Ley de Proteccion de Datos Personales de EAU

Guia de cumplimiento de proteccion de datos de EAU

Navegue el Decreto-Ley Federal N.o 45 de 2021 de EAU con confianza. Ya sea que opere en el territorio continental de EAU, el DIFC o el ADGM, le ayudamos a implementar controles integrales de proteccion de datos y mantener el cumplimiento.

Iniciar evaluacion de cumplimientoReservar consulta sobre PDPL de EAU

¿Que es la PDPL de EAU?

La Ley de Proteccion de Datos Personales de EAU (Decreto-Ley Federal N.o 45 de 2021) es la regulacion integral de proteccion de datos de los EAU. Los reglamentos ejecutivos emitidos en 2023 proporcionan orientacion detallada de implementacion y requisitos operativos.

Nota jurisdiccional importante: La PDPL de EAU se aplica al tratamiento de datos personales en el territorio continental de EAU. El Centro Financiero Internacional de Dubai (DIFC) y el Mercado Global de Abu Dhabi (ADGM) tienen marcos de proteccion de datos separados con sus propias autoridades supervisoras y mecanismos de aplicacion.

Alcance continental

Se aplica a EAU excluyendo DIFC/ADGM

Oficina de Datos

Supervisada por la Oficina de Datos de EAU (TDRA)

Complementa el cumplimiento del GDPR y se alinea con marcos regionales incluyendo la PDPL de Barein, la PDPL de Arabia Saudita y la PDPL de Qatar.

¿Quien necesita cumplimiento de la PDPL de EAU?

Empresas del territorio continental de EAU

Todas las entidades que tratan datos personales en EAU (excluye DIFC/ADGM)

Entidades gubernamentales

Organismos gubernamentales federales y locales que manejan datos personales

Plataformas de comercio electronico

Minoristas en linea y marketplaces que tratan datos de clientes

Proveedores de salud

Hospitales y clinicas que manejan informacion sensible de pacientes

Instituciones financieras

Bancos y fintechs fuera de las jurisdicciones del DIFC/ADGM

Marketing y publicidad

Agencias que tratan datos personales con fines promocionales

Como VerifyWise apoya el cumplimiento de la PDPL de EAU

Capacidades concretas que abordan cada categoria de requisitos

Mapeo e inventario de datos personales

Mapee todas las actividades de tratamiento de datos personales con metadatos estructurados que cubran finalidad, base legal, retencion y transferencias transfronterizas. La plataforma captura el inventario de datos que requiere el Articulo 6 de la PDPL de EAU y mantiene registros de tratamiento.

Aborda: Articulos 6, 7: Principios de tratamiento de datos, mantenimiento de registros

Gestion de derechos de los interesados

Rastree y responda a solicitudes de los interesados de acceso, correccion, supresion, restriccion, portabilidad y oposicion. La plataforma mantiene pistas de auditoria de solicitudes y respuestas segun lo requerido por los Articulos 13-18 de la PDPL de EAU.

Aborda: Articulos 13-18: Derechos de los interesados, flujos de trabajo de respuesta

Cumplimiento de transferencias transfronterizas

Documente las transferencias transfronterizas de datos con evaluaciones de adecuacion y salvaguardas contractuales. La plataforma rastrea mecanismos de transferencia, realiza evaluaciones de riesgos y genera la documentacion que requiere el Articulo 22 de la PDPL de EAU.

Aborda: Articulo 22: Transferencia transfronteriza, adecuacion, salvaguardas

Seguimiento de consentimiento y base legal

Registre y gestione la recopilacion de consentimiento con evidencia de acuerdo informado y libremente otorgado. La plataforma mantiene registros de consentimiento, rastrea retiradas y documenta bases legales alternativas segun requiere el Articulo 5 de la PDPL de EAU.

Aborda: Articulo 5: Tratamiento licito, requisitos de consentimiento

Deteccion y notificacion de brechas

Gestione incidentes de brechas de datos con flujos de trabajo estructurados para evaluacion, contencion y notificacion. La plataforma rastrea cronogramas de brechas, individuos afectados y notificaciones regulatorias segun el Articulo 10 de la PDPL de EAU.

Aborda: Articulo 10: Notificacion de brechas de datos, respuesta a incidentes

Evaluaciones de impacto en la privacidad

Realice evaluaciones sistematicas de impacto en la privacidad para actividades de tratamiento de alto riesgo. La plataforma guia la metodologia de evaluacion, documenta la mitigacion de riesgos y mantiene la evidencia que espera el Articulo 9 de la PDPL de EAU.

Aborda: Articulo 9: Evaluacion de impacto en la privacidad para tratamiento de alto riesgo

Todas las actividades de tratamiento se rastrean con marcas de tiempo, responsables de datos asignados y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra cumplimiento sistematico en lugar de documentacion creada despues del hecho.

Cobertura completa de requisitos de la PDPL de EAU

VerifyWise proporciona herramientas dedicadas para todas las categorias principales de requisitos

26

Requisitos de control de la PDPL de EAU

26

Controles con herramientas dedicadas

100%

Cobertura en todas las areas de requisitos

Licitud y transparencia8/8

Bases legales, consentimiento, especificacion de finalidad

Derechos de los interesados7/7

Acceso, correccion, supresion, portabilidad

Transferencias transfronterizas5/5

Adecuacion, salvaguardas, documentacion

Seguridad y brechas6/6

Medidas tecnicas, respuesta a incidentes

Disenado para el cumplimiento de proteccion de datos de EAU

Soporte multi-jurisdiccional

Marcos de EAU continental, DIFC y ADGM en una plataforma

Herramientas de transferencia transfronteriza

Evaluaciones de adecuacion y gestion de salvaguardas contractuales

Automatizacion de derechos de los interesados

Seguimiento de respuesta de 30 dias con paquetes de evidencia

Alineacion de privacidad del GCC

Marcos de Barein, Arabia Saudita, Qatar y EAU

Siete principios clave de proteccion de datos

La PDPL de EAU establece principios fundamentales para el tratamiento licito de datos personales

Licitud

Los datos personales deben tratarse sobre bases legales legitimas incluyendo consentimiento, contrato, obligacion legal o intereses legitimos.

Requisitos clave

  • Base legal valida
  • Especificacion de finalidad
  • Documentacion de consentimiento

Equidad y transparencia

El tratamiento debe ser equitativo para los interesados con informacion clara sobre como se recogen y utilizan los datos personales.

Requisitos clave

  • Avisos de privacidad
  • Comunicacion clara
  • Sin tratamiento oculto

Limitacion de finalidad

Los datos personales deben recogerse para fines especificados, explicitos y legitimos y no ser tratados de forma incompatible con esos fines.

Requisitos clave

  • Fines definidos
  • Evaluacion de compatibilidad
  • Documentacion de finalidades

Minimizacion de datos

Solo deben recogerse datos personales adecuados, pertinentes y limitados a lo necesario para el fin especificado.

Requisitos clave

  • Evaluacion de necesidad
  • Recopilacion minima
  • Proporcionalidad

Exactitud

Los datos personales deben ser exactos y mantenerse actualizados. Los datos inexactos deben corregirse o suprimirse sin demora.

Requisitos clave

  • Verificaciones de exactitud
  • Mecanismos de actualizacion
  • Procedimientos de correccion

Limitacion del almacenamiento

Los datos personales deben conservarse solo durante el tiempo necesario para los fines para los que fueron recogidos.

Requisitos clave

  • Calendarios de retencion
  • Procedimientos de eliminacion
  • Ciclos de revision

Confidencialidad y seguridad

Los datos personales deben tratarse de forma segura con medidas tecnicas y organizativas apropiadas para proteger contra el acceso no autorizado.

Requisitos clave

  • Controles de seguridad
  • Cifrado
  • Gestion de acceso

Guia oficial

Visitar sitio web de TDRA →

Derechos de los interesados bajo la PDPL de EAU

Las personas tienen seis derechos principales cuando se tratan sus datos personales

Derecho de acceso

Las personas pueden solicitar confirmacion de si sus datos personales estan siendo tratados y obtener una copia de esos datos.

Tiempo de respuesta: Dentro de 30 dias

Pasos de implementacion

  • Verificacion de identidad
  • Extraccion de datos
  • Formato de respuesta

Derecho de correccion

Las personas pueden solicitar la correccion de datos personales inexactos o incompletos.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

  • Verificacion de exactitud
  • Procedimientos de actualizacion
  • Notificacion a destinatarios

Derecho de supresion

Las personas pueden solicitar la supresion de datos personales cuando ya no son necesarios o se retira el consentimiento.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

  • Revision de licitud
  • Procedimientos de eliminacion
  • Manejo de copias de seguridad

Derecho de restriccion

Las personas pueden solicitar la restriccion del tratamiento en ciertas circunstancias mientras se verifica la exactitud o licitud.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

  • Suspension del tratamiento
  • Modo solo almacenamiento
  • Sistemas de notificacion

Derecho a la portabilidad

Las personas pueden recibir sus datos personales en formato estructurado y de uso comun y transmitirlos a otro responsable.

Tiempo de respuesta: Dentro de 30 dias

Pasos de implementacion

  • Exportacion de datos
  • Formato legible por maquina
  • Transmision directa

Derecho de oposicion

Las personas pueden oponerse al tratamiento basado en intereses legitimos o con fines de marketing directo.

Tiempo de respuesta: Inmediato para marketing

Pasos de implementacion

  • Evaluacion de oposicion
  • Cese del tratamiento
  • Exclusion de marketing

Marcos de proteccion de datos del DIFC y ADGM

Las zonas francas de EAU tienen regimenes de proteccion de datos separados con requisitos distintos

Ley de Proteccion de Datos del DIFC

Centro Financiero Internacional de Dubai

Ley N.o 5 de 2020

Ley de proteccion de datos inspirada en GDPR para la zona franca del DIFC

Puntos clave

  • Se aplica a responsables y encargados en el DIFC
  • Alcance extraterritorial similar al GDPR
  • Comisionado independiente para la Proteccion de Datos
  • Designacion de DPO para tratamiento a gran escala
  • Multas de hasta $100.000 por infraccion
Guia oficial →

Regulaciones de Proteccion de Datos del ADGM

Mercado Global de Abu Dhabi

Regulaciones 2021

Marco de proteccion de datos para la zona franca del ADGM

Puntos clave

  • Se aplica a entidades registradas en el ADGM
  • Basado en los principios del GDPR de la UE
  • Oficina de Registro para la Proteccion de Datos
  • Notificacion obligatoria de brechas dentro de 72 horas
  • Multas administrativas por incumplimiento
Guia oficial →

Operaciones multi-jurisdiccionales: Si opera en el territorio continental de EAU, el DIFC y el ADGM, puede necesitar cumplir con multiples marcos de proteccion de datos simultaneamente. VerifyWise soporta los tres regimenes en una sola plataforma.

Discutir cumplimiento multi-jurisdiccional

Hoja de ruta de implementacion de 16 semanas

Un camino practico hacia el cumplimiento de la PDPL de EAU con hitos claros

Fase 1Semanas 1-4

Mapeo de datos

  • Inventariar todas las actividades de tratamiento de datos personales
  • Documentar bases legales y finalidades
  • Identificar transferencias transfronterizas de datos
  • Evaluar los avisos de privacidad actuales
Fase 2Semanas 5-8

Derechos y procesos

  • Establecer procedimientos de derechos de los interesados
  • Implementar sistemas de gestion de consentimiento
  • Crear plantillas de evaluacion de impacto en la privacidad
  • Desarrollar procedimientos de respuesta ante brechas
Fase 3Semanas 9-12

Seguridad y gobernanza

  • Desplegar medidas de seguridad tecnicas
  • Establecer calendarios de retencion de datos
  • Implementar controles de acceso y cifrado
  • Designar DPO si es necesario
Fase 4Semanas 13-16

Documentacion y formacion

  • Finalizar documentacion de cumplimiento
  • Formar al personal en requisitos de privacidad
  • Realizar auditoria de cumplimiento
  • Establecer seguimiento continuo

Sanciones y aplicacion

Comprender las consecuencias del incumplimiento

Multas administrativas

AED 5.000.000

~$1,36 millones

Infracciones aplicables

  • Tratamiento sin base legal
  • Fallo en implementar medidas de seguridad
  • Incumplimiento de derechos de los interesados
  • Transferencias transfronterizas ilicitas
  • Incumplimiento de obligaciones de confidencialidad

Sanciones del DIFC

$100.000

Por infraccion

Infracciones aplicables

  • Tratamiento sin base licita
  • Fallo en notificar brechas
  • No cooperacion con el Comisionado
  • Transferencia a jurisdicciones inadecuadas
  • Fallo en designar DPO cuando es requerido

Oficina de Datos de EAU

Bajo Oficina de Datos de los Emiratos

La Oficina de Datos de EAU es la principal autoridad supervisora para la aplicacion de la PDPL de EAU en el territorio continental.

Responsabilidades

  • Supervisar y hacer cumplir el cumplimiento de la PDPL
  • Emitir orientaciones y mejores practicas
  • Investigar quejas e infracciones
  • Imponer sanciones administrativas
  • Promover la concienciacion sobre proteccion de datos

Contacto

Autoridad de Regulacion de Telecomunicaciones y Gobierno Digital (TDRA)

Visitar sitio web de TDRA →

Requisitos del Delegado de Proteccion de Datos (DPO)

Cuando necesita designar un DPO bajo la PDPL de EAU

Autoridades publicas

Organismos gubernamentales e instituciones publicas que tratan datos personales como parte de sus actividades principales

Tratamiento a gran escala

Organizaciones que realizan seguimiento sistematico a gran escala o tratamiento de datos sensibles

Enfoque en datos sensibles

Entidades cuyas actividades principales implican el tratamiento de categorias de datos personales sensibles

Entidades DIFC/ADGM

Organizaciones en zonas francas con requisitos especificos de designacion de DPO

Cualificaciones y funciones del DPO

Cualificaciones requeridas

  • • Conocimiento experto en legislacion y practicas de proteccion de datos
  • • Comprension de la PDPL de EAU y regulaciones relacionadas
  • • Capacidad para cumplir funciones de forma independiente
  • • Linea de reporte directa a la alta direccion

Responsabilidades principales

  • • Supervisar el cumplimiento interno de la PDPL de EAU
  • • Asesorar sobre evaluaciones de impacto en la proteccion de datos
  • • Servir como punto de contacto para la autoridad supervisora
  • • Gestionar consultas y quejas de los interesados

Como se compara la PDPL de EAU

Comprender la relacion entre EAU, GDPR y leyes de privacidad regionales

AspectoPDPL de EAUGDPRPDPL de Barein
Alcance geografico
EAU continental (excluye DIFC, ADGM)UE/EEE + extraterritorialReino de Barein a nivel nacional
Estatus legal
Decreto-Ley Federal N.o 45/2021Reglamento de la UE (directamente aplicable)Ley N.o 30/2018
Fecha de aplicacion
Septiembre 2021 (regulaciones 2023)Mayo 2018Agosto 2019
Multa maxima
AED 5M (~$1,36M)20M EUR o 4% facturacion globalBHD 20.000 (~$53K)
Requisito de DPO
Autoridades publicas, tratamiento a gran escalaAutoridades publicas, seguimiento principalEntidades que tratan grandes volumenes
Notificacion de brechas
Sin dilacion indebida a la autoridad72 horas a la autoridad72 horas a la autoridad
Transferencias transfronterizas
Adecuacion o salvaguardas requeridasDecision de adecuacion o herramientas de transferenciaAdecuacion o garantias del responsable
Requisitos de consentimiento
Informado, libre, especificoInformado, libre, especifico, inequivocoConsentimiento escrito para datos sensibles
Derechos de los interesados
6 derechos principales (acceso, correccion, supresion, etc.)8 derechos incluyendo decisiones automatizadasAcceso, correccion, supresion, oposicion

Operaciones regionales: Operar en paises del GCC requiere comprender multiples marcos de privacidad. El GDPRproporciona la linea base global, mientras que laPDPL de Barein, la PDPL de Arabia Saudita y laPDPL de Qataranaden requisitos regionales.

Discutir cumplimiento multi-jurisdiccional
Plantillas de politicas

Repositorio completo de politicas de gobernanza de privacidad

Acceda a 37 plantillas de politicas de privacidad y gobernanza de IA listas para usar, alineadas con la PDPL de EAU, el GDPR y los requisitos de ISO 42001

Proteccion de datos

  • • Politica de proteccion de datos personales
  • • Plantillas de avisos de privacidad
  • • Politica de gestion de consentimiento
  • • Politica de retencion de datos
  • • Politica de transferencias transfronterizas
  • • Evaluacion de impacto en la privacidad
  • + 6 politicas mas

Derechos de los interesados

  • • Procedimiento de solicitud de acceso
  • • Politica de correccion y supresion
  • • Directrices de portabilidad de datos
  • • Proceso de gestion de oposiciones
  • • Procedimientos de restriccion
  • • Politica de gestion de quejas
  • + 4 politicas mas

Seguridad e incidentes

  • • Politica de seguridad de datos
  • • Procedimiento de notificacion de brechas
  • • Plan de respuesta a incidentes
  • • Estandares de cifrado
  • • Politica de control de acceso
  • • Requisitos de seguridad de terceros
  • + 5 politicas mas
Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de la PDPL de EAU

El Decreto-Ley Federal N.o 45 de 2021 sobre la Proteccion de Datos Personales (PDPL) de EAU es la regulacion integral de proteccion de datos de los EAU. Los reglamentos ejecutivos se emitieron en 2023 proporcionando orientacion detallada de implementacion. La ley se aplica al tratamiento de datos personales en el territorio continental de EAU (el DIFC y el ADGM tienen marcos separados). Consulte TDRA para orientacion oficial.
No, la PDPL de EAU no se aplica al Centro Financiero Internacional de Dubai (DIFC) ni al Mercado Global de Abu Dhabi (ADGM). El DIFC tiene su propia Ley de Proteccion de Datos N.o 5 de 2020 y el ADGM tiene Regulaciones de Proteccion de Datos 2021. Son regimenes separados con sus propios requisitos, autoridades supervisoras y mecanismos de aplicacion.
La PDPL de EAU permite multas administrativas de hasta AED 5 millones (aproximadamente $1,36 millones USD) por infracciones graves incluyendo tratamiento sin base legal, fallo en implementar medidas de seguridad e incumplimiento de derechos de los interesados. El DIFC tiene sanciones separadas de hasta $100.000 por infraccion. La Oficina de Datos de EAU tiene autoridad de aplicacion para entidades del territorio continental.
La PDPL de EAU sigue principios similares al GDPR incluyendo licitud, transparencia, limitacion de finalidad y minimizacion de datos. Sin embargo, la PDPL de EAU tiene multas maximas mas bajas (AED 5M vs 20M EUR o 4% de facturacion del GDPR), diferente alcance territorial y derechos de los interesados distintos. Las organizaciones que operan en ambas jurisdicciones deben implementar un enfoque integral que aborde ambos marcos.
La PDPL de EAU otorga a las personas seis derechos principales: (1) Derecho de acceso a sus datos personales, (2) Derecho de correccion de datos inexactos, (3) Derecho de supresion cuando ya no son necesarios, (4) Derecho de restriccion del tratamiento, (5) Derecho a la portabilidad de datos y (6) Derecho de oposicion al tratamiento. Los responsables deben responder a las solicitudes dentro de 30 dias y establecer procedimientos claros para gestionar estos derechos.
La PDPL de EAU requiere la designacion de DPO para autoridades publicas y organizaciones que realizan tratamiento a gran escala o seguimiento sistematico. El DIFC y el ADGM tienen requisitos especificos de DPO para sus jurisdicciones. El DPO debe tener conocimiento experto en legislacion y practicas de proteccion de datos, reportar directamente a la direccion y mantener independencia en el desempeno de sus funciones.
Si, pero el Articulo 22 de la PDPL de EAU requiere que las transferencias transfronterizas se realicen solo a paises con proteccion de datos adecuada o con salvaguardas apropiadas implementadas (como clausulas contractuales tipo). Debe documentar el mecanismo de transferencia, realizar evaluaciones de riesgos y asegurar el cumplimiento continuo. Cada transferencia debe registrarse y revisarse periodicamente.
Los datos personales sensibles incluyen datos que revelan origen racial o etnico, opiniones politicas, creencias religiosas, afiliacion sindical, datos geneticos o biometricos, datos de salud, orientacion sexual o antecedentes penales. El tratamiento de datos sensibles requiere salvaguardas mas estrictas, consentimiento explicito (en la mayoria de los casos) y medidas de seguridad reforzadas.
La implementacion tipica de la PDPL de EAU toma de 12 a 16 semanas dependiendo del tamano organizacional, la complejidad de los datos y la madurez de privacidad existente. La hoja de ruta incluye mapeo de datos (4 semanas), implementacion de derechos y procesos (4 semanas), seguridad y gobernanza (4 semanas) y documentacion y formacion (4 semanas). Las organizaciones con programas de privacidad establecidos pueden avanzar mas rapido.
Bajo el Articulo 10 de la PDPL de EAU, debe notificar a la Oficina de Datos de EAU sin dilacion indebida cuando una brecha suponga riesgos para las personas. Debe documentar la brecha, evaluar su impacto, contener el incidente, notificar a las personas afectadas cuando sea necesario e implementar medidas para prevenir la recurrencia. Mantenga registros detallados del incidente y evidencia de sus acciones de respuesta.
Los sistemas de IA que tratan datos personales deben cumplir con los principios de la PDPL de EAU incluyendo licitud, limitacion de finalidad y minimizacion de datos. La toma de decisiones automatizada puede requerir transparencia adicional y el derecho a revision humana. Implemente ISO 42001 de gobernanza de IA junto con la PDPL de EAU para un cumplimiento integral. Consulte nuestras plantillas de politicas de gobernanza de IA para orientacion detallada.
La PDPL de EAU se aplica al territorio continental de EAU, mientras que el DIFC y el ADGM tienen regimenes separados. El marco del DIFC esta fuertemente inspirado en el GDPR con multas de hasta $100.000 y un Comisionado independiente. El ADGM tambien sigue los principios del GDPR con notificacion de brechas en 72 horas. Cada uno tiene diferentes autoridades supervisoras, mecanismos de aplicacion y requisitos especificos. Si opera en multiples jurisdicciones, puede necesitar cumplir con varios marcos.
Si, VerifyWise proporciona herramientas integrales de cumplimiento de la PDPL de EAU incluyendo mapeo de datos, gestion de consentimiento, flujos de trabajo de derechos de los interesados, procedimientos de notificacion de brechas y documentacion de transferencias transfronterizas. Nuestra plataforma tambien soporta el GDPR, la PDPL de Barein, la PDPL de Arabia Saudita y la PDPL de Qatar para operaciones multi-jurisdiccionales.

¿Listo para lograr el cumplimiento de la PDPL de EAU?

Comience su viaje de cumplimiento con nuestra evaluacion guiada y herramientas de implementacion para EAU continental, DIFC y ADGM.

Iniciar evaluacion de cumplimientoProgramar consulta
UAE Federal Decree-Law 45/2021: data protection compliance guide