L'estructura de la llei de protecció de dades vietnamita el 2026

El règim del Vietnam és ara una pila de dos capes: el PDPD del 2023 i el PDPL del 2026. Ambdós estan en vigor, i els editors han d'entendre quina capa regeix quina obligació.

El PDPD — Decret 13/2023/ND-CP

El Decret va introduir la primera definició integral de dades personals del Vietnam, un catàleg de drets dels interessats, requisits de consentiment, normes sobre transferències transfrontereres de dades i l'obligació fonamental d'Avaluació de l'Impacte del Tractament de Dades Personals (DPIA). Continua en vigor i segueix regint els detalls operatius.

El PDPL — En vigor des del 2026

El PDPL eleva el marc a legislació primària amb sancions més elevades i un abast més ampli. Reforça el model centrat en el consentiment, enforteix els drets dels interessats i amplia els poders d'aplicació del Ministeri de Seguretat Pública (MPS), que continua sent el regulador principal. El PDPL també introdueix normes més clares per a dades personals sensibles, presa de decisions automatitzada i el tractament de dades de menors.

Qui està regulat

La llei s'aplica a qualsevol tractament de dades personals vietnamites, independentment d'on es trobi el responsable del tractament. Un editor amb seu als EUA que atén usuaris vietnamites a través d'un lloc localitzat o un comprador programàtic que licita en inventari vietnamita es troba en l'àmbit d'aplicació. Aquesta aplicació extraterritorial reflecteix el model GDPR i és un dels elements més agressius del marc vietnamita.

Què compta com a dades personals

La definició vietnamita de dades personals és àmplia i s'ajusta estretament a l'estàndard internacional. Les dades personals són qualsevol informació que identifica o pot identificar una persona física concreta, i es divideix en dues categories que importen molt per al consentiment de cookies.

Dades personals bàsiques

Les dades personals bàsiques inclouen nom, data de naixement, números d'identificació, dades de contacte, identificadors de dispositius, adreces IP i dades d'activitat en línia. La majoria de les dades recollides per cookies caben aquí, incloent identificadors publicitaris, ID de sessió i perfils de comportament construïts a partir de l'historial de navegació.

Dades personals sensibles

Les dades personals sensibles inclouen opinions polítiques i religioses, informació sanitària, dades genètiques, dades biomètriques, orientació sexual, antecedents penals, dades financeres i — de manera crítica — dades d'ubicació que es poden utilitzar per identificar una persona concreta. Les dades sensibles activen els requisits de consentiment més estrictes, inclòs un consentiment específic, separat i en alguns casos escrit o verificable electrònicament.

Per què això importa per a les cookies

Una cookie que recull només un identificador de sessió bàsic és de dades personals bàsiques. Una cookie que alimenta una audiència publicitària basada en la ubicació — habitual en campanyes de retargeting i geosegmentació — probablement toca dades personals sensibles en el moment en què la ubicació es torna identificadora. La configuració del CMP ha de separar aquests propòsits.

El consentiment de cookies en virtut de la llei vietnamita

El Vietnam segueix el model de consentiment opt-in. No hi ha cap opció de retrocés de notificació i elecció per a les cookies que recullen dades personals, i el llindar per al consentiment vàlid és similar a l'estàndard GDPR.

Els quatre requisits de consentiment

El consentiment en virtut de la llei vietnamita ha de ser:

• Específic — vinculat a una finalitat de tractament clarament identificada, no un consentiment general genèric
• Informat — l'interessat entén quines dades es processen, per què, qui les rep i durant quant de temps
• Voluntari — sense caselles marcades prèviament, sense murs de consentiment-o-surt per al tractament no essencial
• Expressable i revocable — l'usuari pot proporcionar i retirar el consentiment a través d'un mecanisme clar

Com és un CMP compatible

Un CMP configurat per al trànsit vietnamita el 2026 ha de presentar:

• Un bàner visible abans que qualsevol cookie o rastreador no essencial s'activi, en vietnamita (Tiếng Việt) de manera predeterminada per als usuaris vietnamites
• Accions separades d'Acceptar, Rebutjar i Personalitzar, amb igual prominència visual — sense patrons obscurs
• Controls granulars per a com a mínim les finalitats següents: analítica, publicitat, personalització, transferència transfronterera i qualsevol tractament de categoria sensible com la ubicació precisa
• Un mecanisme persistent i fàcil de trobar per canviar o retirar el consentiment després de la decisió inicial
• Política de privadesa en vietnamita amb divulgació clara dels responsables del tractament, categories de dades, conservació i drets de l'usuari

Registres de consentiment

Els responsables del tractament han de mantenir registres de consentiment — qui ha consentit, quan, a què, a través de quina interfície. Les accions d'aplicació vietnamites ja han citat registres de consentiment absents o no verificables, i el PDPL formalitza aquesta obligació. Un CMP que no produeixi registres de consentiment exportables i amb marca de temps no és compatible.

Transferència transfronterera de dades — La part més difícil

El règim de transferència transfronterera del Vietnam és un dels més exigents de la regió i és l'element amb el qual la majoria dels editors estrangers tenen dificultats.

L'avaluació de l'impacte de la transferència

Abans de transferir dades personals vietnamites a l'estranger — que inclou enviar identificadors derivats de cookies a una borsa de publicitat a l'estranger o a un proveïdor d'analítica — el responsable ha de preparar una Avaluació de l'Impacte de la Transferència. L'avaluació ha de documentar la finalitat, les categories de dades, el país destinatari i el destinatari, les mesures tècniques i organitzatives i la base jurídica de la transferència.

Presentació al MPS

L'avaluació s'ha de presentar al Ministeri de Seguretat Pública en un termini de 60 dies des de l'inici del tractament. El MPS té la facultat de suspendre les transferències transfrontereres si l'avaluació és inadequada o si la jurisdicció de destí es considera insuficient.

Implicació pràctica per als editors

Una pila d'anuncis programàtics típica encamina les dades dels usuaris a través de dotzenes de proveïdors a l'estranger en mil·lisegons. Cadascun d'aquests fluxos és, estrictament, una transferència transfronterera de dades personals vietnamites. La realitat del 2026 és que la majoria dels editors estrangers o bé presenten avaluacions consolidades per a tota la seva llista de proveïdors o redueixen el seu conjunt de proveïdors per reduir la càrrega de l'avaluació. Cap de les dues opcions és trivial, i el MPS ha indicat que iniciarà una aplicació més activa sobre els fluxos transfronterers durant el 2026.

Drets dels interessats

El PDPL consolida i enforteix els drets concedits en virtut del Decret. Els interessats vietnamites tenen dret a:

• Ser informats sobre el tractament de les seves dades
• Accedir a les dades que s'estan tractant
• Corregir les dades inexactes
• Suprimir les dades quan el tractament ja no estigui justificat
• Restringir el tractament en circumstàncies especificades
• Retirar el consentiment tan fàcilment com va ser atorgat
• Oposar-se a la presa de decisions automatitzada que produeixi efectes significatius
• Presentar una queixa davant el Ministeri de Seguretat Pública

Terminis de resposta

Els responsables han de respondre a les sol·licituds dels interessats en un termini de 72 hores en la majoria dels casos — una finestra significativament més estreta que l'estàndard de 30 dies del GDPR. La preparació operativa per a aquest termini és una de les llacunes de compliment més comunes per als editors estrangers i requereix eines i manuals d'operació més ràpids del que és habitual en altres regions.

Normes especials per a menors

El PDPL introdueix proteccions dedicades per al tractament de dades personals de menors. El consentiment per al tractament de dades d'una persona menor de 15 anys ha de ser donat per un progenitor o tutor legal. El tractament de dades de persones d'entre 15 i 18 anys requereix el consentiment propi del menor, però amb deures reforçats de transparència i cura. Les interfícies de consentiment de cookies en llocs que atrauen públics significatius de menors de 18 anys necessiten fluxos conscients de l'edat, que pocs editors estrangers han creat per defecte.

Sancions i aplicació

El PDPL eleva significativament el límit de les multes administratives. Les sancions inclouen:

• Multes de fins a un 5 per cent dels ingressos anuals globals per a infraccions greus que impliquin dades personals sensibles o fallades sistemàtiques
• Suspensió de les activitats de tractament
• Aturades obligatòries de transferències transfrontereres
• Divulgació pública de la infracció
• Responsabilitat penal per a casos flagrants, inclosa la venda il·legal de dades personals

Tendència d'aplicació

El MPS va ser relativament silenciós durant el 2023 i principis del 2024, mentre el Decret s'assentava, però l'aplicació s'ha accelerat al llarg del 2025 i al 2026. S'han citat editors estrangers en diverses accions publicades, gairebé sempre centrades en un de tres problemes: consentiment absent o inadequat, avaluacions de transferència transfronterera no presentades o no respondre a les sol·licituds dels interessats dins la finestra de 72 hores.

Llista de verificació d'auditoria per al trànsit vietnamita el 2026

• El bàner del CMP es mostra en vietnamita per als usuaris vietnamites, amb Acceptar, Rebutjar i Personalitzar amb igual prominència
• Les finalitats del consentiment són granulars i separen el tractament sensible com la ubicació precisa
• Els registres de consentiment estan marcats amb el temps, són exportables i es conserven durant la durada del tractament més un marge auditable
• La política de privadesa és disponible en vietnamita amb divulgació completa dels responsables del tractament, conservació i drets
• L'avaluació de l'impacte de la transferència ha estat presentada al MPS per a cada flux transfronterer en curs
• El flux de treball de sol·licituds dels interessats pot respondre en 72 hores d'extrem a extrem
• El flux de consentiment conscient de l'edat està en funcionament per a audiències que inclouen menors
• La llista de proveïdors ha estat revisada per necessitat, amb proveïdors no utilitzats o redundants eliminats per reduir la superfície transfronterera

La perspectiva del 2026

La trajectòria regulatòria del Vietnam és clara. El PDPD va establir el marc. El PDPL l'endureix. L'aplicació s'expandeix. Per als editors i anunciants que han tractat el Vietnam com un mercat de regulació lleugera, el 2026 és l'any en què aquest enfocament es torna costós. La bona notícia és que una pila de consentiment moderna de grau GDPR és la major part del que cal — les llacunes solen ser la finestra de resposta de 72 hores, les presentacions d'avaluació de l'impacte de la transferència i la localització en vietnamita del CMP i la política de privadesa. Aquestes llacunes són operatives, no arquitecturals, i es poden tancar en setmanes en lloc de trimestres. Els editors que les tanquin abans que el MPS arribi a la seva porta no notaran la transició. Els que esperin, sí.