Ley de Proteccion de Datos Personales de Arabia Saudita

Guia de cumplimiento de la PDPL de Arabia Saudita

La Ley de Proteccion de Datos Personales de Arabia Saudita establece obligaciones integrales de privacidad de datos para organizaciones que tratan datos personales en KSA. Con plena aplicacion desde septiembre de 2024, le ayudamos a lograr el cumplimiento con procesos claros y documentacion lista para auditoria.

Iniciar evaluacion de cumplimientoReservar consulta

¿Que es la PDPL saudita?

La Ley de Proteccion de Datos Personales de Arabia Saudita (PDPL) es la regulacion integral de privacidad de datos del Reino, promulgada mediante el Real Decreto M/19 de 2021. Los reglamentos de implementacion se emitieron en septiembre de 2023, con plena aplicacion a partir del 14 de septiembre de 2024.

Por que esto importa ahora: La PDPL es plenamente aplicable con SDAIA realizando auditorias e investigaciones de cumplimiento. Las organizaciones enfrentan multas de hasta SAR 5 millones y posibles sanciones penales por infracciones. El cumplimiento temprano demuestra compromiso con la proteccion de datos.

Regulador

Supervision de SDAIA / NDMO

Aplicacion

Activa desde sep 2024

¿Opera regionalmente? Considere el cumplimiento de la PDPL de Barein, la PDPL de Qatar y la PDPL de EAU.

¿Quien necesita cumplir?

Organizaciones en Arabia Saudita

Todas las entidades que tratan datos personales dentro del territorio de KSA

Encargados de datos de residentes de KSA

Organizaciones fuera de KSA que tratan datos de residentes saudies

Entidades gubernamentales

Organizaciones del sector publico que manejan datos de ciudadanos

Empresas privadas

Negocios que recogen datos de clientes o empleados

Proveedores de salud

Instalaciones medicas que tratan informacion de pacientes

Instituciones financieras

Bancos y fintechs que manejan datos financieros

Como VerifyWise apoya el cumplimiento de la PDPL saudita

Capacidades dedicadas que abordan cada requisito de la PDPL

Inventario y mapeo de datos personales

Mantenga registros completos de actividades de tratamiento con categorias de datos, finalidades, bases legales y periodos de retencion. La plataforma estructura su inventario de datos para demostrar el cumplimiento de la PDPL y responder a las consultas de SDAIA.

Aborda: Articulo 7 (Registros de tratamiento), Articulo 4 (Limitacion de finalidad)

Gestion de derechos de los interesados

Rastree y responda a solicitudes de acceso, correccion, supresion y portabilidad con pistas de auditoria. La plataforma asegura respuestas oportunas dentro de los plazos de la PDPL y mantiene evidencia de cumplimiento.

Aborda: Articulos 5-11 (Derechos de los interesados), Articulo 27 (Plazos de respuesta)

Controles de seguridad y confidencialidad

Documente las medidas tecnicas y organizativas que protegen los datos personales. La plataforma mantiene evidencia de controles de seguridad, procedimientos de respuesta a incidentes y flujos de trabajo de notificacion de brechas alineados con los requisitos de la PDPL.

Aborda: Articulo 22 (Seguridad), Articulo 23 (Notificacion de brechas)

Seguimiento de transferencias transfronterizas

Registre las transferencias internacionales de datos con evaluaciones de adecuacion y seguimiento de autorizacion de SDAIA. La plataforma documenta mecanismos de transferencia, salvaguardas y mantiene las aprobaciones requeridas.

Aborda: Articulo 32 (Transferencias internacionales), Articulo 33 (Proteccion adecuada)

Documentacion de consentimiento y base legal

Rastree la recopilacion de consentimiento, retiradas y bases legales alternativas para el tratamiento. La plataforma mantiene evidencia de consentimiento valido y fundamentos legales para cada actividad de tratamiento.

Aborda: Articulo 6 (Requisitos de consentimiento), Articulo 12 (Bases legales)

Designacion de DPO y gobernanza

Gestione los requisitos de designacion de DPO, estructuras de gobernanza y marcos de responsabilidad proactiva. La plataforma rastrea responsabilidades de cumplimiento y mantiene politicas organizativas alineadas con la PDPL.

Aborda: Articulo 17 (Designacion de DPO), Articulo 29 (Responsabilidad proactiva)

Todas las actividades de cumplimiento se rastrean con marcas de tiempo, partes responsables y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra cumplimiento sistematico para las consultas y acciones de aplicacion de SDAIA.

Cobertura completa de requisitos de la PDPL

VerifyWise proporciona herramientas dedicadas para todas las obligaciones clave de la PDPL

26

Requisitos de control de la PDPL

26

Controles con herramientas dedicadas

100%

Cobertura en todos los requisitos

Licitud y transparencia8/8

Base legal, consentimiento, avisos de transparencia

Derechos de los interesados7/7

Acceso, correccion, supresion, portabilidad

Transferencias transfronterizas5/5

Proteccion adecuada, autorizacion de SDAIA

Seguridad y confidencialidad6/6

Salvaguardas tecnicas y organizativas

Disenado para el cumplimiento de la PDPL saudita

Documentacion lista para SDAIA

Paquetes de evidencia para auditorias y consultas

Automatizacion de derechos de los interesados

Seguimiento de plazos de 30 dias con pistas de auditoria

Seguimiento de transferencias transfronterizas

Evaluaciones de adecuacion y flujos de trabajo de autorizacion de SDAIA

Mapeo multi-jurisdiccional

Referencia cruzada con leyes de privacidad del GCC e internacionales

Ocho principios clave de la PDPL

Principios fundamentales para el tratamiento licito de datos personales

Licitud

Tratar datos personales solo sobre bases legales validas especificadas en la PDPL.

Requisitos clave

  • • Base legal valida
  • • Justificacion documentada
  • • Alineacion con la finalidad

Transparencia

Proporcionar informacion clara sobre el tratamiento de datos a los interesados.

Requisitos clave

  • • Avisos de privacidad
  • • Lenguaje sencillo
  • • Informacion accesible

Limitacion de finalidad

Recoger datos para fines especificos y explicitos y evitar el uso secundario.

Requisitos clave

  • • Fines definidos
  • • Sin ampliacion del alcance
  • • Documentacion de finalidades

Minimizacion de datos

Limitar la recopilacion a los datos necesarios para los fines declarados.

Requisitos clave

  • • Evaluacion de necesidad
  • • Recopilacion proporcionada
  • • Revision periodica

Exactitud

Asegurar que los datos personales sean exactos y se mantengan actualizados.

Requisitos clave

  • • Verificacion de exactitud
  • • Mecanismos de actualizacion
  • • Procesos de correccion

Limitacion del almacenamiento

Conservar los datos personales solo mientras sea necesario para los fines.

Requisitos clave

  • • Calendarios de retencion
  • • Procedimientos de eliminacion
  • • Revision periodica

Confidencialidad y seguridad

Proteger los datos personales con medidas tecnicas y organizativas apropiadas.

Requisitos clave

  • • Controles de seguridad
  • • Restricciones de acceso
  • • Estandares de cifrado

Responsabilidad proactiva

Demostrar el cumplimiento de las obligaciones de la PDPL y mantener registros.

Requisitos clave

  • • Documentacion
  • • Evidencia de cumplimiento
  • • Preparacion para auditorias

Derechos de los interesados bajo la PDPL

Siete derechos integrales otorgados a las personas

Derecho a ser informado

Los interesados deben recibir informacion clara sobre el tratamiento de datos.

Implementacion

  • • Avisos de privacidad en la recopilacion
  • • Divulgacion de finalidades de tratamiento
  • • Informacion de destinatarios de datos

Derecho de acceso

Las personas pueden solicitar acceso a sus datos personales.

Implementacion

  • • Procedimientos de solicitud de acceso
  • • Plazo de respuesta de 30 dias
  • • Formato de portabilidad de datos

Derecho de correccion

Los interesados pueden solicitar la correccion de datos inexactos.

Implementacion

  • • Flujos de trabajo de correccion
  • • Procedimientos de verificacion
  • • Notificacion a terceros

Derecho de supresion

Las personas pueden solicitar la supresion cuando cesa la base legal.

Implementacion

  • • Procedimientos de solicitud de supresion
  • • Verificacion de base legal
  • • Borrado completo

Derecho a obtener datos

Los interesados pueden obtener sus datos en formato utilizable.

Implementacion

  • • Exportacion de datos estructurados
  • • Formato legible por maquina
  • • Opcion de transmision directa

Derecho a retirar el consentimiento

Retirada facil del consentimiento sin afectar el tratamiento anterior.

Implementacion

  • • Mecanismos de retirada
  • • Misma facilidad que para otorgar
  • • Cese del tratamiento

Derecho a oponerse a decisiones automatizadas

Oponerse a decisiones basadas unicamente en tratamiento automatizado.

Implementacion

  • • Opcion de revision humana
  • • Explicacion de la logica
  • • Derecho a impugnar

Recursos oficiales

Visitar sitio web de SDAIA →

Hoja de ruta de implementacion de 18 semanas

Un camino practico hacia el cumplimiento de la PDPL saudita con hitos claros

Fase 1Semanas 1-4

Mapeo de datos y analisis de brechas

  • Inventariar todas las actividades de tratamiento de datos personales
  • Documentar bases legales y finalidades
  • Identificar transferencias transfronterizas de datos
  • Evaluar las brechas actuales de cumplimiento de la PDPL
Fase 2Semanas 5-8

Gobernanza y politicas

  • Designar DPO si es necesario
  • Desarrollar politicas alineadas con la PDPL
  • Crear avisos de privacidad y formularios de consentimiento
  • Establecer procedimientos de derechos de los interesados
Fase 3Semanas 9-14

Seguridad y controles

  • Implementar medidas de seguridad tecnicas
  • Establecer salvaguardas organizativas
  • Crear procedimientos de notificacion de brechas
  • Documentar evidencia de controles de seguridad
Fase 4Semanas 15-18

Seguimiento y cumplimiento continuo

  • Establecer seguimiento de cumplimiento
  • Formar al personal en obligaciones de la PDPL
  • Implementar diligencia debida de proveedores
  • Prepararse para consultas de SDAIA

Sanciones y aplicacion

Comprender los poderes de aplicacion de SDAIA y las consecuencias de las infracciones

Multas administrativas

Hasta SAR 5 millones por infracciones

  • Sanciones basadas en gravedad
  • Multiplicadores por infracciones multiples
  • Divulgacion publica de infracciones

Sanciones penales

Hasta 2 anos de prision por ciertos delitos

  • Divulgacion ilicita
  • Tratamiento sin base legal
  • Fallo en notificar brechas

Autoridad de aplicacion

SDAIA a traves de la Oficina Nacional de Gestion de Datos

  • Poderes de investigacion
  • Auditorias de cumplimiento
  • Ordenes de accion correctiva

Consecuencias adicionales

Restricciones comerciales y dano reputacional

  • Suspension de operaciones
  • Avisos de aplicacion publicos
  • Perdida de confianza del cliente

Entorno de aplicacion activo

SDAIA supervisa activamente el cumplimiento a traves de auditorias, investigaciones y respuestas a quejas. Las organizaciones deben mantener preparacion continua de cumplimiento con evidencia documentada de practicas de proteccion de datos, supervision del DPO (cuando sea necesario) y gestion sistematica de derechos de los interesados.

72h

Plazo de notificacion de brechas

30d

Respuesta a derechos de los interesados

SAR 5M

Multa administrativa maxima

Plantillas de politicas

Repositorio completo de politicas de la PDPL

Acceda a mas de 25 plantillas de politicas de proteccion de datos listas para usar, alineadas con la PDPL saudita, el GDPR y otras leyes de privacidad del GCC

Cumplimiento principal

  • • Politica de proteccion de datos
  • • Plantilla de aviso de privacidad
  • • Politica de gestion de consentimiento
  • • Documentacion de base legal
  • • Registro de actividades de tratamiento
  • • Carta de designacion de DPO
  • + 3 politicas mas

Derechos y transferencias

  • • Procedimiento de derechos de los interesados
  • • Proceso de solicitud de acceso
  • • Politica de supresion y correccion
  • • Politica de transferencias transfronterizas
  • • Politica de comparticion con terceros
  • • Estandares de portabilidad de datos
  • + 2 politicas mas

Seguridad y brechas

  • • Politica de seguridad de datos
  • • Plan de respuesta ante brechas
  • • Procedimiento de notificacion de incidentes
  • • Politica de retencion y eliminacion
  • • Diligencia debida de proveedores
  • • Programa de formacion de empleados
  • + 2 politicas mas
Explorar todas las plantillas de politicas

Como se compara la PDPL saudita

Comprender la relacion entre las leyes de privacidad regionales e internacionales

AspectoPDPL sauditaGDPRPDPL de BareinPDPL de EAU
Alcance
Arabia Saudita y residentes de KSAInteresados de la UE y EEEBarein y residentes de BareinEAU y residentes de EAU
Fecha de aplicacion
14 de septiembre de 202425 de mayo de 20181 de agosto de 20192 de enero de 2022
Regulador
SDAIA / NDMODPAs nacionales / EDPBPDPOTDRA / DPAs locales
Multa maxima
SAR 5M (~$1,3M)20M EUR o 4% facturacionBHD 20K (~$53K)AED 5M (~$1,36M)
Requisito de DPO
Basado en riesgo (ciertos casos)Basado en riesgo (obligatorio para muchos)Opcional pero recomendadoBasado en riesgo por emirato
Estandar de consentimiento
Explicito para datos sensiblesExplicito para datos sensiblesExplicito para datos sensiblesExplicito para datos sensibles
Transferencias transfronterizas
Proteccion adecuada + autorizacionAdecuacion o salvaguardasNotificacion al PDPO requeridaProteccion adecuada requerida
Notificacion de brechas
72 horas a SDAIA72 horas a la DPA72 horas a la autoridadSin dilacion indebida a la autoridad
Ideal para
Operaciones en mercado de KSAAcceso al mercado de la UEOperaciones en BareinPresencia en mercado de EAU

Operaciones regionales: Las organizaciones que operan en todo el GCC deben considerar un enfoque de cumplimiento unificado. La PDPL de Barein, la PDPL de Qatar y laPDPL de EAUcomparten principios similares con matices especificos de cada jurisdiccion.

Discutir cumplimiento multi-jurisdiccional

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de la PDPL saudita

La Ley de Proteccion de Datos Personales (PDPL) es la regulacion integral de privacidad de datos de Arabia Saudita, promulgada mediante el Real Decreto M/19 de 2021. Los reglamentos de implementacion se emitieron en septiembre de 2023, con plena aplicacion a partir del 14 de septiembre de 2024 tras un periodo de transicion. Esta regulada por la Autoridad Saudita de Datos e Inteligencia Artificial (SDAIA) a traves de la Oficina Nacional de Gestion de Datos (NDMO).
La PDPL se aplica a cualquier organizacion que trate datos personales dentro de Arabia Saudita, o que trate datos personales de residentes saudies independientemente de donde se encuentre la organizacion. Esto incluye tanto a responsables como a encargados del tratamiento, abarcando empresas privadas, entidades gubernamentales y organizaciones internacionales con operaciones saudies o clientes saudies.
La designacion de DPO es obligatoria para organizaciones cuyas actividades principales implican el tratamiento a gran escala de datos personales sensibles, el seguimiento sistematico a gran escala, o segun lo determine SDAIA basandose en la evaluacion de riesgos. Incluso cuando no es obligatorio, designar un DPO demuestra compromiso con el cumplimiento y se considera una buena practica.
Las multas administrativas pueden alcanzar hasta SAR 5 millones ($1,3 millones USD) dependiendo de la gravedad de la infraccion. Ciertos delitos graves conllevan sanciones penales incluyendo prision de hasta 2 anos. Las consecuencias adicionales incluyen suspension de operaciones, divulgacion publica de infracciones y dano reputacional. SDAIA tiene poderes de investigacion y aplicacion para asegurar el cumplimiento.
Aunque inspirada en el GDPR, la PDPL saudita tiene requisitos distintos. Ambas requieren base licita de tratamiento, derechos de los interesados y medidas de seguridad. Las diferencias clave incluyen la autorizacion de SDAIA para transferencias transfronterizas (frente a decisiones de adecuacion), multas maximas mas bajas y disposiciones especificas alineadas con el marco legal saudita. Las organizaciones que operan en ambas jurisdicciones deben abordar requisitos superpuestos y unicos.
Las transferencias transfronterizas de datos personales fuera de Arabia Saudita requieren: (1) transferencia a un pais con nivel adecuado de proteccion de datos segun lo determine SDAIA, o (2) autorizacion explicita de SDAIA. Las organizaciones deben implementar salvaguardas apropiadas y mantener documentacion de mecanismos de transferencia, destinos y fundamentos legales.
Las organizaciones deben notificar a SDAIA dentro de las 72 horas desde que tengan conocimiento de una brecha de datos personales que suponga riesgos para los interesados. La notificacion a las personas afectadas es necesaria cuando la brecha implica alto riesgo. La documentacion de todas las brechas (sean notificables o no) debe mantenerse para demostrar el cumplimiento.
Una implementacion tipica de cumplimiento de la PDPL toma de 4 a 5 meses dependiendo del tamano organizacional, la complejidad del tratamiento de datos y la madurez de privacidad existente. Las organizaciones deben priorizar el mapeo de datos, la designacion de DPO si es necesario, el desarrollo de politicas y los procedimientos de derechos de los interesados en las fases iniciales.
La PDPL otorga a los interesados siete derechos clave: (1) derecho a ser informado, (2) derecho de acceso, (3) derecho de correccion, (4) derecho de supresion, (5) derecho a obtener datos (portabilidad), (6) derecho a retirar el consentimiento y (7) derecho a oponerse a la toma de decisiones automatizada. Las organizaciones deben responder a las solicitudes de derechos dentro de 30 dias y mantener pistas de auditoria.
La PDPL incluye disposiciones especificas para la toma de decisiones automatizada y la elaboracion de perfiles. Los interesados tienen derecho a oponerse a decisiones basadas unicamente en tratamiento automatizado que produzcan efectos legales o los afecten significativamente. Las organizaciones deben proporcionar informacion sobre la logica involucrada y ofrecer opciones de revision humana. Para una gobernanza integral de IA, consulte nuestras soluciones de gestion de riesgos de IA.
No, el consentimiento es una de varias bases legales para el tratamiento. La PDPL reconoce multiples fundamentos incluyendo necesidad contractual, obligaciones legales, intereses vitales, interes publico e intereses legitimos. Sin embargo, se requiere consentimiento explicito para el tratamiento de datos personales sensibles (salud, biometricos, geneticos, religiosos, politicos, etc.). Elija la base legal mas apropiada para cada actividad de tratamiento.
La PDPL saudita es parte de una tendencia mas amplia del GCC hacia la proteccion integral de datos. Las organizaciones que operan regionalmente deben considerar la PDPL de Barein, la PDPL de Qatar y la PDPL de EAU. Si bien los principios se alinean, cada ley tiene requisitos unicos, cronogramas de aplicacion y autoridades reguladoras.
Si, VerifyWise proporciona herramientas dedicadas para el cumplimiento de la PDPL saudita incluyendo registros de tratamiento de datos, gestion de derechos de los interesados, seguimiento de consentimiento, documentacion de transferencias transfronterizas y evidencia de controles de seguridad. Nuestra plataforma mantiene documentacion lista para auditoria y le ayuda a demostrar el cumplimiento ante SDAIA durante consultas o auditorias.

¿Listo para lograr el cumplimiento de la PDPL saudita?

Comience su viaje de cumplimiento con nuestra evaluacion guiada y herramientas de documentacion disenadas para los requisitos de SDAIA.

Iniciar evaluacion de cumplimientoProgramar consulta
Saudi PDPL Compliance Guide | Data Protection | VerifyWise