Guia de compliment normatiu sobre el consentiment de galetes per a publicadors segons la Kenya Data Protection Act 2019 el 2026

Kenya va aprovar la Kenya Data Protection Act 2019 al November d'aquell any, convertint-se en el primer país d'Àfrica oriental a promulgar un estatut de privadesa integral a l'estil GDPR. La llei va establir l'Office of the Data Protection Commissioner (ODPC) com a regulador independent i li va atorgar poders d'aplicació significatius des del primer dia. A diferència de molts règims de privadesa més nous de la regió, l'ODPC no s'ha pres el temps d'adaptar-se al seu paper — ha estat una de les autoritats de protecció de dades africanes més actives des del 2021, emetent avisos de compliment, imposant multes administratives i publicant orientació detallada sobre categories de processament específiques. Per als publicadors, operadors de fintech i proveïdors de SaaS que serveixen trànsit kenià — Nairobi per si sola allotja una de les concentracions més grans d'ocupació tecnològica africana, i Kenya és un centre estratègic per als serveis digitals panafricans — la DPA representa un risc d'aplicació real i actiu. Aquesta guia analitza el que requereix la Llei, com l'ODPC l'ha interpretada per al seguiment en línia i com és la feina pràctica de compliment el 2026.

La Kenya Data Protection Act 2019 en Resum

La DPA kenyiana s'estructura al voltant de vuit principis de la Section 25 que s'alineen estretament amb el GDPR Article 5: licitud, limitació de la finalitat, minimització de dades, exactitud, limitació de la conservació, integritat, responsabilitat i una addició kenyiana que afirma explícitament el dret constitucional a la privadesa. Les bases legítimes de la Section 30 reflecteixen el GDPR: consentiment, contracte, obligació legal, interessos vitals, interès públic i interès legítim. La llei s'aplica a qualsevol responsable o encarregat del tractament que processi dades personals de persones interessades ubicades a Kenya, amb un abast extraterritorial que abasta els publicadors estrangers que serveixen visitants kenyians.

Dues característiques estructurals de la Llei importen operativament. En primer lloc, els responsables i encarregats que superen llindars específics han de registrar-se a l'ODPC, i el Comissari ha estat visible en la persecució d'operadors no registrats. En segon lloc, la Llei requereix el nomenament d'un delegat de protecció de dades quan l'abast del tractament supera llindars definits — inclòs qualsevol tractament a gran escala de dades personals, que abasta la majoria de publicadors recolzats per publicitat i operadors de SaaS.

Com Tracta la DPA les Galetes i el Seguiment en Línia

La DPA no conté una disposició específica sobre galetes; les obligacions de consentiment i informació deriven de les Sections 25, 30 i 32 de la Llei. La 2024 Guidance Note de l'ODPC sobre Màrqueting Digital i Publicitat Conductual va articular expectatives específiques per al seguiment en línia contra les quals els publicadors que serveixen trànsit kenià han de dissenyar.

Consentiment afirmatiu per a galetes no essencials

La posició de l'ODPC és inequívoca: el desplaçament com a consentiment i l'ús continuat com a consentiment no satisfan els requisits de lliure concessió i inequivocitat de la Section 32. Es requereix una acció afirmativa explícita per a les galetes no essencials. La interpretació s'alinea estretament amb la posició del EDPB Cookie Banner Taskforce.

Controls de categories granulars

L'orientació del 2024 és explícita que els bàners han de permetre a l'usuari acceptar i rebutjar categories de manera independent. Un "Acceptar tot" agrupat sense un "Rebutjar tot" equivalent a la mateixa superfície es tracta com un defecte, igual que l'etiquetatge incorrecte de galetes analítiques o de màrqueting com a estrictament necessàries.

Dades de menors i capacitat de consentiment

La DPA tracta les persones interessades menors de 18 anys com a menors als efectes del consentiment, amb autorització parental requerida per al tractament. Per als publicadors les audiències dels quals incloguin menors kenyians, el marc de consentiment de galetes necessita un camí que tingui en compte l'edat i no assumeixi capacitat adulta.

Normes de transferències transfrontereres

La Section 48 de la Llei regula les transferències fora de Kenya. Les transferències poden procedir sota un dels diversos mecanismes: designació d'adequació per part del Comissari, salvaguardes apropiades (incloses les clàusules contractuals estàndard de l'ODPC, emeses el 2023), consentiment explícit o derogacions específiques. L'ODPC ha estat cada cop més explícit que "usem Google Analytics" no és una resposta suficient a una consulta de transferència transfronterera; el publicador ha de poder identificar el mecanisme real que autoritza el flux.

La Postura d'Aplicació de l'ODPC

L'ODPC ha estat el regulador de protecció de dades africà més actiu des del 2022, tant en volum absolut de casos com en la visibilitat de les seves accions. Tres patrons modelen el seu enfocament d'aplicació.

Multes inicials visibles

L'ODPC va imposar multes administratives a diversos operadors de fintech, préstecs digitals i bureaux de crèdit a partir del 2022, establint precedent per a remeis monetaris en virtut de la Llei. Les comunicacions al voltant d'aquests casos han estat deliberadament públiques, assenyalant que l'aplicació és real i no merament teòrica.

Enfocament sectorial en fintech i crèdit

El sector de fintech i crèdit digital — que és inusualment gran a Kenya en relació amb l'economia general del país — ha rebut l'atenció de l'ODPC més concentrada. Per als publicadors que operen negocis recolzats per publicitat dirigits a usuaris de fintech, l'atmosfera reguladora al voltant de l'audiència és més carregada del que seria en molts mercats comparables.

Coordinació amb reguladors regionals

L'ODPC participa en l'African Network of Data Protection Authorities i manté relacions de treball amb l'EDPB i el NDPC nigerià. Les investigacions transfrontereres que involucren trànsit kenià i europeu es gestionen mitjançant procediments coordinats.

Una Llista de Verificació Pràctica de Compliment

Sis preguntes concretes per respondre per a qualsevol bàner de galetes que serveixi trànsit kenià.

On s'Ubica Kenya en una Pila Multijurisdiccional

Kenya és un dels quatre règims de protecció de dades africans operativament més rellevants — juntament amb Nigèria, Sud-àfrica i el marc emergent d'Egipte — i el seu avantatge del 2019 s'ha traduït en la postura d'aplicació més madura del continent. Per als publicadors que construeixen cap a operacions panafricanes, la DPA kenyiana és el model de facto que les noves lleis regionals han utilisat: requisits de registre, DPO obligatoris per sobre dels llindars, bases legítimes a l'estil GDPR i normes de transferència transfronterera que reflecteixen el Chapter V del GDPR amb adaptacions regionals. La feina de compliment per a Kenya és paral·lela a l'estàndard europeu amb tres addicions significatives: registre a l'ODPC, capacitat de consentiment conscient de l'edat i les clàusules contractuals estàndard específiques de l'ODPC per a transferències transfrontereres. Una plataforma de gestió del consentiment construïda amb normes europees gestiona la major part de la feina; les addicions kenyianes són capes operatives a sobre, no reconstruccions arquitecturals.

← Blog Llegir tot →