O marco xuridico do PDPL

O PDPL aplicase ao tratamento de datos persoais de residentes UAE, independentemente de se o tratamento se realiza dentro ou fora dos UAE, e de se o responsable do tratamento ou o encargado esta establecido nos UAE ou opera desde o estranxeiro. O ambito territorial e, polo tanto, extraterritorial da mesma maneira que o GDPR: un editor que opera desde Londres ou Singapur e que trata datos sobre residentes UAE esta no ambito de aplicacion. A autoridade supervisora e o UAE Data Office, establecido baixo o mesmo paquete lexislativo, que adoptou unha postura medida pero cada vez mais activa no cumprimento.

Os principios fundamentais do PDPL seran familiares para calquera que traballase co GDPR: base legal, limitacion de finalidade, minimizacion de datos, exactitude, limitacion de almacenamento, integridade e confidencialidade, e responsabilidade. As bases legais conforme ao Article 4 incluen o consentimento, a execucion do contrato, a obrigacion legal, os intereses vitais, o interes publico e os intereses lexitimos, cada un co seu propio ambito e condicions. Para o seguimento en lina, as bases relevantes son o consentimento e, en circunstancias limitadas, o interes lexitimo. As cookies preinstaladas que recopilan datos persoais sen consentimento constituen unha infraccion do mesmo xeito que o farian baixo o GDPR.

Que se considera datos persoais baixo o PDPL

A definicion de datos persoais do PDPL e ampla e segue de preto o GDPR: calquera dato relativo a unha persoa fisica identificada ou identificable, incluidos os identificadores en lina. As cookies que identifican de forma persistente un dispositivo, os enderecos IP procesados xunto con outros datos, os ID de publicidade e os identificadores de tipo impresion dixital estan todos dentro do ambito de aplicacion. As orientacions de implementacion do Data Office confirmaron que a analise aplicada as cookies de comportamento e publicidade na UE se aplica esencialmente da mesma forma nos UAE: o que difere e a arquitectura de execucion, non o estandar substantivo.

O PDPL tambien define unha categoria de datos persoais sensibles con requisitos de tratamento mais estritos, abrangendo informacion sanitaria, datos xeneticos e biometricos, crenzas relixiosas, antecedentes penais e categorias similares. As cookies que capturan calquera destes datos requiren consentimento expreso e salvagardas adicionais.

Consentimento de cookies baixo o PDPL

O PDPL non conten unha disposicion especifica de cookies como o fai a Directiva ePrivacy da UE. Pola contra, o requisito de consentimento proveen do Article 6, que establece o estandar xeral para un consentimento valido: debe ser especifico, non ambiguo, informado e libremente dado, e o interesado debe poder retirar o consentimento con tanta facilidade como o deu. O Data Office interpretou este estandar como que require:

• Unha accion afirmativa explicita antes de que se activen as cookies non esenciais. A navegacion continuada, o desprazamento ou o consentimento implicito non son suficientes.
• Controis de categorias granulares que separan as cookies estritamente necesarias das de analise e das publicitarias, coa posibilidade de que o visitante acepte algunhas e rexeite outras.
• Un mecanismo de retirada claro accesible desde calquera paxina na que o seguimento este activo, con efecto inmediato.
• Documentacion da decision de consentimento suficiente para cumprir o requisito de responsabilidade baixo o Article 5.

En practica, este e o mesmo estandar operativo que un editor construiria para o GDPR. Un banner que cumpra os criterios do EDPB Cookie Banner Taskforce cumprira o PDPL; o que os incumpra incumprira tamben baixo o escrutinio do PDPL.

Transferencias de datos transfronteirizas

Unha das caracteristicas mais distintivas do PDPL e o seu marco de transferencia transfronteiriza. Os PDPL Articles 22 and 23 establecen as condicions baixo as cales os datos persoais poden transferirse fora dos UAE, estruturadas en linas que son paralelas, pero non reproducen identicamente, o Capitulo V do GDPR.

Designacions de tipo adecuacion

O PDPL permite ao Data Office designar paises como que ofrecen proteccion adecuada. A lista actual e mais curta que a da Comision Europea e espera que evolucione. Ata que un pais sexa designado, requirese un dos outros mecanismos legais.

Acordos contractuais estandar

O PDPL permite transferencias respaldadas por salvagardas contractuais axeitadas, similares as SCC da UE en estrutura. Moitos responsables do tratamento UAE operan con adendas contractuais personalizadas que o Data Office revisa a peticion.

Derrogacions especificas

O consentimento explicito, a execucion do contrato e as derrogacions de interes vital estan disponibles pero interpretadas de forma restrictiva. A dependencia rutineira do consentimento para as transferencias tratase de forma semellante aqui.

Para os editores en lina, o impacto practico e que o rexistro de consentimento de cookies agora ten que soportar tamben unha obrigacion de responsabilidade de transferencia. Se un visitante nos UAE acepta cookies que envian os seus datos a un provedor de ad-tech estadounidense, o CMP ten que poder mostrar o instrumento de transferencia que autoriza ese fluxo.

Consideracins sectoriais e de zonas francas

O panorama de privacidade dos UAE e estratificado. O PDPL federal aplicase amplamente, pero varias zonas francas — o Dubai International Financial Centre (DIFC), o Abu Dhabi Global Market (ADGM) e a Dubai Healthcare City — operan os seus propios reximes de proteccion de datos que son anteriores ao PDPL. A DIFC Data Protection Law No. 5 of 2020 e os ADGM Data Protection Regulations 2021 estan ambas aliadas co GDPR e aplican dentro das suas respectivas zonas. Os editores que operan en varias zonas deben conciliar o PDPL federal co marco aplicable da zona franca; na maioria dos casos os estandares substantivos converxen pero o canal de supervision difere.

O que o Data Office sinalou

O UAE Data Office foi deliberado na sua postura de aplicacion, priorizando a construcion de capacidade, a consulta sectorial e os casos de alto perfil sobre un rexime de multas de alto volume. Os documentos de orientacion publica destacaron:

Diseno de banners

O Data Office aliouse cos criterios de estilo EDPB sobre o diseno de banners, tratando os botones de rexeitamento ausentes, o estilo enganoso de linas e as casas de verificacion premarcadas como defectos comuns que requiren remediacion. A expectativa e a converxencia cos estandares europeos.

Transparencia transfronteiriza

A Oficina sinalou que as transferencias internacionais seran un foco particular, especialmente onde os datos persoais se enrutan a xurisdiccion sen adecuacion designada. A documentacion do mecanismo de transferencia tratase como un requisito de responsabilidade, non opcional.

Divulgacion en lingua arabe

Ainda que o PDPL non esixe o arabe, o Data Office indicou que as divulgacins deben estar disponibles en arabe onde o publico e principalmente arabofono, tanto para accesibilidade como con fins probatorios.

Unha lista de verificacion practica de cumprimento

Seis preguntas concretas para responder sobre calquera banner de cookies que sirva trafico UAE.

1. Consentimento afirmativo antes do seguimento

As cookies non esenciais estan bloqueadas ao nivel do cargador de scripts ata que o visitante realice unha accion afirmativa? A precarga do banner sobre rastreadores xa activados e unha infraccion per se.

2. Categorias granulares

O banner separa as categorias necesarias, de analise e publicidade, con activadores independentes? O accept-all agrupado sen granularidade e un defecto.

3. Dispoibilidade da lingua arabe

O banner detecta visitantes de fala arabe e presenta en arabe por defecto, co ingles como alternativa cambiable? O Data Office sinalou explicitamente a accesibilidade linguistica.

4. Acceso a retirada

O control de retirada e persistente e accesible desde cada paxina? A configuracion de varios pasos enterrada nun lina de pe de paxina non cumpre o estandar de "tan facil de retirar como de dar".

5. Documentacion de transferencia transfronteiriza

Para cada cookie que activa unha transferencia internacional, esta o mecanismo de transferencia (adecuacion, salvagarda contractual, derrogacion) documentado e presentable a peticion?

6. Rexistro do consentimento

O sistema rexistra cada decision de consentimento coa marca de tempo, a version do banner, a eleccion e a xurisdiccion do visitante para que o editor poida responder a unha consulta do Data Office con evidencias?

Onde encaixa o PDPL no panorama rexional

O PDPL dos UAE e un de varios marcos de privacidade do Golfo que entraron en vigor nos ultimos anos: o PDPL de Arabia Saudita, a Lei de Proteccion de Datos Persoais de Bahrein, a Lei de Privacidade de Datos Persoais de Qatar e a Lei de Proteccion de Datos Persoais de Oman operan todos xunto a el. Os estandares substantivos en toda a rexion converxen en principios alineados co GDPR, con variacins nacionais na arquitectura de supervision, os mecanismos de transferencia e as exencions sectoriais. Para os editores que operan en todo o Golfo, construir unha vez segundo o estandar mais alto — consentimento granular, retirada persistente, transferencias documentadas, soporte en lingua arabe, rexistro de nivel de auditoria — xestiona o cumprimento rexional mediante a mesma infraestrutura CMP que xestiona o cumprimento europeo. Os UAE son, en moitos sentidos, o barometo rexional: onde se move o Data Office, os reguladores vecinos tenden a seguir.