Guia de compliment de la Llei de protecció de dades personals d'Egipte núm. 151 de 2020 sobre el consentiment de galetes: Llibre de joc 2026 per a editors

La Llei de protecció de dades personals d'Egipte núm. 151 de 2020 — normalment coneguda com a PDPL egipci — va ser emesa el 15 de juliol de 2020 i va entrar en vigor el 14 d'octubre de 2020. Durant la major part del període des d'aleshores, l'absència de reglaments executius va fer que la Llei restat com una declaració de principis més que no pas com un règim aplicable. Això va canviar quan el Centre de Protecció de Dades Personals — el regulador establert per la Llei, adscrit al Ministeri de Comunicacions i Tecnologia de la Informació — va publicar el seu marc operatiu, els requisits de llicenciament i els reglaments executius que la Llei havia deixat pendents d'emisió. L'any 2026, el règim és completament operatiu, la via de llicenciament per a responsables i encarregats del tractament de dades és activa, i els editors que operen a Egipte o que s'hi adrecen estan subjectes a un estàndard de consentiment intern més pròxim al GDPR que a qualsevol model regional més antic. La implicació per al consentiment de galetes és directa: un bàner que funcionava a Egipte sota l'antic règim ara no és suficient, i un bàner que satisfà el GDPR satisfarà el PDPL només quan la integració tingui en compte els punts on els dos marcs divergeixen.

Què exigeix realment el PDPL egipci

La Llei s'aplica al tractament de dades personals de residents egipcis independentment d'on estigui establert el responsable o l'encarregat del tractament, i als responsables i encarregats del tractament establerts a Egipte independentment d'on es trobin els interessats. Aquesta abast extraterritorial reflecteix l'article 3 del GDPR i significa que un editor amb seu fora d'Egipte però amb lectors, instal·lacions d'aplicacions o clients de pagament egipcis se situa fermament dins de l'àmbit d'aplicació. Les dades personals es defineixen àmpliament com qualsevol dada relativa a una persona física identificada o identificable, i les dades personals sensibles — inclòs les dades sanitàries, biomètriques, genètiques, de salut mental, financeres, de creences religioses, d'opinions polítiques i de condemnes penals — estan subjectes a un llindar de consentiment més alt i salvaguardes addicionals.

La Llei estableix bases jurídiques per al tractament, el conjunt estàndard de drets dels interessats — accés, rectificació, supressió, limitació, oposició i portabilitat — un marc de responsabilitat responsable-encarregat del tractament, obligacions de notificació de violacions, controls de transferència transfronterera i un règim de sancions administratives amb multes que van des dels 100.000 EGP per a infraccions menors fins als 5 milions d'EGP per a infraccions greus o reiterades. S'apliquen sancions penals a les categories més greus, inclòs la transferència transfronterera no autoritzada i el tractament de dades sensibles sense autorització.

Com tracta el PDPL el consentiment de galetes específicament

A diferència de la Directiva ePrivacy de la UE, el PDPL no conté cap disposició específica sobre galetes. Les galetes i les tecnologies anàlogues d'emmagatzematge i accés estan compreses dins del marc general de consentiment: qualsevol tractament de dades personals que es basi en el consentiment com a base jurídica s'ha d'obtenir sobre la base d'una expressió de consentiment explícita, voluntària, específica i documentada de l'interessat. El Centre de Protecció de Dades Personals, en les seves orientacions emeses durant l'inici per etapes dels reglaments, ha confirmat que les caselles marcades prèviament, el consentiment implícit deduït de la navegació continuada i els bàners de consentiment agrupats no satisfan l'estàndard de la Llei. Això situa Egipte fermament en la trajectòria global i significa que la posició pràctica que els editors ja mantenen per a l'EEA és el punt de partida correcte per al tràfic egipci.

L'efecte pràctic és que les galetes i qualsevol tecnologia anàloga que no siguin estrictament necessàries per prestar el servei no s'han de definir abans que l'usuari hagi donat el seu consentiment actiu. Les galetes estrictament necessàries — identificadors de sessió, continguts del carret, testimonis de seguretat, galetes d'equilibri de càrrega — es poden definir sense consentiment sobre la base que l'usuari ha sol·licitat activament el servei. Tot allò que resta — anàlisi, publicitat, personalització, proves A/B, reproducció de sessions i qualsevol etiqueta de tercers — requereix consentiment previ.

Com el PDPL divergeix del GDPR a la pràctica

Tres diferències importen a la capa d'integració. En primer lloc, el PDPL exigeix que el consentiment per al tractament de dades personals sensibles s'obtingui per escrit o mitjançant un equivalent electrònic documentat que el responsable pugui presentar a petició — un estàndard de prova més elevat que el requisit de consentiment explícit del GDPR. En segon lloc, el PDPL imposa un règim de llicències: els responsables i els encarregats del tractament s'han de registrar al Centre de Protecció de Dades Personals, i certes categories de tractament — inclòs la transferència transfronterera i el màrqueting directe — requereixen una llicència operativa separada. En tercer lloc, les regles de transferència transfronterera del PDPL exigeixen o bé una decisió d'adequació del Centre, o bé una salvaguarda contractual aprovada, o bé el consentiment explícit de l'interessat; les transferències a jurisdiccions sense decisions o salvaguardes estan restringides independentment de la posició de compliment pròpia del destinatari.

Com és un bàner de galetes conforme al PDPL

Els requisits tècnics convergeixen amb el que ja produeix qualsevol CMP moderna, però l'etiquetatge, la documentació i el registre de consentiments han de reflectir les especificitats egipçies. El bàner de primera capa ha de presentar a l'usuari una elecció real — acceptar, rebutjar, gestionar — on l'opció de rebuig sigui almenys tan destacada com l'opció d'acceptació. El consentiment agrupat és prohíbit, de manera que la segona capa ha de permetre l'acceptació per categoria que cobreixi com a mínim l'anàlisi, la publicitat i qualsevol tractament que depengui de la transferència transfronterera. Les categories han d'estar configurades per defecte com a desactivades; el bàner no ha de carregar etiquetes fins que l'usuari les hagi activat afirmativament.

L'avís de privadesa accessible des del bàner ha d'identificar el responsable del tractament, el número de llicència PDPL del responsable si és aplicable, les categories de dades personals recollides, la base jurídica de cada finalitat de tractament, el termini de conservació de les dades, les categories de destinataris, inclòs els sub-encarregats del tractament ubicats fora d'Egipte, els drets de l'interessat en virtut de la Llei i les dades de contacte del Centre de Protecció de Dades Personals per a reclamacions. Un avís que compleixi l'estàndard de l'article 13 del GDPR se solaparà de manera substancial, però les línies de llicència egipçia i de contacte amb el Centre s'han d'afegir explícitament.

El patró d'integració que supera una revisió del Centre de Protecció de Dades Personals

La implementació de referència té quatre parts mòbils. La primera és un CMP que admet l'acceptació per categoria, desactivada per defecte, i que exposa l'elecció de l'usuari mitjançant una cadena de consentiment estructurada que l'editor pot conservar. La segona és una capa de càrrega d'etiquetes — un gestor d'etiquetes del costat del servidor o una porta nativa de CMP — que aplica estrictament l'estat del consentiment abans que es defineixi cap galeta no essencial. La tercera és un registre de consentiments, emmagatzemat al costat del servidor, que enregistra per a cada esdeveniment de consentiment l'elecció de l'usuari per categoria, la marca de temps, la versió del bàner i un identificador IP truncat o amb hash de manera que el responsable pugui presentar el registre a petició del Centre. La quarta és una via de revocació almenys tan fàcil com la concessió original — normalment un enllaç permanent de reobertura del bàner al peu de pàgina.

Validació, llicències i posició d'auditoria per al 2026

Un desplegament egipci defensable el 2026 ha de superar quatre comprovacions tècniques. En primer lloc, una sessió de navegador neta servida des d'una adreça IP egipçia ha de produir zero galetes no essencials abans que s'hagi actuat sobre el bàner. En segon lloc, la ruta de rebuig-total ha de donar lloc a la mateixa posició que una sessió sense acció: sense etiquetes d'anàlisi, sense etiquetes de publicitat, sense scripts de reproducció de sessions. En tercer lloc, un flux d'acceptació-total ha de produir només les etiquetes amb les quals l'usuari ha consentit, i el registre de consentiments ha de contenir un registre coincident. En quart lloc, un flux de revocació ha d'aturar immediatament els disparaments posteriors d'etiquetes, fer caducar les galetes definides durant la sessió amb consentiment i activar qualsevol senyal de supressió o exclusió voluntària que requereixin els socis destinataris.

Més enllà de les comprovacions tècniques, les llicències i la posició d'auditoria és el que fa defensable un desplegament. Els responsables del tractament que processin dades personals de residents egipcis per sobre dels llindars establerts pels reglaments executius s'han de registrar al Centre de Protecció de Dades Personals, i el registre d'inscripció — juntament amb el registre de consentiments, l'avís de privadesa, els resultats de l'avaluació d'impacte sobre la protecció de dades per als tractaments d'alt risc i qualsevol autorització de transferència transfronterera — constitueix la documentació que el Centre pot sol·licitar durant una revisió de compliment. Un CMP correctament configurat amb un registre del costat del servidor, una capa de càrrega d'etiquetes que aplica l'estat del consentiment, un avís de privadesa que denomina cada destinació de transferència transfronterera i la documentació de llicències a l'expedient és el que converteix el PDPL egipci d'una incògnita reglamentària en una part defensable de la posició de consentiment de la regió MENA d'un editor.

← Blog Llegir tot →