Parte da nossa série Compliance & Regulation
Leia o guia completoLei de Proteção de Dados dos Emirados Árabes Unidos: Guia de Conformidade Empresarial
Os Emirados Árabes Unidos desenvolveram um dos quadros de protecção de dados mais sofisticados do Médio Oriente, com múltiplas leis sobrepostas que regem a protecção de dados em jurisdições federais, de zonas francas e específicas de sectores. Compreender qual a lei que se aplica ao seu negócio — e garantir a conformidade em todos os regimes aplicáveis — é essencial para operar legalmente na economia digital em rápido crescimento dos EAU.
A legislação primária de protecção de dados dos EAU inclui: Decreto-Lei Federal n.º 45/2021 sobre a Protecção de Dados Pessoais (PDPL) em vigor em Setembro de 2021, a Lei de Protecção de Dados DIFC 2020 (para empresas no Centro Financeiro Internacional do Dubai), os Regulamentos de Protecção de Dados ADGM 2021 (para empresas no Mercado Global de Abu Dhabi) e regulamentos específicos do sector que abrangem cuidados de saúde, telecomunicações e serviços financeiros.
Principais conclusões
- O PDPL dos Emirados Árabes Unidos (Decreto-Lei Federal nº 45/2021) aplica-se ao processamento de dados pessoais nos Emirados Árabes Unidos com âmbito extraterritorial
- As zonas francas DIFC e ADGM têm suas próprias leis independentes de proteção de dados modeladas no GDPR
- O PDPL dos Emirados Árabes Unidos fornece oito bases legais para processamento; consentimento e interesses legítimos são mais comumente usados
- Os direitos do titular dos dados incluem acesso, correção, exclusão, portabilidade, retirada de consentimento e oposição
- As transferências transfronteiriças de dados exigem determinação de adequação ou salvaguardas apropriadas
- O Escritório de Dados dos Emirados Árabes Unidos (UAEDO) é a autoridade supervisora federal; O Comissário do DIFC e a Autoridade Reguladora da ADGM supervisionam as suas respectivas zonas francas
- As penalidades sob o PDPL incluem multas de até AED 20 milhões (US$ 5,4 milhões) e prisão por certas violações
- Dados de saúde, dados financeiros e dados biométricos recebem maior proteção como dados confidenciais
Estrutura de proteção de dados dos Emirados Árabes Unidos: jurisdições sobrepostas
PDPL Federal (Emirados Árabes Unidos Continental)
O Decreto-Lei Federal nº 45/2021 sobre Proteção de Dados Pessoais (comumente chamado de PDPL ou DPL dos Emirados Árabes Unidos) aplica-se a:
- Pessoas físicas residentes nos Emirados Árabes Unidos
- Qualquer entidade que processe dados pessoais nos EAU ou sobre residentes nos EAU, independentemente de onde o processamento ocorra
- Pessoas jurídicas que processam dados pessoais no território dos Emirados Árabes Unidos
O PDPL foi complementado pela Decisão do Gabinete de Regulamento Executivo n.º 33/2022, que fornece requisitos detalhados de implementação. O Escritório de Dados dos Emirados Árabes Unidos (UAEDO) supervisiona a aplicação, os requisitos de registro e a emissão de orientações.
Lei de Proteção de Dados DIFC 2020 (Lei DP)
O Centro Financeiro Internacional de Dubai (DIFC) é uma zona franca independente com seu próprio sistema jurídico baseado no direito consuetudinário inglês. A Lei de Proteção de Dados do DIFC de 2020, administrada pelo Comissário de Proteção de Dados do DIFC, reflete de perto o GDPR em estrutura e requisitos. Aplica-se a:
- Entidades registadas no DIFC que processam dados pessoais
- Entidades externas ao DIFC que processam dados de pessoas físicas no DIFC
Regulamentos de Proteção de Dados ADGM 2021
A zona franca do Mercado Global de Abu Dhabi (ADGM) segue uma abordagem semelhante à DIFC, com regulamentos de protecção de dados administrados pela Autoridade de Registo ADGM. Esses regulamentos também seguem de perto os princípios do GDPR.
Implicação prática: Uma empresa que opera no Dubai continental com uma subsidiária registada no DIFC e uma sucursal da ADGM enfrenta potencialmente obrigações ao abrigo dos três regimes simultaneamente. Compreender a estrutura da sua entidade legal é o ponto de partida para o mapeamento de conformidade.
PDPL dos Emirados Árabes Unidos: Obrigações Básicas
Definição e categorias de dados pessoais
De acordo com a PDPL dos Emirados Árabes Unidos, dados pessoais significam quaisquer dados que levem à identificação de uma pessoa física, direta ou indiretamente, seja por nome, voz, imagem, número de identificação ou qualquer outra característica ou dados relativos à identidade física, psicológica, econômica, cultural ou social.
Dados pessoais confidenciais (que exigem proteção reforçada) incluem:
- Dados relativos à origem familiar ou racial
- Opiniões políticas
- Crenças religiosas ou filosóficas
- Dados relativos a antecedentes criminais
- Dados biométricos
- Dados de saúde
- Dados relacionados a crianças
O processamento de dados sensíveis requer consentimento explícito ou está sujeito a isenções específicas (obrigação legal, necessidade médica, interesses vitais).
Bases Legais para Processamento
O Artigo 5 do PDPL dos Emirados Árabes Unidos reconhece oito bases jurídicas:
- Consentimento explícito do titular dos dados
- Execução de contrato com o titular dos dados
- Cumprimento de obrigação legal
- Proteção de interesses vitais do titular dos dados ou de terceiros
- Interesse público ou exercício de autoridade oficial
- Interesses legítimos do controlador ou de terceiros (a menos que sejam anulados pelos interesses do titular dos dados)
- Estabelecimento, exercício ou defesa de reivindicações legais
- Arquivamento, pesquisa ou fins estatísticos de interesse público
Requisitos de consentimento: De acordo com a PDPL dos Emirados Árabes Unidos, o consentimento deve ser explícito, específico, informado e verificável. O responsável pelo tratamento deve ser capaz de demonstrar que o consentimento foi obtido. A retirada do consentimento deve ser tão fácil quanto fornecê-lo, e o processamento baseado no consentimento deve cessar após a retirada.
Direitos do titular dos dados
A PDPL dos Emirados Árabes Unidos concede aos titulares dos dados direitos que devem ser cumpridos no prazo de 30 dias (prorrogáveis com justificação):
| Certo | Descrição |
|---|---|
| Direito de acesso | Obter cópia dos dados pessoais em tratamento |
| Direito à correção | Corrigir dados imprecisos ou incompletos |
| Direito ao apagamento | Eliminar dados em circunstâncias específicas (consentimento retirado, tratamento ilegal) |
| Direito à restrição | Restringir o processamento pendente de resolução de litígios |
| Direito à portabilidade | Receba dados em formato estruturado e legível por máquina |
| Direito de retirar o consentimento | Retirar o consentimento a qualquer momento sem afetar o processamento prévio |
| Direito de oposição | Opor-se ao tratamento com base em interesses legítimos |
| Direito de não ficar sujeito a decisões automatizadas | Opor-se a decisões totalmente automatizadas com efeitos significativos |
Exercício de direitos: Os controladores devem estabelecer canais claros para receber e responder às solicitações de direitos. As recusas devem ser documentadas com justificação.
Obrigações do controlador e do processador
Obrigações do Controlador
Registro nos Emirados Árabes Unidos: As empresas que processam dados pessoais podem ser obrigadas a registrar-se no Escritório de Dados dos Emirados Árabes Unidos. A UAEDO está a desenvolver requisitos de registo através de regulamentos adicionais – monitorize as orientações da UAEDO para os requisitos actuais.
Aviso de Privacidade: Deve ser fornecido aos titulares dos dados durante ou antes da coleta, divulgando:
- Identidade e dados de contacto do responsável pelo tratamento
- Finalidades e fundamento jurídico do tratamento
- Categorias de dados pessoais coletados
- Períodos de retenção de dados
- Direitos do titular dos dados e como exercê-los
- Informações sobre transferências transfronteiriças
- Se o fornecimento de dados é obrigatório ou voluntário
Oficial de Proteção de Dados: O PDPL dos Emirados Árabes Unidos exige a nomeação de um Oficial de Proteção de Dados (DPO) para:
- Órgãos públicos
- Controladores ou processadores cujas atividades principais exigem monitoramento sistemático em larga escala de indivíduos
- Controladores ou processadores cujas atividades principais envolvam processamento em grande escala de dados confidenciais
As empresas privadas que não cumpram estes critérios poderão ainda beneficiar da nomeação de um DPO para fins de governação.
Medidas de segurança: Implementar medidas de segurança técnicas e organizacionais adequadas, considerando a natureza, o escopo, o contexto e as finalidades do processamento, e os riscos para os direitos dos titulares dos dados.
Contratos de Processador
Os processadores devem processar dados apenas de acordo com instruções documentadas do controlador. Os acordos entre responsáveis pelo tratamento e subcontratantes devem abranger:
- Instruções e escopo de processamento de dados
- Obrigações de confidencialidade
- Requisitos de segurança
- Restrições de subprocessador
- Assistência com direitos do titular dos dados
- Obrigações de devolução ou exclusão de dados
Regras de transferência de dados transfronteiriças
O Artigo 22 da PDPL dos EAU restringe as transferências de dados pessoais para fora dos EAU. Mecanismos de transferência permitidos:
| Mecanismo | Requisitos |
|---|---|
| Decisão de adequação | Transferência para país com nível de proteção adequado (conforme determinação dos EAU) |
| Salvaguardas adequadas | Cláusulas contratuais padrão ou regras corporativas vinculativas |
| Regras corporativas vinculativas | Para transferências intragrupo entre filiais |
| Consentimento explícito | Consentimento informado do titular dos dados |
| Necessidade do contrato | Transferência necessária à execução do contrato entre o titular dos dados e o responsável pelo tratamento |
| Processos judiciais | Transferência necessária para ações judiciais |
| Interesses vitais | Transferência necessária para proteger interesses vitais |
Decisões de adequação dos Emirados Árabes Unidos: Os Emirados Árabes Unidos estão desenvolvendo a lista de países com proteção de dados adequada. No início de 2026, a lista formal de adequação ainda estava a ser estabelecida. Na prática, muitas empresas dos EAU utilizam cláusulas contratuais para transferências transfronteiriças.
Considerações sobre zonas francas: DIFC e ADGM têm seus próprios mecanismos de transferência. A lei de proteção de dados DIFC reconhece transferências para países adequados (incluindo países adequados ao GDPR), regras corporativas vinculativas e cláusulas contratuais padrão. O Comissário do DIFC aprovou mecanismos de transferência específicos.
Lei de Proteção de Dados DIFC 2020 – Principais Diferenças
Para empresas que operam no DIFC ou por meio dele, a Lei DIFC DP 2020 se aplica diretamente e é mais alinhada ao GDPR do que o PDPL federal. Principais recursos:
Seis bases legais (correspondentes ao GDPR): consentimento, contrato, obrigação legal, interesses vitais, tarefa pública, interesses legítimos
Requisitos de consentimento mais rigorosos: É necessário consentimento por escrito para o processamento de categorias especiais de dados pessoais; o consentimento deve ser dado livremente (aplica-se consideração de desequilíbrio de poder)
Notificação de violação de dados: notificação em 72 horas ao Comissário do DIFC; notificação individual quando houver alto risco — mesmo que o prazo do GDPR
Requisito do DPO: Mesmos limites do GDPR (monitoramento sistemático, dados de categorias especiais em grande escala, autoridade pública)
Multas: Até US$ 100.000 para contravenções de Nível 1; ilimitado para o Nível 2 (violações graves, deliberadas ou imprudentes)
Avaliações de impacto na proteção de dados: obrigatórias para processamento de alto risco (mesmos gatilhos do Artigo 35 do GDPR)
Requisitos de proteção de dados específicos do setor
Dados de saúde
A Lei de Dados de Saúde dos EAU (Lei Federal n.º 2/2019) e os regulamentos da Autoridade de Saúde do Dubai impõem requisitos adicionais aos dados de saúde:
- É necessário o consentimento do paciente para o compartilhamento de dados de saúde (com exceções específicas para saúde pública e pesquisa)
- Os dados de saúde devem ser armazenados nos Emirados Árabes Unidos, a menos que a transferência transfronteiriça seja especificamente autorizada
- Os registros eletrônicos de saúde devem atender a padrões específicos de segurança e interoperabilidade
- A Autoridade de Saúde de Dubai mantém requisitos obrigatórios de localização de dados para dados de saúde
Serviços Financeiros
O Banco Central dos Emirados Árabes Unidos e a Autoridade de Valores Mobiliários e Mercadorias (SCA) têm requisitos de proteção de dados e segurança cibernética para instituições financeiras. Os principais requisitos incluem:
- Classificação e proteção dos dados do cliente proporcional à sensibilidade
- Notificação do cliente sobre violações de dados dentro de prazos definidos
- Restrições ao compartilhamento de dados financeiros de clientes sem consentimento
- Conformidade com a estrutura de segurança cibernética (Quadro de segurança cibernética CBUAE para bancos)
Dados de Telecomunicações
A Autoridade Reguladora de Telecomunicações (TRA) regula o processamento de dados pessoais por provedores de telecomunicações, incluindo:
- Proteções de privacidade do assinante
- Restrições de acesso ao registro de detalhes de chamadas
- Proteções de dados de localização
- Requisitos de localização de dados para determinados dados de telecomunicações
Notificação de violação sob PDPL dos Emirados Árabes Unidos
O Artigo 16 da PDPL dos Emirados Árabes Unidos exige que os controladores notifiquem:
- Escritório de Dados dos Emirados Árabes Unidos: Dentro de 72 horas após tomar conhecimento de uma violação de dados pessoais que provavelmente resultará em danos aos titulares dos dados
- Titulares dos dados: Sem demora injustificada se a violação puder resultar em alto risco para seus direitos
A notificação à UAEDO deve incluir:
- Natureza da violação
- Categorias e número aproximado de titulares de dados afetados
- Categorias e número aproximado de registros de dados pessoais afetados
- Dados de contato do DPO
- Prováveis consequências da violação
- Medidas tomadas ou propostas para resolver a violação
Documentação: mesmo que nenhuma notificação seja necessária (porque o risco para os titulares dos dados é improvável), a violação deve ser documentada internamente com fatos, efeitos e ações de remediação.
Penalidades e Execução do PDPL
O Escritório de Dados dos Emirados Árabes Unidos (UAEDO) tem amplos poderes de aplicação, incluindo investigação, multas administrativas e encaminhamento ao Ministério Público para questões criminais.
Penalidades administrativas:
- Multas de até AED 5 milhões (US$ 1,36 milhão) por violações das obrigações do controlador/processador
- Multas de até AED 20 milhões (US$ 5,44 milhões) por violações que envolvam dados confidenciais ou que causem danos aos titulares dos dados
Penalidades criminais: A Lei Federal nº 34/2021 sobre Combate a Rumores e Crimes Cibernéticos se sobrepõe à PDPL para determinados crimes relacionados a dados. Crimes específicos relacionados com dados podem resultar em prisão e/ou multas até AED 3 milhões.
Multas do Comissário do DIFC: Multas ilimitadas para violações graves; US$ 100.000 para contravenções menores. O DIFC tem historicamente aplicado ativamente, com decisões publicadas.
Lista de verificação de conformidade de proteção de dados dos Emirados Árabes Unidos
- Lei aplicável determinada para cada pessoa jurídica (PDPL federal, Lei DIFC DP, ADGM DPR ou combinação)
- [] Inventário de dados pessoais concluído em todos os sistemas
- [] Dados confidenciais identificados e proteções reforçadas aplicadas
- [] Base jurídica documentada para cada atividade de processamento
- [] Aviso de privacidade publicado cobrindo todas as divulgações exigidas
- DPO nomeado quando necessário; informações de contato publicadas
- [] Procedimentos de direitos do titular dos dados documentados (prazo de resposta de 30 dias)
- [] Contratos de processador revisados e atualizados de acordo com os requisitos do PDPL
- Avaliação de transferência transfronteiriça concluída — mecanismos em vigor
- [] Localização de dados de saúde avaliada, se aplicável
- Medidas de segurança documentadas e implementadas proporcionais ao risco
- [] Procedimento de notificação de violação documentado (cronograma de 72 horas)
- Treinamento de funcionários sobre obrigações PDPL/DIFC DP concluído
- [] Registro UAEDO avaliado de acordo com os regulamentos atuais
Perguntas frequentes
Qual lei de proteção de dados dos Emirados Árabes Unidos se aplica ao meu negócio na zona franca?
Depende da sua zona franca. As empresas registradas no DIFC estão sujeitas à Lei de Proteção de Dados DIFC 2020, que é independente do PDPL federal. As empresas no ADGM estão sujeitas aos Regulamentos de Proteção de Dados do ADGM 2021. As empresas em outras zonas francas (JAFZA, DMCC, Dubai Internet City, etc.) estão geralmente sujeitas ao PDPL federal juntamente com os regulamentos próprios da zona franca. Em muitos casos, especialmente para empresas com operações que abrangem o continente dos Emirados Árabes Unidos e zonas francas, aplicam-se vários enquadramentos.
O PDPL dos Emirados Árabes Unidos exige localização de dados?
A própria PDPL dos EAU não impõe requisitos gerais de localização de dados – as transferências transfronteiriças são permitidas sob salvaguardas adequadas. No entanto, regulamentos específicos do sector (particularmente cuidados de saúde e serviços financeiros) podem impor requisitos de localização para categorias de dados específicas. A estrutura de segurança cibernética do Banco Central dos Emirados Árabes Unidos e os regulamentos da Autoridade de Saúde de Dubai impõem obrigações de residência de dados para determinados dados regulamentados. Verifique sempre os requisitos específicos do setor além do PDPL.
Como a proteção de dados dos Emirados Árabes Unidos se aplica aos serviços em nuvem?
Os provedores de serviços em nuvem que processam dados pessoais dos Emirados Árabes Unidos em nome de empresas dos Emirados Árabes Unidos são processadores sob o PDPL. Devem celebrar acordos de processador com os responsáveis pelo tratamento, implementar medidas de segurança adequadas e cumprir os requisitos de transferência transfronteiriça se os dados forem armazenados fora dos EAU. As empresas dos EAU que utilizam serviços em nuvem devem verificar: a postura de conformidade PDPL do fornecedor de nuvem, se existe um BAA/DPA e se o local de armazenamento de dados requer mecanismos de transferência transfronteiriça.
Qual é a abordagem dos Emirados Árabes Unidos em relação à IA e à tomada de decisões automatizada?
A PDPL dos EAU inclui o direito de não estar sujeito a decisões baseadas exclusivamente no processamento automatizado que produza efeitos legais significativos ou efeitos igualmente significativos - exigindo intervenção humana mediante solicitação. Os Emirados Árabes Unidos também desenvolveram uma estrutura de Ética em IA e a Estratégia de IA de Dubai 2031, que enfatizam a privacidade e a ética dos dados na IA. As empresas que utilizam IA para decisões significativas (pontuação de crédito, triagem de RH, classificação de clientes) devem avaliar tanto as obrigações do PDPL como os requisitos de governação da IA específicos do setor.
Como a proteção de dados dos Emirados Árabes Unidos se compara ao GDPR?
A PDPL dos EAU partilha os princípios fundamentais do RGPD (licitude, justiça, transparência, limitação da finalidade, minimização de dados, precisão, limitação de armazenamento, segurança, responsabilidade) e direitos semelhantes dos titulares dos dados. No entanto, o PDPL é menos prescritivo em algumas áreas – os prazos, os requisitos de qualificação do DPO e os requisitos da DPIA são menos detalhados do que o GDPR. A Lei DIFC DP 2020 está significativamente mais próxima do GDPR em estrutura e detalhes. As organizações sujeitas ao GDPR e ao PDPL dos EAU descobrirão que a conformidade com o GDPR constitui uma base sólida para a conformidade com o PDPL, sendo necessárias algumas adições específicas aos EAU.
Próximas etapas
O complexo ambiente de protecção de dados multicamadas dos EAU – PDPL federal, DIFC, ADGM e regulamentos sectoriais – exige uma abordagem de conformidade estruturada que mapeie as obrigações para cada entidade jurídica relevante e fluxo de dados. A equipe da ECOSIRE tem experiência em navegar pela conformidade em ambientes de zona franca e continental dos Emirados Árabes Unidos, com especialização específica em implementações de plataformas tecnológicas que atendem a vários requisitos regulatórios simultaneamente.
Começar: Serviços ECOSIRE
Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. As leis de proteção de dados dos Emirados Árabes Unidos estão evoluindo e este guia reflete os requisitos do início de 2026. Consulte um consultor jurídico qualificado dos Emirados Árabes Unidos para obter aconselhamento específico para sua organização e jurisdição.
Escrito por
ECOSIRE Research and Development Team
Construindo produtos digitais de nível empresarial na ECOSIRE. Compartilhando insights sobre integrações Odoo, automação de e-commerce e soluções de negócios com IA.
Artigos Relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Mais de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.