en cualquier producto o servicio dirigido al consumidor. En los casos que requieran una evaluación del impacto del riesgo, se deben proporcionar detalles obligatorios adicionales, como los tipos de datos sensibles involucrados o una descripción de las actividades de procesamiento automatizado.
Minimización de datos
Existen directrices para cumplir con el requisito de la Ley de Protección de Datos Personales (PDPL) de que la recopilación de datos personales se limite estrictamente a lo necesario para un fin específico, evitando la recopilación de datos para un uso futuro no especificado. Estas directrices describen los principios clave para los responsables del tratamiento, que abarcan todo el ciclo de vida de los datos, desde la recopilación hasta su destrucción. Las organizaciones deben establecer una necesidad legítima de los datos, utilizar métodos de recopilación claros y seguros, y eliminarlos de forma segura cuando ya no sean necesarios. Además, se espera que los responsables del tratamiento evalúen periódicamente sus existencias de datos y garanticen que las actividades de tratamiento estén estructuradas para evitar la recopilación innecesaria de datos.
Destrucción, anonimización y seudonimización
La Ley de Protección de Datos Personales (PDPL) exige la destrucción de datos personales, incluso a solicitud del titular de los datos o tras la revocación de su consentimiento. Exige que los responsables del tratamiento sigan procedimientos estrictos para garantizar que todas las copias, incluidas las copias de seguridad, se borren permanentemente, y que los destinatarios de los datos hagan lo mismo. Además, el uso de técnicas eficaces de anonimización y seudonimización, como el enmascaramiento de datos, el cifrado, la generalización y la agregación, constituye una medida esencial para la protección de los datos personales.
Violaciones de datos
La Ley de Protección de Datos Personales (PDPL) exige que las organizaciones implementen medidas de seguridad adecuadas para proteger los datos personales del acceso, la divulgación y el uso no autorizados. Además, la ley establece normas estrictas. notificación de violación de datos Requisitos que deben cumplir las organizaciones en caso de una violación de datos.
La PDPL exige que las organizaciones notifiquen a la autoridad reguladora dentro de los tres días posteriores a la infracción. Además, deben proporcionar un análisis completo de la playa y mostrar las medidas para su futura rendición de cuentas.
Si una organización toma conocimiento de una infracción que puede causar daño a un individuo, esa persona debe ser notificada de acuerdo con los requisitos de notificación de la PDPL.
Transferencia y compartición de datos
SDAIA ha optimizado el marco de transferencia de datos para alinearse mejor con estándares globales como el RGPD. Las organizaciones deben implementar las medidas de seguridad adecuadas al transferir datos personales a países que SDAIA no ha reconocido con un nivel adecuado de protección de datos.
Las transferencias de información personal dentro y fuera de Arabia Saudita bajo la PDPL son las siguientes:
- Se permiten transferencias de datos a un tercero sujetas a normas legales o corporativas de protección de datos similares a la PDPL.
- Ciertos tipos de transferencia están exentos de las condiciones, como cuando un individuo ha consentido la transferencia o cuando la transferencia es necesaria para cumplir un acuerdo.
- El artículo 4 establece que los responsables del tratamiento deben implementar garantías para la transferencia de datos personales, como cláusulas contractuales tipo, reglas comunes vinculantes y certificados de acreditación.
- El artículo 4 establece que los responsables del tratamiento que cuenten con las garantías adecuadas disponibles estarán exentos de la obligación de transferir la cantidad mínima de datos personales necesaria.
- Las divulgaciones y transferencias de datos se limitan a los datos personales mínimos requeridos.
- Las transferencias de datos deben preservar el interés, la salud, la seguridad o proteger la vida o la salud de una persona específica.
- Las transferencias de datos no deben afectar negativamente la seguridad nacional ni los intereses vitales del Reino de Arabia Saudita.
Aplicación de la PDPL de KSA
De acuerdo con el artículo 20(1) de la LPDP, los responsables del tratamiento están obligados a notificar a la autoridad competente si tienen conocimiento de una violación de la seguridad de los datos. El reglamento ejecutivo especificará las condiciones en las que los responsables deben informar a los interesados sobre una violación de la seguridad de sus datos personales.
Sin embargo, si es probable que la infracción cause un daño significativo a la persona o a sus datos personales, el responsable del tratamiento deberá notificarle de inmediato, como se establece en el artículo 20(2) de la PDPL. Las normas ejecutivas de la PDPL de los EAU establecen sanciones por la divulgación o publicación de datos personales sensibles, que pueden incluir penas de prisión de hasta dos años y/o una multa no superior a 3 millones de SAR.
La sanción por infringir la disposición sobre transferencia de datos del Artículo 29 de la Ley de Protección de Datos Personales (PDPL) puede conllevar una pena de prisión de hasta un año y/o una multa de hasta 1 millón de SAR. Por infringir otras disposiciones de la PDPL, las sanciones se limitan a una amonestación o una multa de hasta 5 millones de SAR.
Lograr el cumplimiento de la PDPL con BigID
En definitiva, la PDPL está diseñada para proteger la privacidad de las personas en el Reino de Arabia Saudita y garantizar que las empresas que procesan datos personales rindan cuentas del uso que hacen de ellos. Si recopila, utiliza, transfiere o almacena datos personales en Arabia Saudita, es importante asegurarse de cumplir con la PDPL.
Con BigIDLas empresas pueden evitar sanciones y adelantarse a los desafíos de cumplimiento de la PDPL:
- Descubrir datos: Identificar datos personales y clasificar datos sensibles.
- Contextualizar los datos: Correlacionar relaciones entre datos aportando contexto a los datos personales y confidenciales.
- Datos de etiquetas y rotuladores para fines legales: Asegúrese de que los datos se procesen de acuerdo con las normas de privacidad.
- Registro documental de actividades de tratamiento: Gestionar un Registro de Actividades de Procesamiento (RoPA) para evaluar los activos de datos, la protección, el estado de la violación, la ubicación, la PIA, el uso compartido de datos y las transferencias.
- Detectar transferencias de datos transfronterizas que no se ajustan a las políticas: Realice un seguimiento de las violaciones de acceso, uso y transferencia de datos en toda la organización para tomar medidas inmediatas.
- Automatizar el cumplimiento de los derechos de datos: Automatice el cumplimiento manual de solicitudes de acceso y eliminación de datos individuales.
- Capturar el consentimiento: Automatice el ciclo de vida del consentimiento y las preferencias en todos los canales, sistemas y aplicaciones del entorno, incluido el consentimiento para las cookies, la segmentación de anuncios, el correo electrónico, el marketing directo y el procesamiento de datos personales y confidenciales.
- Gestionar el riesgo de los datos: Descubra, clasifique y mapee datos para aplicar controles para la reducción del riesgo de infracciones y cumplir evaluaciones de impacto sobre la privacidad (PIA).
- Minimizar datos duplicados o confidenciales: Habilite la minimización de datos con identificación duplicada y aplique reglas de retención basadas en un propósito legal.
- Informe sobre el riesgo de los datos: Habilite flujos de trabajo de corrección y valide si se están capturando datos confidenciales.
- Integrar con aplicaciones: Amplíe y enriquezca sin problemas las soluciones y flujos de trabajo de seguridad, privacidad, gestión y cumplimiento existentes, incluido Nafath.
Cualquier organización que procese datos personales de residentes de Arabia Saudita debe asegurarse de cumplir con la PDPL y prestar mucha atención a las actualizaciones que publiquen los reguladores en los próximos meses.
Vea cómo BigID puede ayudarlo a garantizar el cumplimiento de su organización con la PDPL.