Arabia Saudita PDPL: Cumplimiento de la protección de datos personales

La Ley de Protección de Datos Personales de Arabia Saudita (PDPL), promulgada por el Real Decreto M/19 el 16 de septiembre de 2021 y entró en vigor el 17 de septiembre de 2023, representa la primera legislación integral de protección de datos del Reino. Administrado por la Autoridad Saudita de Datos e Inteligencia Artificial (SDAIA), el PDPL se aplica a las organizaciones que procesan datos personales de residentes sauditas y tiene implicaciones significativas para las empresas que operan en el mercado saudita o prestan servicios en él.

El PDPL estuvo acompañado de su Reglamento de Implementación (emitido por SDAIA en marzo de 2023), que proporciona requisitos detallados sobre medidas técnicas y organizativas, procesos de derechos de los interesados ​​y condiciones de transferencia de datos transfronteriza. El incumplimiento puede dar lugar a multas de hasta 5 millones de SAR (1,33 millones de dólares) y un año de prisión por infracciones penales.

Conclusiones clave

• La PDPL saudita se aplica a cualquier procesamiento de datos personales de personas físicas en Arabia Saudita, independientemente de dónde se encuentre la entidad procesadora.
• Existen ocho bases legales para el procesamiento; El consentimiento debe ser explícito, específico, informado y verificable.
• Los datos sensibles (salud, genéticos, crediticios, antecedentes penales, biométricos, orientación sexual) requieren consentimiento explícito o excepciones legales específicas.
• Las transferencias transfronterizas requieren la aprobación de la SDAIA o salvaguardias específicas: la localización de datos es un desafío de cumplimiento importante
• Los derechos de los interesados incluyen acceso, corrección, eliminación, portabilidad y objeción, con plazos de respuesta de 30 días
• El nombramiento de DPO es obligatorio para determinadas organizaciones que procesan datos confidenciales a escala
• SDAIA puede imponer multas de hasta 5 millones de SAR y los poderes regulatorios incluyen la suspensión del procesamiento de datos
• El PDPL se aplica junto con regulaciones sectoriales específicas del Banco Central Saudita (SAMA) y otros reguladores.

---

Alcance y aplicabilidad del PDPL

¿Quién debe cumplir?

El PDPL saudí (Real Decreto M/19 de 1443 AH/2021) se aplica a:

1. Procesamiento en Arabia Saudita: cualquier entidad que procese datos personales dentro del territorio saudita.
2. Procesamiento de datos de residentes sauditas: Entidades fuera de Arabia Saudita que procesan datos personales de personas que residen en Arabia Saudita
3. Procesamiento con fines basados en Arabia Saudita: Procesamiento relacionado con la oferta de bienes o servicios a personas en Arabia Saudita

Este alcance extraterritorial significa que las empresas internacionales que prestan servicios a clientes sauditas (incluidas plataformas de comercio electrónico, proveedores de SaaS y servicios digitales) deben cumplir con la PDPL.

Definiciones clave:

• Datos personales: Cualquier dato que conduzca a la identificación de un individuo en particular, o permita identificarlo, incluyendo nombre, número de identificación personal, dirección, números de contacto y cualquier otro dato que identifique al individuo.
• Datos personales sensibles: datos de salud, datos genéticos, datos crediticios y financieros, datos relacionados con personas con necesidades especiales, antecedentes penales, datos biométricos, datos que revelen orígenes raciales o étnicos, creencias religiosas y datos relacionados con la vida privada, incluida la orientación sexual.

Exenciones

El PDPL no se aplica a:

• Datos personales en poder de autoridades gubernamentales con fines de seguridad o judiciales.
• Datos de personas fallecidas (sin disposiciones sobre derechos de familiares)
• Datos personales tratados con fines personales o familiares
• Datos anonimizados de una manera que imposibilita la reidentificación.

---

Bases Legales para el Tratamiento

El Reglamento de Ejecución del PDPL establece las bases legales para el procesamiento de datos personales. Los responsables del tratamiento deben documentar la base jurídica aplicable a cada actividad de tratamiento:

Requisitos de consentimiento según PDPL:

• Debe ser explícito y específico para el propósito del procesamiento.
• No se puede combinar con otros consentimientos
• Debe estar en un lenguaje sencillo, sin jerga técnica.
• La retirada debe ser tan fácil como dar el consentimiento
• Se debe mantener un registro de consentimiento.
• El marketing y la publicidad requieren un consentimiento explícito y por separado.

Datos confidenciales: el procesamiento requiere consentimiento explícito o se enmarca en uno de los siguientes: obligación legal, protección de los intereses vitales del interesado o de otros, necesidad médica con obligaciones de confidencialidad de la atención médica, procesamiento en relación con procedimientos legales o investigación científica con las garantías adecuadas.

---

Derechos del interesado

El PDPL otorga a los titulares de los datos los siguientes derechos, con un plazo general de respuesta de 30 días** (ampliable a 30 días adicionales previa notificación):

Derecho a ser informado: Los interesados ​​deben ser informados de las actividades de procesamiento antes o en el momento de la recopilación de datos. Los responsables del tratamiento deben revelar: identidad y datos de contacto, finalidades, base jurídica, categorías de datos, período de conservación, derechos de los interesados, información sobre transferencias transfronterizas.

Derecho de acceso: Los interesados ​​pueden solicitar confirmación sobre si sus datos están siendo tratados y obtener una copia. La respuesta debe entregarse dentro de los 30 días; una copia gratuita cada 12 meses (se permiten tarifas por copias adicionales).

Derecho de corrección: Los interesados ​​pueden solicitar la corrección de datos personales inexactos o desactualizados.

Derecho de supresión: Los interesados ​​pueden solicitar la eliminación cuando: se haya cumplido la finalidad, se haya retirado el consentimiento (sin otra base legal), se hayan recopilado datos de forma ilícita o exista una obligación legal que requiera su eliminación. Las excepciones incluyen la obligación legal de retener, el ejercicio de derechos legales y la investigación de interés público.

Derecho a la portabilidad: Los interesados ​​pueden solicitar sus datos en un formato estructurado y legible por máquina para su transmisión a otro responsable del tratamiento.

Derecho de oposición: los interesados ​​pueden oponerse al procesamiento basándose en intereses legítimos (el responsable del tratamiento debe demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado).

Derecho a restringir la toma de decisiones automatizada: los interesados ​​pueden solicitar una revisión humana de decisiones automatizadas importantes.

---

Obligaciones del responsable y del encargado del tratamiento

Requisitos del aviso de privacidad

Los responsables del tratamiento deben proporcionar un aviso de privacidad claro y accesible que cubra:

• Nombre de la entidad e información de contacto.
• Categorías de datos personales recopilados
• Finalidades y bases legales del tratamiento
• Cómo se utilizan, divulgan y transfieren los datos
• Plazos de conservación de los datos
• Derechos del interesado y cómo ejercerlos
• Información sobre cualquier transferencia transfronteriza.
• Información de contacto del DPO (si está designado)

Los avisos de privacidad deben estar en árabe para las operaciones con sede en Arabia Saudita (el requisito de traducción se aplica a las empresas que prestan servicios a los consumidores sauditas).

Delegado de Protección de Datos (DPO)

Según el Reglamento de Ejecución del PDPL, el nombramiento de un DPO es obligatorio para:

• Responsables del tratamiento de datos personales sensibles a gran escala
• Responsables del tratamiento que realicen un seguimiento sistemático a gran escala de los interesados
• Autoridades públicas (con excepciones)

El DPO debe:

• Tener conocimientos expertos en protección de datos y seguridad de la información.
• Reportar directamente a la alta dirección.
• Actuar como punto de contacto para SDAIA y los interesados
• Monitorear el cumplimiento del PDPL.
• Brindar asesoramiento sobre EIPD.

Los datos de contacto del DPO deben divulgarse en el aviso de privacidad.

Evaluaciones de impacto de la protección de datos (EDIP)

Los Reglamentos de Implementación exigen EIPD antes de procesar actividades que puedan resultar en un alto riesgo para los interesados, incluyendo:

• Procesamiento a gran escala de datos confidenciales.
• Elaboración de perfiles sistemáticos de los interesados.
• Procesamiento que involucra tecnologías novedosas
• Procesamiento de datos infantiles a escala.

La documentación de la DPIA debe conservarse y ponerse a disposición de la SDAIA cuando la solicite.

Requisitos de seguridad

Los responsables del tratamiento deben implementar medidas técnicas y organizativas acordes con la sensibilidad de los datos y los riesgos del procesamiento, incluyendo:

• Cifrado de datos en almacenamiento y transmisión.
• Controles de acceso con principio de privilegio mínimo.
• Registro de auditoría para el acceso a datos personales
• Pruebas periódicas de seguridad y evaluaciones de vulnerabilidad.
• Procedimientos de respuesta a incidentes
• Continuidad del negocio y recuperación ante desastres de sistemas de datos personales.
• Evaluación de seguridad del proveedor y requisitos contractuales.

---

Transferencias de datos transfronterizas

El artículo 29 de la PDPL impone importantes restricciones a la transferencia de datos personales fuera de Arabia Saudita. Este es uno de los aspectos más desafiantes desde el punto de vista operativo del cumplimiento de la PDPL.

Mecanismos de transferencia permitidos:

1. Aprobación SDAIA: Transferencia sujeta a la aprobación previa de SDAIA y las condiciones que ésta especifique.
2. Protección adecuada: Transferencia a un país con un nivel adecuado de protección de datos (SDAIA mantiene una lista aprobada)
3. Salvaguardias contractuales: Transferencia bajo contratos que brinden protección adecuada y cumplan con los requisitos de SDAIA
4. Reglas corporativas vinculantes: Transferencias intragrupo según reglas corporativas vinculantes aprobadas
5. Consentimiento: Consentimiento explícito e informado del titular de los datos
6. Necesidad del contrato: Transferencia necesaria para la ejecución del contrato con el interesado
7. Intereses vitales: Transferencia necesaria para proteger intereses vitales cuando no se puede obtener el consentimiento
8. Interés público: Transferencia requerida por interés público con las salvaguardias adecuadas

Consideraciones sobre localización de datos: Las regulaciones sectoriales específicas de la SAMA (Autoridad Monetaria de Arabia Saudita), la Comisión de Comunicaciones, Espacio y Tecnología (CST) y el Ministerio de Salud imponen requisitos de localización de datos para datos financieros, de telecomunicaciones y de salud. Los proveedores de nube deben mantener centros de datos dentro de Arabia Saudita para ciertas categorías de datos regulados.

Impacto práctico: Muchas empresas multinacionales con operaciones en Arabia Saudita han implementado soluciones de residencia de datos, utilizando regiones de nube con sede en Arabia Saudita (disponibles en AWS, Azure y Google Cloud), para evitar el cumplimiento complejo de transferencias transfronterizas.

---

Notificación de infracción

El artículo 20 de la PDPL exige que los controladores notifiquen a SDAIA sobre las violaciones de datos personales dentro de las 72 horas de descubrir una violación que representa un riesgo para los derechos o intereses de los interesados.

Contenido de notificación de incumplimiento requerido:

• Naturaleza y circunstancias del incumplimiento
• Categorías y número aproximado de interesados afectados
• Categorías y número aproximado de registros afectados
• Nombre y datos de contacto del DPO u otro contacto
• Posibles consecuencias del incumplimiento
• Medidas adoptadas o previstas para abordar el incumplimiento

Notificación a los interesados: se requiere sin demoras indebidas cuando es probable que la violación resulte en un alto riesgo para los derechos o libertades de los interesados. La notificación debe incluir: qué sucedió, qué datos se vieron afectados, medidas que los interesados ​​pueden tomar para protegerse e información de contacto para consultas adicionales.

---

Aplicación y sanciones de SDAIA

Poderes regulatorios

SDAIA tiene amplios poderes regulatorios según el PDPL:

• Emitir guías y regulaciones.
• Investigación de quejas de los interesados.
• Realización de auditorías a los responsables del tratamiento.
• Imponer sanciones administrativas
• Suspensión de actividades de procesamiento que violen la PDPL
• Remitir violaciones penales al Ministerio Público.

Sanciones

Sanciones administrativas:

• Multa de hasta 1 millón de SAR (267 000 USD) por violaciones de los derechos del interesado o de las obligaciones del responsable del tratamiento
• Multa de hasta 5 millones de SAR (1,33 millones de dólares) por infracciones que involucren datos personales confidenciales.
• Multa de hasta 5 millones de SAR por infracciones en materia de transferencias transfronterizas
• Las multas pueden duplicarse en caso de reincidencia en un plazo de dos años.

Sanciones penales:

• Revelar o publicar datos confidenciales sin autorización: pena de prisión de hasta dos años y/o multa de hasta 3 millones de SAR
• Transferencia de datos fuera de Arabia Saudita para dañar intereses nacionales: prisión de hasta un año y/o multa de hasta 1 millón de SAR

Divulgación pública: SDAIA puede publicar información sobre violaciones y sanciones, con importantes implicaciones para la reputación en el concentrado mercado empresarial de Arabia Saudita.

---

Interacción con otras regulaciones sauditas

Marco de ciberseguridad SAMA

El Banco Central Saudita (SAMA) tiene su propio Marco de Ciberseguridad (SAMACF) aplicable a todas las entidades reguladas por SAMA (bancos, compañías de seguros, compañías financieras). El marco incluye:

• Requisitos de clasificación y protección de datos alineados con PDPL
• Requisitos de notificación y respuesta a incidentes
• Obligaciones de gestión de riesgos de terceros
• Requisitos de evaluación del proveedor de servicios en la nube.

Las entidades reguladas por SAMA deben cumplir tanto con SAMACF como con PDPL, prevaleciendo el requisito más estricto.

Reglamento de Protección de Datos Personales CST (Telecomunicaciones)

La Comisión de Comunicaciones, Espacio y Tecnología ha emitido requisitos de protección de datos específicos de las telecomunicaciones, incluida la protección de datos de los suscriptores, restricciones de datos de ubicación y localización de datos para operadores de telecomunicaciones.

Reglamento del Sector Salud

El Ministerio de Salud y el Consejo de Salud de Arabia Saudita han emitido requisitos de protección de datos de atención médica que exigen: consentimiento del paciente para compartir datos, localización de datos para registros médicos, estándares de seguridad específicos para sistemas de información de salud y restricciones en el uso de datos de salud con fines comerciales.

---

Lista de verificación de cumplimiento de PDPL saudita

• Análisis de aplicabilidad del PDPL completado (incluido el alcance extraterritorial)
• Inventario de datos personales y datos sensibles completado
• Base jurídica documentada para cada actividad de procesamiento
• Consentimiento explícito separado obtenido para el procesamiento de datos sensibles
• [] Aviso de privacidad publicado en árabe (para usuarios sauditas) con todas las divulgaciones requeridas
• DPO designado cuando sea necesario; información de contacto en aviso de privacidad
• Procedimientos de derechos de los interesados documentados con mecanismo de respuesta de 30 días
• Acuerdos de procesador actualizados con los requisitos de PDPL
• Evaluación de transferencia transfronteriza completada: mecanismos aprobados por SDAIA implementados
• Evaluación de localización de datos para sectores regulados (finanzas, salud, telecomunicaciones)
• EIPD realizada para actividades de procesamiento de alto riesgo
• Medidas de seguridad implementadas proporcionales a la sensibilidad de los datos.
• Procedimiento de notificación de incumplimiento de 72 horas documentado y probado
• [] Programas de retención documentados y eliminación automática configurada
• Se completó la capacitación de los empleados sobre las obligaciones del PDPL.

---

Preguntas frecuentes

¿Cuándo entró en vigor la PDPL de Arabia Saudita?

El PDPL fue promulgado mediante el Real Decreto M/19 en septiembre de 2021 y su Reglamento de Implementación se publicó en marzo de 2023. Su aplicación comenzó el 17 de septiembre de 2023, dos años después de la promulgación de la ley. Inicialmente, la SDAIA indicó un período de gracia para la preparación del cumplimiento, pero la aplicación de la ley ahora está activa. Las empresas que aún no han iniciado programas de cumplimiento enfrentan un riesgo regulatorio real.

¿Se aplica la PDPL saudita a mi negocio fuera de Arabia Saudita?

Sí, si procesas datos personales de personas físicas residentes en Arabia Saudita. El alcance extraterritorial es similar al enfoque del GDPR: si ofrece bienes o servicios a residentes sauditas, o procesa datos de residentes sauditas para cualquier propósito, se aplica la PDPL. Esto incluye empresas de comercio electrónico, proveedores de SaaS, servicios digitales y cualquier empresa con empleados saudíes (para sus datos laborales).

¿Cuáles son los requisitos de localización de datos en Arabia Saudita?

El PDPL en sí no impone una localización general de datos: permite transferencias transfronterizas a través de mecanismos aprobados. Sin embargo, las regulaciones específicas del sector crean importantes requisitos de localización: las instituciones financieras reguladas por SAMA deben mantener los datos financieros de los clientes dentro de Arabia Saudita; los datos de salud deben almacenarse dentro de Arabia Saudita para las entidades de salud reguladas; Los datos de los suscriptores de telecomunicaciones tienen requisitos de residencia específicos. Los proveedores de nube AWS, Microsoft Azure y Google Cloud han establecido regiones de nube en Arabia Saudita para abordar estos requisitos.

¿Cómo interactúa PDPL con GDPR para empresas multinacionales?

Las empresas multinacionales sujetas tanto al RGPD como al PDPL saudita deben cumplir ambos marcos simultáneamente. Comparten principios similares, pero difieren en detalles: los requisitos de consentimiento de PDPL, los mecanismos de transferencia transfronteriza y los plazos de notificación de incumplimiento tienen requisitos específicos de Arabia Saudita. El principal desafío práctico son los flujos de datos transfronterizos: los datos que fluyen desde Arabia Saudita a los países de la UE no cumplen automáticamente con el PDPL saudita solo porque el GDPR se aplica en el destino. Cada transferencia debe ser evaluada bajo los mecanismos del PDPL.

¿Qué es SDAIA y qué autoridad tiene?

SDAIA (Autoridad Saudita de Datos e Inteligencia Artificial) es el organismo gubernamental responsable de supervisar los datos y la inteligencia artificial en Arabia Saudita. Establecida en 2019, SDAIA administra el PDPL y tiene amplios poderes regulatorios, de investigación y de aplicación. Emite directrices y reglamentos, investiga denuncias, realiza auditorías, impone multas administrativas y remite las infracciones penales al Ministerio Público. SDAIA también gestiona el Marco Nacional de Gobernanza de Datos y supervisa el desarrollo de la economía de datos de Arabia Saudita.

---

Próximos pasos

La creciente economía digital de Arabia Saudita y la transformación de Visión 2030 están creando importantes oportunidades comerciales junto con requisitos regulatorios cada vez más estrictos. El cumplimiento de PDPL se está convirtiendo en un requisito previo para hacer negocios con entidades gubernamentales, bancos, organizaciones de atención médica y clientes empresariales de Arabia Saudita.

ECOSIRE ayuda a las organizaciones a navegar por el cumplimiento de la PDPL saudita junto con otros requisitos regionales de protección de datos. Nuestros servicios incluyen evaluaciones de brechas de cumplimiento, diseño de programas de privacidad, implementación técnica y gestión continua del cumplimiento.

Más información: Servicios ECOSIRE

Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Los requisitos de PDPL sauditas están evolucionando a través de la orientación de la SDAIA y las decisiones de aplicación. Consulte a un asesor legal saudita calificado para obtener asesoramiento específico para su organización.