Ley de Proteccion de Datos Personales de EAU

Guia de cumplimiento de proteccion de datos de EAU

Navegue el Decreto-Ley Federal N.o 45 de 2021 de EAU con confianza. Ya sea que opere en el territorio continental de EAU, el DIFC o el ADGM, le ayudamos a implementar controles integrales de proteccion de datos y mantener el cumplimiento.

Iniciar evaluacion de cumplimiento Reservar consulta sobre PDPL de EAU

¿Que es la PDPL de EAU?

La Ley de Proteccion de Datos Personales de EAU (Decreto-Ley Federal N.o 45 de 2021) es la regulacion integral de proteccion de datos de los EAU. Los reglamentos ejecutivos emitidos en 2023 proporcionan orientacion detallada de implementacion y requisitos operativos.

Nota jurisdiccional importante: La PDPL de EAU se aplica al tratamiento de datos personales en el territorio continental de EAU. El Centro Financiero Internacional de Dubai (DIFC) y el Mercado Global de Abu Dhabi (ADGM) tienen marcos de proteccion de datos separados con sus propias autoridades supervisoras y mecanismos de aplicacion.

Alcance continental

Se aplica a EAU excluyendo DIFC/ADGM

Oficina de Datos

Supervisada por la Oficina de Datos de EAU (TDRA)

Complementa el cumplimiento del GDPR y se alinea con marcos regionales incluyendo la PDPL de Barein, la PDPL de Arabia Saudita y la PDPL de Qatar.

¿Quien necesita cumplimiento de la PDPL de EAU?

Empresas del territorio continental de EAU

Todas las entidades que tratan datos personales en EAU (excluye DIFC/ADGM)

Entidades gubernamentales

Organismos gubernamentales federales y locales que manejan datos personales

Plataformas de comercio electronico

Minoristas en linea y marketplaces que tratan datos de clientes

Proveedores de salud

Hospitales y clinicas que manejan informacion sensible de pacientes

Instituciones financieras

Bancos y fintechs fuera de las jurisdicciones del DIFC/ADGM

Marketing y publicidad

Agencias que tratan datos personales con fines promocionales

Como VerifyWise apoya el cumplimiento de la PDPL de EAU

Capacidades concretas que abordan cada categoria de requisitos

Mapeo e inventario de datos personales

Mapee todas las actividades de tratamiento de datos personales con metadatos estructurados que cubran finalidad, base legal, retencion y transferencias transfronterizas. La plataforma captura el inventario de datos que requiere el Articulo 6 de la PDPL de EAU y mantiene registros de tratamiento.

Aborda: Articulos 6, 7: Principios de tratamiento de datos, mantenimiento de registros

Gestion de derechos de los interesados

Rastree y responda a solicitudes de los interesados de acceso, correccion, supresion, restriccion, portabilidad y oposicion. La plataforma mantiene pistas de auditoria de solicitudes y respuestas segun lo requerido por los Articulos 13-18 de la PDPL de EAU.

Aborda: Articulos 13-18: Derechos de los interesados, flujos de trabajo de respuesta

Cumplimiento de transferencias transfronterizas

Documente las transferencias transfronterizas de datos con evaluaciones de adecuacion y salvaguardas contractuales. La plataforma rastrea mecanismos de transferencia, realiza evaluaciones de riesgos y genera la documentacion que requiere el Articulo 22 de la PDPL de EAU.

Aborda: Articulo 22: Transferencia transfronteriza, adecuacion, salvaguardas

Seguimiento de consentimiento y base legal

Registre y gestione la recopilacion de consentimiento con evidencia de acuerdo informado y libremente otorgado. La plataforma mantiene registros de consentimiento, rastrea retiradas y documenta bases legales alternativas segun requiere el Articulo 5 de la PDPL de EAU.

Aborda: Articulo 5: Tratamiento licito, requisitos de consentimiento

Deteccion y notificacion de brechas

Gestione incidentes de brechas de datos con flujos de trabajo estructurados para evaluacion, contencion y notificacion. La plataforma rastrea cronogramas de brechas, individuos afectados y notificaciones regulatorias segun el Articulo 10 de la PDPL de EAU.

Aborda: Articulo 10: Notificacion de brechas de datos, respuesta a incidentes

Evaluaciones de impacto en la privacidad

Realice evaluaciones sistematicas de impacto en la privacidad para actividades de tratamiento de alto riesgo. La plataforma guia la metodologia de evaluacion, documenta la mitigacion de riesgos y mantiene la evidencia que espera el Articulo 9 de la PDPL de EAU.

Aborda: Articulo 9: Evaluacion de impacto en la privacidad para tratamiento de alto riesgo

Todas las actividades de tratamiento se rastrean con marcas de tiempo, responsables de datos asignados y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra cumplimiento sistematico en lugar de documentacion creada despues del hecho.

Cobertura completa de requisitos de la PDPL de EAU

VerifyWise proporciona herramientas dedicadas para todas las categorias principales de requisitos

Requisitos de control de la PDPL de EAU

Controles con herramientas dedicadas

100%

Cobertura en todas las areas de requisitos

Licitud y transparencia8/8

Bases legales, consentimiento, especificacion de finalidad

Derechos de los interesados7/7

Acceso, correccion, supresion, portabilidad

Transferencias transfronterizas5/5

Adecuacion, salvaguardas, documentacion

Seguridad y brechas6/6

Medidas tecnicas, respuesta a incidentes

Disenado para el cumplimiento de proteccion de datos de EAU

Soporte multi-jurisdiccional

Marcos de EAU continental, DIFC y ADGM en una plataforma

Herramientas de transferencia transfronteriza

Evaluaciones de adecuacion y gestion de salvaguardas contractuales

Automatizacion de derechos de los interesados

Seguimiento de respuesta de 30 dias con paquetes de evidencia

Alineacion de privacidad del GCC

Marcos de Barein, Arabia Saudita, Qatar y EAU

Siete principios clave de proteccion de datos

La PDPL de EAU establece principios fundamentales para el tratamiento licito de datos personales

Licitud

Los datos personales deben tratarse sobre bases legales legitimas incluyendo consentimiento, contrato, obligacion legal o intereses legitimos.

Requisitos clave

• Base legal valida
• Especificacion de finalidad
• Documentacion de consentimiento

Equidad y transparencia

El tratamiento debe ser equitativo para los interesados con informacion clara sobre como se recogen y utilizan los datos personales.

Requisitos clave

• Avisos de privacidad
• Comunicacion clara
• Sin tratamiento oculto

Limitacion de finalidad

Los datos personales deben recogerse para fines especificados, explicitos y legitimos y no ser tratados de forma incompatible con esos fines.

Requisitos clave

• Fines definidos
• Evaluacion de compatibilidad
• Documentacion de finalidades

Minimizacion de datos

Solo deben recogerse datos personales adecuados, pertinentes y limitados a lo necesario para el fin especificado.

Requisitos clave

• Evaluacion de necesidad
• Recopilacion minima
• Proporcionalidad

Exactitud

Los datos personales deben ser exactos y mantenerse actualizados. Los datos inexactos deben corregirse o suprimirse sin demora.

Requisitos clave

• Verificaciones de exactitud
• Mecanismos de actualizacion
• Procedimientos de correccion

Limitacion del almacenamiento

Los datos personales deben conservarse solo durante el tiempo necesario para los fines para los que fueron recogidos.

Requisitos clave

• Calendarios de retencion
• Procedimientos de eliminacion
• Ciclos de revision

Confidencialidad y seguridad

Los datos personales deben tratarse de forma segura con medidas tecnicas y organizativas apropiadas para proteger contra el acceso no autorizado.

Requisitos clave

• Controles de seguridad
• Cifrado
• Gestion de acceso

Guia oficial

Visitar sitio web de TDRA →

Derechos de los interesados bajo la PDPL de EAU

Las personas tienen seis derechos principales cuando se tratan sus datos personales

Derecho de acceso

Las personas pueden solicitar confirmacion de si sus datos personales estan siendo tratados y obtener una copia de esos datos.

Tiempo de respuesta: Dentro de 30 dias

Pasos de implementacion

• Verificacion de identidad
• Extraccion de datos
• Formato de respuesta

Derecho de correccion

Las personas pueden solicitar la correccion de datos personales inexactos o incompletos.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

• Verificacion de exactitud
• Procedimientos de actualizacion
• Notificacion a destinatarios

Derecho de supresion

Las personas pueden solicitar la supresion de datos personales cuando ya no son necesarios o se retira el consentimiento.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

• Revision de licitud
• Procedimientos de eliminacion
• Manejo de copias de seguridad

Derecho de restriccion

Las personas pueden solicitar la restriccion del tratamiento en ciertas circunstancias mientras se verifica la exactitud o licitud.

Tiempo de respuesta: Sin dilacion indebida

Pasos de implementacion

• Suspension del tratamiento
• Modo solo almacenamiento
• Sistemas de notificacion

Derecho a la portabilidad

Las personas pueden recibir sus datos personales en formato estructurado y de uso comun y transmitirlos a otro responsable.

Tiempo de respuesta: Dentro de 30 dias

Pasos de implementacion

• Exportacion de datos
• Formato legible por maquina
• Transmision directa

Derecho de oposicion

Las personas pueden oponerse al tratamiento basado en intereses legitimos o con fines de marketing directo.

Tiempo de respuesta: Inmediato para marketing

Pasos de implementacion

• Evaluacion de oposicion
• Cese del tratamiento
• Exclusion de marketing

Marcos de proteccion de datos del DIFC y ADGM

Las zonas francas de EAU tienen regimenes de proteccion de datos separados con requisitos distintos

Ley de Proteccion de Datos del DIFC

Centro Financiero Internacional de Dubai

Ley N.o 5 de 2020

Ley de proteccion de datos inspirada en GDPR para la zona franca del DIFC

Puntos clave

Se aplica a responsables y encargados en el DIFC
Alcance extraterritorial similar al GDPR
Comisionado independiente para la Proteccion de Datos
Designacion de DPO para tratamiento a gran escala
Multas de hasta $100.000 por infraccion

Guia oficial →

Regulaciones de Proteccion de Datos del ADGM

Mercado Global de Abu Dhabi

Regulaciones 2021

Marco de proteccion de datos para la zona franca del ADGM

Puntos clave

Se aplica a entidades registradas en el ADGM
Basado en los principios del GDPR de la UE
Oficina de Registro para la Proteccion de Datos
Notificacion obligatoria de brechas dentro de 72 horas
Multas administrativas por incumplimiento

Guia oficial →

Operaciones multi-jurisdiccionales: Si opera en el territorio continental de EAU, el DIFC y el ADGM, puede necesitar cumplir con multiples marcos de proteccion de datos simultaneamente. VerifyWise soporta los tres regimenes en una sola plataforma.

Discutir cumplimiento multi-jurisdiccional

Hoja de ruta de implementacion de 16 semanas

Un camino practico hacia el cumplimiento de la PDPL de EAU con hitos claros

Fase 1Semanas 1-4

Mapeo de datos

Inventariar todas las actividades de tratamiento de datos personales
Documentar bases legales y finalidades
Identificar transferencias transfronterizas de datos
Evaluar los avisos de privacidad actuales

Fase 2Semanas 5-8

Derechos y procesos

Establecer procedimientos de derechos de los interesados
Implementar sistemas de gestion de consentimiento
Crear plantillas de evaluacion de impacto en la privacidad
Desarrollar procedimientos de respuesta ante brechas

Fase 3Semanas 9-12

Seguridad y gobernanza

Desplegar medidas de seguridad tecnicas
Establecer calendarios de retencion de datos
Implementar controles de acceso y cifrado
Designar DPO si es necesario

Fase 4Semanas 13-16

Documentacion y formacion

Finalizar documentacion de cumplimiento
Formar al personal en requisitos de privacidad
Realizar auditoria de cumplimiento
Establecer seguimiento continuo

Sanciones y aplicacion

Comprender las consecuencias del incumplimiento

Multas administrativas

AED 5.000.000

~$1,36 millones

Infracciones aplicables

Tratamiento sin base legal
Fallo en implementar medidas de seguridad
Incumplimiento de derechos de los interesados
Transferencias transfronterizas ilicitas
Incumplimiento de obligaciones de confidencialidad

Sanciones del DIFC

$100.000

Por infraccion

Infracciones aplicables

Tratamiento sin base licita
Fallo en notificar brechas
No cooperacion con el Comisionado
Transferencia a jurisdicciones inadecuadas
Fallo en designar DPO cuando es requerido

Oficina de Datos de EAU

Bajo Oficina de Datos de los Emiratos

La Oficina de Datos de EAU es la principal autoridad supervisora para la aplicacion de la PDPL de EAU en el territorio continental.

Responsabilidades

Supervisar y hacer cumplir el cumplimiento de la PDPL
Emitir orientaciones y mejores practicas
Investigar quejas e infracciones
Imponer sanciones administrativas
Promover la concienciacion sobre proteccion de datos

Contacto

Autoridad de Regulacion de Telecomunicaciones y Gobierno Digital (TDRA)

Visitar sitio web de TDRA →

Requisitos del Delegado de Proteccion de Datos (DPO)

Cuando necesita designar un DPO bajo la PDPL de EAU

Autoridades publicas

Organismos gubernamentales e instituciones publicas que tratan datos personales como parte de sus actividades principales

Tratamiento a gran escala

Organizaciones que realizan seguimiento sistematico a gran escala o tratamiento de datos sensibles

Enfoque en datos sensibles

Entidades cuyas actividades principales implican el tratamiento de categorias de datos personales sensibles

Entidades DIFC/ADGM

Organizaciones en zonas francas con requisitos especificos de designacion de DPO

Cualificaciones y funciones del DPO

Cualificaciones requeridas

• Conocimiento experto en legislacion y practicas de proteccion de datos
• Comprension de la PDPL de EAU y regulaciones relacionadas
• Capacidad para cumplir funciones de forma independiente
• Linea de reporte directa a la alta direccion

Responsabilidades principales

• Supervisar el cumplimiento interno de la PDPL de EAU
• Asesorar sobre evaluaciones de impacto en la proteccion de datos
• Servir como punto de contacto para la autoridad supervisora
• Gestionar consultas y quejas de los interesados

Como se compara la PDPL de EAU

Comprender la relacion entre EAU, GDPR y leyes de privacidad regionales

Aspecto	PDPL de EAU	GDPR	PDPL de Barein
Alcance geografico	EAU continental (excluye DIFC, ADGM)	UE/EEE + extraterritorial	Reino de Barein a nivel nacional
Estatus legal	Decreto-Ley Federal N.o 45/2021	Reglamento de la UE (directamente aplicable)	Ley N.o 30/2018
Fecha de aplicacion	Septiembre 2021 (regulaciones 2023)	Mayo 2018	Agosto 2019
Multa maxima	AED 5M (~$1,36M)	20M EUR o 4% facturacion global	BHD 20.000 (~$53K)
Requisito de DPO	Autoridades publicas, tratamiento a gran escala	Autoridades publicas, seguimiento principal	Entidades que tratan grandes volumenes
Notificacion de brechas	Sin dilacion indebida a la autoridad	72 horas a la autoridad	72 horas a la autoridad
Transferencias transfronterizas	Adecuacion o salvaguardas requeridas	Decision de adecuacion o herramientas de transferencia	Adecuacion o garantias del responsable
Requisitos de consentimiento	Informado, libre, especifico	Informado, libre, especifico, inequivoco	Consentimiento escrito para datos sensibles
Derechos de los interesados	6 derechos principales (acceso, correccion, supresion, etc.)	8 derechos incluyendo decisiones automatizadas	Acceso, correccion, supresion, oposicion

Operaciones regionales: Operar en paises del GCC requiere comprender multiples marcos de privacidad. El GDPRproporciona la linea base global, mientras que laPDPL de Barein, la PDPL de Arabia Saudita y laPDPL de Qataranaden requisitos regionales.

Discutir cumplimiento multi-jurisdiccional

Plantillas de politicas

Repositorio completo de politicas de gobernanza de privacidad

Acceda a 37 plantillas de politicas de privacidad y gobernanza de IA listas para usar, alineadas con la PDPL de EAU, el GDPR y los requisitos de ISO 42001

Proteccion de datos

• Politica de proteccion de datos personales
• Plantillas de avisos de privacidad
• Politica de gestion de consentimiento
• Politica de retencion de datos
• Politica de transferencias transfronterizas
• Evaluacion de impacto en la privacidad
+ 6 politicas mas

Derechos de los interesados

• Procedimiento de solicitud de acceso
• Politica de correccion y supresion
• Directrices de portabilidad de datos
• Proceso de gestion de oposiciones
• Procedimientos de restriccion
• Politica de gestion de quejas
+ 4 politicas mas

Seguridad e incidentes

• Politica de seguridad de datos
• Procedimiento de notificacion de brechas
• Plan de respuesta a incidentes
• Estandares de cifrado
• Politica de control de acceso
• Requisitos de seguridad de terceros
+ 5 politicas mas

Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de la PDPL de EAU

El Decreto-Ley Federal N.o 45 de 2021 sobre la Proteccion de Datos Personales (PDPL) de EAU es la regulacion integral de proteccion de datos de los EAU. Los reglamentos ejecutivos se emitieron en 2023 proporcionando orientacion detallada de implementacion. La ley se aplica al tratamiento de datos personales en el territorio continental de EAU (el DIFC y el ADGM tienen marcos separados). Consulte TDRA para orientacion oficial.

No, la PDPL de EAU no se aplica al Centro Financiero Internacional de Dubai (DIFC) ni al Mercado Global de Abu Dhabi (ADGM). El DIFC tiene su propia Ley de Proteccion de Datos N.o 5 de 2020 y el ADGM tiene Regulaciones de Proteccion de Datos 2021. Son regimenes separados con sus propios requisitos, autoridades supervisoras y mecanismos de aplicacion.

La PDPL de EAU permite multas administrativas de hasta AED 5 millones (aproximadamente $1,36 millones USD) por infracciones graves incluyendo tratamiento sin base legal, fallo en implementar medidas de seguridad e incumplimiento de derechos de los interesados. El DIFC tiene sanciones separadas de hasta $100.000 por infraccion. La Oficina de Datos de EAU tiene autoridad de aplicacion para entidades del territorio continental.

La PDPL de EAU sigue principios similares al GDPR incluyendo licitud, transparencia, limitacion de finalidad y minimizacion de datos. Sin embargo, la PDPL de EAU tiene multas maximas mas bajas (AED 5M vs 20M EUR o 4% de facturacion del GDPR), diferente alcance territorial y derechos de los interesados distintos. Las organizaciones que operan en ambas jurisdicciones deben implementar un enfoque integral que aborde ambos marcos.

La PDPL de EAU otorga a las personas seis derechos principales: (1) Derecho de acceso a sus datos personales, (2) Derecho de correccion de datos inexactos, (3) Derecho de supresion cuando ya no son necesarios, (4) Derecho de restriccion del tratamiento, (5) Derecho a la portabilidad de datos y (6) Derecho de oposicion al tratamiento. Los responsables deben responder a las solicitudes dentro de 30 dias y establecer procedimientos claros para gestionar estos derechos.

La PDPL de EAU requiere la designacion de DPO para autoridades publicas y organizaciones que realizan tratamiento a gran escala o seguimiento sistematico. El DIFC y el ADGM tienen requisitos especificos de DPO para sus jurisdicciones. El DPO debe tener conocimiento experto en legislacion y practicas de proteccion de datos, reportar directamente a la direccion y mantener independencia en el desempeno de sus funciones.

Si, pero el Articulo 22 de la PDPL de EAU requiere que las transferencias transfronterizas se realicen solo a paises con proteccion de datos adecuada o con salvaguardas apropiadas implementadas (como clausulas contractuales tipo). Debe documentar el mecanismo de transferencia, realizar evaluaciones de riesgos y asegurar el cumplimiento continuo. Cada transferencia debe registrarse y revisarse periodicamente.

Los datos personales sensibles incluyen datos que revelan origen racial o etnico, opiniones politicas, creencias religiosas, afiliacion sindical, datos geneticos o biometricos, datos de salud, orientacion sexual o antecedentes penales. El tratamiento de datos sensibles requiere salvaguardas mas estrictas, consentimiento explicito (en la mayoria de los casos) y medidas de seguridad reforzadas.

La implementacion tipica de la PDPL de EAU toma de 12 a 16 semanas dependiendo del tamano organizacional, la complejidad de los datos y la madurez de privacidad existente. La hoja de ruta incluye mapeo de datos (4 semanas), implementacion de derechos y procesos (4 semanas), seguridad y gobernanza (4 semanas) y documentacion y formacion (4 semanas). Las organizaciones con programas de privacidad establecidos pueden avanzar mas rapido.

Bajo el Articulo 10 de la PDPL de EAU, debe notificar a la Oficina de Datos de EAU sin dilacion indebida cuando una brecha suponga riesgos para las personas. Debe documentar la brecha, evaluar su impacto, contener el incidente, notificar a las personas afectadas cuando sea necesario e implementar medidas para prevenir la recurrencia. Mantenga registros detallados del incidente y evidencia de sus acciones de respuesta.

Los sistemas de IA que tratan datos personales deben cumplir con los principios de la PDPL de EAU incluyendo licitud, limitacion de finalidad y minimizacion de datos. La toma de decisiones automatizada puede requerir transparencia adicional y el derecho a revision humana. Implemente ISO 42001 de gobernanza de IA junto con la PDPL de EAU para un cumplimiento integral. Consulte nuestras plantillas de politicas de gobernanza de IA para orientacion detallada.

La PDPL de EAU se aplica al territorio continental de EAU, mientras que el DIFC y el ADGM tienen regimenes separados. El marco del DIFC esta fuertemente inspirado en el GDPR con multas de hasta $100.000 y un Comisionado independiente. El ADGM tambien sigue los principios del GDPR con notificacion de brechas en 72 horas. Cada uno tiene diferentes autoridades supervisoras, mecanismos de aplicacion y requisitos especificos. Si opera en multiples jurisdicciones, puede necesitar cumplir con varios marcos.

Si, VerifyWise proporciona herramientas integrales de cumplimiento de la PDPL de EAU incluyendo mapeo de datos, gestion de consentimiento, flujos de trabajo de derechos de los interesados, procedimientos de notificacion de brechas y documentacion de transferencias transfronterizas. Nuestra plataforma tambien soporta el GDPR, la PDPL de Barein, la PDPL de Arabia Saudita y la PDPL de Qatar para operaciones multi-jurisdiccionales.

¿Listo para lograr el cumplimiento de la PDPL de EAU?

Comience su viaje de cumplimiento con nuestra evaluacion guiada y herramientas de implementacion para EAU continental, DIFC y ADGM.

Iniciar evaluacion de cumplimiento Programar consulta