Qué es realmente el PDPL

El PDPL es la primera ley de privacidad integral de Arabia Saudita. Fue emitida por el Decreto Real M/19 en 2021, enmendada en marzo de 2023 para alinearla más estrechamente con el estándar global establecido por el GDPR y regímenes similares, y entró plenamente en vigor el 14 de septiembre de 2024 después de un período de gracia de un año. La ley se enmarca dentro de una pila más amplia de gobernanza de datos saudita que incluye los Reglamentos Provisionales de Gobernanza Nacional de Datos, el Marco Regulatorio de Computación en la Nube y las reglas de libertad de información de SDAIA — pero para los editores, el PDPL es la pieza que regula las cookies, el seguimiento de anuncios, la analítica y cualquier otro procesamiento de datos personales vinculado a un sitio web o aplicación.

Los Reglamentos de Implementación

El PDPL es conciso. Los detalles se encuentran en dos reglamentos de implementación publicados por SDAIA en septiembre de 2023 y refinados a lo largo de 2024 y 2025: los Reglamentos de Implementación (generales) y los Reglamentos de Transferencia de Datos Personales (transfronterizos). Juntos ofrecen a los editores respuestas concretas sobre la calidad del consentimiento, la retención, los plazos de notificación de brechas y las condiciones para enviar los datos de los residentes sauditas fuera del Reino. Cualquiera que siga trabajando únicamente desde el texto de 2021 lee un mapa desactualizado.

El Calendario de Aplicación que los Editores Deben Conocer

SDAIA dio a las organizaciones hasta el 14 de septiembre de 2024 para alcanzar el pleno cumplimiento. La primera oleada de cartas de auditoría salió a finales de 2024 dirigida a los grandes responsables del tratamiento en finanzas, telecomunicaciones y servicios gubernamentales. A lo largo de 2025, el programa de auditoría se amplió para incluir los medios financiados por publicidad, el comercio electrónico y cualquier plataforma que procesara más de un volumen definido de datos de residentes sauditas. Para 2026, SDAIA ha señalado que los editores pequeños y medianos están ahora en el alcance — particularmente cualquier operador cuyo contenido en árabe o gasto publicitario indique una audiencia saudita deliberada.

A Quién Considera SDAIA un Responsable del Tratamiento de Datos

El PDPL se aplica extraterritorialmente. No necesita una entidad saudita, un servidor saudita o una cuenta bancaria saudita para ser responsable del tratamiento bajo la ley. Si su sitio o aplicación procesa los datos personales de personas que residen en el Reino, está dentro del alcance. Para los editores, este gancho se activa por el flujo de datos de ad-tech habitual: direcciones IP, ID de dispositivos, correos electrónicos con hash, cookies de comportamiento y los identificadores de usuario que fluyen a través de las subastas programáticas cuentan todos como datos personales cuando están vinculados a un residente saudita.

El Requisito de Representante Local

Los responsables del tratamiento extranjeros sin presencia en el Reino deben nombrar a un representante local registrado ante SDAIA. El representante es un punto de contacto legal para las solicitudes de los interesados y la correspondencia con el regulador. Los editores más pequeños a menudo gestionan esto a través de una empresa de servicios de privacidad en lugar de incorporarse localmente — pero el nombramiento es obligatorio una vez que se supera el umbral del procesamiento saudita regular.

Escenarios de Responsable Conjunto para Ad Tech

La cadena de suministro que monetiza un espacio publicitario programático — su CMP, su servidor de anuncios, los SSP a los que llama, los DSP que pujan, los proveedores de verificación y los socios de medición — crea relaciones de responsable conjunto y solidario bajo el PDPL, igual que lo hace bajo el GDPR. Los editores no pueden descargar la responsabilidad del PDPL en un proveedor. SDAIA espera que el editor demuestre que cada socio posterior tiene su propia base jurídica y compromisos contractuales que coinciden con lo que el editor prometió en el banner de consentimiento.

Consentimiento de Cookies bajo los Reglamentos de Implementación

El PDPL reconoce el consentimiento como una base jurídica para el procesamiento de datos personales, y los Reglamentos de Implementación detallan cómo luce el consentimiento válido. El estándar es alto — más cercano al GDPR que al CCPA — y cubre cookies, píxeles, SDK, toma de huellas digitales y cualquier otra tecnología de seguimiento que lea o escriba datos en el dispositivo de un usuario.

Qué Cuenta como Consentimiento Válido

El consentimiento debe ser libremente otorgado, específico, informado y explícito. Las casillas pre-marcadas, los muros de cookies que bloquean el contenido a menos que el usuario acepte, y los avisos ambiguos de «al seguir navegando» fallan todos en el estándar. El usuario debe tomar una acción afirmativa inequívoca — típicamente un clic en un botón Aceptar — y esa acción debe estar vinculada a una descripción clara de los propósitos del procesamiento. El consentimiento agrupado que fusiona analítica, publicidad y personalización en un solo sí-o-no está explícitamente desautorizado.

Categorías de Propósito Granulares

Las directrices de SDAIA enumeran las categorías de propósito que un CMP de editor debería exponer: estrictamente necesario, funcional, analítica, publicidad, personalización y cualquier procesamiento de datos sensibles como inferencias de salud o biométricas. Cada categoría necesita su propio interruptor, su propia descripción de propósito y su propia lista de proveedores. El marco IAB Europe TCF v2.3, adecuadamente extendido con texto específico del PDPL en árabe, es el camino más común que usan los editores para satisfacer el requisito de granularidad.

Retirada y Re-consentimiento

El derecho a retirar el consentimiento debe ser tan fácil como el derecho a otorgarlo. Un icono flotante de preferencias de consentimiento, un enlace en el pie de página o un panel de configuración en la aplicación califican todos; una exclusión voluntaria enterrada exclusivamente por correo electrónico no. Los editores deben planificar el re-consentimiento periódico en cambios materiales — un nuevo socio publicitario, un nuevo propósito de cookie, un nuevo SDK — y SDAIA espera que el registro de auditoría del CMP registre cada evento de re-consentimiento con una marca de tiempo.

Transferencias Transfronterizas y Localización de Datos

Los Reglamentos de Transferencia de Datos Personales son la parte del PDPL con más probabilidades de hacer tropezar a los editores, porque en el momento en que la dirección IP de un usuario saudita ingresa en una subasta programática, ha sido efectivamente transferida a donde operan los SSP y DSP. SDAIA no trata esto como un flujo libre.

La Lista de Adecuación y los Contratos Estándar

Un responsable del tratamiento puede transferir datos personales fuera del Reino bajo uno de tres mecanismos primarios: una decisión de adecuación aprobada por SDAIA para el país de destino, un contrato estándar aprobado por SDAIA o un conjunto de reglas corporativas vinculantes para las transferencias intragrupo. La lista de adecuación a partir de 2026 incluye un pequeño número de vecinos del GCC y un puñado de jurisdicciones europeas, pero la mayoría de los destinos de ad-tech — incluidos los Estados Unidos — se encuentran fuera de ella y requieren un contrato estándar o una derogación.

La Evaluación del Impacto de la Transferencia de Datos

Para las transferencias de alto riesgo, SDAIA requiere una Evaluación del Impacto de la Transferencia de Datos (DTIA) documentada antes de que comience la transferencia. Este es el análogo saudita de la evaluación de impacto de la transferencia de la UE tras Schrems II. Los editores deben trabajar con sus proveedores de CMP y ad-tech para ensamblar DTIAs plantilla que cubran los flujos programáticos recurrentes y actualizarlos cada vez que un proveedor cambie las ubicaciones de procesamiento.

Pasos Prácticos de Cumplimiento para Editores

El programa PDPL se divide en cinco tareas operativas que se mapean limpiamente en el CMP existente de un editor y su pila de anuncios. Ninguna de ellas es desconocida para nadie que ya haya implementado el cumplimiento del GDPR o del LGPD — la diferencia está en el detalle del texto saudita y las reglas de transferencia específicas.

Lista de Verificación de Configuración del CMP

Confirme que su banner de consentimiento se muestre en árabe para los visitantes de KSA y en inglés para todos los demás, que las categorías de propósito sean totalmente granulares, que la ruta de rechazar-todo sea de un clic y visualmente igual a aceptar-todo, y que la cadena de consentimiento fluya aguas abajo a través de Google Consent Mode v2 o su integración TCF. Asegúrese de que su CMP registre un recibo de consentimiento específico del PDPL con una marca de tiempo, la versión de la política y el identificador de usuario para que las respuestas de auditoría puedan ensamblarse en minutos en lugar de días.

Registros de Consentimiento y Pista de Auditoría

Los equipos de auditoría de SDAIA solicitan evidencia de consentimiento en una forma familiar: quién consintió, a qué, cuándo, con qué versión del banner y qué se les dijo en el momento del consentimiento. Planifique la retención de estos registros durante al menos dos años y almacénelos de una manera que sobreviva a los cambios de proveedor de CMP — la exportación a un almacén de datos de propiedad del responsable del tratamiento es el patrón más limpio.

Flujo de Trabajo de los Derechos de los Interesados

El PDPL otorga derechos de acceso, rectificación, supresión y portabilidad, con plazos de respuesta de treinta días. Un editor con una sola bandeja de entrada de privacy@ y sin flujo de trabajo de tickets perderá el plazo con más frecuencia de lo que lo cumplirá. Establezca un proceso documentado de recepción a respuesta, forme a un propietario designado e integre el flujo de trabajo con sus registros de consentimiento de CMP y del servidor de anuncios para que las solicitudes de borrado se propaguen aguas abajo.

La Conclusión

El PDPL de Arabia Saudita en 2026 no es un régimen blando que los editores puedan despriorizar detrás del GDPR y del CCPA. SDAIA tiene la financiación, la capacidad de auditoría y el respaldo político para aplicarlo, y las reglas de transferencia transfronteriza en particular crean una fricción real con la cadena de suministro global de ad-tech alrededor de la cual los editores deben diseñar soluciones. La buena noticia es que el PDPL toma suficiente del GDPR como para que un editor con una postura de cumplimiento europea madura esté la mayor parte del camino allí. Localice su banner de consentimiento al árabe, superponga el texto de propósito específico del PDPL sobre su configuración TCF existente, documente sus mecanismos de transferencia, nombre a un representante local si su tráfico saudita lo justifica, y su audiencia de KSA permanece monetizable mientras los operadores que descartaron el PDPL como un ejercicio de papel pasan 2026 leyendo cartas de auditoría.