Parte de nuestra serie Compliance & Regulation
Leer la guía completaNigeria NDPR: Cumplimiento del Reglamento de Protección de Datos
Nigeria tiene la economía más grande de África y la nación más poblada, lo que la convierte en un mercado fundamental para las empresas de todo el continente. El marco de protección de datos de Nigeria ha experimentado un desarrollo significativo: desde el Reglamento de Protección de Datos de Nigeria (NDPR) emitido por la Agencia Nacional de Desarrollo de Tecnología de la Información (NITDA) en enero de 2019, hasta la Ley de Protección de Datos de Nigeria de 2023 (NDPA), promulgada el 14 de junio de 2023, que estableció la Comisión de Protección de Datos de Nigeria (NDPC) como una autoridad independiente de protección de datos y elevó la protección de datos a la categoría de ley estatutaria.
Comprender tanto la NDPR (que sigue siendo relevante para el cumplimiento de la transición) como el nuevo marco NDPA 2023 es esencial para cualquier organización con operaciones, empleados o clientes en Nigeria.
Conclusiones clave
- La Ley de Protección de Datos de Nigeria de 2023 (NDPA) reemplaza a la NDPR y establece a la NDPC como la autoridad supervisora independiente.
- La NDPA se aplica al procesamiento de datos personales en Nigeria y extraterritorialmente donde se ofrecen bienes/servicios a nigerianos o se monitorea el comportamiento de individuos nigerianos.
- Existen seis bases legales para el procesamiento, siendo el consentimiento la base principal para los datos del consumidor.
- Los datos personales sensibles (salud, datos biométricos, raza, religión, opiniones políticas, orientación sexual) requieren consentimiento explícito con excepciones limitadas.
- Los "procesadores de datos" y los "controladores de datos de mayor importancia" enfrentan obligaciones adicionales específicas, incluidos requisitos de presentación de auditoría y cumplimiento.
- Las restricciones a las transferencias transfronterizas requieren idoneidad, salvaguardias apropiadas o consentimiento
- El NDPC puede imponer multas de hasta el 2 % de los ingresos brutos anuales o ₦ 10 millones, lo que sea mayor, por infracciones generales; hasta 50 millones de libras esterlinas por infracciones graves
- Todos los responsables del tratamiento de datos deben realizar auditorías anuales de protección de datos con auditores autorizados por el NITDA.
Marco de protección de datos de Nigeria
De NDPR a NDPA
NDPR 2019 (Reglamento de protección de datos de Nigeria): Emitido bajo el mandato de NITDA, no como una ley formal del Parlamento. Se aplica a personas físicas y entidades que manejan datos personales de residentes en Nigeria. Establecí principios básicos de protección de datos, derechos individuales y requisitos de cumplimiento, incluidas auditorías anuales obligatorias realizadas por auditores autorizados por NITDA.
NDPA 2023 (Ley de Protección de Datos de Nigeria): Promulgada por la Asamblea Nacional y firmada por el Presidente el 14 de junio de 2023. Establece la NDPC como un organismo estatutario independiente; eleva las obligaciones de protección de datos a la legislación primaria; introduce nuevos derechos y obligaciones; se alinea más estrechamente con el RGPD; reemplaza las disposiciones contradictorias de la NDPR.
Transición: La NDPC ha indicado que los mecanismos y directrices de cumplimiento de la NDPR siguen siendo aplicables durante el período de transición. Las organizaciones que cumplieran con la NDPR deberían revisar la NDPA para conocer obligaciones adicionales.
Alcance de la NDPA
La NDPA se aplica a:
- Procesamiento de datos personales en Nigeria
- Procesamiento de datos personales por parte de entidades nigerianas independientemente de dónde se produzca el procesamiento
- Procesamiento por parte de entidades extranjeras donde se ofrecen bienes/servicios a personas en Nigeria, o donde se monitorea el comportamiento de las personas en Nigeria
Definiciones clave y categorías de datos
Datos personales: cualquier información relacionada con un individuo identificable, directa o indirectamente identificable por referencia al nombre, número de identificación, datos de ubicación o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social.
Datos personales confidenciales (Anexo 1 de NDPA): Requiere mayor protección y consentimiento explícito. Las categorías incluyen:
- Datos genéticos o biométricos.
- Registros médicos o de salud
- Raza u origen étnico
- Creencias religiosas o políticas
- Afiliación sindical
- Orientación o actividades sexuales.
- Datos relativos a un niño
Datos infantiles: Se aplican protecciones específicas a los datos de niños (definidos como personas menores de 18 años según la ley nigeriana). Se requiere el consentimiento de los padres o tutores para el procesamiento de datos personales de los niños. Se deben implementar mecanismos verificados de consentimiento de los padres para los servicios en línea dirigidos a niños.
Bases Legales para el Tratamiento
La sección 25 de la NDPA establece seis bases legales:
-
Consentimiento: Manifestación de conformidad dada libremente, específica, informada e inequívoca. Debe ser retirable en cualquier momento sin perjuicio.
-
Contrato: Tratamiento necesario para la ejecución de un contrato con el interesado, o para tomar medidas a petición del interesado antes de celebrar un contrato.
-
Obligación legal: Tratamiento necesario para cumplir con una obligación legal del responsable del tratamiento.
-
Intereses vitales: Tratamiento necesario para proteger los intereses vitales del interesado o de otra persona.
-
Public interest: Processing necessary for the performance of a task carried out in the public interest, or in the exercise of official public mandate vested in the controller.
-
Intereses legítimos: Procesamiento necesario para los fines de intereses legítimos perseguidos por el controlador o un tercero, excepto cuando prevalezcan los derechos y libertades fundamentales del interesado. (Nota: una autoridad pública no puede basarse en esta base en el desempeño de sus funciones).
Requisitos de consentimiento: deben ser específicos para cada propósito de procesamiento; otorgado libremente (sin condicionamiento del contrato al consentimiento para el procesamiento no esencial); registrado y demostrable; Tan fácil retirar como dar. Las casillas marcadas previamente, el silencio o la inactividad no constituyen un consentimiento válido.
Derechos del interesado
La NDPA otorga a las personas los siguientes derechos, ejercitables sin demora indebida por parte del controlador:
| Derecha | Estándar | Notas |
|---|---|---|
| Derecho a ser informado | En o antes de la recogida | Se requieren avisos de cobro |
| Derecho de acceso | Sin demoras indebidas | Puede solicitar copia de los datos retenidos |
| Derecho de rectificación | Sin demoras indebidas | Corregir datos inexactos o incompletos |
| Derecho de supresión | Sin demoras indebidas | Cuando las condiciones de procesamiento ya no se apliquen |
| Derecho a restringir el procesamiento | Sin demoras indebidas | Cuando se impugna la exactitud o hay objeción pendiente |
| Derecho a la portabilidad de los datos | Sin demoras indebidas | Formato legible por máquina, técnicamente viable |
| Derecho de oposición | Sin demoras indebidas | Oponerse al tratamiento basado en intereses legítimos o interés público |
| Derechos re. decisiones automatizadas | Sin demoras indebidas | Oponerse a decisiones automatizadas importantes; solicitar revisión humana |
Plazos de respuesta: La NDPA requiere respuestas "sin demoras indebidas". La guía de la NDPC indica 30 días como estándar razonable, con extensión a 60 días para solicitudes complejas si se notifica al interesado dentro de los primeros 30 días.
Obligaciones del controlador
Aviso de privacidad
Los controladores deben proporcionar información de privacidad en el momento de la recopilación o antes:
- Identidad y datos de contacto del responsable del tratamiento.
- Datos de contacto del Delegado de Protección de Datos (si procede)
- Finalidades y bases legales del tratamiento
- Destinatarios o categorías de destinatarios de datos personales
- Transferencias a terceros países y salvaguardias
- Plazos de conservación o criterios para determinarlos
- Derechos del interesado y cómo ejercerlos
- Derecho a retirar el consentimiento (cuando el consentimiento sea la base)
- Derecho a presentar una queja ante el NDPC
Idioma: Los avisos de privacidad para las operaciones en Nigeria deben estar en inglés (el idioma oficial de Nigeria) y es posible que deban incluir traducciones vernáculas para productos dirigidos al consumidor en áreas con poblaciones significativas que no hablan inglés.
Delegado de Protección de Datos (DPO)
La NDPA requiere el nombramiento de un DPO para:
- Responsables o procesadores de datos de mayor importancia (definidos como aquellos que procesan datos de más de 10.000 interesados por mes, o procesan datos sensibles como actividad principal)
- Autoridades públicas
Responsabilidades del DPO:
- Informar y asesorar sobre las obligaciones en materia de protección de datos
- Monitorear el cumplimiento de NDPA y políticas internas.
- Actuar como punto de contacto para los interesados y el NDPC
- Cooperar con las investigaciones del NDPC.
Auditoría Anual de Protección de Datos
Uno de los requisitos de cumplimiento más distintivos de Nigeria: todos los controladores de datos deben realizar y presentar una auditoría de protección de datos anual ante la NDPC (anteriormente NITDA según NDPR). La auditoría debe ser realizada por una Organización de Cumplimiento de Protección de Datos (DPCO) con licencia de NITDA. La DPCO emite un informe de auditoría que cubre las prácticas de protección de datos del controlador, las brechas de cumplimiento y las recomendaciones de solución. This must be filed with the NDPC annually.
El alcance de la auditoría cubre:
- Inventario de datos y mapeo de flujo.
- Documentación de base legal
- Adecuación del aviso de privacidad
- Medidas de seguridad
- Procedimientos de derechos del interesado
- Cumplimiento de transferencias transfronterizas
- Procedimientos de notificación de incumplimientos
- Formación del personal
Costo: Los honorarios de auditoría varían según la DPCO; espere entre ₦ 500 000 y ₦ 5 000 000 o más dependiendo del tamaño y la complejidad de la organización.
Evaluaciones de impacto de la protección de datos (EDIP)
La Sección 30 requiere EIPD para actividades de procesamiento de alto riesgo que incluyen:
- Evaluación sistemática de aspectos personales mediante procesamiento, elaboración de perfiles o predicciones automatizados.
- Procesamiento a gran escala de datos personales sensibles
- Monitoreo sistemático de áreas de acceso público a gran escala.
Requisitos de seguridad
La sección 38 de la NDPA requiere medidas de seguridad técnicas y organizativas adecuadas al riesgo. El NDPC y el NITDA han emitido una guía técnica que especifica:
Medidas técnicas mínimas:
- Cifrado de datos personales en almacenamiento y transmisión (TLS para transmisión, AES-256 para datos sensibles)
- Control de acceso con autenticación y mínimo privilegio.
- Seudonimización cuando sea posible
- Pistas de auditoría del sistema y registros de acceso.
- Pruebas de seguridad periódicas (al menos una vez al año)
- Capacidades de detección y respuesta a incidentes.
- Copia de seguridad y recuperación seguras
Medidas organizativas mínimas:
- Políticas de privacidad y seguridad documentadas.
- Formación del personal sobre obligaciones en materia de protección de datos.
- Marco de clasificación de datos.
- Evaluaciones de seguridad de proveedores/procesadores
- Controles de seguridad física para las instalaciones de procesamiento de datos.
Transferencias de datos transfronterizas
La sección 43 de la NDPA restringe las transferencias de datos personales fuera de Nigeria. Mecanismos permitidos:
- Decisión de adecuación del NDPC: Transferencia a un país que el NDPC determine que tiene una protección de datos adecuada
- Salvaguardias apropiadas: Transferencia bajo salvaguardias que brindan derechos exigibles a los interesados, que incluyen:
- Instrumento jurídicamente vinculante entre autoridades públicas.
- Normas corporativas vinculantes.
- Cláusulas contractuales estándar aprobadas por NDPC
- Mecanismo de certificación con compromisos vinculantes.
- Consentimiento explícito: Consentimiento informado del titular sobre la transferencia propuesta, riesgos y ausencia de decisión o salvaguardas adecuadas
- Necesidad del contrato: Transferencia necesaria para el contrato entre el interesado y el responsable del tratamiento
- Intereses vitales: Protección de intereses vitales cuando no se puede obtener el consentimiento
- Interés público: Transferencia necesaria por interés público importante
Determinaciones de adecuación del NDPC: La Comisión está desarrollando su marco de adecuación. A principios de 2026, no se habían publicado decisiones formales de adecuación. Las cláusulas contractuales estándar son el mecanismo recomendado para las transferencias transfronterizas de rutina mientras madura el marco de adecuación.
Notificación de infracción
La sección 40 de la NDPA exige la notificación de violaciones de datos personales:
Notificación a NDPC: dentro de las 72 horas de tener conocimiento de una infracción que probablemente resulte en un riesgo para los derechos y libertades de las personas.
Notificación a las personas afectadas: Sin demoras indebidas, cuando la violación pueda resultar en un alto riesgo para sus derechos y libertades.
Contenido de notificación a NDPC:
- Naturaleza de la infracción y categorías/número aproximado de interesados afectados
- Categorías y número aproximado de registros de datos personales afectados
- Contact details of the DPO
- Posibles consecuencias del incumplimiento
- Medidas adoptadas o propuestas para abordar la infracción, incluidas medidas para mitigar los efectos adversos
Documentación: Todos los incumplimientos (incluso aquellos que no requieren notificación) deben documentarse internamente con hechos, efectos y acciones de remediación.
Aplicación y sanciones del NDPC
La Comisión de Protección de Datos de Nigeria (NDPC) es una agencia gubernamental independiente establecida en virtud de la NDPA 2023. Sus poderes incluyen:
- Recepción e investigación de denuncias.
- Realización de auditorías (planificadas y no anunciadas)
- Emitir avisos de cumplimiento
- Imponer sanciones administrativas
- Remitir violaciones penales al Fiscal General
Sanciones administrativas:
| Categoría de infracción | Pena Máxima |
|---|---|
| Violaciones generales de las obligaciones de la NDPA | 2% de los ingresos brutos anuales o 10 millones de libras esterlinas, lo que sea mayor |
| Infracciones graves (datos sensibles, datos de niños, transferencias transfronterizas) | 2% de los ingresos brutos anuales o 50 millones de libras esterlinas, lo que sea mayor |
| Repetición de infracciones en un plazo de 24 meses | Pena duplicada |
Sanciones penales: La NDPA establece responsabilidad penal por determinadas infracciones, incluido el comercio ilegal de datos personales. La sección 48 de la NDPA prevé sanciones penales, incluido el encarcelamiento.
Historial de aplicación de la NITDA: Según la NDPR, la NITDA impuso multas que incluyen: Spenmo Technologies (10 millones de ₦), Julius Berger Nigeria (10 millones de ₦), Integrated Corporate Services Limited (4 millones de ₦). Estos demuestran una aplicación activa que se extiende tanto a empresas nacionales como internacionales que operan en Nigeria.
Lista de verificación de cumplimiento de NDPA
- Aplicabilidad confirmada de NDPA (operaciones en Nigeria, clientes/empleados nigerianos)
- Inventario de datos personales completado
- Datos personales sensibles identificados: consentimiento explícito obtenido
- Datos de niños identificados: mecanismos de consentimiento de los padres implementados
- Base legal documentada para cada actividad de procesamiento
- Aviso de privacidad preparado en inglés con todas las divulgaciones requeridas
- DPO designado cuando sea necesario (más de 10 000 interesados/mes o actividad principal de datos confidenciales)
- Auditoría anual de protección de datos planificada con una DPCO con licencia NITDA
- Procedimientos de derechos del interesado documentados
- Evaluación de transferencia transfronteriza completada: SCC u otro mecanismo establecido
- Medidas de seguridad implementadas (cifrado, control de acceso, registro de auditoría)
- EIPD realizada para actividades de procesamiento de alto riesgo
- [] Procedimiento de notificación de incumplimiento documentado (notificación NDPC de 72 horas)
- Se completó la capacitación de los empleados sobre las obligaciones de la NDPA
- Acuerdos de procesador (Acuerdos de Procesamiento de Datos) revisados y actualizados
Preguntas frecuentes
¿Sigue siendo relevante la NDPR ahora que se promulgó la NDPA 2023?
La NDPA 2023 reemplaza las disposiciones contradictorias de la NDPR. Sin embargo, la NDPC ha indicado que la orientación y los mecanismos de cumplimiento de la NDPR siguen siendo aplicables durante el período de transición. Es importante destacar que el requisito de auditoría anual, una de las características más distintivas de la NDPR, continúa bajo la NDPA. Las organizaciones que construyeron sus programas de cumplimiento en torno a la NDPR deben revisar la NDPA para detectar obligaciones nuevas o mejoradas, particularmente en torno a los derechos de los interesados, los datos confidenciales, las transferencias transfronterizas y el requisito de DPO.
¿Qué es una Organización de Cumplimiento de Protección de Datos (DPCO) y por qué necesito una?
Una DPCO es una organización con licencia de NITDA/NDPC para proporcionar servicios de cumplimiento y auditoría de protección de datos. La auditoría anual de protección de datos requerida por la ley nigeriana debe ser realizada por una DPCO autorizada; la autoevaluación por sí sola no satisface el requisito. Las DPCO revisan sus prácticas de protección de datos, emiten un informe de cumplimiento y presentan la auditoría ante el NDPC en su nombre. Una lista de DPCO con licencia está disponible en los sitios web de NITDA y NDPC. Para las empresas extranjeras con operaciones en Nigeria, contratar una DPCO es esencial para cumplir con la obligación de auditoría anual.
¿Qué significa "responsable del tratamiento de datos de mayor importancia" y cuáles son las obligaciones adicionales?
Los responsables del tratamiento de datos de mayor importancia se definen como aquellos que procesan datos personales de más de 10.000 interesados por mes, o que procesan datos personales sensibles como actividad principal. Las obligaciones adicionales para estas entidades incluyen: nombramiento obligatorio de DPO, registro en el NDPC (separado del registro tipo VERBİS), requisitos de auditoría anual mejorados y posibles presentaciones de cumplimiento adicionales. Es probable que las medianas y grandes empresas de comercio electrónico, las empresas de servicios financieros, las plataformas de salud y los operadores de telecomunicaciones califiquen como controladores de datos de gran importancia.
¿Cómo se compara la NDPA de Nigeria con el RGPD?
La NDPA se basa en gran medida en el RGPD en cuanto a estructura y contenido: seis bases legales, las mismas categorías de datos confidenciales (más datos biométricos y genéticos), derechos similares de los interesados, requisitos de DPO, obligaciones de DPIA y notificación de incumplimiento. Key differences: (1) Nigeria's mandatory annual external audit has no GDPR equivalent; (2) las determinaciones de adecuación del NDPC están menos desarrolladas que el marco de adecuación de la Comisión de la UE; (3) la infraestructura de aplicación de la ley de Nigeria es más nueva y aún está en desarrollo; (4) Las sanciones de la NDPA son generalmente más bajas en términos absolutos que los máximos del RGPD para las grandes empresas; (5) Las normas de transferencia transfronteriza de Nigeria están estructuradas de manera similar al RGPD, pero los mecanismos específicos difieren en su implementación.
¿Se aplica la NDPA a las empresas nigerianas que operan en el extranjero?
Sí. La NDPA se aplica a las entidades nigerianas independientemente de dónde se realice el procesamiento. Una empresa nigeriana con infraestructura de nube en el extranjero, filiales en el extranjero u operaciones internacionales sigue sujeta a la NDPA para el procesamiento de datos de personas nigerianas. Por el contrario, las entidades extranjeras que procesan datos de nigerianos dentro de Nigeria u ofrecen bienes o servicios a nigerianos también están sujetas a las disposiciones extraterritoriales de la NDPA. Esto crea una doble obligación para las multinacionales nigerianas: el cumplimiento de la NDPA para los datos nigerianos más el cumplimiento de las leyes de cada país donde operan.
Próximos pasos
El panorama de protección de datos de Nigeria está madurando rápidamente: la NDPA 2023 establece un marco legal más sólido y la NDPC desarrolla capacidad de aplicación. Para las empresas con operaciones en Nigeria, ya sean empresas locales o firmas internacionales que prestan servicios en el mercado nigeriano, es esencial crear un programa de cumplimiento integral que satisfaga tanto los requisitos continuos de la NDPA como de la NDPR.
ECOSIRE ayuda a las empresas que operan en África a navegar los requisitos de cumplimiento de la NDPA de Nigeria, implementar la protección de datos desde el diseño y establecer los marcos de gobernanza requeridos por la NDPC.
Más información: Servicios ECOSIRE
Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. El marco de protección de datos de Nigeria está evolucionando a medida que el NDPC publica directrices y regulaciones de implementación. Consulte a un asesor legal nigeriano calificado para obtener asesoramiento específico para su organización.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Más de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.