Ley de Protección de Datos de Nigeria 2023: Guía de Cumplimiento del Consentimiento de Cookies para Editores en 2026
Nigeria operó durante años bajo la Regulación de Protección de Datos de Nigeria 2019 (NDPR), una regulación subsidiaria emitida por NITDA que imponía obligaciones al estilo GDPR sin la plena autoridad legal de una ley de protección de datos propiamente dicha. La Ley de Protección de Datos de Nigeria 2023 (NDPA) cambió eso. Aprobada por la Asamblea Nacional y firmada en June 2023, la ley es el primer estatuto integral de protección de datos de Nigeria y estableció la Comisión de Protección de Datos de Nigeria (NDPC) como una autoridad supervisora independiente con poderes de aplicación materialmente más fuertes que los de NITDA bajo el antiguo régimen. Para editores, operadores SaaS y proveedores de ad-tech que atienden tráfico nigeriano — un mercado que se ha expandido rápidamente con el crecimiento del fintech, el comercio electrónico y la economía digital más amplia de África occidental — la NDPA reinstaló el listón del cumplimiento. Esta guía explica qué requiere la ley, cómo la ha interpretado la NDPC para el seguimiento en línea y cómo es el trabajo práctico de cumplimiento en 2026.
La NDPA en Síntesis
La NDPA está estructurada en torno a seis principios fundamentales que se corresponden claramente con el Article 5 del GDPR: licitud, equidad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento y seguridad. La ley se aplica a cualquier responsable o encargado del tratamiento que procese datos personales de personas ubicadas en Nigeria, con alcance extraterritorial que refleja el Article 3 del GDPR. Un editor offshore que atiende a visitantes nigerianos está claramente dentro del ámbito de aplicación, independientemente de dónde esté establecido el editor.
Las bases legítimas de la ley conforme a la Section 25 también resultan familiares: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, interés público e interés legítimo. Para el seguimiento en línea, las bases relevantes son el consentimiento y — en circunstancias estrechas y bien documentadas — el interés legítimo. La Directiva General de Aplicación e Implementación (GAID) de la NDPC de 2025 aclaró que el estándar de consentimiento para las cookies no esenciales es funcionalmente idéntico al del GDPR: libremente otorgado, específico, informado, inequívoco y susceptible de ser retirado con la misma facilidad con la que fue otorgado.
El Cambio de la NDPR a la NDPA
Tres cambios entre el antiguo régimen de la NDPR y la nueva NDPA son los más importantes para los editores en línea.
Poderes legales de aplicación
La autoridad de NITDA bajo la NDPR descansaba en una regulación subsidiaria, que limitaba la fuerza de los recursos que la agencia podía perseguir. La NDPC opera bajo legislación primaria y puede emitir órdenes de cumplimiento, imponer multas administrativas vinculadas a un porcentaje de los ingresos anuales y realizar remisiones penales por infracciones deliberadas. El cambio de la persuasión regulatoria a la aplicación legal es el cambio operativo más relevante.
Obligaciones del delegado de protección de datos
La NDPA requiere que los responsables del tratamiento que superen determinados umbrales de procesamiento designen un Delegado de Protección de Datos (DPO) y se registren en la NDPC. Los umbrales abarcan a la mayoría de los editores en línea y operadores SaaS significativos que atienden a usuarios nigerianos.
Marco de transferencias internacionales
La NDPA codificó las normas de transferencia transfronteriza que la NDPR había tratado solo vagamente. Las Sections 41-43 requieren que las transferencias a jurisdicciones no adecuadas se realicen bajo uno de varios mecanismos enumerados — decisión de adecuación, normas corporativas vinculantes, garantías contractuales o derogaciones específicas — con la NDPC publicando una lista de instrumentos aprobados.
Cómo Trata la NDPA las Cookies y el Seguimiento en Línea
La NDPA no contiene ninguna disposición específica sobre cookies; las obligaciones de consentimiento e información se derivan del marco general. La GAID de la NDPC y una serie de notas de orientación pública publicadas a lo largo de 2024 y 2025 articularon expectativas específicas para el seguimiento en línea.
Consentimiento afirmativo para cookies no esenciales
La postura de la NDPC se alinea con el Grupo de Trabajo de Banners de Cookies del EDPB y las posiciones equivalentes de reguladores africanos comparables (el ODPC de Kenia, el Regulador de Información de Sudáfrica). El desplazamiento como consentimiento, el uso continuado como consentimiento y las casillas preseleccionadas son defectos explícitos.
Controles granulares de categorías
Los banners deben separar las cookies estrictamente necesarias de las de análisis y de las de marketing, con cada categoría controlable de forma independiente. El aceptar-todo agrupado sin granularidad se considera un incumplimiento del criterio de especificidad del estándar de consentimiento.
Base legítima documentada
La Section 26 de la NDPA codifica la responsabilidad proactiva — los responsables del tratamiento deben poder demostrar su base legítima para cada actividad de tratamiento a petición. Para los despliegues de cookies, esto se traduce en un registro de consentimiento de calidad de auditoría: marca de tiempo, versión del banner, la elección del usuario y la base legítima invocada para cada categoría que se activa.
Divulgación de transferencias transfronterizas
Para las cookies que enrutan datos a proveedores fuera de Nigeria — la mayoría de los proveedores de ad-tech con sede en EE. UU., plataformas de análisis con sede en la EU — el aviso de privacidad debe identificar al destinatario de la transferencia y la salvaguarda bajo la cual se realiza la transferencia. El lenguaje genérico sobre el uso de terceros no satisface las expectativas de la NDPC.
La Postura de Aplicación de la Comisión de Protección de Datos de Nigeria
La NDPC ha sido deliberadamente pública desde que se constituyó en 2023. Su postura de aplicación sigue tres patrones observables.
Casos iniciales de alto perfil
La NDPC ha priorizado casos iniciales visibles contra operadores conocidos para establecer precedentes y señalar seriedad. Varios operadores de fintech y telecomunicaciones recibieron órdenes de cumplimiento en 2024 y 2025 con comunicación pública sobre la subsanación.
Revisiones sectoriales
Más allá de los casos impulsados por quejas, la NDPC ha realizado revisiones sectoriales de operadores de fintech, sanidad y comercio electrónico. Las revisiones típicamente comienzan con una solicitud de documentación (avisos de privacidad, registros de consentimiento, listas de proveedores) y escalan en función de lo que revela la documentación.
Coordinación con reguladores africanos y europeos
La NDPC participa en el flujo de trabajo de datos de la Continental Free Trade Area de la African Union y mantiene relaciones de trabajo con el EDPB y las principales autoridades nacionales de protección de datos. Las investigaciones transfronterizas que involucran tráfico nigeriano y europeo se gestionan cada vez más a través de procedimientos coordinados.
Una Lista de Verificación Práctica de Cumplimiento
Seis preguntas concretas que responder para cualquier banner de cookies que atienda tráfico nigeriano.
- ¿Existe un rechazo explícito en la primera capa? El opt-in afirmativo es obligatorio; el desplazamiento como consentimiento y las casillas preseleccionadas no superan la GAID.
- ¿Son granulares las categorías? Las necesarias, de análisis y de marketing deben ser controlables por separado.
- ¿Está designado y registrado el DPO? Si el tratamiento supera el umbral de registro de la NDPC, confirmar que la designación del DPO y el registro en la NDPC están en vigor.
- ¿Están documentadas las transferencias transfronterizas? Identificar cada destino no nigeriano y la salvaguarda de las Sections 41-43 que autoriza la transferencia.
- ¿Es el aviso de privacidad conforme a la NDPA? Confirmar que el aviso identifica al responsable del tratamiento, las finalidades, los destinatarios, el período de conservación y el marco de derechos de la Section 33.
- ¿Es el registro de consentimiento de calidad de auditoría? La marca de tiempo, la versión del banner, la elección y la base legítima deben ser recuperables a petición.
El Lugar de Nigeria en una Pila Multijurisdiccional
Nigeria es el mercado digital más grande de Africa por número de usuarios, y la NDPA se convierte cada vez más en la plantilla a la que señalan otras jurisdicciones africanas cuando modernizan sus propios marcos. Una arquitectura de cumplimiento construida conforme a los estándares europeos maneja el cumplimiento nigeriano con el mismo tipo de ajustes de configuración menores que requiere Nueva Zelanda: designación de DPO donde se apliquen los umbrales, documentación de transferencias al estilo NDPC y divulgaciones en inglés que respetan las convenciones lingüísticas nigerianas. Para los editores que construyen operaciones panafricanas, la NDPA se sitúa junto a la DPA de Kenia de 2019, la POPIA de Sudáfrica y el marco emergente de Egipto como los cuatro regímenes africanos más relevantes operacionalmente. Cumplir correctamente con los requisitos nigerianos es significativo en su propio mercado y señala la preparación continental para el resto.