Parte da nossa série Compliance & Regulation
Leia o guia completoNDPR da Nigéria: Conformidade com o Regulamento de Proteção de Dados
A Nigéria tem a maior economia e a nação mais populosa de África, o que a torna um mercado crítico para as empresas em todo o continente. O quadro de protecção de dados da Nigéria sofreu um desenvolvimento significativo: desde o Regulamento de Protecção de Dados da Nigéria (NDPR), emitido pela Agência Nacional de Desenvolvimento de Tecnologias de Informação (NITDA) em Janeiro de 2019, até à Lei de Protecção de Dados da Nigéria de 2023 (NDPA) — sancionada em 14 de Junho de 2023 — que estabeleceu a Comissão de Protecção de Dados da Nigéria (NDPC) como uma autoridade independente de protecção de dados e elevou a protecção de dados a lei estatutária.
Compreender tanto o NDPR (que permanece relevante para a conformidade transitória) como o novo quadro NDPA 2023 é essencial para qualquer organização com operações, funcionários ou clientes na Nigéria.
Principais conclusões
- A Lei de Proteção de Dados da Nigéria de 2023 (NDPA) substitui a NDPR e estabelece a NDPC como autoridade supervisora independente
- A NDPA aplica-se ao processamento de dados pessoais na Nigéria e extraterritorialmente, onde bens/serviços são oferecidos a nigerianos ou o comportamento de indivíduos nigerianos é monitorado
- Existem seis bases legais para processamento, sendo o consentimento a base principal para os dados do consumidor
- Dados pessoais sensíveis (saúde, biometria, raça, religião, opiniões políticas, orientação sexual) requerem consentimento explícito com exceções limitadas
- "Processadores de dados" e "controladores de dados de grande importância" enfrentam obrigações adicionais específicas, incluindo requisitos de auditoria e arquivamento de conformidade
- As restrições de transferência transfronteiriça exigem adequação, salvaguardas apropriadas ou consentimento
- A NDPC pode impor multas de até 2% da receita bruta anual ou ₦10 milhões, o que for maior, por infrações gerais; até ₦50 milhões para violações graves
- Todos os controladores de dados devem realizar auditorias anuais de proteção de dados com auditores licenciados pela NITDA
Estrutura de proteção de dados da Nigéria
De NDPR para NDPA
NDPR 2019 (Regulamento de Proteção de Dados da Nigéria): Emitido sob o mandato do NITDA, não como uma lei formal do Parlamento. Aplicado a pessoas singulares e entidades que tratam dados pessoais de residentes nigerianos. Princípios básicos de proteção de dados, direitos individuais e requisitos de conformidade estabelecidos, incluindo auditorias anuais obrigatórias por auditores licenciados pela NITDA.
NDPA 2023 (Lei de Proteção de Dados da Nigéria): Promulgada pela Assembleia Nacional e assinada pelo Presidente em 14 de junho de 2023. Estabelece a NDPC como um órgão estatutário independente; eleva as obrigações de proteção de dados ao direito primário; introduz novos direitos e obrigações; alinha-se mais estreitamente com o GDPR; substitui disposições conflitantes do NDPR.
Transição: A NDPC indicou que os mecanismos e orientações de conformidade da NDPR permanecem aplicáveis durante o período de transição. As organizações que estavam em conformidade com a NDPR deveriam analisar a NDPA para obrigações adicionais.
Escopo da NDPA
A NDPA aplica-se a:
- Processamento de dados pessoais na Nigéria
- Processamento de dados pessoais por entidades nigerianas, independentemente de onde o processamento ocorre
- Processamento por entidades estrangeiras onde bens/serviços são oferecidos a indivíduos na Nigéria, ou onde o comportamento de indivíduos na Nigéria é monitorado
Principais definições e categorias de dados
Dados pessoais: Qualquer informação relativa a um indivíduo identificável — direta ou indiretamente identificável por referência ao nome, número de identificação, dados de localização ou a um ou mais fatores específicos de identidade física, fisiológica, genética, mental, econômica, cultural ou social.
Dados pessoais confidenciais (Anexo 1 da NDPA): Requer proteção reforçada e consentimento explícito. As categorias incluem:
- Dados genéticos ou biométricos
- Registros médicos ou de saúde
- Raça ou origem étnica
- Crenças religiosas ou políticas
- Filiação sindical
- Orientação ou atividades sexuais
- Dados relativos a uma criança
Dados de crianças: proteções específicas se aplicam a dados de crianças (definidas como indivíduos menores de 18 anos de acordo com a lei nigeriana). É necessário o consentimento dos pais ou responsáveis para o processamento de dados pessoais de crianças. Mecanismos verificados de consentimento parental devem ser implementados para serviços online direcionados a crianças.
Bases Legais para Processamento
A Seção 25 da NDPA estabelece seis bases legais:
-
Consentimento: Indicação de concordância dada de forma livre, específica, informada e inequívoca. Deve ser retirado a qualquer momento sem prejuízo.
-
Contrato: Processamento necessário para a execução de um contrato com o titular dos dados, ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato.
-
Obrigação legal: Tratamento necessário para cumprir uma obrigação legal do responsável pelo tratamento.
-
Interesses vitais: Tratamento necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa.
-
Interesse público: Tratamento necessário ao desempenho de tarefa de interesse público ou ao exercício de mandato público oficial conferido ao controlador.
-
Interesses legítimos: Tratamento necessário para efeitos de interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro — exceto quando for substituído pelos direitos e liberdades fundamentais do titular dos dados. (Nota: Esta base não pode ser invocada por uma autoridade pública no desempenho das suas tarefas.)
Requisitos de consentimento: Devem ser específicos para cada finalidade de processamento; dado gratuitamente (sem condicionamento do contrato ao consentimento para processamento não essencial); registrado e demonstrável; tão fácil de retirar quanto de dar. Caixas pré-marcadas, silêncio ou inatividade não constituem consentimento válido.
Direitos do titular dos dados
A NDPA confere aos indivíduos os seguintes direitos, exercíveis sem demora injustificada por parte do responsável pelo tratamento:
| Certo | Padrão | Notas |
|---|---|---|
| Direito de ser informado | Durante ou antes da colheita | Avisos de cobrança obrigatórios |
| Direito de acesso | Sem demora injustificada | Pode solicitar cópia dos dados retidos |
| Direito à retificação | Sem demora injustificada | Corrigir dados imprecisos ou incompletos |
| Direito ao apagamento | Sem demora injustificada | Quando as condições de transformação já não se aplicam |
| Direito de restringir o processamento | Sem demora injustificada | Quando a exatidão for contestada ou houver objeção pendente |
| Direito à portabilidade dos dados | Sem demora injustificada | Formato legível por máquina, tecnicamente viável |
| Direito de oposição | Sem demora injustificada | Opor-se ao tratamento com base em interesses legítimos ou no interesse público |
| Direitos re. decisões automatizadas | Sem demora injustificada | Opor-se a decisões automatizadas significativas; solicitar revisão humana |
Prazos de resposta: A NDPA exige respostas "sem demora injustificada" — a orientação da NDPC indica 30 dias como um padrão razoável, com extensão para 60 dias para solicitações complexas se o titular dos dados for notificado nos primeiros 30 dias.
Obrigações do Controlador
Aviso de privacidade
Os controladores devem fornecer informações de privacidade durante ou antes da coleta:
- Identidade e dados de contacto do responsável pelo tratamento
- Dados de contacto do responsável pela proteção de dados (se aplicável)
- Finalidades e fundamentos legais do tratamento
- Destinatários ou categorias de destinatários de dados pessoais
- Transferências para países terceiros e salvaguardas
- Prazos de conservação ou critérios para a sua determinação
- Direitos do titular dos dados e como exercê-los
- Direito de retirar o consentimento (onde o consentimento é a base)
- Direito de apresentar reclamação junto da NDPC
Idioma: Os avisos de privacidade para operações na Nigéria devem ser em inglês (o idioma oficial da Nigéria) e podem precisar incluir traduções vernáculas para produtos voltados ao consumidor em áreas com populações significativas que não falam inglês.
Oficial de Proteção de Dados (DPO)
A NDPA exige a nomeação de um DPO para:
- Controladores ou processadores de dados de grande importância (definidos como aqueles que processam dados de mais de 10.000 titulares de dados por mês ou que processam dados confidenciais como atividade principal)
- Autoridades públicas
Responsabilidades do DPO:
- Informar e aconselhar sobre obrigações de proteção de dados
- Monitorar a conformidade com a NDPA e políticas internas
- Atuar como ponto de contato entre os titulares dos dados e o NDPC
- Cooperar com as investigações do NDPC
Auditoria Anual de Proteção de Dados
Um dos requisitos de conformidade mais distintos da Nigéria: todos os controladores de dados devem realizar e apresentar uma auditoria anual de proteção de dados junto ao NDPC (anteriormente NITDA sob NDPR). A auditoria deve ser conduzida por uma Organização de Conformidade de Proteção de Dados (DPCO) licenciada pela NITDA. O DPCO emite um relatório de auditoria que abrange as práticas de proteção de dados do responsável pelo tratamento, as lacunas de conformidade e as recomendações de remediação. Isso deve ser apresentado anualmente ao NDPC.
O escopo da auditoria abrange:
- Inventário de dados e mapeamento de fluxo
- Documentação de base legal
- Adequação do aviso de privacidade
- Medidas de segurança
- Procedimentos de direitos do titular dos dados
- Conformidade de transferência transfronteiriça
- Procedimentos de notificação de violação
- Treinamento de pessoal
Custo: Os honorários de auditoria variam de acordo com o DPCO; espere ₦500.000–₦5.000.000+ dependendo do tamanho e complexidade da organização.
Avaliações de impacto na proteção de dados (DPIAs)
A Seção 30 exige DPIAs para atividades de processamento de alto risco, incluindo:
- Avaliação sistemática de aspectos pessoais usando processamento automatizado, criação de perfis ou previsões
- Processamento em grande escala de dados pessoais sensíveis
- Monitoramento sistemático de áreas acessíveis ao público em grande escala
Requisitos de segurança
A Seção 38 da NDPA exige medidas de segurança técnicas e organizacionais adequadas ao risco. A NDPC e a NITDA emitiram orientações técnicas especificando:
Medidas técnicas mínimas:
- Criptografia de dados pessoais em armazenamento e transmissão (TLS para transmissão, AES-256 para dados sensíveis)
- Controle de acesso com autenticação e mínimo privilégio
- Pseudonimização sempre que possível
- Trilhas de auditoria do sistema e logs de acesso
- Testes de segurança regulares (pelo menos anualmente)
- Capacidades de detecção e resposta a incidentes
- Backup e recuperação seguros
Medidas organizacionais mínimas:
- Políticas de privacidade e segurança documentadas
- Treinamento de pessoal sobre obrigações de proteção de dados
- Estrutura de classificação de dados
- Avaliações de segurança de fornecedores/processadores
- Controles de segurança física para instalações de processamento de dados
Transferências de dados transfronteiriças
A Secção 43 da NDPA restringe as transferências de dados pessoais para fora da Nigéria. Mecanismos permitidos:
- Decisão de adequação da NDPC: Transferência para um país determinado pela NDPC como tendo proteção de dados adequada
- Garantias adequadas: Transferência sob salvaguardas que proporcionam direitos exigíveis aos titulares dos dados, incluindo:
- Instrumento juridicamente vinculativo entre autoridades públicas
- Regras corporativas vinculativas
- Cláusulas contratuais padrão aprovadas pela NDPC
- Mecanismo de certificação com compromissos vinculativos
- Consentimento explícito: Consentimento informado do titular dos dados sobre a transferência proposta, riscos e ausência de decisão ou salvaguardas adequadas
- Necessidade contratual: Transferência necessária para contrato entre titular dos dados e controlador
- Interesses vitais: Proteção de interesses vitais onde o consentimento não pode ser obtido
- Interesse público: Transferência necessária para interesse público importante
Determinações de adequação do NDPC: A Comissão está a desenvolver o seu quadro de adequação. No início de 2026, nenhuma decisão formal de adequação foi publicada. As cláusulas contratuais padrão são o mecanismo recomendado para transferências transfronteiriças de rotina enquanto o quadro de adequação amadurece.
Notificação de violação
A Seção 40 da NDPA exige notificação de violações de dados pessoais:
Notificação à NDPC: Dentro de 72 horas após tomar conhecimento de uma violação que provavelmente resultará em risco aos direitos e liberdades dos indivíduos.
Notificação aos indivíduos afetados: Sem demora injustificada, sempre que a violação possa resultar num elevado risco para os seus direitos e liberdades.
Conteúdo da notificação para NDPC:
- Natureza da violação e categorias/número aproximado de titulares de dados afetados
- Categorias e número aproximado de registros de dados pessoais afetados
- Dados de contato do DPO
- Prováveis consequências da violação
- Medidas tomadas ou propostas para resolver a violação, incluindo medidas para mitigar os efeitos adversos
Documentação: Todas as violações (mesmo aquelas que não exigem notificação) devem ser documentadas internamente com fatos, efeitos e ações de remediação.
Aplicação e penalidades do NDPC
A Comissão de Proteção de Dados da Nigéria (NDPC) é uma agência governamental independente estabelecida sob a NDPA 2023. Os poderes incluem:
- Recebimento e investigação de reclamações
- Realização de auditorias (planejadas e não anunciadas)
- Emissão de avisos de conformidade
- Imposição de sanções administrativas
- Encaminhamento de violações criminais ao Procurador-Geral
Penalidades administrativas:
| Categoria de violação | Pena Máxima |
|---|---|
| Violações gerais das obrigações da NDPA | 2% da receita bruta anual ou ₦10 milhões, o que for maior |
| Violações graves (dados sensíveis, dados de crianças, transferências transfronteiriças) | 2% da receita bruta anual ou ₦50 milhões, o que for maior |
| Repetição das violações no prazo de 24 meses | Penalidade dobrada |
Penalidades criminais: A NDPA prevê responsabilidade criminal para determinadas violações, incluindo comércio ilegal de dados pessoais. A Seção 48 da NDPA prevê sanções criminais, incluindo prisão.
Histórico de aplicação da NITDA: De acordo com o NDPR, a NITDA impôs multas, incluindo: Spenmo Technologies (₦10 milhões), Julius Berger Nigeria (₦10 milhões), Integrated Corporate Services Limited (₦4 milhões). Estes demonstram uma aplicação activa que se estende às empresas nacionais e internacionais que operam na Nigéria.
Lista de verificação de conformidade da NDPA
- Aplicabilidade da NDPA confirmada (operações na Nigéria, clientes/funcionários nigerianos)
- [] Inventário de dados pessoais concluído
- Dados pessoais sensíveis identificados — consentimento explícito obtido
- Dados de crianças identificados — mecanismos de consentimento parental implementados
- [] Base legal documentada para cada atividade de processamento
- [] Aviso de privacidade preparado em inglês com todas as divulgações exigidas
- DPO nomeado quando necessário (mais de 10.000 titulares de dados/mês ou atividade principal de dados confidenciais)
- [] Auditoria anual de proteção de dados planejada com um DPCO licenciado pela NITDA
- [] Procedimentos de direitos do titular dos dados documentados
- Avaliação de transferência transfronteiriça concluída — SCCs ou outro mecanismo em vigor
- [] Medidas de segurança implementadas (criptografia, controle de acesso, registro de auditoria)
- DPIA realizada para atividades de processamento de alto risco
- [] Procedimento de notificação de violação documentado (notificação NDPC de 72 horas)
- Treinamento de funcionários sobre as obrigações da NDPA concluído
- [] Contratos de processador (Contratos de processamento de dados) revisados e atualizados
Perguntas frequentes
A NDPR ainda é relevante agora que a NDPA 2023 foi promulgada?
A NDPA 2023 substitui disposições conflitantes da NDPR. No entanto, a NDPC indicou que as orientações e os mecanismos de conformidade da NDPR permanecem aplicáveis durante o período de transição. É importante ressaltar que a exigência de auditoria anual — uma das características mais distintivas da NDPR — continua sob a NDPA. As organizações que construíram os seus programas de conformidade em torno da NDPR devem rever a NDPA para obrigações novas ou reforçadas, particularmente em torno dos direitos dos titulares dos dados, dados sensíveis, transferências transfronteiriças e o requisito do DPO.
O que é uma Organização de Conformidade de Proteção de Dados (DPCO) e por que preciso de uma?
Um DPCO é uma organização licenciada pela NITDA/NDPC para fornecer auditoria de proteção de dados e serviços de conformidade. A auditoria anual de proteção de dados exigida pela legislação nigeriana deve ser realizada por um DPCO licenciado – a autoavaliação por si só não satisfaz o requisito. Os DPCOs analisam suas práticas de proteção de dados, emitem um relatório de conformidade e registram a auditoria junto ao NDPC em seu nome. Uma lista de DPCOs licenciados está disponível nos sites da NITDA e NDPC. Para empresas estrangeiras com operações na Nigéria, contratar um DPCO é essencial para cumprir a obrigação de auditoria anual.
O que significa "responsável pelo tratamento de dados de grande importância" e quais são as obrigações adicionais?
Os controladores de dados de maior importância são definidos como aqueles que processam dados pessoais de mais de 10.000 titulares de dados por mês, ou que processam dados pessoais sensíveis como atividade principal. Obrigações adicionais para essas entidades incluem: nomeação obrigatória de DPO, registro no NDPC (separado do registro do tipo VERBİS), requisitos de auditoria anual aprimorados e possíveis registros de conformidade adicionais. Empresas de comércio eletrônico de médio e grande porte, empresas de serviços financeiros, plataformas de saúde e operadoras de telecomunicações provavelmente se qualificarão como controladores de dados de grande importância.
Como a NDPA da Nigéria se compara ao GDPR?
A NDPA baseia-se fortemente no GDPR em estrutura e conteúdo – seis bases legais, mesmas categorias de dados sensíveis (mais dados biométricos e genéticos), direitos semelhantes dos titulares de dados, requisitos de DPO, obrigações de DPIA e notificação de violação. Principais diferenças: (1) a auditoria externa anual obrigatória da Nigéria não tem equivalente ao GDPR; (2) As determinações de adequação do NDPC são menos desenvolvidas do que o quadro de adequação da Comissão Europeia; (3) A infra-estrutura de fiscalização da Nigéria é mais recente e ainda está em desenvolvimento; (4) As penalidades da NDPA são geralmente inferiores em termos absolutos aos máximos do GDPR para grandes empresas; (5) As regras de transferência transfronteiriça da Nigéria são estruturadas de forma semelhante ao GDPR, mas os mecanismos específicos diferem na implementação.
A NDPA se aplica a empresas nigerianas que operam no exterior?
Sim. A NDPA aplica-se às entidades nigerianas, independentemente do local onde ocorre o processamento. Uma empresa nigeriana com infraestrutura de nuvem offshore, subsidiárias no exterior ou operações internacionais permanece sujeita à NDPA para o processamento de dados de indivíduos nigerianos. Por outro lado, as entidades estrangeiras que processam dados de nigerianos na Nigéria, ou que oferecem bens/serviços a nigerianos, também estão sujeitas às disposições extraterritoriais da NDPA. Isto cria uma dupla obrigação para as multinacionais nigerianas: conformidade com a NDPA para os dados nigerianos e conformidade com as leis de cada país onde operam.
Próximas etapas
O panorama da protecção de dados na Nigéria está a amadurecer rapidamente, com a NDPA 2023 a estabelecer um quadro legal mais forte e a NDPC a desenvolver capacidade de aplicação. Para empresas com operações na Nigéria — sejam empresas locais ou empresas internacionais que servem o mercado nigeriano — é essencial construir um programa de conformidade abrangente que satisfaça tanto a NDPA como os requisitos contínuos da NDPR.
A ECOSIRE ajuda as empresas que operam em África a navegar pelos requisitos de conformidade da NDPA da Nigéria, a implementar a protecção de dados desde a concepção e a estabelecer os quadros de governação exigidos pela NDPC.
Saiba mais: Serviços ECOSIRE
Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. O quadro de protecção de dados da Nigéria está a evoluir à medida que a NDPC emite orientações e regulamentos de implementação. Consulte um consultor jurídico nigeriano qualificado para obter aconselhamento específico para a sua organização.
Escrito por
ECOSIRE Research and Development Team
Construindo produtos digitais de nível empresarial na ECOSIRE. Compartilhando insights sobre integrações Odoo, automação de e-commerce e soluções de negócios com IA.
Artigos Relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Mais de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.