O Decreto e a Lei de Protección de Datos Persoais de Vietnam: Guía de Consentimento de Cookies e Cumprimento para Editores en 2026
Vietnam pasou, en pouco máis de tres anos, de ter case ningún marco unificado de datos persoais a ter un dos réximes de consentimento máis exixentes do Sueste Asiático. O Decreto de Protección de Datos Persoais (PDPD), Decreto 13/2023/ND-CP, entrou en vigor en xullo de 2023. A Lei de Protección de Datos Persoais (PDPL), aprobada pola Asemblea Nacional en 2025, entrou en vigor o 1 de xaneiro de 2026 e eleva a maioría dos principios do Decreto á lexislación primaria con unha aplicación máis forte e un alcance máis amplo. Para calquera editor, anunciante ou plataforma que procese datos de usuarios vietnamitas — xa estea baseado en Vietnam ou non —, o ambiente de 2026 é substancialmente diferente do que era hai só un ano. Esta guía percorre o que a lei realmente require, como debe configurarse o consentimento de cookies, como funcionan as transferencias transfronteirizas e como é a aplicación na práctica.
A Estrutura da Lei de Protección de Datos Vietnamita en 2026
O réxime de Vietnam é agora unha pila de dúas capas: o PDPD de 2023 e o PDPL de 2026. Ambos están en vigor, e os editores deben comprender que capa rexe que obrigación.
O PDPD — Decreto 13/2023/ND-CP
O Decreto introduciu a primeira definición comprensiva de datos persoais de Vietnam, un catálogo de dereitos dos titulares de datos, requisitos de consentimento, normas sobre transferencias transfronteirizas de datos e a obrigación fundamental de Avaliación de Impacto do Tratamento de Datos Persoais (DPIA). Mantense en vigor e continúa rexendo os detalles operativos.
O PDPL — En Vigor desde 2026
O PDPL eleva o marco á lexislación primaria con penalidades máis altas e un alcance máis amplo. Reforza o modelo centrado no consentimento, fortalece os dereitos dos titulares de datos e amplía os poderes de aplicación do Ministerio de Seguridade Pública (MPS), que segue sendo o regulador principal. O PDPL tamén introduce normas máis claras para datos persoais sensibles, toma de decisións automatizada e o tratamento de datos de menores.
Quen está Regulado
A lei aplícase a calquera tratamento de datos persoais vietnamitas, independentemente de onde estea o procesador. Un editor con sede nos EUA que serve usuarios vietnamitas a través dun sitio localizado ou un comprador programático que licita sobre inventario vietnamita está no ámbito de aplicación. Este alcance extraterritorial reflicte o patrón do GDPR e é un dos elementos máis agresivos do marco vietnamita.
Que Conta como Datos Persoais
A definición vietnamita de datos persoais é ampla e segue de cerca o estándar internacional. Os datos persoais son calquera información que identifique ou poida identificar a unha persoa física específica, e divídese en dúas categorías que importan moito para o consentimento de cookies.
Datos Persoais Básicos
Os datos persoais básicos inclúen nome, data de nacemento, números de identificación, datos de contacto, identificadores de dispositivos, enderezos IP e datos de actividade en liña. A maioría dos datos recollidos por cookies pertencen aquí, incluíndo identificadores publicitarios, ID de sesión e perfís de comportamento construídos a partir do historial de navegación.
Datos Persoais Sensibles
Os datos persoais sensibles inclúen opinións políticas e relixiosas, información sanitaria, datos xenéticos, datos biométricos, orientación sexual, antecedentes penais, datos financeiros e — de xeito crítico — datos de localización que se poidan usar para identificar a un individuo específico. Os datos sensibles activan os requisitos de consentimento máis estritos, incluíndo consentimento específico, separado e nalgúns casos escrito ou verificable electronicamente.
Por que isto importa para as Cookies
Unha cookie que só recolle un identificador de sesión básico son datos persoais básicos. Unha cookie que alimenta un público publicitario baseado en localización — común en campañas de retargeting e xeolocalización — probablemente está tocando datos persoais sensibles no momento en que a localización se volver identificativa. A configuración do CMP debe separar estas finalidades.
Consentimento de Cookies Baixo a Lei Vietnamita
Vietnam segue o modelo de consentimento opt-in. Non existe recurso de notificación-e-elección para cookies que recollen datos persoais, e o limiar para un consentimento válido é similar ao estándar do GDPR.
Os Catro Requisitos de Consentimento
O consentimento baixo a lei vietnamita debe ser:
- Específico — vinculado a unha finalidade de tratamento claramente identificada, non un consentimento xeral de paraugas
- Informado — o titular dos datos comprende que datos se procesan, por que, quen os recibe e durante canto tempo
- Voluntario — sen caixas marcadas previamente, sen muros de consentimento-ou-saída para tratamentos non esenciais
- Expresable e revogable — o usuario pode dar e retirar o consentimento a través dun mecanismo claro
Como é un CMP Conforme
Un CMP configurado para tráfico vietnamita en 2026 debe presentar:
- Un banner visible antes de que se dispare calquera cookie ou rastreador non esencial, en vietnamita (Tiếng Việt) por defecto para usuarios vietnamitas
- Accións separadas de Aceptar, Rexeitar e Personalizar, con igual prominencia visual — sen patróns escuros
- Controis granulares para polo menos as seguintes finalidades: análise, publicidade, personalización, transferencia transfronteiriza e calquera tratamento de categoría sensible como localización precisa
- Un mecanismo persistente e doado de atopar para cambiar ou retirar o consentimento despois da elección inicial
- Política de privacidade en idioma vietnamita con divulgacións claras de procesadores, categorías de datos, retención e dereitos do usuario
Rexistros de Consentimento
Os procesadores deben manter rexistros de consentimento — quen consentiu, cando, a que, a través de que interface. As accións de aplicación en Vietnam xa citaron rexistros de consentimento ausentes ou non verificables, e o PDPL formaliza esta obrigación. Un CMP que non produce rexistros de consentimento exportables e con marca de tempo non é conforme.
Transferencia Transfronteiriza de Datos — A Parte Máis Difícil
O réxime de transferencia transfronteiriza de Vietnam é un dos máis exixentes da rexión e é o elemento co que a maioría dos editores estranxeiros loitan.
A Avaliación de Impacto da Transferencia
Antes de transferir datos persoais vietnamitas ao estranxeiro — o que inclúe o envío de identificadores derivados de cookies a unha bolsa de anuncios ou provedor de análises no estranxeiro —, o responsable debe preparar unha Avaliación de Impacto da Transferencia. A avaliación debe documentar a finalidade, as categorías de datos, o país e o destinatario, as salvagardas técnicas e organizativas e a base xurídica da transferencia.
Presentación ante o MPS
A avaliación debe presentarse ante o Ministerio de Seguridade Pública nos 60 días seguintes ao inicio do tratamento. O MPS ten o poder de suspender as transferencias transfronteirizas se a avaliación é inadecuada ou se a xurisdición de destino se considera insuficiente.
Implicación Práctica para os Editores
Unha pila de anuncios programática típica enruta datos de usuarios a través de decenas de vendedores estranxeiros en milisegundos. Cada un deses fluxos é, estritamente, unha transferencia transfronteiriza de datos persoais vietnamitas. A realidade de 2026 é que a maioría dos editores estranxeiros están ou presentando avaliacións consolidadas para toda a súa lista de vendedores ou recortando o seu conxunto de vendedores para reducir a carga de avaliación. Ningún é trivial, e o MPS sinalou que comezará a aplicar máis activamente nos fluxos transfronteirizos durante 2026.
Dereitos dos Titulares de Datos
O PDPL consolida e fortalece os dereitos concedidos baixo o Decreto. Os titulares de datos vietnamitas teñen o dereito a:
- Ser informados sobre o tratamento dos seus datos
- Acceder aos datos que se están a procesar
- Corrixir datos inexactos
- Eliminar datos cando o tratamento xa non estea xustificado
- Restrinxir o tratamento en circunstancias especificadas
- Retirar o consentimento tan facilmente como se deu
- Opoñerse á toma de decisións automatizada que produce efectos significativos
- Presentar queixa ante o Ministerio de Seguridade Pública
Prazos de Resposta
Os responsables deben responder ás solicitudes dos titulares de datos nun prazo de 72 horas na maioría dos casos — unha ventá significativamente máis axustada que o estándar de 30 días do GDPR. A preparación operativa para este prazo é unha das brechas de cumprimento máis comúns para editores estranxeiros e require ferramentas e manuais de operacións que son máis rápidos do que é típico noutras rexións.
Normas Especiais para Menores
O PDPL introduce proteccións dedicadas ao tratamento de datos persoais de menores. O consentimento para o tratamento de datos dun menor de 15 anos debe ser dado por un pai ou titor legal. O tratamento de datos de persoas de 15 a 18 anos require o propio consentimento do menor, pero con deberes ampliados de transparencia e coidado. As interfaces de consentimento de cookies en sitios que atraen públicos significativos menores de 18 anos necesitan fluxos conscientes da idade, que poucos editores estranxeiros construíron por defecto.
Penalidades e Aplicación
O PDPL eleva significativamente o límite das multas administrativas. As sancións inclúen:
- Multas de ata 5 por cento dos ingresos anuais globais por infraccións graves que involucren datos persoais sensibles ou fallos sistemáticos
- Suspensión das actividades de tratamento
- Interrupcións obrigatorias de transferencias transfronteirizas
- Divulgación pública da violación
- Responsabilidade penal para casos graves, incluíndo a venda ilegal de datos persoais
Tendencia de Aplicación
O MPS foi relativamente silencioso ao longo de 2023 e principios de 2024 mentres o Decreto se asentaba, pero a aplicación acelerouse ao longo de 2025 e en 2026. Editores estranxeiros foron citados en varias accións publicitadas, case sempre centradas nun dos tres problemas: consentimento ausente ou inadecuado, avaliacións de transferencias transfronteirizas non presentadas ou incapacidade de responder ás solicitudes dos titulares de datos na ventá de 72 horas.
Lista de Verificación de Auditoría para Tráfico Vietnamita en 2026
- O banner do CMP sérvese en vietnamita para usuarios vietnamitas, con Aceptar, Rexeitar e Personalizar con igual prominencia
- As finalidades de consentimento son granulares e separan o tratamento sensible como a localización precisa
- Os rexistros de consentimento están con marca de tempo, son exportables e retéñense durante a duración do tratamento máis unha marxe auditable
- A política de privacidade está dispoñible en vietnamita con divulgación completa de procesadores, retención e dereitos
- A Avaliación de Impacto da Transferencia está presentada ante o MPS para cada fluxo transfronteirizo en curso
- O fluxo de traballo de solicitude do titular de datos pode responder en 72 horas de extremo a extremo
- O fluxo de consentimento consciente da idade está en marcha para públicos que inclúen menores
- A lista de vendedores revisouse por necesidade, eliminando os vendedores non utilizados ou redundantes para reducir a superficie transfronteiriza
As Perspectivas para 2026
A traxectoria regulatoria de Vietnam é clara. O PDPD estableceu o marco. O PDPL enduréceo. A aplicación está a expandirse. Para editores e anunciantes que trataron Vietnam como un mercado de toque máis lixeiro, 2026 é o ano en que ese enfoque se volver custoso. A boa nova é que unha pila de consentimento moderna de grao GDPR é a maior parte do que se necesita — as brechas son tipicamente a ventá de resposta de 72 horas, as presentacións de Avaliación de Impacto da Transferencia e a localización en idioma vietnamita do CMP e da política de privacidade. Esas brechas son operativas, non arquitectónicas, e pódense pechar en semanas en lugar de trimestres. Os editores que as pechan antes de que o MPS chegue á súa porta non notarán a transición. Os que esperen, si.