Conformidade com a PDPL da Arábia Saudita: Como se preparar

A Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL) foi criada para proteger a privacidade de indivíduos e empresas no Reino da Arábia Saudita (KSA). A lei se aplica a qualquer entidade que opere na Arábia Saudita e responsabiliza os controladores e processadores de dados pela proteção dos dados pessoais de indivíduos e empresas.

O que é a Lei de Proteção de Dados Pessoais da Arábia Saudita?

A PDPL é a primeira lei abrangente de proteção de dados na KSA. A Lei de Proteção de Dados Pessoais (PDPL) da Arábia Saudita tem como objetivo proteger a privacidade dos dados pessoais dos indivíduos e regular a coleta, o processamento, a divulgação ou a retenção de dados pessoais pelas organizações.

A PDPL fornece requisitos abrangentes relacionados aos princípios de processamento, direitos dos titulares de dadosAs obrigações das organizações ao processar dados pessoais de indivíduos e transferências transfronteiriças de dados mecanismos e estabelece penalidades para as organizações em caso de não conformidade com a PDPL.

PDPL vs. GDPR

Desde sua aprovação em 2016, o Regulamento Geral sobre a Proteção de Dados (GDPR) influenciou muitas das legislações subsequentes sobre privacidade, proteção e governança de dados. Ao comparar a PDPL e o GDPR, você pode ver que o núcleo de ambas as leis é semelhante; no entanto, várias diferenças importantes devem ser observadas entre as duas.

A lei de proteção de dados dos Emirados Árabes Unidos não fornece tantas informações sobre como os titulares dos dados podem fazer valer seus direitos. Além disso, a PDPL impõe restrições mais rígidas às organizações que desejam transferir dados pessoais para fora da Arábia Saudita. Outras diferenças incluem as obrigações de registro para controladores de dados e a maior ênfase da PDPL no consentimento como pré-condição para o processamento legal de dados.

Espera-se que mais clareza sobre as exigências da PDPL seja acrescentada por meio da publicação das Regulamentações Executivas. A minuta dessas regulamentações foi disponibilizada para análise pública em 10 de março de 2022, e a versão final deverá ser publicada antes da data de vigência da lei em 2023.

Regulamentos executivos da PDPL

As normas executivas da PDPL da KSA abrangem uma ampla gama de iniciativas de proteção de dados, incluindo:

• Autoridade regulatória: Qualquer autoridade governamental ou qualquer entidade que tenha personalidade pública independente e que tenha, de acordo com seus poderes e responsabilidades, obrigações e responsabilidades regulatórias ou de supervisão sobre um determinado setor ou atividade no Reino Unido.
• Marketing direto: Comunicação, por qualquer meio, com uma pessoa ou um grupo de pessoas, com o objetivo de enviar material de marketing, publicidade ou conscientização para essa pessoa ou grupo.
• Necessidade prática: Necessidade real de processar dados pessoais, com justiça e integridade e sem entrar em conflito com os direitos e expectativas do Titular dos Dados Pessoais.
• Violação de dados pessoais: Qualquer ato, de qualquer maneira, que leve à divulgação ilegal de Dados Pessoais, seja ele intencional ou não.
• Riscos e impactos: A possibilidade de os Titulares de Dados Pessoais sofrerem danos devido ao processamento de seus Dados Pessoais e o impacto de tal risco.
• Anonimização: Remoção de quaisquer características diretas ou indiretas dos Dados Pessoais que possam tornar o Titular dos Dados Pessoais especificamente identificado.
• Transferência de dados pessoais para fora do Reino Unido: Enviar ou compartilhar Dados Pessoais, por qualquer meio, para ou com uma entidade fora do Reino Unido, a fim de processar tais Dados Pessoais total ou parcialmente, para fins específicos com base em justificativa legal ou Necessidade Prática.
• Consentimento implícito: Consentimento que não é dado explicitamente pelo Titular dos Dados ou pela pessoa autorizada, mas que é dado implicitamente por meio das ações da pessoa e dos fatos e circunstâncias da situação

Processamento de dados PDPL

A PDPL aplica-se somente a controladores e processadores de dados estabelecidos no Reino da Arábia Saudita ou que processam os dados pessoais de indivíduos na KSA. Entretanto, a lei também se aplica a controladores e processadores de dados que operam fora do país, caso processem os dados de indivíduos na Arábia Saudita.

A PDPL define alguns princípios essenciais aos quais os controladores e processadores de dados devem aderir, incluindo:

• Os controladores e processadores de dados devem obter o consentimento de um indivíduo antes de coletar, usar, transferir ou armazenar dados pessoais.
• Consentimento explícito é necessário para processar dados confidenciais para fins de marketing e publicidade.
• Os dados pessoais devem ser coletados e usados somente para fins legítimos.
• Os controladores e processadores de dados devem garantir que os dados pessoais sejam precisos, relevantes e atualizados.
• Os dados pessoais devem ser mantidos em segurança e não devem ser divulgados a terceiros sem o consentimento por escrito do indivíduo.
• Os controladores e processadores de dados devem excluir quaisquer dados pessoais que não sejam mais necessários.
• Os controladores e processadores de dados devem fornecer aos indivíduos informações sobre como seus dados estão sendo usados.
• Os Controladores não podem usar comunicações pessoais (incluindo correio e e-mail) para enviar materiais publicitários ou informativos a um Titular de Dados Pessoais sem seu consentimento prévio.
• Os controladores devem fornecer opt-out mecanismos.

Direitos do consumidor da PDPL

O artigo 4 das emendas propostas à PDPL criou direitos de dados acionáveis para os cidadãos da Arábia Saudita (titulares de dados), incluindo, entre outros, o direito de acesso, o direito de correção e o direito de exclusão. Além disso, a PDPL não permite que os dados de processamento sejam alterados sem o consentimento do consumidor. Mas, semelhante ao GDPR, os consumidores também podem retirar o consentimento (sem exceções).

• Direito de ser informado: Os consumidores precisam ser informados sobre a base legal e a finalidade do uso de dados pessoais.
• Direito de acesso: Os consumidores podem solicitar suas informações e têm o direito de saber como os dados são coletados, armazenados, processados e compartilhados.
• Direito de correção: Os consumidores podem solicitar atualizações e correções ao controlador. Entretanto, o controlador também deve notificar todas as partes que receberam as informações para que corrijam, completem ou atualizem os dados pessoais.
• Direito à destruição: Os consumidores podem solicitar a exclusãoOs controladores podem reter os Dados Pessoais após a finalidade da coleta, com exceções, por exemplo, se os dados forem necessários para uma finalidade legal e forem retidos apenas por um determinado período. Além disso, os controladores poderão reter os Dados Pessoais depois que a finalidade da coleta não existir mais se removerem os fatores de identificação dos Dados Pessoais.
• Direito de obter: Os consumidores têm o direito de obter seus dados pessoais em um formato claro e conciso, incluindo o direito de solicitar a transferência de dados.

Registro de atividades de processamento

De acordo com a PDPL, as organizações devem manter um registro das atividades de processamento de dados pessoais, de modo que os registros documentados estejam disponíveis sempre que solicitados pela Autoridade. Os registros devem conter, no mínimo, as seguintes informações:

• O objetivo do processamento
• Uma descrição das categorias de Titulares de Dados;
• Os detalhes de contato da organização
• Qualquer outra entidade para a qual os Dados Pessoais tenham sido/serão divulgados.
• Se os dados pessoais foram/serão transferidos ou divulgados fora da KSA;
• O período esperado pelo qual os Dados Pessoais devem ser retidos.

Avaliações de risco de privacidade

De acordo com a PDPL, as organizações são obrigadas a realizar uma avaliação de risco de privacidade para o processamento de dados pessoais em qualquer produto ou serviço voltado para o consumidor. Nos casos que exigem uma avaliação de impacto de risco, detalhes adicionais obrigatórios devem ser fornecidos, como os tipos de dados confidenciais envolvidos ou uma descrição das atividades de processamento automatizado.

Minimização de dados

Há orientações sobre como aderir à exigência da PDPL de que a coleta de dados pessoais seja estritamente limitada ao que é necessário para uma finalidade específica, evitando a coleta de dados para uso futuro não especificado. Essas diretrizes descrevem os princípios fundamentais para os controladores, abrangendo todo o ciclo de vida dos dados, desde a coleta até a destruição. As organizações devem estabelecer uma necessidade legítima para os dados, usar métodos de coleta claros e seguros e descartar os dados de forma segura quando não forem mais necessários. Além disso, espera-se que os controladores avaliem regularmente seus acervos de dados e garantam que as atividades de processamento sejam estruturadas para evitar a coleta desnecessária de dados.

Destruição, anonimização e pseudonimização

A PDPL exige que os dados pessoais sejam destruídos, inclusive mediante solicitação do titular dos dados ou retirada do consentimento. Ela exige que os controladores sigam procedimentos rigorosos para garantir que todas as cópias, incluindo backups, sejam permanentemente apagadas e que todos os destinatários dos dados façam o mesmo. Além disso, a utilização de técnicas eficazes de anonimização e pseudonimização - como mascaramento de dados, criptografia, generalização e agregação - serve como salvaguarda essencial para proteger os dados pessoais.

Violações de dados

A PDPL exige que as organizações implementem salvaguardas adequadas para proteger os dados pessoais contra acesso, divulgação e uso não autorizados. Além disso, a lei estabelece notificação de violação de dados requisitos que as organizações devem cumprir no caso de uma violação de dados.

A PDPL exige que as organizações notifiquem a autoridade reguladora em até três dias após a violação. Além disso, as organizações devem fornecer uma análise completa da violação e mostrar os passos para uma futura responsabilização.

Se uma organização tomar conhecimento de uma violação capaz de causar danos a um indivíduo, essa pessoa deverá ser notificada de acordo com os requisitos de notificação da PDPL.

Transferência e compartilhamento de dados

O SDAIA otimizou a estrutura de transferência de dados para se alinhar melhor aos padrões globais, como o GDPR. As organizações devem implementar proteções apropriadas ao transferir dados pessoais para países que o SDAIA não reconheceu como tendo um nível adequado de proteção de dados.

As transferências de informações pessoais dentro e fora da Arábia Saudita nos termos da PDPL são as seguintes:

• As transferências de dados são permitidas a terceiros sujeitos a regras legais ou corporativas de proteção de dados semelhantes às da PDPL.
• Certos tipos de transferência estão isentos das condições, como quando um indivíduo consentiu com a transferência ou quando a transferência é necessária para cumprir um acordo.
• O artigo 4 afirma que os controladores devem implementar salvaguardas para a transferência de dados pessoais, como cláusulas contratuais padrão, regras comuns obrigatórias e certificados de credenciamento.
• O artigo 4 estabelece que os controladores que se baseiam nas salvaguardas adequadas disponíveis estarão isentos da obrigação de transferir a quantidade mínima de dados pessoais necessária.
• As divulgações e transferências de dados são limitadas aos dados pessoais mínimos necessários.
• As transferências de dados devem preservar o interesse, a saúde, a segurança ou proteger a vida ou a saúde de uma pessoa específica
• As transferências de dados não devem afetar negativamente a segurança nacional ou os interesses vitais do Reino da Arábia Saudita.

Aplicação da PDPL da KSA

De acordo com o Artigo 20(1) da PDPL, os controladores são obrigados a notificar a autoridade relevante caso tomem conhecimento de uma violação de segurança de dados. As regulamentações executivas especificarão as condições sob as quais os controladores devem informar os titulares dos dados sobre uma violação de seus dados pessoais.

Entretanto, se a violação puder causar danos significativos ao indivíduo ou a seus dados pessoais, o controlador deverá notificá-lo imediatamente sobre a violação, conforme descrito no Artigo 20(2) da PDPL. As regulamentações executivas da PDPL dos Emirados Árabes Unidos impõem penalidades para a divulgação ou publicação de dados pessoais confidenciais que podem incluir prisão por até dois anos e/ou multa não superior a SAR 3 milhões.

A penalidade em relação às violações da disposição de transferência de dados do Artigo 29 da PDPL pode resultar em prisão de até um ano e/ou multa não superior a SAR 1.000.000. Para violações de outras disposições da PDPL, as penalidades são limitadas a um aviso de advertência ou a uma multa não superior a SAR 5.000.000.

Obtenha conformidade com a PDPL com o BigID

Em última análise, a PDPL foi criada para ajudar a proteger a privacidade dos indivíduos no Reino da Arábia Saudita e para garantir que as empresas que processam dados pessoais sejam responsabilizadas pela forma como os utilizam. Se você estiver coletando, usando, transferindo ou armazenando dados pessoais na Arábia Saudita, é importante garantir a conformidade com a PDPL.

Com BigIDCom o PDPL, as empresas podem evitar penalidades e se antecipar aos desafios de conformidade com o PDPL:

• Descubra os dados: Identificar dados pessoais e classificar dados confidenciais.
• Contextualizar os dados: Correlacione as relações entre os dados, trazendo contexto aos dados pessoais e aos dados confidenciais.
• Rotular e etiquetar dados para fins legais: Garantir que os dados estejam sendo processados de acordo com as normas de privacidade.
• Registro documental das atividades de processamento: Gerencie um Registro de Atividades de Processamento (RoPA) para avaliar ativos de dados, proteção, status de violação, localização, PIA, compartilhamento de dados e transferências
• Detectar transferências de dados internacionais fora da política: Rastreie as violações de acesso, uso e transferência de dados em toda a organização para ação imediata.
• Automatize o cumprimento dos direitos de dados: Automatize o atendimento manual de solicitações de acesso e exclusão de dados individuais.
• Captura de consentimento: Automatize o ciclo de vida do consentimento e das preferências em todos os canais, sistemas e aplicativos do ambiente, inclusive o consentimento para cookies, direcionamento de anúncios, e-mail, marketing direto e processamento de dados pessoais e confidenciais.
• Gerenciar o risco dos dados: Descubra, classifique e mapeie dados para aplicar controles para redução e cumprimento de riscos de violação avaliações de impacto na privacidade (PIA).
• Minimizar dados duplicados ou confidenciais: Permitir a minimização de dados com identificação duplicada e aplicar regras de retenção com base em uma finalidade legal.
• Relatório sobre risco de dados: Habilite fluxos de trabalho de correção e valide se os dados confidenciais estão sendo capturados.
• Integrar com aplicativos: Amplie e enriqueça perfeitamente as soluções e os fluxos de trabalho existentes de segurança, privacidade, gerenciamento e conformidade, incluindo a Nafath.

Qualquer organização que processe dados pessoais de residentes da Arábia Saudita deve garantir que esteja em conformidade com a PDPL e prestar muita atenção às atualizações divulgadas pelos órgãos reguladores nos próximos meses.

Veja como a BigID pode ajudá-lo a garantir a conformidade de sua organização com a PDPL.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.