Lei de Protección de Datos de Nigeria 2023 Guía de Cumprimento do Consentimento de Cookies para Editores en 2026
Nigeria funcionou durante anos baixo o Nigeria Data Protection Regulation 2019 (NDPR), un regulamento subsidiario emitido por NITDA que impoñía obrigacións de corte GDPR sen a plena autoridade estatutaria dunha lei de protección de datos propiamente dita. O Nigeria Data Protection Act 2023 (NDPA) cambiou iso. Aprobado pola Asemblea Nacional e asinado en June 2023, a Lei é o primeiro estatuto integral de protección de datos de Nigeria, e estableceu a Nigeria Data Protection Commission (NDPC) como autoridade supervisora independente con poderes de execución materialmente máis fortes que os de NITDA baixo o réxime anterior. Para editores, operadores de SaaS e provedores de tecnoloxía publicitaria que serven tráfico nixeriano —un mercado que se expandiu rapidamente co crecemento das fintech, o comercio electrónico e a máis ampla economía dixital da África Occidental— o NDPA reaxustou o limiar de cumprimento. Esta guía percorre o que esixe a Lei, como o NDPC a interpretou para o rastrexo en liña, e en que consiste o traballo práctico de cumprimento en 2026.
O NDPA en resumo
O NDPA está estruturado en torno a seis principios fundamentais que se corresponden coa Article 5 do GDPR: licitude, equidade e transparencia, limitación da finalidade, minimización de datos, exactitude, limitación do almacenamento e seguridade. A Lei aplícase a calquera responsable ou encargado do tratamento que procese datos persoais de persoas situadas en Nigeria, cunha aplicación extraterritorial que espella o Article 3 do GDPR. Un editor estranxeiro que serve visitantes nixerianos está claramente dentro do ámbito de aplicación independentemente de onde estea establecido o editor.
As bases legais da Lei conforme á Section 25 tamén son familiares: consentimento, execución de contrato, obrigación legal, intereses vitais, interese público e interese lexítimo. Para o rastrexo en liña as bases relevantes son o consentimento e —en circunstancias estreitas e ben documentadas— o interese lexítimo. O GAID de 2025 do NDPC aclarou que o estándar de consentimento para cookies non esenciais é funcionalmente idéntico ao do GDPR: libre, específico, informado, inequívoco e capaz de ser retirado con tanta facilidade como se deu.
O paso do NDPR ao NDPA
Tres cambios entre o antigo réxime do NDPR e o novo NDPA son os máis importantes para os editores en liña.
Poderes estatutarios de execución
A autoridade de NITDA baixo o NDPR descansaba nun regulamento subsidiario, o que limitaba a forza dos recursos que a axencia podía perseguir. O NDPC opera baixo lexislación primaria e pode emitir ordes de cumprimento, impoñer multas administrativas vinculadas a unha porcentaxe dos ingresos anuais e presentar remisións penais por infraccións deliberadas. O paso da persuasión regulatoria á execución estatutaria é o cambio operativo máis importante.
Obrigacións obrigatorias do delegado de protección de datos
O NDPA require que os responsables do tratamento que superen determinados umbrais de procesamento designen un Data Protection Officer (DPO) e se rexistren no NDPC. Os umbrais abranguen á maioría dos editores en liña e operadores de SaaS que serven usuarios nixerianos.
Marco de transferencias transfronteirizas
O NDPA codificou as normas de transferencia transfronteiriza que o NDPR tratara só de forma laxa. As Sections 41-43 esixen que as transferencias a xurisdicións non adecuadas se realicen mediante un dos varios mecanismos enumerados —decisión de adecuación, normas corporativas vinculantes, salvagardas contractuais ou derogacións específicas— co NDPC publicando unha lista de instrumentos aprobados.
Como trata o NDPA as cookies e o rastrexo en liña
O NDPA non contén unha disposición específica sobre cookies; as obrigacións de consentimento e información derivan do marco xeral. O GAID do NDPC e unha serie de notas de orientación pública publicadas ao longo de 2024 e 2025 articularon expectativas específicas para o rastrexo en liña.
Consentimento afirmativo para cookies non esenciais
A postura do NDPC aliñase co Grupo de Traballo sobre Banners de Cookies do EDPB e as posicións equivalentes dos reguladores africanos comparables (o ODPC de Kenya, o Regulador de Información de Sudáfrica). O desprazamento como consentimento, o uso continuado como consentimento e as caixas premarcadas son defectos explícitos.
Controis granulares por categorías
Os banners deben separar as cookies estritamente necesarias das de analítica e das de mercadotecnia, con cada categoría controlable de forma independente. O «aceptar todo» agrupado sen granularidade trátase como un fallo do criterio de «específico» do estándar de consentimento.
Base legal documentada
A Section 26 do NDPA codifica a responsabilidade proactiva —os responsables do tratamento deben poder demostrar a súa base legal para cada actividade de tratamento a petición. Para os despregamentos de cookies isto tradúcese en rexistros de consentimento de calidade de auditoría: marca de tempo, versión do banner, a elección do usuario e a base legal reclamada para cada categoría que se activa.
Divulgación de transferencias transfronteirizas
Para as cookies que enrutan datos a provedores fóra de Nigeria —a maioría dos provedores de tecnoloxía publicitaria con sede nos EUA, plataformas de analítica con sede na EU— o aviso de privacidade debe identificar o destinatario da transferencia e a salvagarda baixo a que se realiza a transferencia. A linguaxe xenérica sobre «utilizamos terceiros» non satisface as expectativas do NDPC.
A postura de execución da Nigeria Data Protection Commission
O NDPC foi deliberadamente orientado ao público desde que se constituíu en 2023. A súa postura de execución segue tres patróns observables.
Casos iniciais de alto perfil
O NDPC priorizou casos iniciais visibles contra operadores coñecidos para establecer precedente e sinalar seriedade. Varios operadores de fintech e telecomunicacións recibiron ordes de cumprimento en 2024 e 2025 con comunicacións públicas arredor da corrección.
Revisións sectoriais
Máis alá dos casos derivados de queixas, o NDPC realizou revisións sectoriais de operadores de fintech, sanidade e comercio electrónico. As revisións comezan normalmente cunha solicitude de documentación (avisos de privacidade, rexistros de consentimento, listas de provedores) e escalan en función do que revela a documentación.
Coordinación con reguladores africanos e europeos
O NDPC participa no grupo de traballo sobre fluxos de datos da Continental Free Trade Area da African Union e mantén relacións de traballo co EDPB e os principais DPA nacionais. As investigacións transfronteirizas que implican tráfico nixeriano e europeo xestiónanse cada vez máis mediante procedementos coordinados.
Unha lista de verificación práctica de cumprimento
Seis preguntas concretas que responder para calquera banner de cookies que sirva tráfico nixeriano.
- ¿Existe un rexeitamento explícito na primeira capa? O opt-in afirmativo é obrigatorio; o desprazamento como consentimento e as caixas premarcadas non superan os requisitos do GAID.
- ¿Son as categorías granulares? As necesarias, as de analítica e as de mercadotecnia deben ser controlables por separado.
- ¿Está designado e rexistrado o DPO? Se o tratamento supera o limiar de rexistro do NDPC, confirmar que a designación do DPO e o rexistro no NDPC están en vigor.
- ¿Están documentadas as transferencias transfronteirizas? Identificar cada destino fóra de Nigeria e a salvagarda das Sections 41-43 que autoriza a transferencia.
- ¿É o aviso de privacidade conforme ao NDPA? Confirmar que o aviso identifica o responsable, as finalidades, os destinatarios, o período de retención e o marco de dereitos conforme á Section 33.
- ¿É o rexistro do consentimento de calidade de auditoría? A marca de tempo, a versión do banner, a elección e a base legal deben poder recuperarse a petición.
O lugar de Nigeria nun esquema multixurisdicional
Nigeria é o maior mercado dixital en Africa por número de usuarios, e o NDPA é cada vez máis o modelo ao que apuntan outras xurisdicións africanas cando modernizan os seus propios marcos. Unha arquitectura de cumprimento construída segundo os estándares europeos xestiona o cumprimento nixeriano cos mesmos tipos de axustes de configuración menores que require Nova Zelandia: designación de DPO onde se aplican os umbrais, documentación de transferencias ao estilo do NDPC e divulgacións en inglés que respectan as convencións lingüísticas nixerianas. Para os editores que aspiran a operacións panafricanas, o NDPA sitúase xunto ao DPA 2019 de Kenya, o POPIA de Sudáfrica e o marco emerxente de Exipto como os catro réximes africanos operativamente máis importantes. Conseguir o cumprimento nixeriano correcto é significativo no seu propio mercado e sinala preparación continental para o resto.