PDPL da Arábia Saudita: Conformidade com proteção de dados pessoais

A Lei de Proteção de Dados Pessoais (PDPL) da Arábia Saudita, promulgada pelo Decreto Real M/19 em 16 de setembro de 2021 e que entrou em vigor em 17 de setembro de 2023, representa a primeira legislação abrangente de proteção de dados do Reino. Administrado pela Autoridade Saudita de Dados e Inteligência Artificial (SDAIA), o PDPL se aplica a organizações que processam dados pessoais de residentes sauditas e tem implicações significativas para empresas que operam ou atendem o mercado saudita.

O PDPL foi acompanhado pelos seus Regulamentos de Execução (emitidos pela SDAIA em Março de 2023), que fornecem requisitos detalhados sobre medidas técnicas e organizacionais, processos de direitos dos titulares de dados e condições de transferência transfronteiriça de dados. O não cumprimento pode resultar em multas de até 5 milhões de SAR (US$ 1,33 milhão) e um ano de prisão por violações criminais.

Principais conclusões

• A PDPL Saudita aplica-se a qualquer processamento de dados pessoais de indivíduos na Arábia Saudita, independentemente de onde a entidade de processamento esteja localizada
• Existem oito bases jurídicas para o tratamento; o consentimento deve ser explícito, específico, informado e verificável
• Dados sensíveis (saúde, genéticos, crédito, antecedentes criminais, biométricos, orientação sexual) requerem consentimento explícito ou exceções legais específicas
• As transferências internacionais exigem aprovação da SDAIA ou salvaguardas específicas — a localização de dados é um desafio significativo de conformidade
• Os direitos do titular dos dados incluem acesso, correção, exclusão, portabilidade e objeção — com prazos de resposta de 30 dias
• A nomeação do DPO é obrigatória para certas organizações que processam dados confidenciais em grande escala
• SDAIA pode impor multas de até 5 milhões de SAR e poderes regulatórios incluem suspensão do processamento de dados
• O PDPL aplica-se juntamente com regulamentos específicos do setor do Banco Central Saudita (SAMA) e outros reguladores

---

Escopo e aplicabilidade do PDPL

Quem deve cumprir

O PDPL Saudita (Real Decreto M/19 de 1443 AH/2021) aplica-se a:

1. Processamento na Arábia Saudita: Qualquer entidade que processe dados pessoais dentro do território saudita
2. Processamento de dados de residentes sauditas: Entidades fora da Arábia Saudita que processam dados pessoais de indivíduos residentes na Arábia Saudita
3. Processamento para fins baseados na Arábia Saudita: Processamento relacionado à oferta de bens ou serviços a indivíduos na Arábia Saudita

Este âmbito extraterritorial significa que as empresas internacionais que servem clientes sauditas – incluindo plataformas de comércio eletrónico, fornecedores de SaaS e serviços digitais – devem cumprir o PDPL.

Definições principais:

• Dados pessoais: Quaisquer dados que levem à identificação de uma pessoa física especificamente, ou possibilitem identificá-la, incluindo nome, número de identificação pessoal, endereço, números de contato e quaisquer outros dados que identifiquem a pessoa física
• Dados pessoais sensíveis: dados de saúde, dados genéticos, dados de crédito e financeiros, dados relacionados com indivíduos com necessidades especiais, registos criminais, dados biométricos, dados que revelem origens raciais ou étnicas, crenças religiosas e dados relativos à vida privada, incluindo orientação sexual

Isenções

A PDPL não se aplica a:

• Dados pessoais detidos por autoridades governamentais para fins de segurança ou judiciais
• Dados de pessoas falecidas (sem disposições sobre direitos de parentes próximos)
• Dados pessoais tratados para fins pessoais ou familiares
• Dados anonimizados de forma que impossibilite a reidentificação

---

Bases Legais para Processamento

O Regulamento de Implementação do PDPL estabelece bases legais para o tratamento de dados pessoais. Os responsáveis pelo tratamento devem documentar a base jurídica aplicável a cada atividade de tratamento:

Requisitos de consentimento sob PDPL:

• Deve ser explícito e específico para a finalidade do processamento
• Não pode ser agrupado com outros consentimentos
• Deve ser em linguagem simples, sem jargões técnicos
• A retirada deve ser tão fácil quanto fornecer consentimento
• O registro do consentimento deve ser mantido
• Marketing e publicidade exigem consentimento explícito e separado

Dados sensíveis: O processamento requer consentimento explícito ou se enquadra em um dos seguintes: obrigação legal, proteção dos interesses vitais do titular dos dados ou de terceiros, necessidade médica com obrigações de confidencialidade de saúde, processamento em conexão com procedimentos legais ou pesquisa científica com salvaguardas adequadas.

---

Direitos do titular dos dados

A PDPL confere aos titulares dos dados os seguintes direitos, com um prazo geral de resposta de 30 dias (prorrogável para mais 30 dias mediante notificação):

Direito de ser informado: Os titulares dos dados devem ser informados das atividades de processamento antes ou no momento da coleta de dados. Os responsáveis ​​pelo tratamento devem divulgar: identidade e dados de contacto, finalidades, base jurídica, categorias de dados, período de conservação, direitos do titular dos dados, informações sobre transferências transfronteiriças.

Direito de acesso: O titular dos dados pode solicitar a confirmação se os seus dados estão a ser tratados e obter uma cópia. A resposta deverá ser dada no prazo de 30 dias; uma cópia gratuita por 12 meses (taxas permitidas para cópias adicionais).

Direito à correção: Os titulares dos dados podem solicitar a correção de dados pessoais imprecisos ou desatualizados.

Direito ao apagamento: Os titulares dos dados podem solicitar a eliminação quando: a finalidade tiver sido cumprida, o consentimento for retirado (sem outra base legal), os dados forem recolhidos ilegalmente ou a obrigação legal exigir a eliminação. As exceções incluem obrigação legal de retenção, exercício de direitos legais e pesquisa de interesse público.

Direito à portabilidade: Os titulares dos dados podem solicitar seus dados em formato estruturado e legível por máquina para transmissão a outro controlador.

Direito de oposição: Os titulares dos dados podem opor-se ao tratamento com base em interesses legítimos (o responsável pelo tratamento deve demonstrar motivos legítimos imperiosos que se sobreponham aos interesses do titular dos dados).

Direito de restringir a tomada de decisões automatizadas: Os titulares dos dados podem solicitar revisão humana de decisões automatizadas significativas.

---

Obrigações do controlador e do processador

Requisitos do Aviso de Privacidade

Os controladores devem fornecer um aviso de privacidade claro e acessível cobrindo:

• Nome da entidade e informações de contato
• Categorias de dados pessoais coletados
• Finalidades e bases legais do tratamento
• Como os dados são usados, divulgados e transferidos
• Períodos de retenção de dados
• Direitos do titular dos dados e como exercê-los
• Informações sobre quaisquer transferências transfronteiriças
• Informações de contato do DPO (se nomeado)

Os avisos de privacidade devem estar em árabe para operações baseadas na Arábia Saudita (o requisito de tradução se aplica a empresas que atendem consumidores sauditas).

Oficial de Proteção de Dados (DPO)

Nos termos do Regulamento de Implementação do PDPL, a nomeação de um EPD é obrigatória para:

• Controladores que processam dados pessoais sensíveis em grande escala
• Responsáveis pelo tratamento que realizam monitorização sistemática em grande escala dos titulares dos dados
• Autoridades públicas (com exceções)

O DPO deve:

• Ter conhecimento especializado em proteção de dados e segurança da informação
• Reporte direto à alta administração
• Atuar como ponto de contato para SDAIA e titulares de dados
• Monitorar o cumprimento do PDPL
• Fornecer aconselhamento sobre DPIAs

Os dados de contacto do DPO devem ser divulgados na declaração de privacidade.

Avaliações de impacto na proteção de dados (DPIAs)

Os Regulamentos de Implementação exigem DPIAs antes de atividades de processamento que possam resultar em alto risco para os titulares dos dados, incluindo:

• Processamento em larga escala de dados confidenciais
• Perfil sistemático dos titulares dos dados
• Processamento envolvendo novas tecnologias
• Processamento de dados infantis em grande escala

A documentação da DPIA deve ser retida e disponibilizada à SDAIA mediante solicitação.

Requisitos de segurança

Os responsáveis pelo tratamento devem implementar medidas técnicas e organizacionais proporcionais à sensibilidade dos dados e aos riscos do tratamento, incluindo:

• Criptografia de dados no armazenamento e transmissão
• Controles de acesso com princípio de menor privilégio
• Registro de auditoria para acesso a dados pessoais
• Testes regulares de segurança e avaliações de vulnerabilidades
• Procedimentos de resposta a incidentes
• Continuidade de negócios e recuperação de desastres para sistemas de dados pessoais
• Avaliação de segurança do fornecedor e requisitos contratuais

---

Transferências de dados transfronteiriças

O artigo 29.º da PDPL impõe restrições significativas à transferência de dados pessoais para fora da Arábia Saudita. Este é um dos aspectos mais desafiadores do ponto de vista operacional da conformidade com a PDPL.

Mecanismos de transferência permitidos:

1. Aprovação da SDAIA: Transferência sujeita à aprovação prévia da SDAIA e às condições que ela especifica
2. Proteção adequada: Transferência para um país com nível adequado de proteção de dados (SDAIA mantém uma lista aprovada)
3. Salvaguardas contratuais: Transferência sob contratos que fornecem proteção adequada e atendem aos requisitos da SDAIA
4. Regras corporativas vinculativas: Transferências intragrupo sob regras corporativas vinculativas aprovadas
5. Consentimento: Consentimento explícito e informado do titular dos dados
6. Necessidade contratual: Transferência necessária para execução do contrato com o titular dos dados
7. Interesses vitais: Transferência necessária para proteger interesses vitais onde o consentimento não pode ser obtido
8. Interesse público: Transferência necessária para o interesse público com salvaguardas adequadas

Considerações sobre localização de dados: Regulamentações específicas do setor da SAMA (Autoridade Monetária da Arábia Saudita), da Comissão de Comunicações, Espaço e Tecnologia (CST) e do Ministério da Saúde impõem requisitos de localização de dados para dados financeiros, de telecomunicações e de saúde. Os provedores de nuvem devem manter centros de dados na Arábia Saudita para determinadas categorias de dados regulamentadas.

Impacto prático: Muitas empresas multinacionais com operações na Arábia Saudita implementaram soluções de residência de dados — usando regiões de nuvem baseadas na Arábia Saudita (disponíveis na AWS, Azure e Google Cloud) — para evitar conformidade complexa de transferência transfronteiriça.

---

Notificação de violação

O Artigo 20 do PDPL exige que os controladores notifiquem a SDAIA sobre violações de dados pessoais dentro de 72 horas após a descoberta de uma violação que represente risco aos direitos ou interesses dos titulares dos dados.

Conteúdo obrigatório da notificação de violação:

• Natureza e circunstâncias da violação
• Categorias e número aproximado de titulares de dados afetados
• Categorias e número aproximado de registros afetados
• Nome e dados de contacto do DPO ou outro contacto
• Prováveis consequências da violação
• Medidas tomadas ou planejadas para resolver a violação

Notificação aos titulares dos dados: Exigida sem demora injustificada quando a violação puder resultar em alto risco para os direitos ou liberdades dos titulares dos dados. A notificação deve incluir: o que aconteceu, quais dados foram afetados, medidas que os titulares dos dados podem tomar para se protegerem e informações de contato para consultas adicionais.

---

Execução e penalidades do SDAIA

Poderes Regulatórios

A SDAIA tem amplos poderes regulatórios ao abrigo do PDPL:

• Emissão de orientações e regulamentos
• Investigar reclamações de titulares de dados
• Realização de auditorias aos controladores de dados
• Imposição de sanções administrativas
• Suspender atividades de processamento que violem o PDPL
• Encaminhamento de infrações criminais ao Ministério Público

Penalidades

Penalidades administrativas:

• Multa de até 1 milhão de SAR (US$ 267.000) por violações dos direitos do titular dos dados ou das obrigações do controlador
• Multa de até 5 milhões de SAR (US$ 1,33 milhão) por violações envolvendo dados pessoais confidenciais
• Multa de até 5 milhões de SAR por violações de transferência transfronteiriça
• As multas podem ser duplicadas por infrações repetidas no prazo de dois anos

Penalidades criminais:

• Divulgação ou publicação de dados sensíveis sem autorização: prisão até dois anos e/ou multa até 3 milhões de SAR
• Transferência de dados para fora da Arábia Saudita para prejudicar os interesses nacionais: prisão até um ano e/ou multa até 1 milhão de SAR

Divulgação pública: A SDAIA pode publicar informações sobre violações e sanções, com implicações significativas para a reputação no mercado comercial concentrado da Arábia Saudita.

---

Interação com outras regulamentações sauditas

Estrutura de segurança cibernética SAMA

O Banco Central Saudita (SAMA) tem o seu próprio Quadro de Segurança Cibernética (SAMACF) aplicável a todas as entidades reguladas pelo SAMA (bancos, companhias de seguros, empresas financeiras). A estrutura inclui:

• Requisitos de classificação e proteção de dados alinhados com PDPL
• Requisitos de resposta e notificação de incidentes
• Obrigações de gestão de risco de terceiros
• Requisitos de avaliação do provedor de serviços em nuvem

As entidades reguladas pela SAMA devem cumprir tanto a SAMACF quanto a PDPL, prevalecendo a exigência mais rigorosa.

Regulamentos de Proteção de Dados Pessoais da CST (Telecomunicações)

A Comissão de Comunicações, Espaço e Tecnologia emitiu requisitos específicos de proteção de dados para telecomunicações, incluindo proteção de dados de assinantes, restrições de dados de localização e localização de dados para operadoras de telecomunicações.

Regulamentos do Setor de Saúde

O Ministério da Saúde e o Conselho de Saúde Saudita emitiram requisitos de proteção de dados de saúde que exigem: consentimento do paciente para partilha de dados, localização de dados para registos de saúde, padrões de segurança específicos para sistemas de informação de saúde e restrições à utilização de dados de saúde para fins comerciais.

---

Lista de verificação de conformidade do PDPL saudita

• Análise de aplicabilidade do PDPL concluída (incluindo âmbito extraterritorial)
• [] Inventário de dados pessoais e dados confidenciais concluído
• [] Base jurídica documentada para cada atividade de processamento
• [] Consentimento explícito separado obtido para processamento de dados confidenciais
• [] Aviso de privacidade publicado em árabe (para usuários sauditas) com todas as divulgações exigidas
• DPO nomeado quando necessário; informações de contato no aviso de privacidade
• [] Procedimentos de direitos do titular dos dados documentados com mecanismo de resposta de 30 dias
• [] Contratos de processador atualizados com requisitos PDPL
• Avaliação de transferência transfronteiriça concluída — Mecanismos aprovados pela SDAIA em vigor
• [] Avaliação de localização de dados para setores regulamentados (finanças, saúde, telecomunicações)
• DPIA realizada para atividades de processamento de alto risco
• Medidas de segurança implementadas proporcionais à sensibilidade dos dados
• [] Procedimento de notificação de violação de 72 horas documentado e testado
• [] Cronogramas de retenção documentados e exclusão automatizada configurada
• Treinamento de funcionários sobre obrigações PDPL concluído

---

Perguntas frequentes

Quando o PDPL da Arábia Saudita se tornou executável?

A PDPL foi promulgada pelo Real Decreto M/19 em setembro de 2021 e o seu Regulamento de Execução foi emitido em março de 2023. A aplicação começou em 17 de setembro de 2023 — dois anos após a promulgação da lei. A SDAIA indicou inicialmente um período de carência para a preparação da conformidade, mas a fiscalização está agora activa. As empresas que ainda não iniciaram programas de conformidade enfrentam riscos regulatórios reais.

A PDPL Saudita se aplica à minha empresa fora da Arábia Saudita?

Sim, se você processar dados pessoais de pessoas residentes na Arábia Saudita. O âmbito extraterritorial é semelhante à abordagem do GDPR: se você oferecer bens ou serviços a residentes sauditas, ou processar dados de residentes sauditas para qualquer finalidade, o PDPL se aplica. Isso inclui empresas de comércio eletrônico, provedores de SaaS, serviços digitais e qualquer empresa com funcionários sauditas (para seus dados de emprego).

Quais são os requisitos de localização de dados na Arábia Saudita?

O próprio PDPL não impõe uma localização geral de dados – permite transferências transfronteiriças através de mecanismos aprovados. No entanto, as regulamentações específicas do setor criam requisitos de localização significativos: as instituições financeiras reguladas pela SAMA devem manter os dados financeiros dos clientes na Arábia Saudita; os dados de saúde devem ser armazenados na Arábia Saudita para entidades de saúde regulamentadas; os dados dos assinantes de telecomunicações têm requisitos de residência específicos. Os provedores de nuvem AWS, Microsoft Azure e Google Cloud estabeleceram regiões de nuvem na Arábia Saudita para atender a esses requisitos.

Como o PDPL interage com o GDPR para empresas multinacionais?

As empresas multinacionais sujeitas ao GDPR e ao PDPL saudita devem satisfazer ambas as estruturas simultaneamente. Eles compartilham princípios semelhantes, mas diferem em detalhes – os requisitos de consentimento do PDPL, os mecanismos de transferência transfronteiriça e os prazos de notificação de violação têm requisitos específicos da Arábia Saudita. O principal desafio prático são os fluxos de dados transfronteiriços: os dados que fluem da Arábia Saudita para os países da UE não são automaticamente compatíveis com a PDPL saudita apenas porque o GDPR se aplica no destino. Cada transferência deve ser avaliada segundo os mecanismos do PDPL.

O que é SDAIA e que autoridade ela possui?

SDAIA (Autoridade Saudita de Dados e Inteligência Artificial) é o órgão governamental responsável por supervisionar dados e IA na Arábia Saudita. Estabelecida em 2019, a SDAIA administra o PDPL e tem amplos poderes regulatórios, investigativos e de fiscalização. Emite orientações e regulamentos, investiga denúncias, realiza auditorias, aplica multas administrativas e encaminha infrações penais ao Ministério Público. A SDAIA também gere o Quadro Nacional de Governação de Dados e supervisiona o desenvolvimento da economia de dados da Arábia Saudita.

---

Próximas etapas

A crescente economia digital da Arábia Saudita e a transformação da Visão 2030 estão a criar oportunidades de negócios significativas, juntamente com requisitos regulamentares cada vez mais rigorosos. A conformidade com a PDPL está se tornando um pré-requisito para fazer negócios com entidades governamentais sauditas, bancos, organizações de saúde e clientes empresariais.

ECOSIRE ajuda as organizações a navegar pela conformidade com o PDPL saudita juntamente com outros requisitos regionais de proteção de dados. Nossos serviços incluem avaliações de lacunas de conformidade, elaboração de programas de privacidade, implementação técnica e gerenciamento contínuo de conformidade.

Saiba mais: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. Os requisitos do PDPL saudita estão evoluindo através das orientações e decisões de aplicação da SDAIA. Consulte um consultor jurídico saudita qualificado para obter aconselhamento específico para a sua organização.