O Quadro Legal do PDPL

O PDPL aplica-se ao tratamento de dados pessoais de residentes dos UAE, quer o tratamento ocorra dentro ou fora dos UAE, e quer o responsável pelo tratamento ou o subcontratante esteja estabelecido nos UAE ou opere a partir do estrangeiro. O âmbito territorial é, por isso, extraterritorial da mesma forma que o GDPR — um editor que opera a partir de Londres ou Singapura que trata dados sobre residentes dos UAE está no âmbito. A autoridade de supervisão é o UAE Data Office, criado ao abrigo do mesmo pacote legislativo, que adotou uma postura ponderada mas cada vez mais ativa em matéria de fiscalização.

Os princípios fundamentais do PDPL serão familiares para qualquer pessoa que tenha trabalhado com o GDPR: base jurídica, limitação de finalidade, minimização de dados, exatidão, limitação de armazenamento, integridade e confidencialidade, e responsabilização. As bases jurídicas ao abrigo do Article 4 incluem o consentimento, a execução de contrato, obrigação legal, interesses vitais, interesse público e interesses legítimos, cada uma com o seu próprio âmbito e condições. Para o rastreio online as bases relevantes são o consentimento e, em circunstâncias limitadas, o interesse legítimo. Os cookies pré-instalados que recolhem dados pessoais sem consentimento constituem uma violação da mesma forma que o seriam ao abrigo do GDPR.

O Que Conta Como Dados Pessoais ao Abrigo do PDPL

A definição de dados pessoais do PDPL é ampla e segue de perto o GDPR: quaisquer dados relacionados com uma pessoa singular identificada ou identificável, incluindo identificadores online. Os cookies que identificam persistentemente um dispositivo, endereços IP tratados juntamente com outros dados, IDs de publicidade e identificadores do tipo impressão digital estão todos dentro do âmbito. A orientação de implementação do Data Office confirmou que a análise aplicada aos cookies comportamentais e de publicidade na UE se aplica essencialmente na mesma forma nos UAE — o que difere é a arquitetura de fiscalização, não o padrão substantivo.

O PDPL também define uma categoria de dados pessoais sensíveis com requisitos de tratamento mais rigorosos, abrangendo informações de saúde, dados genéticos e biométricos, crença religiosa, registo criminal e categorias semelhantes. Os cookies que capturam quaisquer destes dados requerem consentimento expresso e salvaguardas adicionais.

Consentimento de Cookies ao Abrigo do PDPL

O PDPL não contém uma disposição específica sobre cookies da forma como a Diretiva ePrivacy da UE o faz. Em vez disso, o requisito de consentimento decorre do Article 6, que estabelece o padrão geral para o consentimento válido: deve ser específico, inequívoco, informado e livremente dado, e o titular dos dados deve poder retirar o consentimento com a mesma facilidade com que o deu. O Data Office interpretou este padrão como exigindo:

• Uma ação afirmativa explícita antes de os cookies não essenciais serem ativados. A navegação contínua, o scroll ou o consentimento implícito não são suficientes.
• Controlos granulares de categorias que separam os cookies estritamente necessários dos de análise e dos de publicidade, com o visitante podendo aceitar alguns e rejeitar outros.
• Um mecanismo de retirada claro acessível a partir de qualquer página onde o rastreio esteja ativo, com a retirada a entrar em vigor imediatamente.
• Documentação da decisão de consentimento suficiente para satisfazer o requisito de responsabilização ao abrigo do Article 5.

Na prática, este é o mesmo padrão operacional que um editor construiria para o GDPR. Um banner que passe os critérios do EDPB Cookie Banner Taskforce satisfará o PDPL; um que falhe neles também falhará ao escrutínio do PDPL.

Transferências de Dados Transfronteiriças

Uma das características mais distintas do PDPL é o seu quadro de transferências transfronteiriças. Os Articles 22 e 23 do PDPL estabelecem as condições em que os dados pessoais podem ser transferidos para fora dos UAE, estruturadas segundo linhas que são paralelas — mas não espelham de forma idêntica — ao Capítulo V do GDPR.

Designações ao estilo de adequação

O PDPL permite ao Data Office designar países como proporcionando proteção adequada. A lista atual é mais curta do que a da Comissão Europeia e deverá evoluir. Até um país ser designado, as transferências requerem um dos outros mecanismos lícitos.

Acordos contratuais padrão

O PDPL permite transferências suportadas por salvaguardas contratuais adequadas, semelhantes às SCCs da UE em estrutura. Muitos responsáveis pelo tratamento dos UAE operam com adendas contratuais específicas que o Data Office analisa a pedido.

Derrogações específicas

O consentimento expresso, a execução de contrato e as derrogações de interesse vital estão disponíveis, mas são interpretadas de forma restrita. A dependência rotineira do consentimento para as transferências — que ao abrigo do GDPR é muitas vezes considerada excecional em vez de sistemática — é tratada de forma semelhante aqui.

Para os editores online, o impacto prático é que o registo de consentimento de cookies agora também tem de suportar uma obrigação de responsabilização pela transferência. Se um visitante nos UAE aceitar cookies que encaminham os seus dados para um fornecedor de tecnologia publicitária dos EUA, o CMP precisa de poder apresentar o instrumento de transferência que autoriza esse fluxo.

Considerações Sectoriais e de Zona Franca

O panorama de privacidade dos UAE é em camadas. O PDPL federal aplica-se amplamente, mas várias zonas francas — o Dubai International Financial Centre (DIFC), o Abu Dhabi Global Market (ADGM) e a Dubai Healthcare City — operam os seus próprios regimes de proteção de dados que precedem o PDPL. A Lei de Proteção de Dados DIFC n.º 5 de 2020 e os Regulamentos de Proteção de Dados ADGM 2021 são ambos alinhados com o GDPR e aplicam-se nas respetivas zonas. Os editores que operam em múltiplas zonas têm de conciliar o PDPL federal com o quadro de zona franca aplicável; na maioria dos casos os padrões substantivos convergem mas o canal de supervisão difere.

O Que o Data Office Sinalizou

O UAE Data Office tem sido deliberado na sua postura de fiscalização, priorizando a criação de capacidade, a consulta setorial e casos de alto perfil em vez de um regime de coimas de alto volume. Os documentos de orientação pública enfatizaram:

Design do banner

O Data Office alinhou-se com critérios ao estilo EDPB sobre o design do banner, tratando botões de rejeição em falta, estilização enganosa de links e caixas de verificação pré-assinaladas como defeitos comuns que requerem remediação. A expetativa é a convergência com as normas europeias.

Transparência transfronteiriça

O Office sinalizou que as transferências internacionais serão um foco particular, especialmente onde os dados pessoais são encaminhados para jurisdições sem adequação designada. A documentação do mecanismo de transferência é tratada como um requisito de responsabilização, não opcional.

Divulgação em língua árabe

Embora o PDPL não exija árabe, o Data Office indicou que as divulgações devem estar disponíveis em árabe onde o público seja principalmente arabófono, tanto para fins de acessibilidade como probatórios.

Uma Lista de Verificação Prática de Conformidade

Seis perguntas concretas para responder para qualquer banner de cookies que sirva tráfego dos UAE.

1. Consentimento afirmativo antes do rastreio

Os cookies não essenciais estão bloqueados ao nível do carregador de scripts até o visitante tomar uma ação afirmativa? O pré-carregamento do banner sobre rastreadores já ativos é uma violação per se.

2. Categorias granulares

O banner separa as categorias necessárias, de análise e de publicidade, com botões de alternância independentes? A aceitação geral agrupada sem granularidade é um defeito.

3. Disponibilidade em língua árabe

O banner deteta visitantes arabófonos e apresenta em árabe por defeito, com o inglês como alternativa comutável? O Data Office sinalizou explicitamente a acessibilidade linguística.

4. Acesso à retirada

O controlo de retirada é persistente e acessível a partir de todas as páginas? As definições em múltiplos passos enterradas num link de rodapé falham o padrão "tão fácil de retirar como de dar".

5. Documentação de transferência transfronteiriça

Para cada cookie que desencadeia uma transferência internacional, o mecanismo de transferência (adequação, salvaguarda contratual, derrogação) está documentado e pode ser apresentado a pedido?

6. Registo de consentimento

O sistema regista cada decisão de consentimento com carimbo de data/hora, versão do banner, escolha e jurisdição do visitante para que o editor possa responder a uma consulta do Data Office com evidências?

Onde o PDPL se Enquadra no Panorama Regional

O UAE PDPL é um dos vários quadros de privacidade do Golfo que entraram em vigor nos últimos anos — o PDPL da Arábia Saudita, a Lei de Proteção de Dados Pessoais do Bahrain, a Lei de Privacidade de Dados Pessoais do Qatar e a Lei de Proteção de Dados Pessoais de Omã operam todos ao seu lado. Os padrões substantivos em toda a região estão a convergir para princípios alinhados com o GDPR, com variações nacionais na arquitetura de supervisão, mecanismos de transferência e isenções sectoriais. Para os editores que operam em todo o Golfo, construir uma vez ao padrão mais elevado — consentimento granular, retirada persistente, transferências documentadas, suporte de língua árabe, registo de nível de auditoria — trata a conformidade regional através da mesma infraestrutura CMP que trata a conformidade europeia. Os UAE são, em muitos aspetos, o indicador regional: onde o Data Office se move, os reguladores vizinhos tendem a seguir.