Legea Egipteană privind Protecția Datelor cu Caracter Personal nr. 151 din 2020 — Ghid de Conformitate pentru Consimțământul la Cookie-uri: Playbook 2026 pentru Editori
Legea Egipteană privind Protecția Datelor cu Caracter Personal nr. 151 din 2020 — denumită de obicei PDPL-ul Egiptean — a fost emisă pe 15 iulie 2020 și a intrat în vigoare pe 14 octombrie 2020. Pe parcursul celei mai mari părți a perioadei de atunci, absența reglementărilor de executare a însemnat că Legea a rămas o declarație de principii mai degrabă decât un regim executoriu. Aceasta s-a schimbat când Centrul de Protecție a Datelor cu Caracter Personal — organismul de reglementare instituit în baza Legii, atașat Ministerului Comunicațiilor și Tehnologiei Informației — și-a publicat cadrul operațional, cerințele de licențiere și reglementările de executare pe care Legea le lăsase să fie emise. Până în 2026, regimul este pe deplin operațional, traseul de licențiere pentru operatorii și persoanele împuternicite de operator este activ, iar editorii care operează în sau vizează Egipt sunt supuși unui standard intern de consimțământ mai apropiat de GDPR decât de orice model regional mai vechi. Implicația pentru consimțământul la cookie-uri este directă: un banner care funcționa în Egipt în cadrul regimului anterior nu mai este suficient, iar un banner care satisface GDPR va satisface PDPL numai atunci când integrarea ia în considerare punctele în care cele două cadre diverge.
Ce prevede efectiv PDPL-ul Egiptean
Legea se aplică prelucrării datelor cu caracter personal ale rezidenților egipteni, indiferent de locul în care este stabilit operatorul sau persoana împuternicită de operator, și operatorilor și persoanelor împuternicite de operator stabiliți în Egipt, indiferent de locul în care se află persoanele vizate. Această aplicabilitate extrateritorială reflectă Articolul 3 al GDPR și înseamnă că un editor cu sediul în afara Egiptului, dar cu cititori, instalări de aplicații sau clienți plătitori egipteni, se află în mod cert în domeniu de aplicare. Datele cu caracter personal sunt definite în sens larg ca orice date referitoare la o persoană fizică identificată sau identificabilă, datele sensibile cu caracter personal — inclusiv date de sănătate, biometrice, genetice, de sănătate mintală, financiare, de convingeri religioase, de opinie politică și de condamnare penală — fiind supuse unui prag de consimțământ mai ridicat și unor garanții suplimentare.
Legea stabilește temeiuri legale pentru prelucrare, setul standard de drepturi ale persoanelor vizate — acces, rectificare, ștergere, restricție, obiecție și portabilitate —, un cadru de responsabilitate operator-persoană împuternicită de operator, obligații de notificare a încălcărilor, controale ale transferului transfrontalier și un regim de sancțiuni administrative cu amenzi cuprinse între EGP 100.000 pentru încălcări minore și EGP 5 milioane pentru încălcări grave sau repetate. Sancțiunile penale se aplică celor mai grave categorii, inclusiv transferului transfrontalier fără licență și prelucrării de date sensibile fără autorizație.
Cum tratează PDPL consimțământul pentru cookie-uri în mod specific
Spre deosebire de Directiva ePrivacy a UE, PDPL nu conține o prevedere separată privind cookie-urile. Cookie-urile și tehnologiile analogice de stocare și acces se încadrează în cadrul general al consimțământului: orice prelucrare a datelor cu caracter personal care se bazează pe consimțământ ca temei legal trebuie obținută pe baza unei expresii explicite, voluntare, specifice și documentate de acord din partea persoanei vizate. Centrul de Protecție a Datelor cu Caracter Personal, în orientările emise în timpul demarării eșalonate a reglementărilor, a confirmat că casetele pre-bifate, consimțământul implicit dedus din navigarea continuată și bannerele de consimțământ grupat nu satisfac standardul Legii. Aceasta plasează Egipt în deplină concordanță cu tendința globală și înseamnă că atitudinea practică pe care editorii o mențin deja pentru SEE este punctul de plecare corect pentru traficul egiptean.
Efectul practic este că cookie-urile și orice tehnologii analogice care nu sunt strict necesare pentru furnizarea serviciului nu pot fi setate înainte ca utilizatorul să fi consimțit în mod activ. Cookie-urile strict necesare — identificatoare de sesiune, conținut de coș de cumpărături, token-uri de securitate, cookie-uri de echilibrare a sarcinii — pot fi setate fără consimțământ pe baza faptului că utilizatorul a solicitat activ serviciul. Orice altceva — analize, publicitate, personalizare, testare A/B, redare de sesiune și orice etichetă terță — necesită consimțământ prealabil.
Cum diferă PDPL de GDPR în practică
Trei diferențe contează la nivelul integrării. În primul rând, PDPL impune ca consimțământul pentru prelucrarea datelor sensibile cu caracter personal să fie obținut în scris sau printr-un echivalent electronic documentat pe care operatorul îl poate prezenta la cerere — un standard probatoriu mai ridicat decât cerința de consimțământ explicit din GDPR. În al doilea rând, PDPL impune un regim de licențiere: operatorii și persoanele împuternicite de operator trebuie să se înregistreze la Centrul de Protecție a Datelor cu Caracter Personal, iar anumite categorii de prelucrare — inclusiv transferul transfrontalier și marketingul direct — necesită o licență operațională separată. În al treilea rând, regulile de transfer transfrontalier ale PDPL necesită fie o decizie de adecvare din partea Centrului, o garanție contractuală aprobată, fie consimțământul explicit al persoanei vizate; transferurile către jurisdicții fără desemnări sau garanții sunt restricționate indiferent de atitudinea proprie de conformitate a destinatarului.
Cum arată un banner de cookie-uri conform cu PDPL
Cerințele tehnice converg cu ceea ce orice CMP modern produce deja, dar etichetarea, documentația și jurnalul de consimțăminte trebuie să reflecte specificul egiptean. Bannerul de prim nivel trebuie să prezinte utilizatorului o alegere reală — acceptă, respinge, gestionează — unde opțiunea de respingere este cel puțin la fel de proeminentă ca opțiunea de acceptare. Consimțământul grupat este interzis, astfel că al doilea nivel trebuie să permită opt-in pe categorie acoperind cel puțin analize, publicitate și orice prelucrare dependentă de transfer transfrontalier. Categoriile trebuie să fie implicit setate pe dezactivat; bannerul nu trebuie să încarce etichete până când utilizatorul nu le-a activat în mod afirmativ.
Notificarea privind confidențialitatea afișată din banner trebuie să identifice operatorul, numărul de licență PDPL al operatorului dacă este cazul, categoriile de date cu caracter personal colectate, temeiul legal pentru fiecare scop de prelucrare, perioada de păstrare a datelor, categoriile de destinatari inclusiv orice subprocesori situați în afara Egiptului, drepturile persoanei vizate în baza Legii și datele de contact ale Centrului de Protecție a Datelor cu Caracter Personal pentru plângeri. O notificare care satisface standardul Articolului 13 din GDPR va coincide substanțial, dar rândurile privind licența egipteană și contactul cu Centrul trebuie adăugate explicit.
Modelul de integrare care trece de o verificare a Centrului de Protecție a Datelor cu Caracter Personal
Implementarea de referință are patru componente mobile. Prima este un CMP care suportă opt-in pe categorie, implicit dezactivat, și expune alegerea utilizatorului printr-un șir de consimțământ structurat pe care editorul îl poate persista. A doua este un nivel de încărcare a etichetelor — un manager de etichete pe partea de server sau o poartă nativă CMP — care impune strict starea de consimțământ înainte ca orice cookie neesențial să fie setat. A treia este un jurnal de consimțăminte, stocat pe partea de server, care înregistrează pentru fiecare eveniment de consimțământ alegerea utilizatorului pe categorie, marca temporală, versiunea bannerului și un identificator IP trunchiat sau hașurat astfel încât operatorul să poată prezenta înregistrarea la cererea Centrului. A patra este o cale de retragere cel puțin la fel de ușoară ca și acordarea inițială — în mod obișnuit un link permanent de redeschidere a bannerului în subsol.
- Etichete de analiză — Google Analytics 4, Adobe Analytics, Matomo, Amplitude, Mixpanel, PostHog — trebuie încărcate numai după ce categoria de analiză a fost acordată. Fiecare platformă suportă o configurație condiționată de consimțământ care previne orice scriere de cookie înainte ca poarta să se deschidă.
- Etichete de publicitate — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, bidderi programatici de header — trebuie condiționate similar, iar acolo unde partenerul de publicitate transferă date în afara Egiptului, jurisdicția destinatarului trebuie să apară în notificarea privind confidențialitatea. O divulgare generică de prelucrare de către furnizori globali de servicii nu este suficientă conform orientărilor Centrului.
- Instrumentele de redare a sesiunilor și heatmap — Hotjar, Microsoft Clarity, FullStory — trebuie plasate în spatele unei porți separate, mai stricte, deoarece Centrul s-a aliniat cu poziția EDPB potrivit căreia redarea câmpurilor de introducere a datelor necesită consimțământ explicit și granular.
- Divulgările privind transferul transfrontalier trebuie să fie specifice fiecărei jurisdicții a destinatarului și să facă referire la temeiul legal al transferului — o garanție contractuală aprobată, o decizie de adecvare sau consimțământul explicit al persoanei vizate.
Validare, licențiere și atitudine de audit pentru 2026
O implementare egipteană apărabilă în 2026 trebuie să treacă patru verificări tehnice. În primul rând, o sesiune de browser curată servită de la o adresă IP egipteană trebuie să producă zero cookie-uri neesențiale înainte ca bannerul să fi fost acționat. În al doilea rând, calea de respingere-tot trebuie să producă aceeași atitudine ca o sesiune fără acțiune — fără etichete de analiză, fără etichete de publicitate, fără scripturi de redare de sesiune. În al treilea rând, un flux de acceptare-tot trebuie să producă numai etichetele la care utilizatorul a consimțit, iar jurnalul de consimțăminte trebuie să conțină o înregistrare corespunzătoare. În al patrulea rând, un flux de retragere trebuie să oprească imediat alte activări de etichete, să expire cookie-urile setate în timpul sesiunii consimțite și să declanșeze orice semnale de ștergere sau opt-out cerute de partenerii destinatari.
Dincolo de verificările tehnice, licențierea și atitudinea de audit sunt ceea ce face o implementare apărabilă. Operatorii care prelucrează datele cu caracter personal ale rezidenților egipteni peste pragurile stabilite de reglementările de executare trebuie să fie înregistrați la Centrul de Protecție a Datelor cu Caracter Personal, iar înregistrarea — împreună cu jurnalul de consimțăminte, notificarea privind confidențialitatea, rezultatele evaluării impactului asupra protecției datelor pentru prelucrarea cu risc mai ridicat și orice autorizații de transfer transfrontalier — formează documentația pe care Centrul o poate solicita în cursul unei verificări de conformitate. Un CMP configurat corect cu un jurnal pe partea de server, un nivel de încărcare a etichetelor care impune starea de consimțământ, o notificare privind confidențialitatea care numește fiecare destinație de transfer transfrontalier și documentele de licențiere la dosar sunt ceea ce transformă PDPL-ul Egiptean dintr-o necunoscută de reglementare într-o parte apărabilă a atitudinii de consimțământ a editorului în regiunea MENA.