Lei Egípcia de Proteção de Dados Pessoais nº 151 de 2020 — Guia de Conformidade com o Consentimento de Cookies: Manual 2026 para Editores
A Lei Egípcia de Proteção de Dados Pessoais nº 151 de 2020 — habitualmente referida como PDPL egípcia — foi publicada em 15 de julho de 2020 e entrou em vigor em 14 de outubro de 2020. Durante a maior parte do período desde então, a ausência de regulamentos de execução significou que a Lei permaneceu como uma declaração de princípios em vez de um regime exequível. Isso mudou quando o Centro de Proteção de Dados Pessoais — o regulador estabelecido sob a Lei, vinculado ao Ministério das Comunicações e Tecnologia da Informação — publicou o seu quadro operacional, os requisitos de licenciamento e os regulamentos de execução que a Lei havia deixado para serem emitidos. Em 2026, o regime está plenamente operacional, o percurso de licenciamento para responsáveis pelo tratamento e subcontratantes está ativo, e os editores que operam em ou que têm como alvo o Egito estão sujeitos a um padrão de consentimento doméstico mais próximo do GDPR do que de qualquer modelo regional mais antigo. A implicação para o consentimento de cookies é direta: um banner que funcionava no Egito ao abrigo do regime anterior não é suficiente agora, e um banner que satisfaz o GDPR só satisfará o PDPL quando a integração tiver em conta os pontos em que os dois quadros divergem.
O que o PDPL egípcio efetivamente exige
A Lei aplica-se ao tratamento de dados pessoais de residentes egípcios independentemente do local onde o responsável pelo tratamento ou o subcontratante estejam estabelecidos, e a responsáveis pelo tratamento e subcontratantes estabelecidos no Egito independentemente do local onde os titulares dos dados se encontrem. Este alcance extraterritorial espelha o Artigo 3 do GDPR e significa que um editor com sede fora do Egito, mas com leitores egípcios, instalações de aplicações ou clientes pagantes está claramente dentro do âmbito de aplicação. Os dados pessoais são definidos de forma ampla como quaisquer dados relativos a uma pessoa singular identificada ou identificável, sendo os dados pessoais sensíveis — incluindo dados de saúde, biométricos, genéticos, de saúde mental, financeiros, de crença religiosa, de opinião política e de condenação criminal — sujeitos a um limiar de consentimento mais elevado e a salvaguardas adicionais.
A Lei estabelece bases legítimas para o tratamento, o conjunto padrão de direitos dos titulares dos dados — acesso, retificação, apagamento, limitação, oposição e portabilidade —, um quadro de responsabilidade responsável-subcontratante, obrigações de notificação de violações, controlos de transferência transfronteiriça e um regime de sanções administrativas com coimas que variam de EGP 100.000 por violações menores a EGP 5 milhões por violações graves ou reiteradas. Sanções penais aplicam-se às categorias mais graves, incluindo transferência transfronteiriça não licenciada e tratamento de dados sensíveis sem autorização.
Como o PDPL trata especificamente o consentimento de cookies
Ao contrário da Diretiva ePrivacy da UE, o PDPL não contém uma disposição separada sobre cookies. Os cookies e tecnologias análogas de armazenamento e acesso enquadram-se no quadro geral de consentimento: qualquer tratamento de dados pessoais que se apoie no consentimento como base legal deve ser obtido com base numa expressão explícita, voluntária, específica e documentada de concordância por parte do titular dos dados. O Centro de Proteção de Dados Pessoais, nas suas orientações emitidas durante o início faseado dos regulamentos, confirmou que caixas pré-marcadas, consentimento implícito inferido de navegação continuada e banners de consentimento agrupado não satisfazem o padrão da Lei. Isto coloca o Egito firmemente alinhado com a trajetória global e significa que a postura prática que os editores já mantêm para o EEA é o ponto de partida correto para o tráfego egípcio.
O efeito prático é que os cookies e quaisquer tecnologias análogas que não sejam estritamente necessárias para a prestação do serviço não podem ser definidos antes de o utilizador ter dado o seu consentimento ativo. Os cookies estritamente necessários — identificadores de sessão, conteúdo do carrinho, tokens de segurança, cookies de balanceamento de carga — podem ser definidos sem consentimento com base no facto de o utilizador ter solicitado ativamente o serviço. Tudo o mais — análises, publicidade, personalização, testes A/B, reprodução de sessão e qualquer etiqueta de terceiros — requer consentimento prévio.
Como o PDPL diverge do GDPR na prática
Três diferenças são relevantes ao nível da integração. Em primeiro lugar, o PDPL exige que o consentimento para o tratamento de dados pessoais sensíveis seja obtido por escrito ou por intermédio de um equivalente eletrónico documentado que o responsável pelo tratamento possa apresentar a pedido — um padrão probatório mais elevado do que o requisito de consentimento explícito do GDPR. Em segundo lugar, o PDPL impõe um regime de licenciamento: os responsáveis pelo tratamento e os subcontratantes devem registar-se junto do Centro de Proteção de Dados Pessoais, e determinadas categorias de tratamento — incluindo transferência transfronteiriça e marketing direto — requerem uma licença operacional separada. Em terceiro lugar, as regras de transferência transfronteiriça do PDPL exigem uma decisão de adequação pelo Centro, uma salvaguarda contratual aprovada ou consentimento explícito do titular dos dados; as transferências para jurisdições sem designações ou salvaguardas são restringidas independentemente da postura de conformidade do próprio destinatário.
Como é um banner de cookies em conformidade com o PDPL
Os requisitos técnicos convergem com o que qualquer CMP moderno já produz, mas a rotulagem, a documentação e o registo de consentimentos devem refletir as especificidades egípcias. O banner de primeira camada deve apresentar ao utilizador uma escolha real — aceitar, rejeitar, gerir — onde a opção de rejeição é pelo menos tão proeminente quanto a opção de aceitação. O consentimento agrupado é proibido, pelo que a segunda camada deve permitir a adesão por categoria cobrindo no mínimo análises, publicidade e qualquer tratamento dependente de transferência transfronteiriça. As categorias devem ter como predefinição desligado; o banner não deve carregar etiquetas enquanto o utilizador não as ativar de forma afirmativa.
O aviso de privacidade exibido a partir do banner deve identificar o responsável pelo tratamento, o número de licença PDPL do responsável pelo tratamento se aplicável, as categorias de dados pessoais recolhidos, a base legal para cada finalidade de tratamento, o período de conservação dos dados, as categorias de destinatários incluindo quaisquer subcontratantes localizados fora do Egito, os direitos do titular dos dados ao abrigo da Lei e os dados de contacto do Centro de Proteção de Dados Pessoais para reclamações. Um aviso que satisfaça o padrão do Artigo 13 do GDPR irá sobrepor-se substancialmente, mas as linhas relativas à licença egípcia e ao contacto do Centro devem ser acrescentadas de forma explícita.
O padrão de integração que passa numa revisão do Centro de Proteção de Dados Pessoais
A implementação de referência tem quatro componentes dinâmicos. O primeiro é um CMP que suporta a adesão por categoria, predefinição desligada, e expõe a escolha do utilizador através de uma cadeia de consentimento estruturada que o editor pode guardar. O segundo é uma camada de carregamento de etiquetas — um gestor de etiquetas do lado do servidor ou um portal nativo do CMP — que aplica estritamente o estado de consentimento antes de qualquer cookie não essencial ser definido. O terceiro é um registo de consentimentos, armazenado do lado do servidor, que regista para cada evento de consentimento a escolha do utilizador por categoria, o carimbo de hora, a versão do banner e um identificador IP truncado ou com hash para que o responsável pelo tratamento possa apresentar o registo a pedido do Centro. O quarto é um caminho de revogação pelo menos tão fácil quanto a concessão original — normalmente uma ligação permanente para reabrir o banner no rodapé.
- Etiquetas de análise — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — devem ser carregadas apenas após a categoria de análise ser concedida. Cada plataforma suporta uma configuração condicionada ao consentimento que impede qualquer escrita de cookies antes de o portal abrir.
- Etiquetas de publicidade — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, bidders programáticos de header — devem ser igualmente condicionadas, e quando o parceiro publicitário transfere dados fora do Egito, a jurisdição do destinatário deve constar do aviso de privacidade. Uma divulgação genérica de tratamento por fornecedores de serviços globais não é suficiente ao abrigo das orientações do Centro.
- Ferramentas de reprodução de sessão e mapa de calor — Hotjar, Microsoft Clarity, FullStory — devem ficar por detrás de um portal separado e mais restritivo porque o Centro alinhou-se com a posição do EDPB de que a renderização de campos de entrada requer consentimento explícito e granular.
- Divulgações de transferência transfronteiriça devem ser específicas para cada jurisdição do destinatário e referenciar a base legal da transferência — uma salvaguarda contratual aprovada, uma decisão de adequação ou consentimento explícito do titular dos dados.
Validação, licenciamento e postura de auditoria para 2026
Uma implementação egípcia defensável em 2026 deve passar em quatro verificações técnicas. Em primeiro lugar, uma sessão de browser limpa servida a partir de um endereço IP egípcio deve produzir zero cookies não essenciais antes de o banner ser tratado. Em segundo lugar, o percurso de rejeitar-tudo deve resultar na mesma postura que uma sessão sem ação — sem etiquetas de análise, sem etiquetas de publicidade, sem scripts de reprodução de sessão. Em terceiro lugar, um fluxo de aceitar-tudo deve produzir apenas as etiquetas com as quais o utilizador consentiu, e o registo de consentimentos deve conter um registo correspondente. Em quarto lugar, um fluxo de revogação deve imediatamente parar o acionamento de etiquetas futuras, expirar os cookies definidos durante a sessão consentida e acionar quaisquer sinais de eliminação ou opt-out exigidos pelos parceiros destinatários.
Para além das verificações técnicas, o licenciamento e a postura de auditoria são o que torna uma implementação defensável. Os responsáveis pelo tratamento que processam dados pessoais de residentes egípcios acima dos limites estabelecidos pelos regulamentos de execução devem estar registados junto do Centro de Proteção de Dados Pessoais, e o registo de inscrição — juntamente com o registo de consentimentos, o aviso de privacidade, os resultados da avaliação de impacto sobre a proteção de dados para tratamento de risco mais elevado e quaisquer autorizações de transferência transfronteiriça — constitui a documentação que o Centro pode solicitar durante uma revisão de conformidade. Um CMP corretamente configurado com um registo do lado do servidor, uma camada de carregamento de etiquetas que aplica o estado de consentimento, um aviso de privacidade que identifica cada destino de transferência transfronteiriça e os documentos de licenciamento em arquivo são o que transforma o PDPL egípcio de uma incógnita regulatória numa parte defensável da postura de consentimento do editor na região MENA.