La estructura de la ley de protección de datos vietnamita en 2026

El régimen de Vietnam es ahora una pila de dos capas: el PDPD de 2023 y el PDPL de 2026. Ambos están vigentes, y los editores necesitan entender qué capa rige qué obligación.

El PDPD — Decreto 13/2023/ND-CP

El Decreto introdujo la primera definición integral de datos personales de Vietnam, un catálogo de derechos de los interesados, requisitos de consentimiento, normas sobre transferencias transfronterizas de datos y la obligación fundamental de Evaluación de Impacto del Tratamiento de Datos Personales (DPIA). Sigue en vigor y continúa rigiendo los detalles operativos.

El PDPL — Vigente desde 2026

El PDPL eleva el marco a legislación primaria con sanciones más altas y mayor alcance. Refuerza el modelo centrado en el consentimiento, fortalece los derechos de los interesados y amplía los poderes de aplicación del Ministerio de Seguridad Pública (MPS), que sigue siendo el regulador principal. El PDPL también introduce normas más claras para datos personales sensibles, toma de decisiones automatizada y el tratamiento de datos de menores.

Quién está regulado

La ley se aplica a cualquier tratamiento de datos personales vietnamitas, independientemente de dónde se encuentre el responsable del tratamiento. Un editor con sede en EE. UU. que atiende a usuarios vietnamitas a través de un sitio localizado o un comprador programático que puja por inventario vietnamita está en el ámbito de aplicación. Este alcance extraterritorial refleja el patrón del GDPR y es uno de los elementos más agresivos del marco vietnamita.

Qué cuenta como datos personales

La definición vietnamita de datos personales es amplia y sigue de cerca el estándar internacional. Los datos personales son cualquier información que identifica o puede identificar a una persona física concreta, y se divide en dos categorías que son muy importantes para el consentimiento de cookies.

Datos personales básicos

Los datos personales básicos incluyen nombre, fecha de nacimiento, números de identificación, datos de contacto, identificadores de dispositivos, direcciones IP y datos de actividad en línea. La mayoría de los datos recopilados por cookies pertenecen aquí, incluidos identificadores publicitarios, ID de sesión y perfiles de comportamiento creados a partir del historial de navegación.

Datos personales sensibles

Los datos personales sensibles incluyen opiniones políticas y religiosas, información de salud, datos genéticos, datos biométricos, orientación sexual, antecedentes penales, datos financieros y — de manera crítica — datos de ubicación que pueden usarse para identificar a una persona concreta. Los datos sensibles activan los requisitos de consentimiento más estrictos, incluido el consentimiento específico, separado y en algunos casos escrito o verificable electrónicamente.

Por qué esto importa para las cookies

Una cookie que solo recopila un identificador de sesión básico es de datos personales básicos. Una cookie que alimenta una audiencia publicitaria basada en la ubicación — habitual en campañas de retargeting y geosegmentación — probablemente toca datos personales sensibles en el momento en que la ubicación se vuelve identificadora. La configuración del CMP debe separar estos propósitos.

Consentimiento de cookies bajo la ley vietnamita

Vietnam sigue el modelo de consentimiento opt-in. No existe una opción de retroceso de aviso y elección para las cookies que recopilan datos personales, y el umbral para el consentimiento válido es similar al estándar del GDPR.

Los cuatro requisitos de consentimiento

El consentimiento bajo la ley vietnamita debe ser:

• Específico — vinculado a un propósito de tratamiento claramente identificado, no un consentimiento genérico general
• Informado — el interesado entiende qué datos se tratan, por qué, quién los recibe y durante cuánto tiempo
• Voluntario — sin casillas marcadas previamente, sin muros de acepta-o-sal para el tratamiento no esencial
• Expresable y revocable — el usuario puede proporcionar y retirar el consentimiento a través de un mecanismo claro

Cómo se ve un CMP conforme

Un CMP configurado para el tráfico vietnamita en 2026 debe presentar:

• Un banner visible antes de que se active cualquier cookie o rastreador no esencial, en vietnamita (Tiếng Việt) por defecto para usuarios vietnamitas
• Acciones separadas de Aceptar, Rechazar y Personalizar con igual prominencia visual — sin patrones oscuros
• Controles granulares para al menos los siguientes propósitos: análisis, publicidad, personalización, transferencia transfronteriza y cualquier tratamiento de categoría sensible como la ubicación precisa
• Un mecanismo persistente y fácil de encontrar para cambiar o retirar el consentimiento después de la elección inicial
• Política de privacidad en vietnamita con divulgación clara de los responsables del tratamiento, categorías de datos, conservación y los derechos del usuario

Registros de consentimiento

Los responsables del tratamiento deben mantener registros de consentimiento — quién consintió, cuándo, a qué, a través de qué interfaz. Las acciones de aplicación vietnamitas ya han citado registros de consentimiento ausentes o no verificables, y el PDPL formaliza esta obligación. Un CMP que no produce registros de consentimiento exportables y con marca de tiempo no cumple.

Transferencia transfronteriza de datos — La parte más difícil

El régimen de transferencia transfronteriza de Vietnam es uno de los más exigentes de la región y es el elemento con el que más dificultades tienen los editores extranjeros.

La Evaluación de Impacto de la Transferencia

Antes de transferir datos personales vietnamitas al extranjero — lo que incluye enviar identificadores derivados de cookies a una bolsa de publicidad en el extranjero o a un proveedor de análisis — el responsable debe preparar una Evaluación de Impacto de la Transferencia. La evaluación debe documentar el propósito, las categorías de datos, el país destinatario y el destinatario, las medidas técnicas y organizativas y la base jurídica para la transferencia.

Presentación al MPS

La evaluación debe presentarse al Ministerio de Seguridad Pública en un plazo de 60 días desde el inicio del tratamiento. El MPS tiene la facultad de suspender las transferencias transfronterizas si la evaluación es inadecuada o si la jurisdicción de destino se considera insuficiente.

Implicación práctica para los editores

Una pila de anuncios programáticos típica enruta los datos de los usuarios a través de docenas de proveedores en el extranjero en milisegundos. Cada uno de esos flujos es, estrictamente, una transferencia transfronteriza de datos personales vietnamitas. La realidad de 2026 es que la mayoría de los editores extranjeros o bien presentan evaluaciones consolidadas para toda su lista de proveedores o reducen su conjunto de proveedores para reducir la carga de la evaluación. Ninguna de las dos es trivial, y el MPS ha señalado que comenzará una aplicación más activa sobre los flujos transfronterizos durante 2026.

Derechos de los interesados

El PDPL consolida y fortalece los derechos concedidos en virtud del Decreto. Los interesados vietnamitas tienen derecho a:

• Ser informados sobre el tratamiento de sus datos
• Acceder a los datos que se están tratando
• Corregir los datos inexactos
• Eliminar datos cuando el tratamiento ya no esté justificado
• Restringir el tratamiento en circunstancias especificadas
• Retirar el consentimiento con la misma facilidad con que se otorgó
• Oponerse a la toma de decisiones automatizada que produzca efectos significativos
• Presentar una queja ante el Ministerio de Seguridad Pública

Plazos de respuesta

Los responsables deben responder a las solicitudes de los interesados en un plazo de 72 horas en la mayoría de los casos — una ventana significativamente más estrecha que el estándar de 30 días del GDPR. La preparación operativa para este plazo es una de las brechas de cumplimiento más comunes para los editores extranjeros y requiere herramientas y manuales de operación más rápidos de lo habitual en otras regiones.

Normas especiales para menores

El PDPL introduce protecciones dedicadas para el tratamiento de datos personales de menores. El consentimiento para el tratamiento de datos de una persona menor de 15 años debe ser otorgado por un padre o tutor legal. El tratamiento de datos de personas de entre 15 y 18 años requiere el propio consentimiento del menor, pero con deberes reforzados de transparencia y cuidado. Las interfaces de consentimiento de cookies en sitios que atraen a públicos significativos menores de 18 años necesitan flujos que tengan en cuenta la edad, algo que pocos editores extranjeros han construido por defecto.

Sanciones y aplicación

El PDPL eleva significativamente el límite de las multas administrativas. Las sanciones incluyen:

• Multas de hasta el 5 por ciento de los ingresos anuales globales para infracciones graves que impliquen datos personales sensibles o fallos sistemáticos
• Suspensión de las actividades de tratamiento
• Paradas obligatorias de transferencias transfronterizas
• Divulgación pública de la infracción
• Responsabilidad penal en casos flagrantes, incluida la venta ilegal de datos personales

Tendencia de aplicación

El MPS estuvo relativamente tranquilo a lo largo de 2023 y principios de 2024 mientras el Decreto se asentaba, pero la aplicación se ha acelerado a lo largo de 2025 y en 2026. Los editores extranjeros han sido citados en varias acciones publicadas, casi siempre centradas en uno de tres problemas: consentimiento ausente o inadecuado, evaluaciones de transferencia transfronteriza no presentadas o incapacidad de responder a las solicitudes de los interesados dentro de la ventana de 72 horas.

Lista de verificación de auditoría para el tráfico vietnamita en 2026

• El banner del CMP se muestra en vietnamita para los usuarios vietnamitas con Aceptar, Rechazar y Personalizar con igual prominencia
• Los propósitos del consentimiento son granulares y separan el tratamiento sensible como la ubicación precisa
• Los registros de consentimiento están marcados con el tiempo, son exportables y se conservan durante la duración del tratamiento más un margen auditable
• La política de privacidad está disponible en vietnamita con divulgación completa de los responsables del tratamiento, conservación y derechos
• La Evaluación de Impacto de la Transferencia ha sido presentada al MPS para cada flujo transfronterizo en curso
• El flujo de trabajo de solicitudes de los interesados puede responder en 72 horas de extremo a extremo
• El flujo de consentimiento que tiene en cuenta la edad está en funcionamiento para las audiencias que incluyen menores
• La lista de proveedores ha sido revisada por necesidad, con proveedores no utilizados o redundantes eliminados para reducir la superficie transfronteriza

La perspectiva de 2026

La trayectoria regulatoria de Vietnam es clara. El PDPD estableció el marco. El PDPL lo endurece. La aplicación se expande. Para los editores y anunciantes que han tratado Vietnam como un mercado de regulación más ligera, 2026 es el año en que ese enfoque se vuelve costoso. La buena noticia es que una pila de consentimiento moderna de nivel GDPR es la mayor parte de lo que se necesita — las brechas son típicamente la ventana de respuesta de 72 horas, las presentaciones de Evaluaciones de Impacto de la Transferencia y la localización en vietnamita del CMP y la política de privacidad. Esas brechas son operativas, no arquitectónicas, y se pueden cerrar en semanas en lugar de trimestres. Los editores que las cierren antes de que el MPS llegue a su puerta no notarán la transición. Los que esperen, sí.