Lei de Protección de Datos Persoais de Exipto 151 de 2020 – Guía de Cumprimento do Consentimento de Cookies: Manual para Editores 2026

A Lei de Protección de Datos Persoais de Exipto nº 151 de 2020 – xeralmente coñecida como o PDPL exipcio – foi promulgada o 15 de xullo de 2020 e entrou en vigor o 14 de outubro de 2020. Durante a maior parte do período transcorrido desde entón, a ausencia de regulamentos executivos significou que a Lei permanecía máis como unha declaración de principios que como un réxime aplicable. Isto cambiou cando o Centro de Protección de Datos Persoais – o regulador establecido baixo a Lei, adscrito ao Ministerio de Comunicacións e Tecnoloxías da Información – publicou o seu marco operativo, os requisitos de licenzas e os regulamentos executivos que a Lei deixara para emitir. No 2026 o réxime está totalmente operativo, a vía de licenzas para os responsables e encargados do tratamento está activa, e os editores que operan en ou dirixidos a Exipto están suxeitos a un estándar de consentimento doméstico máis próximo ao GDPR que a calquera modelo rexional máis antigo. A implicación para o consentimento de cookies é directa: un banner que funcionaba en Exipto baixo o antigo réxime xa non é suficiente, e un banner que satisfai o GDPR satisfará o PDPL só cando a integración teña en conta os puntos onde os dous marcos diverxen.

O que realmente esixe o PDPL exipcio

A Lei aplícase ao tratamento de datos persoais de residentes exipcios independentemente de onde estea establecido o responsable ou encargado do tratamento, e aos responsables e encargados establecidos en Exipto independentemente de onde estean os interesados. Ese alcance extraterritorial reflicte o artigo 3 do GDPR e significa que un editor con sede fóra de Exipto pero con lectores exipcios, instalacións de aplicacións ou clientes de pago está firmemente dentro do ámbito de aplicación. Os datos persoais defínense amplamente como calquera dato relativo a unha persoa física identificada ou identificable; os datos persoais sensibles – incluídos datos de saúde, biométricos, xenéticos, de saúde mental, financeiros, de crenzas relixiosas, de opinións políticas e de condenas penais – están suxeitos a un limiar de consentimento máis elevado e garantías adicionais.

A Lei establece as bases legais para o tratamento, o elenco estándar de dereitos dos interesados – acceso, rectificación, supresión, limitación, oposición e portabilidade –, un marco de responsabilidade responsable-encargado, obrigas de notificación de violacións, controis de transferencia transfronteiriza e un réxime de sancións administrativas con multas que van desde os 100.000 EGP por infracción leve ata os 5 millóns de EGP por infracción grave ou reiterada. As sancións penais aplícanse ás categorías máis graves, incluída a transferencia transfronteiriza sen licenza e o tratamento de datos sensibles sen autorización.

Como trata o PDPL especificamente o consentimento de cookies

Ao contrario da Directiva ePrivacy da UE, o PDPL non contén ningunha disposición separada sobre cookies. As cookies e as tecnoloxías análogas de almacenamento e acceso quedan dentro do marco xeral de consentimento: calquera tratamento de datos persoais que se baseie no consentimento como base legal debe obterse sobre a base dunha expresión explícita, voluntaria, específica e documentada de acordo por parte do interesado. O Centro de Protección de Datos Persoais, na súa guía emitida durante o inicio gradual dos regulamentos, confirmou que as casillas marcadas previamente, o consentimento implícito inferido da navegación continua e os banners de consentimento agrupados non satisfán o estándar da Lei. Isto sitúa a Exipto firmemente en liña coa traxectoria global e significa que a postura práctica que os editores xa manteñen para o tráfico EEA é o punto de partida correcto para o tráfico exipcio.

O efecto práctico é que as cookies e calquera tecnoloxía análoga que non sexan estritamente necesarias para a prestación do servizo non deben establecerse antes de que o usuario haxa consentido activamente. As cookies estritamente necesarias – identificadores de sesión, contido do carriño, tokens de seguridade, cookies de equilibrio de carga – poden establecerse sen consentimento co argumento de que o usuario solicitou activamente o servizo. Todo o demais – analítica, publicidade, personalización, probas A/B, reprodución de sesión e calquera etiqueta de terceiros – require consentimento previo.

Como diverge o PDPL do GDPR na práctica

Tres diferenzas importan na capa de integración. En primeiro lugar, o PDPL esixe que o consentimento para o tratamento de datos persoais sensibles se obteña por escrito ou mediante un equivalente electrónico documentado que o responsable pode producir a petición – un estándar probatorio máis alto que o requisito de consentimento explícito do GDPR. En segundo lugar, o PDPL impón un réxime de licenzas: os responsables e encargados deben rexistrarse no Centro de Protección de Datos Persoais, e determinadas categorías de tratamento – incluídas as transferencias transfronteirizas e o mercadotecnia directa – requiren unha licenza operativa separada. En terceiro lugar, as regras de transferencia transfronteiriza do PDPL requiren ou ben un acordo de adecuación do Centro, unha salvagarda contractual aprobada ou o consentimento explícito do interesado; as transferencias a xurisdiciones sen acordos ou salvagardas están restrinxidas independentemente da postura de cumprimento propia do destinatario.

Como é un banner de cookies conforme ao PDPL

Os requisitos técnicos converxen con o que cada CMP moderno xa produce, pero o etiquetado, a documentación e o rexistro de consentimento deben reflectir as especificidades exipcias. O banner de primeira capa debe presentar ao usuario unha elección real – aceptar, rexeitar, xestionar – onde a opción de rexeitamento sexa cando menos tan prominente como a opción de aceptación. O consentimento agrupado está prohibido, polo que a segunda capa debe permitir o opt-in por categoría cubrindo como mínimo analítica, publicidade e calquera tratamento dependente de transferencia transfronteiriza. As categorías deben estar por defecto en desactivado; o banner non debe cargar etiquetas ata que o usuario as haxa activado activamente.

O aviso de privacidade mostrado desde o banner debe identificar o responsable, o número de licenza PDPL do responsable de ser aplicable, as categorías de datos persoais recollidos, a base legal de cada finalidade do tratamento, o período de conservación de datos, as categorías de destinatarios incluídos os subencargados situados fóra de Exipto, os dereitos do interesado baixo a Lei, e os datos de contacto do Centro de Protección de Datos Persoais para reclamacións. Un aviso que satisfai o estándar do artigo 13 do GDPR coincidirá en gran medida, pero as liñas da licenza exipcia e do contacto do Centro deben engadirse explicitamente.

O patrón de integración que supera a revisión do Centro de Protección de Datos Persoais

A implementación de referencia ten catro partes en movemento. A primeira é un CMP que admite opt-in por categoría, desactivado por defecto, e expón a elección do usuario mediante unha cadea de consentimento estruturada que o editor pode persistir. A segunda é unha capa de carga de etiquetas – un xestor de etiquetas do lado do servidor ou unha porta nativa do CMP – que aplica estritamente o estado do consentimento antes de establecer calquera cookie non esencial. A terceira é un rexistro de consentimento, almacenado no lado do servidor, que rexistra para cada evento de consentimento a elección do usuario por categoría, o timestamp, a versión do banner e un identificador de IP truncado ou con hash de forma que o responsable pode producir o rexistro a petición do Centro. A cuarta é un camiño de retirada polo menos tan fácil como a concesión orixinal – tipicamente un ligazón persistente de reapertura do banner no pé de páxina.

Validación, licenzas e postura de auditoría para 2026

Un despregamento exipcio defendible en 2026 debe superar catro comprobacións técnicas. En primeiro lugar, unha sesión de navegador limpa servida desde un enderezo IP exipcio debe producir cero cookies non esenciais antes de que se active o banner. En segundo lugar, o camiño de rexeitar todo debe resultar na mesma postura que unha sesión de non acción – sen etiquetas de analítica, sen etiquetas de publicidade, sen scripts de reprodución de sesión. En terceiro lugar, un fluxo de aceptar todo debe producir só as etiquetas ás que o usuario consentiu, e o rexistro de consentimento debe conter un rexistro coincidente. En cuarto lugar, un fluxo de retirada debe deter inmediatamente outros disparos de etiquetas, caducar as cookies establecidas durante a sesión con consentimento e activar os sinais de eliminación ou opt-out fluxo abaixo que requiran os socios receptores.

Máis aló das comprobacións técnicas, a postura de licenza e auditoría é o que fai un despregamento defendible. Os responsables que traten datos persoais de residentes exipcios por enriba dos limiares establecidos polos regulamentos executivos deben estar rexistrados no Centro de Protección de Datos Persoais, e o rexistro de inscrición – xunto co rexistro de consentimento, o aviso de privacidade, os resultados da avaliación de impacto sobre a protección de datos para o tratamento de maior risco e calquera autorización de transferencia transfronteiriza – forma a documentación que o Centro pode solicitar durante unha revisión de cumprimento. Un CMP correctamente configurado cun rexistro do lado do servidor, unha capa de carga de etiquetas que aplique o estado do consentimento, un aviso de privacidade que mencione cada destino de transferencia transfronteiriza e os documentos de licenza arquivados é o que converte o PDPL exipcio dun descoñecido regulatorio nunha parte defendible da postura de consentimento do editor na rexión MENA.

← Blog Ler todo →