Cadrul Legal al PDPL

PDPL se aplică prelucrării datelor cu caracter personal ale rezidenților UAE, indiferent dacă prelucrarea are loc în interiorul sau în afara UAE și indiferent dacă operatorul sau procesatorul este stabilit în UAE sau operează din străinătate. Domeniul de aplicare teritorial este, prin urmare, extrateritorial în același mod ca GDPR — un editor care operează din Londra sau Singapore care prelucrează date despre rezidenții UAE se află în sfera de aplicare. Autoritatea de supraveghere este UAE Data Office, înființat în cadrul aceluiași pachet legislativ, care a adoptat o poziție măsurată, dar din ce în ce mai activă în ceea ce privește aplicarea.

Principiile de bază ale PDPL vor fi familiare oricui a lucrat cu GDPR: temei juridic, limitarea scopului, minimizarea datelor, acuratețe, limitarea stocării, integritate și confidențialitate, și responsabilitate. Temeiurile juridice conform Article 4 includ consimțământul, executarea contractului, obligația legală, interesele vitale, interesul public și interesele legitime, fiecare cu propriul domeniu de aplicare și condiții. Pentru urmărirea online, temeiurile relevante sunt consimțământul și, în circumstanțe înguste, interesul legitim. Cookie-urile preinstalate care colectează date cu caracter personal fără consimțământ constituie o încălcare în același mod în care ar fi sub GDPR.

Ce Contează ca Date cu Caracter Personal sub PDPL

Definiția datelor cu caracter personal din PDPL este largă și urmează îndeaproape GDPR: orice date referitoare la o persoană fizică identificată sau identificabilă, inclusiv identificatorii online. Cookie-urile care identifică persistent un dispozitiv, adresele IP prelucrate alături de alte date, ID-urile publicitare și identificatorii de tip amprentă digitală intră toate în sfera de aplicare. Orientările de implementare ale Data Office au confirmat că analiza aplicată cookie-urilor comportamentale și publicitare din UE se aplică în esență în aceeași formă în UAE — ceea ce diferă este arhitectura de aplicare, nu standardul substanțial.

PDPL definește, de asemenea, o categorie de date cu caracter personal sensibile cu cerințe mai stricte de prelucrare, acoperind informații despre sănătate, date genetice și biometrice, convingeri religioase, cazier judiciar și categorii similare. Cookie-urile care captează oricare dintre aceste date necesită consimțământ expres și garanții suplimentare.

Consimțământul pentru Cookie-uri sub PDPL

PDPL nu conține o prevedere specifică pentru cookie-uri în modul în care o face Directiva ePrivacy a UE. În schimb, cerința de consimțământ decurge din Article 6, care stabilește standardul general pentru consimțământul valid: trebuie să fie specific, neechivoc, informat și liber exprimat, iar persoana vizată trebuie să poată retrage consimțământul la fel de ușor cum l-a acordat. Data Office a interpretat acest standard ca necesitând:

• O acțiune afirmativă explicită înainte ca cookie-urile neesențiale să fie activate. Navigarea continuă, derularea sau consimțământul implicit nu sunt suficiente.
• Controale granulare de categorie care separă cookie-urile strict necesare de cele de analiză și de cele publicitare, cu vizitatorul capabil să accepte unele și să le respingă pe altele.
• Un mecanism clar de retragere accesibil din orice pagină unde urmărirea este activă, cu retragerea intrând în vigoare imediat.
• Documentarea deciziei de consimțământ suficientă pentru a satisface cerința de responsabilitate conform Article 5.

În practică, acesta este același standard operațional pe care un editor l-ar construi pentru GDPR. Un banner care trece criteriile EDPB Cookie Banner Taskforce va satisface PDPL; unul care eșuează va eșua și sub scrutinul PDPL.

Transferuri de Date Transfrontaliere

Una dintre cele mai distinctive caracteristici ale PDPL este cadrul său de transfer transfrontalier. Articles 22 și 23 din PDPL stabilesc condițiile în care datele cu caracter personal pot fi transferate în afara UAE, structurate pe linii care sunt paralele cu — dar nu oglindesc identic — Capitolul V al GDPR.

Desemnări de tip adecvare

PDPL permite Data Office să desemneze țări ca oferind protecție adecvată. Lista actuală este mai scurtă decât cea a Comisiei Europene și este de așteptat să evolueze. Până când o țară este desemnată, transferurile necesită unul dintre celelalte mecanisme legale.

Acorduri contractuale standard

PDPL permite transferuri susținute de garanții contractuale adecvate, similare ca structură cu SCC-urile UE. Mulți operatori din UAE funcționează cu addende contractuale personalizate pe care Data Office le examinează la cerere.

Derogări specifice

Derogările privind consimțământul expres, executarea contractului și interesele vitale sunt disponibile, dar interpretate restrictiv. Dependența de rutină de consimțământ pentru transferuri — care în GDPR este adesea considerată excepțională mai degrabă decât sistematică — este tratată similar aici.

Pentru editorii online, impactul practic este că înregistrarea consimțământului pentru cookie-uri trebuie acum să susțină și o obligație de responsabilitate pentru transfer. Dacă un vizitator din UAE acceptă cookie-uri care direcționează datele lor către un furnizor de tehnologie publicitară din SUA, CMP trebuie să poată prezenta instrumentul de transfer care autorizează acel flux.

Considerente Sectoriale și ale Zonelor Libere

Peisajul de confidențialitate al UAE este stratificat. PDPL federal se aplică pe scară largă, dar mai multe zone libere — Dubai International Financial Centre (DIFC), Abu Dhabi Global Market (ADGM) și Dubai Healthcare City — operează propriile regimuri de protecție a datelor care preced PDPL. Legea privind Protecția Datelor DIFC nr. 5 din 2020 și Regulamentele privind Protecția Datelor ADGM 2021 sunt ambele aliniate cu GDPR și se aplică în zonele respective. Editorii care operează în mai multe zone trebuie să reconcilieze PDPL federal cu cadrul aplicabil al zonei libere; în majoritatea cazurilor standardele substanțiale converg, dar canalul de supraveghere diferă.

Ce a Semnalat Data Office

UAE Data Office a fost deliberat în poziția sa de aplicare, prioritizând construirea capacității, consultarea sectorială și cazurile de înaltă vizibilitate față de un regim de amenzi cu volum mare. Documentele de orientare publică au subliniat:

Proiectarea bannerului

Data Office s-a aliniat cu criteriile de tip EDPB privind proiectarea bannerului, tratând butoanele de respingere lipsă, stilizarea înșelătoare a linkurilor și casetele de selectare pre-bifate ca defecte comune care necesită remediere. Așteptarea este convergența cu normele europene.

Transparența transfrontalieră

Biroul a semnalat că transferurile internaționale vor fi un focar special, în special acolo unde datele cu caracter personal sunt direcționate către jurisdicții fără adecvare desemnată. Documentarea mecanismului de transfer este tratată ca o cerință de responsabilitate, nu opțională.

Dezvăluirea în limba arabă

Deși PDPL nu mandatează araba, Data Office a indicat că dezvăluirile ar trebui să fie disponibile în arabă acolo unde publicul este în principal vorbitor de arabă, atât pentru accesibilitate, cât și pentru scopuri probatorii.

O Listă de Verificare Practică de Conformitate

Șase întrebări concrete la care să răspunzi pentru orice banner de cookie-uri care deservește traficul UAE.

1. Consimțământ afirmativ înainte de urmărire

Cookie-urile neesențiale sunt blocate la nivelul încărcătorului de script până când vizitatorul ia o acțiune afirmativă? Pre-încărcarea bannerului peste trackere deja active este o încălcare per se.

2. Categorii granulare

Bannerul separă categoriile necesare, de analiză și publicitare, cu comutatoare independente? Acceptarea în bloc fără granularitate este un defect.

3. Disponibilitatea limbii arabe

Bannerul detectează vizitatorii vorbitori de arabă și prezintă implicit în arabă, cu engleza ca alternativă comutabilă? Data Office a semnalat explicit accesibilitatea lingvistică.

4. Accesul la retragere

Controlul de retragere este persistent și accesibil din fiecare pagină? Setările în mai mulți pași îngropate într-un link de subsol eșuează standardul „la fel de ușor de retras ca de acordat".

5. Documentarea transferului transfrontalier

Pentru fiecare cookie care declanșează un transfer internațional, mecanismul de transfer (adecvare, garanție contractuală, derogare) este documentat și poate fi prezentat la cerere?

6. Înregistrarea consimțământului

Sistemul înregistrează fiecare decizie de consimțământ cu marcaj temporal, versiunea bannerului, alegerea și jurisdicția vizitatorului, astfel încât editorul să poată răspunde la o anchetă a Data Office cu dovezi?

Unde se Încadrează PDPL în Imaginea Regională

UAE PDPL este unul dintre mai multe cadre de confidențialitate din Golf care au intrat în vigoare în ultimii câțiva ani — PDPL al Arabiei Saudite, Legea privind Protecția Datelor cu Caracter Personal a Bahrainului, Legea privind Confidențialitatea Datelor cu Caracter Personal a Qatarului și Legea privind Protecția Datelor cu Caracter Personal a Omanului operează toate alături de ea. Standardele substanțiale din întreaga regiune converg spre principii aliniate cu GDPR, cu variații naționale în arhitectura de supraveghere, mecanismele de transfer și scutirile sectoriale. Pentru editorii care operează în întregul Golf, construirea o singură dată la standardul mai înalt — consimțământ granular, retragere persistentă, transferuri documentate, suport lingvistic în arabă, înregistrare la nivel de audit — gestionează conformitatea regională prin aceeași infrastructură CMP care gestionează conformitatea europeană. UAE este, în multe privințe, barometrul regional: unde se mișcă Data Office, autoritățile de reglementare vecine tind să urmeze.