Guida alla conformità del consenso cookie per la Legge egiziana sulla protezione dei dati personali n. 151 del 2020: Manuale 2026 per gli editori
La Legge egiziana sulla protezione dei dati personali n. 151 del 2020 — generalmente denominata PDPL egiziana — è stata emanata il 15 July 2020 ed è entrata in vigore il 14 October 2020. Per la maggior parte del periodo successivo, l'assenza dei regolamenti attuativi ha fatto sì che la Legge rimanesse più una dichiarazione di principi che un regime applicabile. Ciò è cambiato quando il Personal Data Protection Centre — il regolatore istituito dalla Legge, annesso al Ministry of Communications and Information Technology — ha pubblicato il proprio quadro operativo, i requisiti di licenza e i regolamenti attuativi che la Legge aveva lasciato da emanare. Entro il 2026 il regime è pienamente operativo, il percorso di licenza per titolari e responsabili del trattamento è attivo, e gli editori che operano in Egitto o che lo hanno come target sono soggetti a uno standard di consenso domestico più vicino al GDPR che a qualsiasi precedente modello regionale. L'implicazione per il consenso ai cookie è diretta: un banner che funzionava in Egitto nel vecchio regime non è più sufficiente, e un banner che soddisfa il GDPR soddisferà il PDPL solo se l'integrazione tiene conto dei punti in cui i due quadri normativi divergono.
Cosa richiede effettivamente il PDPL egiziano
La Legge si applica al trattamento dei dati personali dei residenti egiziani indipendentemente da dove sia stabilito il titolare o il responsabile del trattamento, e ai titolari e responsabili stabiliti in Egitto indipendentemente da dove si trovino gli interessati. Questa portata extraterritoriale rispecchia l'articolo 3 del GDPR e significa che un editore con sede fuori dall'Egitto ma con lettori egiziani, installazioni di app o clienti paganti è chiaramente nell'ambito di applicazione. I dati personali sono definiti in modo ampio come qualsiasi dato relativo a una persona fisica identificata o identificabile, con dati personali sensibili — inclusi dati sanitari, biometrici, genetici, di salute mentale, finanziari, di convinzione religiosa, opinione politica e di condanna penale — soggetti a una soglia di consenso più elevata e a garanzie aggiuntive.
La Legge stabilisce le basi giuridiche per il trattamento, il set standard di diritti degli interessati — accesso, rettifica, cancellazione, limitazione, opposizione e portabilità —, un quadro di responsabilità titolare-responsabile, obblighi di notifica delle violazioni, controlli sui trasferimenti transfrontalieri e un regime di sanzioni amministrative con multe che vanno da EGP 100.000 per violazioni minori fino a EGP 5 milioni per violazioni gravi o reiterate. Sanzioni penali si applicano alle categorie più gravi, inclusi i trasferimenti transfrontalieri non autorizzati e il trattamento di dati sensibili senza autorizzazione.
Come il PDPL tratta specificamente il consenso ai cookie
A differenza della Direttiva ePrivacy dell'UE, il PDPL non contiene una disposizione separata sui cookie. I cookie e le tecnologie di memorizzazione e accesso analoghe rientrano nel quadro generale del consenso: qualsiasi trattamento di dati personali che si basi sul consenso come base giuridica deve essere ottenuto sulla base di un'espressione di accordo esplicita, volontaria, specifica e documentata da parte dell'interessato. Il Personal Data Protection Centre, nelle linee guida emesse durante l'entrata in vigore graduale dei regolamenti, ha confermato che le caselle pre-selezionate, il consenso implicito desunto dalla navigazione continuata e i banner di consenso in bundle non soddisfano lo standard della Legge. Questo porta l'Egitto in linea con la traiettoria globale e significa che la postura pratica che gli editori già mantengono per il EEA è il punto di partenza corretto per il traffico egiziano.
L'effetto pratico è che i cookie e qualsiasi tecnologia analoga non strettamente necessaria per l'erogazione del servizio non devono essere impostati prima che l'utente abbia acconsentito attivamente. I cookie strettamente necessari — identificatori di sessione, contenuto del carrello, token di sicurezza, cookie di bilanciamento del carico — possono essere impostati senza consenso sulla base che l'utente ha attivamente richiesto il servizio. Tutto il resto — analisi, pubblicità, personalizzazione, test A/B, session replay e qualsiasi tag di terze parti — richiede il consenso preventivo.
Come il PDPL diverge dal GDPR nella pratica
Tre differenze contano al livello di integrazione. In primo luogo, il PDPL richiede che il consenso per il trattamento di dati personali sensibili sia ottenuto per iscritto o tramite un equivalente elettronico documentato che il titolare possa produrre su richiesta — uno standard probatorio più elevato rispetto al requisito di consenso esplicito del GDPR. In secondo luogo, il PDPL impone un regime di licenze: i titolari e i responsabili del trattamento devono registrarsi presso il Personal Data Protection Centre, e alcune categorie di trattamento — inclusi il trasferimento transfrontaliero e il marketing diretto — richiedono una licenza operativa separata. In terzo luogo, le regole sui trasferimenti transfrontalieri del PDPL richiedono una decisione di adeguatezza del Centro, una garanzia contrattuale approvata o il consenso esplicito dell'interessato; i trasferimenti verso giurisdizioni senza decisioni o garanzie sono limitati indipendentemente dalla conformità del destinatario.
Come appare un banner cookie conforme al PDPL
I requisiti tecnici convergono con ciò che ogni CMP moderno già produce, ma l'etichettatura, la documentazione e il registro del consenso devono riflettere le specificità egiziane. Il banner del primo livello deve presentare all'utente una scelta reale — accetta, rifiuta, gestisci — dove l'opzione di rifiuto è almeno altrettanto visibile dell'opzione di accettazione. Il consenso in bundle è vietato, quindi il secondo livello deve consentire l'opt-in per categoria che copra come minimo analisi, pubblicità e qualsiasi trattamento dipendente da trasferimenti transfrontalieri. Le categorie devono essere predefinite su disattivato; il banner non deve caricare tag finché l'utente non li ha attivati positivamente.
L'informativa sulla privacy esposta dal banner deve identificare il titolare, il numero di licenza PDPL del titolare se applicabile, le categorie di dati personali raccolti, la base giuridica per ciascuno scopo di trattamento, il periodo di conservazione dei dati, le categorie di destinatari inclusi eventuali sub-responsabili situati fuori dall'Egitto, i diritti dell'interessato ai sensi della Legge e i dettagli di contatto del Personal Data Protection Centre per i reclami. Un'informativa che soddisfa lo standard dell'articolo 13 del GDPR si sovrapporrà sostanzialmente, ma le righe relative alla licenza egiziana e al contatto del Centro devono essere aggiunte esplicitamente.
Il pattern di integrazione che supera una revisione del Personal Data Protection Centre
L'implementazione di riferimento ha quattro parti in movimento. La prima è un CMP che supporta l'opt-in per categoria, predefinito su disattivato, e che espone la scelta dell'utente tramite una stringa di consenso strutturata che l'editore può persistere. La seconda è un livello di caricamento tag — un tag manager lato server o un gate nativo del CMP — che applica rigorosamente lo stato del consenso prima che venga impostato qualsiasi cookie non essenziale. La terza è un registro del consenso, memorizzato lato server, che registra per ogni evento di consenso la scelta dell'utente per categoria, il timestamp, la versione del banner e un identificatore IP troncato o hashato in modo che il titolare possa produrre il record su richiesta del Centro. La quarta è un percorso di revoca almeno altrettanto semplice della concessione originale — tipicamente un link persistente di riapertura del banner nel footer.
- Tag analitici — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — devono caricarsi solo dopo che la categoria analisi è stata concessa. Ogni piattaforma supporta una configurazione con gate del consenso che impedisce qualsiasi scrittura di cookie prima che il gate si apra.
- Tag pubblicitari — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, header bidder programmatici — devono essere analogamente bloccati, e dove il partner pubblicitario trasferisce dati al di fuori dell'Egitto, la giurisdizione del destinatario deve comparire nell'informativa sulla privacy. Un'informativa generica elaborata da fornitori di servizi globali non è sufficiente secondo le linee guida del Centro.
- Strumenti di session replay e heatmap — Hotjar, Microsoft Clarity, FullStory — devono trovarsi dietro un gate separato e più rigoroso perché il Centro si è allineato con la visione dell'EDPB che il rendering dei campi di input richiede un consenso esplicito e granulare.
- Le informative sui trasferimenti transfrontalieri devono essere specifiche per ciascuna giurisdizione del destinatario e fare riferimento alla base giuridica del trasferimento — una garanzia contrattuale approvata, una decisione di adeguatezza o il consenso esplicito dell'interessato.
Validazione, licenze e postura di audit per il 2026
Un deployment egiziano difendibile nel 2026 deve superare quattro verifiche tecniche. In primo luogo, una sessione browser pulita servita da un indirizzo IP egiziano deve produrre zero cookie non essenziali prima che il banner sia stato azionato. In secondo luogo, il percorso rifiuta-tutto deve produrre la stessa postura di una sessione senza azioni — nessun tag analitico, nessun tag pubblicitario, nessuno script di session replay. In terzo luogo, un flusso accetta-tutto deve produrre solo i tag a cui l'utente ha acconsentito, e il registro del consenso deve contenere un record corrispondente. In quarto luogo, un flusso di revoca deve immediatamente interrompere ulteriori attivazioni di tag, far scadere i cookie impostati durante la sessione con consenso e attivare eventuali segnali di cancellazione o opt-out downstream richiesti dai partner destinatari.
Oltre alle verifiche tecniche, la postura di licenza e audit è ciò che rende un deployment difendibile. I titolari che trattano dati personali di residenti egiziani al di sopra delle soglie stabilite dai regolamenti attuativi devono essere registrati presso il Personal Data Protection Centre, e il registro di registrazione — insieme al registro del consenso, all'informativa sulla privacy, ai risultati della valutazione d'impatto sulla protezione dei dati per i trattamenti a rischio più elevato e a eventuali autorizzazioni di trasferimento transfrontaliero — costituisce la documentazione che il Centro potrebbe richiedere durante una revisione di conformità. Un CMP correttamente configurato con un registro lato server, un livello di caricamento tag che applica lo stato del consenso, un'informativa sulla privacy che nomina ogni destinazione di trasferimento transfrontaliero e la documentazione di licenza in archivio è ciò che trasforma il PDPL egiziano da incognita normativa in una parte difendibile della postura di consenso MENA di un editore.