A Lei de Proteção de Dados Pessoais (PDPL) da Arábia Saudita foi implementada pelo Real Decreto M/19 de 9/2/1443H (16 de setembro de 2021) que aprovou a Resolução nº 98 de 7/2/1443 H (14 de setembro de 2021). Foi publicada no Diário da República em 24 de setembro de 2021.

A Autoridade Saudita de Dados e Inteligência Artificial (SDAIA) supervisionará a implementação da nova legislação durante os primeiros dois anos, após isso, uma transferência da supervisão para o National Data Management Office (NDMO) será considerada. O NDMO é o braço regulatório da SDAIA e já havia publicado regulamentos provisórios de governança de dados em 2020, que agora foram substituídos pela PDPL no que diz respeito à proteção de dados pessoais.

De acordo com o anúncio da SDAIA, a PDPL se destina a garantir a privacidade dos dados pessoais, regular o compartilhamento de dados e prevenir o abuso de dados pessoais em linha com os objetivos da Visão do Reino 2030, para desenvolver uma infraestrutura digital e apoiar a inovação para fazer crescer uma economia digital.

Escopo de Aplicação da PDPL

A Lei de Proteção de Dados Pessoais (PDPL), assim como as demais legislações sobre o tema, foram projetadas para proteger os dados pessoais, ou seja, qualquer informação, em qualquer forma, por meio da qual uma pessoa pode ser direta ou indiretamente identificada. Isso inclui expressamente o nome de um indivíduo, número de identificação, endereços e números de contato, fotografias e gravações de vídeo da pessoa.

A PDPL se aplica a qualquer processamento por empresas ou entidades públicas de dados pessoais realizado na Arábia Saudita por qualquer meio, incluindo o processamento de dados pessoais de residentes sauditas por entidades localizadas fora do Reino.

A PDPL não se aplica ao processamento de dados pessoais para uso pessoal e familiar.

Os Pilares da PDPL

Muitos dos recursos da Lei de Proteção de Dados Pessoais (PDPL) são consistentes com os conceitos e princípios contidos em outras leis internacionais de proteção de dados, por exemplo:

• Direitos do titular dos dados: os indivíduos (titulares dos dados) terão, com algumas exceções, o direito de ser informados sobre o processamento de dados pessoais e a base legal de tal processamento, o direito de acessar seus dados pessoais (incluindo para obter uma cópia gratuita do mesmo), o direito de corrigir ou atualizar seus dados pessoais, e o direito de solicitar sua destruição se não for mais necessário. Os titulares dos dados também podem apresentar queixas à autoridade reguladora, relacionadas com a aplicação da PDPL.

   

• Registro de controladores: organizações que coletam dados pessoais e determinam a finalidade para a qual eles são usados ​​e o método de processamento (controladores) deverão se registrar em um portal eletrônico que formará um registro nacional de controladores. Haverá uma taxa anual a pagar para registro, a ser determinada em regulamentos executivos (que serão emitidos no momento oportuno).

   

• Obrigações do controlador: os controladores serão obrigados a garantir a precisão, integridade e relevância dos dados pessoais antes de processá-los, a manter um registro do processamento por um período que será prescrito pelos regulamentos executivos e a garantir que a equipe seja devidamente treinada na PDPL e princípios de proteção de dados.

   

• Consentimento: os titulares dos dados podem retirar seu consentimento para o processamento de dados pessoais a qualquer momento e o consentimento não deve ser um pré-requisito para o controlador oferecer um serviço ou benefício (a menos que o serviço ou benefício esteja especificamente relacionado à atividade de processamento para a qual o consentimento é obtido).

   

• Processamento não baseado em consentimento: não obstante as disposições sobre a retirada do consentimento, a PDPL deixa claro que o processamento de dados nem sempre requer o consentimento do titular dos dados. O consentimento não é necessário se o processamento atingir um benefício claro e for impossível ou impraticável entrar em contato com o titular dos dados, se for exigido por lei ou acordo prévio do qual o titular dos dados seja parte, ou se o controlador for uma entidade pública e o processamento é necessário para fins de segurança ou judiciais.

   

• Política de privacidade: os controladores devem implementar uma política de privacidade e disponibilizá-la aos titulares dos dados antes da coleta de seus dados pessoais. A Lei de Proteção de Dados Pessoais (PDPL) estabelece as informações mínimas que devem ser incluídas na política de privacidade, incluindo quando os dados pessoais são coletados diretamente do titular dos dados.

   

• Limitação de finalidade e minimização de dados: as organizações devem deixar claro a finalidade para a qual os dados pessoais são coletados e usados. Os dados pessoais também devem ser relevantes e os controladores devem limitar a coleta ao mínimo necessário para atingir o objetivo pretendido.

   

• Avaliações de impacto: os controladores devem avaliar o impacto do processamento de dados pessoais e, se os dados pessoais não forem mais necessários para atingir a finalidade pretendida, o controlador deve interromper a coleta de tais dados.

   

• Marketing: os dados pessoais não podem ser usados ​​para fins de marketing sem o consentimento do destinatário ou o uso de mecanismos de opt-out.
• Notificação de violação: violações de dados, vazamentos ou acesso não autorizado a dados pessoais devem ser notificados à autoridade supervisora; ​​e incidentes que causem danos materiais ao titular dos dados devem ser notificados aos titulares dos dados.

Conformidade com a PDPL

A divulgação ou publicação de dados sensíveis contrários à Lei de Proteção de Dados Pessoais (PDPL) pode resultar em penalidades de prisão por até dois anos ou multa de até SAR 3.000.000 (o equivalente a US $800.000).

A violação das disposições sobre transferência de dados pode resultar em prisão de até um ano e multa de até SAR 1.000.000 (ou US $266.600).

Com relação a todas as outras disposições da PDPL, as penalidades são limitadas a um aviso ou multa de até SAR 5.000.000 (US $1.333.000).

Qualquer uma das multas também pode evoluir para o dobro dos máximos declarados para reincidência e o tribunal pode ordenar o confisco de fundos ganhos como resultado de violação da lei, bem como exigir a publicação da sentença em um jornal ou outra mídia no local do infrator despesa.

As partes afetadas pelas infrações podem reivindicar indenização.

Próximos Passos da PDPL

A Lei de Proteção de Dados Pessoais (PDPL) entra em vigor 180 dias após a sua publicação no Diário da República, o que significa que entrará em vigor a partir de 23 de março de 2022. Também neste período deverão ser editados os regulamentos executivos que complementam a Lei. 

Consequentemente, parece que haverá um período de transição de pelo menos 18 meses até que a PDPL seja totalmente aplicável contra entidades locais (e potencialmente mais longas para organizações baseadas fora do Reino). 

A aprovação do Conselho de Ministros na Resolução também observa que a SDAIA coordenará com o Banco Central Saudita e a Comissão de Tecnologia da Informação e Comunicação (CITC) para tratar da aplicação da PDPL a instituições financeiras regulamentadas e provedores de serviços de TIC, respectivamente.

Em qualquer caso, todas as empresas que operam na Arábia Saudita ou processam dados de residentes sauditas, agora precisarão começar a avaliar suas atividades e fazer alterações para se alinharem ao PDPL. 

Os controladores deverão realizar treinamento para a equipe nos termos e princípios da Lei de Proteção de Dados Pessoais (PDPL) e precisarão de tempo para garantir que uma cultura de proteção de dados seja incorporada de forma adequada à organização.