Structura Legii vietnameze privind protecția datelor în 2026

Regimul Vietnamului este acum o structură cu două niveluri: PDPD din 2023 și PDPL din 2026. Ambele sunt în vigoare, iar editorii trebuie să înțeleagă care nivel reglementează care obligație.

PDPD — Decretul 13/2023/ND-CP

Decretul a introdus prima definiție cuprinzătoare a datelor cu caracter personal din Vietnam, un catalog al drepturilor persoanelor vizate, cerințe de consimțământ, norme privind transferurile transfrontaliere de date și obligația fundamentală de Evaluare a impactului asupra protecției datelor (DPIA). Rămâne în vigoare și continuă să reglementeze detaliile operaționale.

PDPL — În vigoare din 2026

PDPL ridică cadrul la nivelul legislației primare cu penalități mai mari și o sferă de aplicare mai largă. Consolidează modelul centrat pe consimțământ, întărește drepturile persoanelor vizate și extinde competențele de aplicare ale Ministerului Securității Publice (MPS), care rămâne autoritatea de reglementare principală. PDPL introduce, de asemenea, norme mai clare pentru datele cu caracter personal sensibile, luarea automată a deciziilor și prelucrarea datelor minorilor.

Cine face obiectul reglementării

Legea se aplică oricărei prelucrări de date cu caracter personal vietnameze, indiferent de locul în care se află operatorul. Un editor cu sediul în SUA care deservește utilizatori vietnamezi printr-un site localizat sau un cumpărător programatic care licitează pentru inventarul vietnamez se încadrează în domeniul de aplicare. Această aplicare extrateritorială oglindește modelul GDPR și este unul dintre elementele mai agresive ale cadrului vietnamez.

Ce se consideră date cu caracter personal

Definiția vietnameză a datelor cu caracter personal este largă și urmează îndeaproape standardul internațional. Datele cu caracter personal reprezintă orice informație care identifică sau poate identifica o persoană fizică specifică, și se împart în două categorii care contează mult pentru consimțământul la cookie-uri.

Date cu caracter personal de bază

Datele cu caracter personal de bază includ numele, data nașterii, numerele de identificare, datele de contact, identificatorii de dispozitive, adresele IP și datele de activitate online. Majoritatea datelor colectate prin cookie-uri intră în această categorie, inclusiv identificatorii publicitari, ID-urile de sesiune și profilurile comportamentale construite din istoricul de navigare.

Date cu caracter personal sensibile

Datele cu caracter personal sensibile includ opinii politice și religioase, informații despre sănătate, date genetice, date biometrice, orientare sexuală, caziere judiciare, date financiare și — în mod critic — date de localizare care pot fi utilizate pentru a identifica o persoană specifică. Datele sensibile declanșează cele mai stricte cerințe de consimțământ, inclusiv consimțământ specific, separat și, în unele cazuri, scris sau verificabil electronic.

De ce contează aceasta pentru cookie-uri

Un cookie care colectează doar un identificator de sesiune de bază reprezintă date cu caracter personal de bază. Un cookie care alimentează o audiență publicitară bazată pe localizare — comună în campaniile de retargeting și geo-direcționate — atinge probabil date cu caracter personal sensibile în momentul în care localizarea devine identificatoare. Configurația CMP trebuie să separe aceste scopuri.

Consimțământul pentru cookie-uri în temeiul legislației vietnameze

Vietnamul urmează modelul de consimțământ opt-in. Nu există o alternativă de notificare și alegere pentru cookie-urile care colectează date cu caracter personal, iar pragul pentru consimțământul valid este similar cu standardul GDPR.

Cele patru cerințe de consimțământ

Consimțământul în temeiul legislației vietnameze trebuie să fie:

• Specific — legat de un scop de prelucrare clar identificat, nu un consimțământ general de tip umbrellă
• Informat — persoana vizată înțelege ce date sunt prelucrate, de ce, cine le primește și pentru cât timp
• Voluntar — fără căsuțe pre-bifate, fără bariere de tip consimțământ-sau-plecare pentru prelucrarea neesențială
• Exprimabil și retractabil — utilizatorul poate acorda și retrage consimțământul printr-un mecanism clar

Cum arată un CMP conform

Un CMP configurat pentru traficul vietnamez în 2026 ar trebui să prezinte:

• Un banner vizibil înainte ca orice cookie sau tracker neesențial să se activeze, implicit în vietnameză (Tiếng Việt) pentru utilizatorii vietnamezi
• Acțiuni separate de Acceptare, Respingere și Personalizare, cu o proemineță vizuală egală — fără tipare obscure
• Controale granulare pentru cel puțin următoarele scopuri: analiză, publicitate, personalizare, transfer transfrontalier și orice prelucrare de categorie sensibilă, cum ar fi localizarea precisă
• Un mecanism persistent și ușor de găsit pentru a modifica sau retrage consimțământul după alegerea inițială
• Politică de confidențialitate în vietnameză cu dezvăluiri clare ale operatorilor, categoriilor de date, perioadei de retenție și drepturilor utilizatorului

Înregistrările de consimțământ

Operatorii trebuie să păstreze înregistrări ale consimțământului — cine și-a dat consimțământul, când, pentru ce, prin ce interfață. Acțiunile de aplicare din Vietnam au citat deja jurnale de consimțământ lipsă sau neverificabile, iar PDPL formalizează această obligație. Un CMP care nu produce jurnale de consimțământ exportabile, cu marcaj de timp, nu este conform.

Transferul transfrontalier de date — Cea mai dificilă parte

Regimul vietnamez al transferurilor transfrontaliere este unul dintre cele mai exigente din regiune și este elementul cu care cei mai mulți editori străini se confruntă.

Evaluarea impactului transferului

Înainte de a transfera date cu caracter personal vietnameze în străinătate — ceea ce include trimiterea de identificatori derivați din cookie-uri către o bursă de reclame din străinătate sau un furnizor de analiză — operatorul trebuie să pregătească o Evaluare a impactului transferului. Evaluarea trebuie să documenteze scopul, categoriile de date, țara destinatară și destinatarul, garanțiile tehnice și organizatorice și temeiul juridic al transferului.

Depunerea la MPS

Evaluarea trebuie depusă la Ministerul Securității Publice în termen de 60 de zile de la începerea prelucrării. MPS are competența de a suspenda transferurile transfrontaliere dacă evaluarea este inadecvată sau dacă jurisdicția de destinație este considerată insuficientă.

Implicații practice pentru editori

O stivă tipică de publicitate programatică direcționează datele utilizatorilor prin zeci de furnizori din străinătate în milisecunde. Fiecare dintre aceste fluxuri reprezintă, strict vorbind, un transfer transfrontalier de date cu caracter personal vietnameze. Realitatea din 2026 este că cei mai mulți editori străini fie depun evaluări consolidate pentru întreaga lor listă de furnizori, fie își reduc setul de furnizori pentru a reduce povara evaluării. Niciuna nu este trivială, iar MPS a semnalat că va începe o aplicare mai activă a fluxurilor transfrontaliere pe parcursul anului 2026.

Drepturile persoanelor vizate

PDPL consolidează și întărește drepturile acordate în temeiul Decretului. Persoanele vizate din Vietnam au dreptul de a:

• Fi informate cu privire la prelucrarea datelor lor
• Accesa datele care sunt prelucrate
• Rectifica datele inexacte
• Șterge datele atunci când prelucrarea nu mai este justificată
• Restricționa prelucrarea în circumstanțe specificate
• Retrage consimțământul la fel de ușor cum a fost acordat
• Se opune luării automate a deciziilor care produc efecte semnificative
• Depune o plângere la Ministerul Securității Publice

Termenele de răspuns

Operatorii trebuie să răspundă la cererile persoanelor vizate în termen de 72 de ore în majoritatea cazurilor — un interval semnificativ mai strict decât standardul de 30 de zile al GDPR. Pregătirea operațională pentru acest termen este una dintre cele mai frecvente lacune de conformitate pentru editorii străini și necesită instrumente și ghiduri mai rapide decât cele tipice din alte regiuni.

Reguli speciale pentru minori

PDPL introduce protecții dedicate pentru prelucrarea datelor cu caracter personal ale minorilor. Consimțământul pentru prelucrarea datelor aparținând unei persoane cu vârsta sub 15 ani trebuie acordat de un părinte sau tutore legal. Prelucrarea datelor pentru cei cu vârste cuprinse între 15 și 18 ani necesită consimțământul propriul al minorului, dar cu obligații sporite de transparență și grijă. Interfețele de consimțământ pentru cookie-uri de pe site-urile care atrag audiențe semnificative sub 18 ani necesită fluxuri conștiente de vârstă, pe care puțini editori străini le-au construit implicit.

Penalități și aplicare

PDPL ridică semnificativ plafonul amenzilor administrative. Sancțiunile includ:

• Amenzi de până la 5 la sută din cifra de afaceri anuală globală pentru încălcări grave care implică date cu caracter personal sensibile sau eșecuri sistematice
• Suspendarea activităților de prelucrare
• Opriri obligatorii ale transferurilor transfrontaliere
• Divulgarea publică a încălcării
• Răspundere penală pentru cazuri flagrante, inclusiv vânzarea ilegală de date cu caracter personal

Tendința de aplicare

MPS a fost relativ tăcut pe parcursul anului 2023 și începutul anului 2024, pe măsură ce Decretul se consolida, dar aplicarea s-a accelerat pe parcursul anului 2025 și în 2026. Editorii străini au fost citați în mai multe acțiuni mediatizate, aproape întotdeauna centrate pe una dintre trei probleme: consimțământ lipsă sau inadecvat, evaluări ale transferurilor transfrontaliere nedepuse sau eșec în a răspunde la cererile persoanelor vizate în termenul de 72 de ore.

Lista de verificare a auditului pentru traficul vietnamez în 2026

• Bannerul CMP este afișat în vietnameză pentru utilizatorii vietnamezi, cu Acceptare, Respingere și Personalizare cu proemineță egală
• Scopurile consimțământului sunt granulare și separă prelucrarea sensibilă, cum ar fi localizarea precisă
• Jurnalele de consimțământ au marcaj de timp, sunt exportabile și reținute pe durata prelucrării plus o marjă auditabilă
• Politica de confidențialitate este disponibilă în vietnameză cu dezvăluire completă a operatorilor, perioadei de retenție și drepturilor
• Evaluarea impactului transferului este depusă la MPS pentru fiecare flux transfrontalier în curs
• Fluxul de lucru pentru cererile persoanelor vizate poate răspunde în 72 de ore de la capăt la capăt
• Fluxul de consimțământ conștient de vârstă este implementat pentru audiențele care includ minori
• Lista de furnizori a fost revizuită în ceea ce privește necesitatea, cu furnizorii neutilizați sau redundanți eliminați pentru a reduce suprafața transfrontalieră

Perspectivele pentru 2026

Traiectoria de reglementare a Vietnamului este clară. PDPD a stabilit cadrul. PDPL îl consolidează. Aplicarea se extinde. Pentru editorii și agenții de publicitate care au tratat Vietnamul ca o piață mai permisivă, 2026 este anul în care această abordare devine costisitoare. Vestea bună este că o stivă modernă de consimțământ de tip GDPR reprezintă cea mai mare parte din ceea ce este necesar — lacunele sunt de obicei intervalul de răspuns de 72 de ore, depunerile Evaluărilor de impact al transferului și localizarea în vietnameză a CMP și politicii de confidențialitate. Aceste lacune sunt operaționale, nu arhitecturale, și pot fi acoperite în săptămâni, nu în trimestre. Editorii care le acoperă înainte ca MPS să le apară la ușă nu vor observa tranziția. Cei care așteaptă, vor observa.