A Estrutura da Lei de Proteção de Dados Vietnamita em 2026

O regime do Vietname é agora uma estrutura de duas camadas: o PDPD de 2023 e o PDPL de 2026. Ambos estão em vigor, e os editores precisam de compreender qual camada regula qual obrigação.

O PDPD — Decreto 13/2023/ND-CP

O Decreto introduziu a primeira definição abrangente de dados pessoais do Vietname, um catálogo de direitos dos titulares dos dados, requisitos de consentimento, regras sobre transferências transfronteiriças de dados e a obrigação fundamental de Avaliação de Impacto do Tratamento de Dados Pessoais (DPIA). Continua em vigor e continua a regular os detalhes operacionais.

O PDPL — Em Vigor a partir de 2026

O PDPL eleva o quadro para legislação primária com penalidades mais elevadas e âmbito mais alargado. Reforça o modelo centrado no consentimento, fortalece os direitos dos titulares dos dados e expande os poderes de aplicação do Ministério da Segurança Pública (MPS), que continua a ser o regulador primário. O PDPL também introduz regras mais claras para dados pessoais sensíveis, tomada de decisão automatizada e tratamento de dados de menores.

Quem É Regulado

A lei aplica-se a qualquer tratamento de dados pessoais vietnamitas, independentemente de onde o responsável pelo tratamento esteja localizado. Um editor sediado nos EUA que serve utilizadores vietnamitas através de um site localizado ou um comprador programático que faz licitações em inventário vietnamita está no âmbito de aplicação. Este alcance extraterritorial espelha o padrão do GDPR e é um dos elementos mais agressivos do quadro vietnamita.

O Que Conta como Dados Pessoais

A definição vietnamita de dados pessoais é ampla e segue de perto o padrão internacional. Dados pessoais são quaisquer informações que identifiquem ou possam identificar uma pessoa singular específica, e dividem-se em duas categorias que importam muito para o consentimento de cookies.

Dados Pessoais Básicos

Os dados pessoais básicos incluem nome, data de nascimento, números de identificação, dados de contacto, identificadores de dispositivo, endereços IP e dados de atividade online. A maioria dos dados recolhidos por cookies insere-se aqui, incluindo identificadores de publicidade, IDs de sessão e perfis comportamentais construídos a partir do histórico de navegação.

Dados Pessoais Sensíveis

Os dados pessoais sensíveis incluem opiniões políticas e religiosas, informações de saúde, dados genéticos, dados biométricos, orientação sexual, registos criminais, dados financeiros e — de forma crítica — dados de localização que podem ser utilizados para identificar um indivíduo específico. Os dados sensíveis acionam os requisitos de consentimento mais rigorosos, incluindo consentimento específico, separado e, em alguns casos, escrito ou verificável eletronicamente.

Por Que Isto É Importante para os Cookies

Um cookie que recolhe apenas um identificador de sessão básico constitui dados pessoais básicos. Um cookie que alimenta um público de publicidade baseado em localização — comum em campanhas de retargeting e geo-direcionadas — provavelmente está a tocar em dados pessoais sensíveis no momento em que a localização se torna identificadora. A configuração do CMP deve separar estes propósitos.

Consentimento de Cookies ao Abrigo da Lei Vietnamita

O Vietname segue o modelo de consentimento opt-in. Não existe alternativa de aviso e escolha para cookies que recolhem dados pessoais, e o critério para consentimento válido é semelhante ao padrão do GDPR.

Os Quatro Requisitos de Consentimento

O consentimento ao abrigo da lei vietnamita deve ser:

• Específico — vinculado a um propósito de tratamento claramente identificado, não um consentimento genérico de guarda-chuva
• Informado — o titular dos dados compreende que dados são tratados, porquê, quem os recebe e durante quanto tempo
• Voluntário — sem caixas pré-marcadas, sem muros de consentimento-ou-sair para tratamento não essencial
• Exprimível e revogável — o utilizador pode prestar e revogar o consentimento através de um mecanismo claro

Como É Um CMP Conforme

Um CMP configurado para tráfego vietnamita em 2026 deve apresentar:

• Um banner visível antes de qualquer cookie ou rastreador não essencial disparar, em vietnamita (Tiếng Việt) por predefinição para utilizadores vietnamitas
• Ações separadas de Aceitar, Rejeitar e Personalizar, com igual destaque visual — sem padrões obscuros
• Controlos granulares para pelo menos os seguintes propósitos: análise, publicidade, personalização, transferência transfronteiriça e qualquer tratamento de categoria sensível como localização precisa
• Um mecanismo persistente e fácil de encontrar para alterar ou revogar o consentimento após a escolha inicial
• Política de privacidade em vietnamita com divulgações claras de responsáveis pelo tratamento, categorias de dados, retenção e os direitos do utilizador

Registos de Consentimento

Os responsáveis pelo tratamento devem manter registos de consentimento — quem consentiu, quando, para quê, através de que interface. Ações de aplicação vietnamitas já citaram registos de consentimento em falta ou não verificáveis, e o PDPL formaliza esta obrigação. Um CMP que não produza registos de consentimento exportáveis com marca temporal não está em conformidade.

Transferência Transfronteiriça de Dados — A Parte Mais Difícil

O regime de transferências transfronteiriças do Vietname é um dos mais exigentes da região e é o elemento com que a maioria dos editores estrangeiros mais luta.

A Avaliação de Impacto da Transferência

Antes de transferir dados pessoais vietnamitas para o estrangeiro — o que inclui o envio de identificadores derivados de cookies para uma bolsa de anúncios estrangeira ou fornecedor de análise — o responsável pelo tratamento deve preparar uma Avaliação de Impacto da Transferência. A avaliação deve documentar o propósito, as categorias de dados, o país destinatário e o destinatário, as salvaguardas técnicas e organizacionais e a base jurídica para a transferência.

Registo no MPS

A avaliação deve ser apresentada ao Ministério da Segurança Pública no prazo de 60 dias a partir do início do tratamento. O MPS tem o poder de suspender as transferências transfronteiriças se a avaliação for inadequada ou se a jurisdição de destino for considerada insuficiente.

Implicação Prática para Editores

Uma pilha de publicidade programática típica encaminha os dados dos utilizadores através de dezenas de fornecedores estrangeiros em milissegundos. Cada um desses fluxos é, estritamente, uma transferência transfronteiriça de dados pessoais vietnamitas. A realidade de 2026 é que a maioria dos editores estrangeiros ou apresenta avaliações consolidadas para toda a sua lista de fornecedores ou está a reduzir o seu conjunto de fornecedores para reduzir o encargo da avaliação. Nenhuma delas é trivial, e o MPS sinalizou que irá começar uma aplicação mais ativa dos fluxos transfronteiriços durante 2026.

Direitos dos Titulares dos Dados

O PDPL consolida e fortalece os direitos concedidos ao abrigo do Decreto. Os titulares de dados vietnamitas têm o direito de:

• Ser informados sobre o tratamento dos seus dados
• Aceder aos dados que estão a ser tratados
• Corrigir dados inexatos
• Apagar dados onde o tratamento já não seja justificado
• Restringir o tratamento em circunstâncias especificadas
• Retirar o consentimento tão facilmente como foi dado
• Opor-se à tomada de decisão automatizada que produza efeitos significativos
• Apresentar queixa ao Ministério da Segurança Pública

Prazos de Resposta

Os responsáveis pelo tratamento devem responder a pedidos dos titulares dos dados no prazo de 72 horas na maioria dos casos — um prazo significativamente mais curto do que o padrão de 30 dias do GDPR. A prontidão operacional para este prazo é uma das lacunas de conformidade mais comuns para editores estrangeiros e requer ferramentas e manuais mais rápidos do que o típico noutras regiões.

Regras Especiais para Menores

O PDPL introduz proteções dedicadas para o tratamento de dados pessoais de menores. O consentimento para o tratamento de dados de uma pessoa com menos de 15 anos deve ser dado por um pai ou tutor legal. O tratamento de dados de pessoas com idades entre 15 e 18 anos requer o próprio consentimento do menor, mas com deveres acrescidos de transparência e cuidado. As IUs de consentimento de cookies em sites que atraem audiências significativas com menos de 18 anos necessitam de fluxos com consciência de idade, que poucos editores estrangeiros construíram por predefinição.

Penalidades e Aplicação

O PDPL eleva significativamente o teto das coimas administrativas. As sanções incluem:

• Coimas de até 5 por cento da receita anual global por violações graves envolvendo dados pessoais sensíveis ou falhas sistemáticas
• Suspensão das atividades de tratamento
• Paragens obrigatórias de transferências transfronteiriças
• Divulgação pública da violação
• Responsabilidade criminal por casos flagrantes, incluindo venda ilegal de dados pessoais

Tendência de Aplicação

O MPS foi relativamente silencioso durante 2023 e início de 2024, enquanto o Decreto era consolidado, mas a aplicação acelerou ao longo de 2025 e para 2026. Editores estrangeiros foram citados em várias ações divulgadas, quase sempre centradas em uma de três questões: consentimento em falta ou inadequado, avaliações de transferência transfronteiriça não apresentadas, ou falha em responder a pedidos de titulares de dados no prazo de 72 horas.

Lista de Verificação de Auditoria para Tráfego Vietnamita em 2026

• O banner do CMP é apresentado em vietnamita para utilizadores vietnamitas, com Aceitar, Rejeitar e Personalizar com igual destaque
• Os propósitos de consentimento são granulares e separam o tratamento sensível, como a localização precisa
• Os registos de consentimento têm marca temporal, são exportáveis e retidos durante o período de tratamento mais uma margem auditável
• A política de privacidade está disponível em vietnamita com divulgação completa de responsáveis pelo tratamento, retenção e direitos
• A Avaliação de Impacto da Transferência está registada no MPS para cada fluxo transfronteiriço em curso
• O fluxo de trabalho de pedidos de titulares de dados pode responder no prazo de 72 horas de ponta a ponta
• O fluxo de consentimento com consciência de idade está em vigor para audiências que incluem menores
• A lista de fornecedores foi revista quanto à necessidade, com fornecedores não utilizados ou redundantes removidos para reduzir a área de superfície transfronteiriça

As Perspetivas para 2026

A trajetória regulatória do Vietname é clara. O PDPD estabeleceu o quadro. O PDPL endurece-o. A aplicação está a expandir-se. Para editores e anunciantes que trataram o Vietname como um mercado de toque mais leve, 2026 é o ano em que essa abordagem se torna dispendiosa. A boa notícia é que uma pilha de consentimento moderna de nível GDPR é a maior parte do que é necessário — as lacunas são tipicamente o prazo de resposta de 72 horas, as apresentações de Avaliações de Impacto de Transferência e a localização em vietnamita do CMP e da política de privacidade. Essas lacunas são operacionais, não arquitetónicas, e podem ser colmatadas em semanas em vez de trimestres. Os editores que as colmatam antes de o MPS aparecer à sua porta não notarão a transição. Os que esperam, notarão.