Conformidade com a Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL): Como preparar

O Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL) Foi criada para proteger a privacidade de indivíduos e empresas no Reino da Arábia Saudita (KSA). A lei aplica-se a qualquer entidade que opere na Arábia Saudita e responsabiliza os controladores e processadores de dados pela proteção dos dados pessoais de indivíduos e empresas.

O que é a Lei de Proteção de Dados Pessoais da Arábia Saudita?

A Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL) é a primeira lei abrangente de proteção de dados da história do país. Ela visa proteger a privacidade dos dados pessoais dos indivíduos e regular a coleta, o processamento, a divulgação e a retenção de dados pessoais por parte das organizações.

O PDPL fornece requisitos abrangentes relacionados aos princípios de processamento. direitos dos titulares dos dados, obrigações das organizações ao processar dados pessoais de indivíduos, e transferências de dados transfronteiriças O documento estabelece mecanismos e define penalidades para organizações em caso de descumprimento da PDPL.

PDPL vs GDPR

Desde seu falecimento em 2016, o Regulamento Geral de Proteção de Dados (RGPD) influenciou muitas das legislações subsequentes sobre privacidade, proteção e governança de dados. Ao comparar a PDPL e o GDPR, percebe-se que a essência de ambas as leis é semelhante; no entanto, algumas diferenças importantes devem ser observadas.

A lei de proteção de dados dos Emirados Árabes Unidos não fornece tantas informações sobre como os titulares dos dados podem exercer seus direitos. Além disso, a Lei de Proteção de Dados Pessoais (PDPL) impõe restrições mais rigorosas às organizações que desejam transferir dados pessoais para fora da Arábia Saudita. Outras diferenças incluem as obrigações de registro para os controladores de dados e a maior ênfase da PDPL no consentimento como condição prévia para o processamento lícito de dados.

Espera-se que os requisitos da PDPL sejam esclarecidos com a publicação do Regulamento Executivo. A minuta deste regulamento foi disponibilizada para consulta pública em 10 de março de 2022, e a versão final deverá ser publicada antes da entrada em vigor da lei, em 2023.

Regulamento Executivo PDPL

As regulamentações executivas da Lei de Proteção de Dados Pessoais da Arábia Saudita (KSA PDPL) abrangem uma ampla gama de iniciativas de proteção de dados, incluindo:

• Autoridade Reguladora: Qualquer autoridade governamental ou entidade que possua personalidade pública independente e que, de acordo com seus poderes e responsabilidades, tenha deveres e responsabilidades regulatórias ou de supervisão sobre determinado setor ou atividade no Reino.
• Marketing direto: Comunicação, por qualquer meio, com uma pessoa ou um grupo de pessoas, com o objetivo de enviar material de marketing, publicidade ou conscientização para essa pessoa ou grupo.
• Necessidade prática: Necessidade real de tratamento de dados pessoais, com equidade e integridade, sem conflitar com os direitos e expectativas do titular dos dados pessoais.
• Violação de dados pessoais: Qualquer ato, de qualquer forma, que leve à divulgação ilegal de Dados Pessoais, seja intencional ou não.
• Riscos e impacto: A possibilidade de os titulares dos dados pessoais sofrerem danos devido ao processamento dos seus dados pessoais e o impacto desse risco.
• Anonimização: Remover quaisquer características diretas ou indiretas dos Dados Pessoais que possam identificar especificamente o Titular dos Dados Pessoais.
• Transferência de Dados Pessoais para fora do Reino: Enviar ou compartilhar Dados Pessoais, por qualquer meio, para ou com uma entidade fora do Reino, a fim de processar tais Dados Pessoais total ou parcialmente, para fins específicos com base em justificativa legal ou necessidade prática.
• Consentimento implícito: Consentimento que não é dado explicitamente pelo titular dos dados ou pela pessoa autorizada, mas sim implicitamente por meio das ações da pessoa e dos fatos e circunstâncias da situação.

Processamento de dados PDPL

A PDPL aplica-se apenas a controladores e processadores de dados estabelecidos no Reino da Arábia Saudita ou que processem dados pessoais de indivíduos na Arábia Saudita. No entanto, a lei também se aplica a controladores e processadores de dados que operam fora do país, desde que processem dados de indivíduos na Arábia Saudita.

A PDPL estabelece alguns princípios críticos que os controladores e processadores de dados devem seguir, incluindo:

• Os controladores e processadores de dados devem obter o consentimento do indivíduo antes de coletar, usar, transferir ou armazenar dados pessoais.
• Consentimento explícito É necessário processar dados sensíveis para fins de marketing e publicidade.
• Os dados pessoais devem ser coletados e utilizados apenas para fins legítimos.
• Os controladores e processadores de dados devem garantir que os dados pessoais sejam precisos, relevantes e atualizados.
• Os dados pessoais devem ser mantidos em segurança e não devem ser divulgados a terceiros sem o consentimento por escrito do indivíduo.
• Os controladores e processadores de dados devem Apagar quaisquer dados pessoais que já não sejam necessários.
• Os controladores e processadores de dados devem fornecer aos indivíduos informações sobre como seus dados estão sendo utilizados.
• Os controladores não podem usar comunicações pessoais (incluindo correspondência postal e eletrônica) para enviar material publicitário ou informativo a um titular de dados pessoais sem o seu consentimento prévio.
• Os controladores devem fornecer informações claras. excluir mecanismos.

Direitos do Consumidor da PDPL

O Artigo 4 das alterações propostas à PDPL (Lei de Proteção de Dados Pessoais) criou direitos de dados acionáveis para os cidadãos da Arábia Saudita (titulares dos dados), incluindo, entre outros, o direito de acesso, o direito de retificação e o direito de eliminação. Além disso, a PDPL não permite a alteração do tratamento de dados sem o consentimento do consumidor. Contudo, à semelhança do RGPD (Regulamento Geral sobre a Proteção de Dados), os consumidores também podem retirar o seu consentimento (sem exceções).

• Direito à informação: Os consumidores precisam ser informados sobre a base legal e a finalidade do uso de seus dados pessoais.
• Direito de acesso: Os consumidores podem solicitar suas informações e têm o direito de saber como os dados são coletados, armazenados, processados e compartilhados.
• Direito de correção: Os consumidores podem solicitar atualizações e correções ao controlador. No entanto, o controlador também deve notificar todas as partes que receberam as informações para corrigir, completar ou atualizar os dados pessoais.
• Direito à destruição: Os consumidores podem solicitar a exclusão.Com algumas exceções, por exemplo, se os dados forem necessários para uma finalidade legal e forem retidos apenas por um determinado período. Além disso, os controladores podem reter Dados Pessoais mesmo após o término da finalidade da coleta, desde que removam os fatores de identificação dos Dados Pessoais.
• Direito de Obter: Os consumidores têm o direito de obter seus dados pessoais em um formato claro e conciso, incluindo o direito de solicitar a transferência de dados.

Registro de atividades de processamento

Nos termos da PDPL (Lei Geral de Proteção de Dados), as organizações devem manter um registo das suas atividades de tratamento de dados pessoais, de forma que a documentação esteja disponível sempre que solicitada pela Autoridade. Os registos devem conter, no mínimo, as seguintes informações:

• Finalidade do Processamento
• Descrição das categorias de titulares dos dados;
• Os dados de contato da organização.
• Qualquer outra entidade à qual os Dados Pessoais tenham sido/serão divulgados.
• Se os Dados Pessoais foram/serão transferidos ou divulgados fora da Arábia Saudita;
• O período previsto durante o qual os Dados Pessoais serão conservados.

Avaliações de risco à privacidade

De acordo com a PDPL (Lei de Proteção de Dados Pessoais), as organizações são obrigadas a realizar uma avaliação de risco de privacidade para o processamento de dados pessoais em qualquer produto ou serviço voltado para o consumidor. Nos casos em que seja necessária uma avaliação de impacto de risco, detalhes adicionais obrigatórios devem ser fornecidos, como os tipos de dados sensíveis envolvidos ou uma descrição das atividades de processamento automatizado.

Minimização de dados

Existem orientações sobre como cumprir a exigência da PDPL (Lei de Proteção de Dados Pessoais) de que a coleta de dados pessoais seja estritamente limitada ao necessário para uma finalidade específica, evitando a coleta de dados para uso futuro não especificado. Essas diretrizes delineiam princípios-chave para os controladores, abrangendo todo o ciclo de vida dos dados, da coleta à destruição. As organizações devem estabelecer uma necessidade legítima para os dados, usar métodos de coleta claros e seguros e descartar os dados de forma segura quando não forem mais necessários. Além disso, espera-se que os controladores avaliem regularmente seus acervos de dados e garantam que as atividades de processamento sejam estruturadas para evitar a coleta desnecessária de dados.

Destruição, anonimização e pseudonimização

A Lei de Proteção de Dados Pessoais (PDPL) exige que os dados pessoais sejam destruídos, inclusive mediante solicitação do titular dos dados ou revogação do consentimento. Ela determina que os controladores sigam procedimentos rigorosos para garantir que todas as cópias, incluindo backups, sejam apagadas permanentemente e que todos os destinatários dos dados façam o mesmo. Além disso, o uso de técnicas eficazes de anonimização e pseudonimização — como mascaramento, criptografia, generalização e agregação de dados — serve como salvaguarda essencial para a proteção de dados pessoais.

Violações de dados

A Lei de Proteção de Dados Pessoais (PDPL) exige que as organizações implementem medidas de segurança adequadas para proteger os dados pessoais contra acesso, divulgação e uso não autorizados. Além disso, a lei estabelece diretrizes rigorosas. notificação de violação de dados Requisitos que as organizações devem cumprir em caso de violação de dados.

A PDPL exige que as organizações notifiquem a autoridade reguladora no prazo de três dias após a violação. Além disso, as organizações devem fornecer uma análise completa da violação e demonstrar as medidas tomadas para a responsabilização futura.

Caso uma organização tome conhecimento de uma violação de segurança que possa causar danos a um indivíduo, essa pessoa deverá ser notificada de acordo com os requisitos de notificação da PDPL (Lei de Proteção de Dados Pessoais).

Transferência e compartilhamento de dados

A SDAIA otimizou a estrutura de transferência de dados para melhor se alinhar com padrões globais como o GDPR. As organizações devem implementar salvaguardas apropriadas ao transferir dados pessoais para países que a SDAIA não reconheceu como tendo um nível adequado de proteção de dados.

As transferências de informações pessoais para dentro e para fora da Arábia Saudita, de acordo com a PDPL, são as seguintes:

• A transferência de dados para terceiros é permitida, sujeita a regras legais ou corporativas de proteção de dados semelhantes à LGPD (Lei Geral de Proteção de Dados).
• Certos tipos de transferência estão isentos das condições, como quando um indivíduo consentiu com a transferência ou quando a transferência é necessária para cumprir um acordo.
• O artigo 4º estabelece que os controladores devem implementar salvaguardas para a transferência de dados pessoais, tais como cláusulas contratuais padrão, regras comuns vinculativas e certificados de acreditação.
• O artigo 4º prevê que os responsáveis pelo tratamento que se basearem nas salvaguardas adequadas disponíveis ficarão isentos da obrigação de transferir a quantidade mínima de dados pessoais necessária.
• A divulgação e a transferência de dados são limitadas aos dados pessoais mínimos necessários.
• As transferências de dados devem preservar os interesses, a saúde, a segurança ou proteger a vida ou a saúde de uma pessoa específica.
• As transferências de dados não devem afetar negativamente a segurança nacional ou os interesses vitais do Reino da Arábia Saudita.

Fiscalização da Lei de Proteção de Dados Pessoais da Arábia Saudita

De acordo com o Artigo 20(1) da PDPL, os controladores são obrigados a notificar a autoridade competente caso tomem conhecimento de uma violação de segurança de dados. O regulamento de execução especificará as condições em que os controladores devem informar os titulares dos dados sobre uma violação de seus dados pessoais.

No entanto, se a violação for suscetível de causar danos significativos ao indivíduo ou aos seus dados pessoais, o responsável pelo tratamento deve notificá-lo imediatamente da violação, conforme estipulado no artigo 20.º, n.º 2, da PDPL. PDPL dos Emirados Árabes Unidos Regulamentos executivos impõem penalidades para a divulgação ou publicação de dados pessoais sensíveis, que podem incluir pena de prisão de até dois anos e/ou multa não superior a 3 milhões de riais sauditas.

A penalidade relativa às violações da disposição sobre transferência de dados no Artigo 29 da PDPL pode resultar em pena de prisão de até um ano e/ou multa não superior a 1.000.000 SAR. Para violações de outras disposições da PDPL, as penalidades se limitam a uma advertência ou multa não superior a 5.000.000 SAR.

Obtenha conformidade com a PDPL com o BigID.

Em última análise, a PDPL foi concebida para ajudar a proteger a privacidade dos indivíduos no Reino da Arábia Saudita e para garantir que as empresas que processam dados pessoais sejam responsabilizadas pela forma como os utilizam. Se você coleta, usa, transfere ou armazena dados pessoais na Arábia Saudita, é importante garantir que esteja em conformidade com a PDPL.

Com BigIDAs empresas podem evitar penalidades e se antecipar aos desafios de conformidade com a PDPL:

• Descubra dados: Identificar dados pessoais e classificar dados sensíveis.
• Contextualizar dados: Correlacione relações entre dados, contextualizando dados pessoais e dados sensíveis.
• Dados de rótulos e etiquetas para fins legais: Garantir que os dados estejam sendo processados em conformidade com as normas de privacidade.
• Registro documental das atividades de processamento: Gerenciar um Registro de Atividades de Processamento (RoPA) para avaliar ativos de dados, proteção, status de violação, localização, PIA (Avaliação de Impacto sobre a Proteção de Dados), compartilhamento de dados e transferências.
• Detectar transferências de dados transfronteiriças que violem as políticas estabelecidas: Monitore as violações de acesso, uso e transferência de dados em toda a organização para ação imediata.
• Automatizar o cumprimento dos direitos de dados: Automatize o atendimento manual de solicitações individuais de acesso e exclusão de dados.
• Consentimento para obtenção de informações: Automatize o ciclo de vida do consentimento e das preferências em todos os canais, sistemas e aplicativos do ambiente, incluindo o consentimento para cookies, segmentação de anúncios, e-mail, marketing direto e processamento de dados pessoais e sensíveis.
• Gerenciar o risco de dados: Descobrir, classificar e mapear dados para aplicar controles de redução de risco de violação e cumprir as metas. Avaliações de impacto na privacidade (PIA).
• Minimize dados duplicados ou sensíveis: Ative a minimização de dados com identificação de duplicados e aplique regras de retenção com base em uma finalidade legal.
• Relatório sobre risco de dados: Habilite fluxos de trabalho de correção e valide se os dados sensíveis estão sendo capturados.
• Integrar com aplicativos: Amplie e enriqueça perfeitamente as soluções e fluxos de trabalho existentes em segurança, privacidade, gestão e conformidade, incluindo o Nafath.

Qualquer organização que processe dados pessoais de residentes da Arábia Saudita deve garantir a conformidade com a PDPL (Lei de Proteção de Dados Pessoais) e acompanhar atentamente quaisquer atualizações divulgadas pelos órgãos reguladores nos próximos meses.

Veja como a BigID pode ajudar a garantir a conformidade da sua organização com a PDPL.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.