Parte de nuestra serie Compliance & Regulation
Leer la guía completaLey de protección de datos de los EAU: Guía de cumplimiento empresarial
Los Emiratos Árabes Unidos han desarrollado uno de los marcos de protección de datos más sofisticados de Medio Oriente, con múltiples leyes superpuestas que rigen la protección de datos en jurisdicciones federales, de zonas francas y de sectores específicos. Comprender qué ley se aplica a su negocio y garantizar el cumplimiento en todos los regímenes aplicables es esencial para operar legalmente en la economía digital de rápido crecimiento de los EAU.
La principal legislación de protección de datos de los EAU incluye: el Decreto-Ley Federal N.° 45/2021 sobre Protección de Datos Personales (PDPL), vigente a partir de septiembre de 2021, la Ley de Protección de Datos DIFC de 2020 (para empresas en el Centro Financiero Internacional de Dubai), el Reglamento de Protección de Datos ADGM de 2021 (para empresas en el Mercado Global de Abu Dhabi) y regulaciones específicas del sector que cubren atención médica, telecomunicaciones y servicios financieros.
Conclusiones clave
- El PDPL de los EAU (Decreto-Ley Federal N° 45/2021) se aplica al procesamiento de datos personales en los EAU con alcance extraterritorial
- Las zonas francas DIFC y ADGM tienen sus propias leyes independientes de protección de datos basadas en el RGPD
- La PDPL de los EAU proporciona ocho bases legales para el procesamiento; El consentimiento y los intereses legítimos son los más utilizados.
- Los derechos del interesado incluyen acceso, rectificación, supresión, portabilidad, retirada del consentimiento y oposición.
- Las transferencias de datos transfronterizas requieren una determinación de idoneidad o salvaguardias apropiadas
- La Oficina de Datos de los EAU (UAEDO) es la autoridad supervisora federal; Comisionado DIFC y Autoridad Reguladora ADGM supervisan sus respectivas zonas francas
- Las sanciones previstas en el PDPL incluyen multas de hasta 20 millones de AED (5,4 millones de dólares) y prisión por determinadas infracciones.
- Los datos sanitarios, los datos financieros y los datos biométricos reciben una mayor protección como datos confidenciales.
Marco de protección de datos de los EAU: jurisdicciones superpuestas
PDPL federal (EAU continental)
El Decreto-Ley Federal N° 45/2021 de Protección de Datos Personales (comúnmente llamado PDPL o DPL de los EAU) se aplica a:
- Personas físicas residentes en los EAU
- Cualquier entidad que procese datos personales en los EAU o sobre residentes de los EAU, independientemente de dónde se produzca el procesamiento
- Personas jurídicas que procesan datos personales dentro del territorio de los EAU
El PDPL fue complementado por la Decisión del Gabinete de Reglamento Ejecutivo N° 33/2022, que proporciona requisitos de implementación detallados. La Oficina de Datos de los EAU (UAEDO) supervisa el cumplimiento, los requisitos de registro y la emisión de directrices.
Ley de Protección de Datos DIFC 2020 (Ley DP)
El Centro Financiero Internacional de Dubái (DIFC) es una zona franca independiente con su propio sistema jurídico basado en el derecho consuetudinario inglés. La Ley de Protección de Datos del DIFC de 2020, administrada por el Comisionado de Protección de Datos del DIFC, refleja fielmente el RGPD en estructura y requisitos. Se aplica a:
- Entidades registradas en el DIFC que procesan datos personales
- Entidades ajenas al DIFC que traten datos de personas físicas en el DIFC
Reglamento de Protección de Datos ADGM 2021
La zona franca del Mercado Global de Abu Dhabi (ADGM) sigue un enfoque similar al DIFC, con regulaciones de protección de datos administradas por la Autoridad de Registro de ADGM. Estas regulaciones también siguen de cerca los principios del RGPD.
Implicación práctica: Una empresa que opera desde Dubai continental con una filial registrada en DIFC y una sucursal de ADGM potencialmente enfrenta obligaciones bajo los tres regímenes simultáneamente. Comprender la estructura de su entidad legal es el punto de partida para el mapeo de cumplimiento.
PDPL de los EAU: Obligaciones fundamentales
Definición y categorías de datos personales
Según la PDPL de los EAU, datos personales significa cualquier dato que conduzca a la identificación de una persona física, directa o indirectamente, ya sea por su nombre, voz, imagen, número de identificación o cualquier otra característica o dato relacionado con la identidad física, psicológica, económica, cultural o social.
Los datos personales confidenciales (que requieren mayor protección) incluyen:
- Datos relacionados con el origen familiar o racial
- Opiniones políticas
- Creencias religiosas o filosóficas
- Datos relacionados con antecedentes penales
- Datos biométricos
- Datos de salud
- Datos relacionados con niños
El procesamiento de datos sensibles requiere un consentimiento explícito o está sujeto a exenciones específicas (obligación legal, necesidad médica, intereses vitales).
Bases Legales para el Tratamiento
El artículo 5 del PDPL de los EAU reconoce ocho bases jurídicas:
- Consentimiento explícito del interesado
- Ejecución del contrato con el interesado
- Cumplimiento de obligación legal
- Protección de intereses vitales del interesado o de un tercero
- Interés público o ejercicio del poder oficial
- Intereses legítimos del responsable del tratamiento o de un tercero (a menos que prevalezcan los intereses del interesado)
- Establecimiento, ejercicio o defensa de reclamaciones legales
- Fines de archivo, investigación o estadísticos en interés público
Requisitos de consentimiento: Según la PDPL de los EAU, el consentimiento debe ser explícito, específico, informado y verificable. El responsable del tratamiento debe poder demostrar que se obtuvo el consentimiento. Retirar el consentimiento debe ser tan fácil como otorgarlo, y el procesamiento basado en el consentimiento debe cesar al retirarlo.
Derechos del interesado
La PDPL de los EAU otorga a los interesados derechos que deben cumplirse en un plazo de 30 días (prorrogables con justificación):
| Derecha | Descripción |
|---|---|
| Derecho de acceso | Obtener una copia de los datos personales que se están procesando |
| Derecho a la corrección | Corregir datos inexactos o incompletos |
| Derecho de supresión | Eliminar datos en determinadas circunstancias (consentimiento revocado, tratamiento ilícito) |
| Derecho a la restricción | Restringir el procesamiento pendiente de resolución de disputas |
| Derecho a la portabilidad | Recibir datos en un formato estructurado y legible por máquina |
| Derecho a retirar el consentimiento | Retirar el consentimiento en cualquier momento sin que ello afecte al tratamiento previo |
| Derecho de oposición | Oponerse al tratamiento basado en intereses legítimos |
| Derecho a no ser objeto de decisiones automatizadas | Oponerse a decisiones totalmente automatizadas con efectos significativos |
Ejercicio de derechos: Los responsables del tratamiento deben establecer canales claros para recibir y responder a las solicitudes de derechos. Las negativas deben documentarse con justificación.
Obligaciones del responsable y del encargado del tratamiento
Obligaciones del controlador
Registro en UAEDO: Es posible que las empresas que procesan datos personales deban registrarse en la Oficina de Datos de los EAU. La UAEDO está desarrollando requisitos de registro a través de regulaciones adicionales: monitoree la guía de la UAEDO para conocer los requisitos actuales.
Aviso de Privacidad: Debe proporcionarse a los interesados en el momento de la recopilación o antes, divulgando:
- Identidad y datos de contacto del responsable del tratamiento.
- Finalidades y base jurídica del tratamiento
- Categorías de datos personales recopilados
- Plazos de conservación de los datos
- Derechos del interesado y cómo ejercerlos
- Información sobre transferencias transfronterizas
- Si el suministro de datos es obligatorio o voluntario
Delegado de Protección de Datos: La PDPL de los EAU exige el nombramiento de un Delegado de Protección de Datos (DPO) para:
- Organismos públicos
- Responsables o encargados del tratamiento cuyas actividades principales requieran un seguimiento sistemático a gran escala de las personas
- Responsables o encargados del tratamiento cuyas actividades principales impliquen el procesamiento a gran escala de datos sensibles
Las empresas privadas que no cumplan estos criterios aún pueden beneficiarse del nombramiento de un DPO con fines de gobernanza.
Medidas de seguridad: Implementar medidas de seguridad técnicas y organizativas apropiadas considerando la naturaleza, el alcance, el contexto y los fines del procesamiento, y los riesgos para los derechos de los interesados.
Acuerdos de procesador
Los procesadores deben procesar datos únicamente siguiendo instrucciones documentadas del controlador. Los acuerdos entre responsables y encargados deben cubrir:
- Instrucciones y alcance del procesamiento de datos.
- Obligaciones de confidencialidad
- Requisitos de seguridad
- Restricciones del subprocesador
- Asistencia con los derechos de los interesados
- Obligaciones de devolución o supresión de datos
Reglas de transferencia de datos transfronteriza
El artículo 22 de la PDPL de los EAU restringe las transferencias de datos personales fuera de los EAU. Mecanismos de transferencia permitidos:
| Mecanismo | Requisitos |
|---|---|
| Decisión de adecuación | Transferencia a país con nivel de protección adecuado (según determinación de la UAEDO) |
| Salvaguardias adecuadas | Cláusulas contractuales tipo o normas corporativas vinculantes |
| Normas corporativas vinculantes | Para transferencias intragrupo entre afiliados |
| Consentimiento explícito | Consentimiento informado del interesado |
| Necesidad del contrato | Transferencia necesaria para la ejecución del contrato entre el interesado y el responsable del tratamiento |
| Procedimientos judiciales | Transferencia necesaria para reclamaciones legales |
| Intereses vitales | Transferencia necesaria para proteger intereses vitales |
Decisiones de adecuación de la UAEDO: La UAEDO está desarrollando la lista de países con protección de datos adecuada. A principios de 2026, todavía se está estableciendo la lista formal de idoneidad. En la práctica, muchas empresas de los EAU utilizan cláusulas contractuales para transferencias transfronterizas.
Consideraciones de zona franca: DIFC y ADGM tienen sus propios mecanismos de transferencia. La ley de protección de datos del DIFC reconoce las transferencias a países adecuados (incluidos los países adecuados para el RGPD), normas corporativas vinculantes y cláusulas contractuales estándar. El Comisionado del DIFC ha aprobado mecanismos de transferencia específicos.
Ley de protección de datos DIFC 2020: diferencias clave
Para las empresas que operan en el DIFC o a través de él, la Ley DIFC DP de 2020 se aplica directamente y está más alineada con el RGPD que la PDPL federal. Características clave:
Seis bases jurídicas (que coinciden con el RGPD): consentimiento, contrato, obligación legal, intereses vitales, tarea pública, intereses legítimos
Requisitos de consentimiento más estrictos: Se requiere consentimiento por escrito para el procesamiento de categorías especiales de datos personales; el consentimiento debe darse libremente (se aplica la consideración de desequilibrio de poder)
Notificación de violación de datos: notificación de 72 horas al Comisionado del DIFC; Notificación individual cuando el riesgo sea alto: igual que el calendario del RGPD.
Requisito de DPO: los mismos umbrales que el RGPD (monitoreo sistemático, datos de categorías especiales a gran escala, autoridad pública)
Multas: Hasta $100,000 USD por infracciones de Nivel 1; ilimitado para el Nivel 2 (violaciones graves, deliberadas o imprudentes)
Evaluaciones de impacto de la protección de datos: Requerido para procesamiento de alto riesgo (los mismos factores desencadenantes que el Artículo 35 del RGPD)
Requisitos de protección de datos específicos del sector
Datos sanitarios
La Ley de Datos Sanitarios de los EAU (Ley Federal N° 2/2019) y las regulaciones de la Autoridad Sanitaria de Dubai imponen requisitos adicionales a los datos sanitarios:
- Se requiere el consentimiento del paciente para compartir datos de atención médica (con excepciones específicas para salud pública e investigación)
- Los datos sanitarios deben almacenarse dentro de los EAU a menos que se autorice específicamente la transferencia transfronteriza
- Los registros médicos electrónicos deben cumplir estándares específicos de seguridad e interoperabilidad.
- La Autoridad Sanitaria de Dubai mantiene requisitos obligatorios de localización de datos para los datos sanitarios.
Servicios financieros
El Banco Central de los EAU y la Autoridad de Valores y Productos Básicos (SCA) tienen requisitos de protección de datos y ciberseguridad para las instituciones financieras. Los requisitos clave incluyen:
- Clasificación y protección de datos de clientes proporcional a la sensibilidad
- Notificación al cliente de violaciones de datos dentro de plazos definidos
- Restricciones a la hora de compartir datos financieros de clientes sin consentimiento
- Cumplimiento del marco de ciberseguridad (Marco de Ciberseguridad CBUAE para bancos)
Datos de telecomunicaciones
La Autoridad Reguladora de Telecomunicaciones (TRA) regula el procesamiento de datos personales por parte de proveedores de telecomunicaciones, incluidos:
- Protecciones de privacidad del suscriptor
- Restricciones de acceso al registro de detalles de llamadas
- Protecciones de datos de ubicación
- Requisitos de localización de datos para ciertos datos de telecomunicaciones
Notificación de infracción según la PDPL de los EAU
El artículo 16 de la PDPL de los EAU exige que los responsables del tratamiento notifiquen:
- Oficina de Datos de los EAU: dentro de las 72 horas posteriores a tener conocimiento de una violación de datos personales que probablemente resulte en daños a los interesados
- Interesados: Sin demoras indebidas si es probable que la violación resulte en un alto riesgo para sus derechos.
La notificación a la UAEDO deberá incluir:
- Naturaleza de la infracción
- Categorías y número aproximado de interesados afectados
- Categorías y número aproximado de registros de datos personales afectados
- Datos de contacto del DPO
- Posibles consecuencias del incumplimiento
- Medidas tomadas o propuestas para abordar el incumplimiento
Documentación: Incluso si no se requiere notificación (porque el riesgo para los interesados es poco probable), la violación debe documentarse internamente con hechos, efectos y acciones correctivas.
Sanciones y cumplimiento del PDPL
La Oficina de Datos de los EAU (UAEDO) tiene amplios poderes de ejecución que incluyen investigación, multas administrativas y remisión al Ministerio Público en asuntos penales.
Sanciones administrativas:
- Multas de hasta 5 millones de AED (1,36 millones de dólares) por violaciones de las obligaciones del responsable/procesador
- Multas de hasta 20 millones de AED (5,44 millones de dólares) por infracciones que involucren datos confidenciales o causen daño a los interesados.
Sanciones penales: La Ley Federal N° 34/2021 de Lucha contra los Rumores y los Ciberdelitos se superpone con la PDPL para determinados delitos relacionados con datos. Los delitos específicos relacionados con datos pueden dar lugar a penas de prisión y/o multas de hasta 3 millones de AED.
Multas del Comisionado del DIFC: Multas ilimitadas por infracciones graves; 100.000 dólares por infracciones menores. Históricamente, el DIFC ha aplicado activamente sus decisiones, publicándolas.
Lista de verificación de cumplimiento de la protección de datos de los EAU
- Ley aplicable determinada para cada entidad jurídica (PDPL federal, Ley DIFC DP, ADGM DPR o combinación)
- Inventario de datos personales completado en todos los sistemas
- Datos confidenciales identificados y mayores protecciones aplicadas
- Base jurídica documentada para cada actividad de procesamiento
- Aviso de privacidad publicado que cubre todas las divulgaciones requeridas
- DPO designado cuando sea necesario; información de contacto publicada
- Procedimientos de derechos de los interesados documentados (plazo de respuesta de 30 días)
- Acuerdos de procesador revisados y actualizados según los requisitos de PDPL
- Evaluación de transferencias transfronterizas completada: mecanismos establecidos
- Localización de datos sanitarios evaluada si corresponde
- Medidas de seguridad documentadas e implementadas proporcionalmente al riesgo
- Procedimiento de notificación de incumplimiento documentado (plazo de 72 horas)
- Se completó la capacitación de los empleados sobre las obligaciones PDPL/DIFC DP
- Registro UAEDO evaluado según la normativa vigente
Preguntas frecuentes
¿Qué ley de protección de datos de los EAU se aplica a mi negocio en zona franca?
Depende de tu zona franca. Las empresas registradas en el DIFC están sujetas a la Ley de Protección de Datos del DIFC de 2020, que es independiente de la PDPL federal. Las empresas en ADGM están sujetas a las Regulaciones de Protección de Datos de ADGM de 2021. Las empresas en otras zonas francas (JAFZA, DMCC, Dubai Internet City, etc.) generalmente están sujetas a la PDPL federal junto con las regulaciones propias de la zona franca. En muchos casos, particularmente para empresas con operaciones que abarcan la parte continental de los EAU y zonas francas, se aplican múltiples marcos.
¿El PDPL de los EAU requiere localización de datos?
El PDPL de los EAU en sí no impone requisitos generales de localización de datos: las transferencias transfronterizas están permitidas bajo las salvaguardias adecuadas. Sin embargo, las regulaciones específicas del sector (particularmente los servicios financieros y de salud) pueden imponer requisitos de localización para categorías de datos específicas. El marco de ciberseguridad del Banco Central de los EAU y las regulaciones de la Autoridad Sanitaria de Dubai imponen obligaciones de residencia de datos para ciertos datos regulados. Verifique siempre los requisitos específicos del sector además del PDPL.
¿Cómo se aplica la protección de datos de los EAU a los servicios en la nube?
Los proveedores de servicios en la nube que procesan datos personales de los EAU en nombre de empresas de los EAU son procesadores según la PDPL. Deben celebrar acuerdos de procesador con los controladores, implementar medidas de seguridad adecuadas y cumplir con los requisitos de transferencia transfronteriza si los datos se almacenan fuera de los EAU. Las empresas de los EAU que utilizan servicios en la nube deben verificar: la postura de cumplimiento de PDPL del proveedor de la nube, si existe un BAA/DPA y si la ubicación de almacenamiento de datos requiere mecanismos de transferencia transfronteriza.
¿Cuál es el enfoque de los EAU respecto de la IA y la toma de decisiones automatizada?
La PDPL de los EAU incluye el derecho a no estar sujeto a decisiones basadas únicamente en procesamiento automatizado que produzcan efectos legales significativos o efectos igualmente significativos, que requieran intervención humana a pedido. Los Emiratos Árabes Unidos también han desarrollado un marco de ética de la IA y la Estrategia de IA de Dubai 2031, que enfatizan la privacidad de los datos y la ética en la IA. Las empresas que utilizan la IA para tomar decisiones importantes (calificación crediticia, evaluación de recursos humanos, clasificación de clientes) deben evaluar tanto las obligaciones del PDPL como los requisitos de gobernanza de la IA específicos del sector.
¿Cómo se compara la protección de datos de los EAU con el RGPD?
La PDPL de los EAU comparte los principios fundamentales del RGPD (licitud, equidad, transparencia, limitación de finalidad, minimización de datos, exactitud, limitación de almacenamiento, seguridad, responsabilidad) y derechos similares de los interesados. Sin embargo, la PDPL es menos prescriptiva en algunas áreas: los plazos, los requisitos de calificación del DPO y los requisitos de la DPIA son menos detallados que el RGPD. La Ley DIFC DP de 2020 se acerca mucho más al RGPD en estructura y detalle. Las organizaciones sujetas tanto al RGPD como a la PDPL de los EAU encontrarán que el cumplimiento del RGPD constituye una base sólida para el cumplimiento de la PDPL, aunque se necesitan algunas adiciones específicas de los EAU.
Próximos pasos
El complejo entorno de protección de datos de múltiples niveles de los EAU (PDPL federal, DIFC, ADGM y regulaciones sectoriales) requiere un enfoque de cumplimiento estructurado que asigne obligaciones a cada entidad legal y flujo de datos relevantes. El equipo de ECOSIRE tiene experiencia en la gestión del cumplimiento en zonas francas de los EAU y entornos continentales, con experiencia particular en implementaciones de plataformas tecnológicas que cumplen múltiples requisitos regulatorios simultáneamente.
Comenzar: Servicios ECOSIRE
Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. Las leyes de protección de datos de los EAU están evolucionando y esta guía refleja los requisitos a partir de principios de 2026. Consulte a un asesor legal calificado de los EAU para obtener asesoramiento específico para su organización y jurisdicción.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Más de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.