Guía de cumplimiento de la Ley de Protección de Datos Personales de Egipto núm. 151 de 2020 sobre consentimiento de cookies: Manual 2026 para editores

La Ley de Protección de Datos Personales de Egipto núm. 151 de 2020 — habitualmente denominada PDPL egipcio — fue promulgada el 15 de julio de 2020 y entró en vigor el 14 de octubre de 2020. Durante la mayor parte del período transcurrido desde entonces, la ausencia de reglamentos de ejecución hizo que la Ley permaneciera como una declaración de principios más que como un régimen aplicable. Eso cambió cuando el Centro de Protección de Datos Personales — el regulador establecido por la Ley, adscrito al Ministerio de Comunicaciones y Tecnología de la Información — publicó su marco operativo, los requisitos de licencia y los reglamentos de ejecución que la Ley había dejado pendientes de publicación. En 2026 el régimen es plenamente operativo, el proceso de licencia para responsables y encargados del tratamiento de datos está activo, y los editores que operan en Egipto o lo tienen como objetivo están sujetos a un estándar de consentimiento interno más próximo al GDPR que a cualquier modelo regional más antiguo. La implicación para el consentimiento de cookies es directa: un banner que funcionaba en Egipto bajo el antiguo régimen ya no es suficiente, y un banner que satisface el GDPR satisfará el PDPL solo cuando la integración tenga en cuenta los puntos en los que los dos marcos divergen.

Qué exige realmente el PDPL egipcio

La Ley se aplica al tratamiento de datos personales de residentes egipcios independientemente de dónde esté establecido el responsable o el encargado del tratamiento, y a los responsables y encargados del tratamiento establecidos en Egipto independientemente de dónde se encuentren los interesados. Este alcance extraterritorial refleja el artículo 3 del GDPR y significa que un editor con sede fuera de Egipto pero con lectores, instalaciones de aplicaciones o clientes de pago egipcios se encuentra firmemente dentro del ámbito de aplicación. Los datos personales se definen ampliamente como cualquier dato relativo a una persona física identificada o identificable, y los datos personales sensibles — incluidos los datos de salud, biométricos, genéticos, de salud mental, financieros, de creencias religiosas, de opiniones políticas y de condenas penales — están sujetos a un umbral de consentimiento más alto y salvaguardias adicionales.

La Ley establece bases jurídicas para el tratamiento, el conjunto estándar de derechos de los interesados — acceso, rectificación, supresión, limitación, oposición y portabilidad — un marco de responsabilidad responsable-encargado del tratamiento, obligaciones de notificación de violaciones, controles de transferencia transfronteriza y un régimen de sanciones administrativas con multas que van desde los 100.000 EGP por infracciones menores hasta los 5 millones de EGP por infracciones graves o reiteradas. Las sanciones penales se aplican a las categorías más graves, incluidas la transferencia transfronteriza no autorizada y el tratamiento de datos sensibles sin autorización.

Cómo trata el PDPL el consentimiento de cookies específicamente

A diferencia de la Directiva ePrivacy de la UE, el PDPL no contiene una disposición específica sobre cookies. Las cookies y las tecnologías análogas de almacenamiento y acceso quedan comprendidas en el marco general de consentimiento: cualquier tratamiento de datos personales que se base en el consentimiento como fundamento jurídico debe obtenerse sobre la base de una expresión de consentimiento explícita, voluntaria, específica y documentada del interesado. El Centro de Protección de Datos Personales, en sus orientaciones emitidas durante el inicio progresivo de los reglamentos, ha confirmado que las casillas premarcadas, el consentimiento implícito deducido de la navegación continuada y los banners de consentimiento agrupado no satisfacen el estándar de la Ley. Esto sitúa a Egipto firmemente en la trayectoria global y significa que la posición práctica que los editores ya mantienen para el EEE es el punto de partida correcto para el tráfico egipcio.

El efecto práctico es que las cookies y cualquier tecnología análoga que no sean estrictamente necesarias para la prestación del servicio no deben definirse antes de que el usuario haya dado su consentimiento activo. Las cookies estrictamente necesarias — identificadores de sesión, contenidos del carrito, tokens de seguridad, cookies de equilibrio de carga — pueden definirse sin consentimiento sobre la base de que el usuario ha solicitado activamente el servicio. Todo lo demás — análisis, publicidad, personalización, pruebas A/B, reproducción de sesiones y cualquier etiqueta de terceros — requiere consentimiento previo.

Cómo el PDPL diverge del GDPR en la práctica

Tres diferencias importan en la capa de integración. En primer lugar, el PDPL exige que el consentimiento para el tratamiento de datos personales sensibles se obtenga por escrito o mediante un equivalente electrónico documentado que el responsable pueda presentar a petición — un estándar probatorio más alto que el requisito de consentimiento explícito del GDPR. En segundo lugar, el PDPL impone un régimen de licencias: los responsables y los encargados del tratamiento deben registrarse en el Centro de Protección de Datos Personales, y ciertas categorías de tratamiento — incluidas la transferencia transfronteriza y el marketing directo — requieren una licencia operativa separada. En tercer lugar, las reglas de transferencia transfronteriza del PDPL requieren o bien una decisión de adecuación del Centro, o bien una garantía contractual aprobada, o bien el consentimiento explícito del interesado; las transferencias a jurisdicciones sin decisiones o garantías están restringidas independientemente de la propia posición de cumplimiento del destinatario.

Cómo es un banner de cookies conforme al PDPL

Los requisitos técnicos convergen con lo que ya produce cualquier CMP moderna, pero el etiquetado, la documentación y el registro de consentimientos deben reflejar las especificidades egipcias. El banner de primera capa debe presentar al usuario una elección real — aceptar, rechazar, gestionar — donde la opción de rechazo sea al menos tan destacada como la opción de aceptación. El consentimiento agrupado está prohibido, por lo que la segunda capa debe permitir la adhesión por categoría que cubra como mínimo el análisis, la publicidad y cualquier tratamiento que dependa de la transferencia transfronteriza. Las categorías deben estar configuradas por defecto como desactivadas; el banner no debe cargar etiquetas hasta que el usuario las haya activado afirmativamente.

El aviso de privacidad accesible desde el banner debe identificar al responsable del tratamiento, el número de licencia PDPL del responsable si corresponde, las categorías de datos personales recopilados, la base jurídica de cada finalidad de tratamiento, el plazo de conservación de los datos, las categorías de destinatarios incluidos los subencargados del tratamiento ubicados fuera de Egipto, los derechos del interesado en virtud de la Ley y los datos de contacto del Centro de Protección de Datos Personales para reclamaciones. Un aviso que cumpla el estándar del artículo 13 del GDPR se solapará sustancialmente, pero las líneas de licencia egipcia y de contacto con el Centro deben añadirse explícitamente.

El patrón de integración que supera una revisión del Centro de Protección de Datos Personales

La implementación de referencia tiene cuatro partes móviles. La primera es un CMP que admite la adhesión por categoría, desactivada por defecto, y que expone la elección del usuario mediante una cadena de consentimiento estructurada que el editor puede conservar. La segunda es una capa de carga de etiquetas — un gestor de etiquetas del lado del servidor o una puerta nativa de CMP — que aplica estrictamente el estado del consentimiento antes de que se defina cualquier cookie no esencial. La tercera es un registro de consentimientos almacenado del lado del servidor que registra para cada evento de consentimiento la elección del usuario por categoría, la marca de tiempo, la versión del banner y un identificador IP truncado o con hash de modo que el responsable pueda presentar el registro a petición del Centro. La cuarta es una vía de revocación al menos tan fácil como la concesión original — normalmente un enlace permanente de reapertura del banner en el pie de página.

Validación, licencias y posición de auditoría para 2026

Un despliegue egipcio defendible en 2026 debe superar cuatro comprobaciones técnicas. En primer lugar, una sesión de navegador limpia servida desde una dirección IP egipcia debe producir cero cookies no esenciales antes de que se haya actuado sobre el banner. En segundo lugar, la ruta de rechazo-total debe dar lugar a la misma posición que una sesión sin acción — sin etiquetas de análisis, sin etiquetas de publicidad, sin scripts de reproducción de sesiones. En tercer lugar, un flujo de aceptación-total debe producir solo las etiquetas con las que el usuario ha consentido, y el registro de consentimientos debe contener un registro coincidente. En cuarto lugar, un flujo de revocación debe detener inmediatamente los disparos de etiquetas posteriores, caducar las cookies definidas durante la sesión consentida y activar cualquier señal de supresión o exclusión que requieran los socios destinatarios.

Más allá de las comprobaciones técnicas, las licencias y la posición de auditoría son lo que hace defendible un despliegue. Los responsables del tratamiento que procesen datos personales de residentes egipcios por encima de los umbrales establecidos por los reglamentos de ejecución deben estar registrados en el Centro de Protección de Datos Personales, y el registro de inscripción — junto con el registro de consentimientos, el aviso de privacidad, los resultados de la evaluación de impacto sobre la protección de datos para los tratamientos de mayor riesgo y cualquier autorización de transferencia transfronteriza — constituye la documentación que el Centro puede solicitar durante una revisión de cumplimiento. Un CMP correctamente configurado con un registro del lado del servidor, una capa de carga de etiquetas que aplica el estado del consentimiento, un aviso de privacidad que denomina cada destino de transferencia transfronteriza y la documentación de licencias en el expediente es lo que convierte el PDPL egipcio de una incógnita regulatoria en una parte defendible de la posición de consentimiento de la región MENA de un editor.

← Blog Leer todo →