El giro de la privacidad de datos en Arabia Saudita: SDAIA pasa de la educación a la aplicación de la ley

Durante años, la comunidad tecnológica global observó cómo Arabia Saudita redactaba, perfeccionaba y finalmente ratificaba su Ley de Protección de Datos Personales (PDPL). Fue un período definido por consultas, períodos de gracia y un sentido general de "preparación". Esa era de preparación ha terminado oficialmente. A partir de febrero de 2026, la Autoridad de Datos e Inteligencia Artificial de Arabia Saudita (SDAIA) ha señalado que el tiempo de la indulgencia ha terminado, entrando en una fase de madurez regulatoria que sitúa al Reino entre las jurisdicciones de datos más activas del mundo.

En una revelación reciente, los comités especializados de la SDAIA revelaron que emitieron 48 decisiones de ejecución durante los últimos doce meses contra organizaciones que violaron la PDPL y sus reglamentos de aplicación. Esto no es solo una estadística; es un mensaje claro tanto para las empresas nacionales como para las corporaciones multinacionales: la privacidad de datos ya no es una "mejor práctica" en Arabia Saudita, es un mandato legal no negociable.

El cambio de la política a la vigilancia

La transición a esta fase de alta aplicación no ocurrió de la noche a la mañana. La PDPL fue diseñada para ser la piedra angular de la transformación digital de la Visión 2030 del Reino. Para construir una economía digital de clase mundial, el gobierno reconoció que primero necesitaba generar confianza.

Inicialmente, la autoridad se centró en campañas de concienciación, ayudando a las empresas a comprender los matices de la soberanía de los datos y los derechos de los titulares de los mismos. Sin embargo, 2025 marcó un punto de inflexión definitivo. Las 48 decisiones emitidas recientemente cubren un espectro de infracciones, que van desde el procesamiento de datos no autorizado hasta fallos en la notificación de brechas de datos. Este cambio sugiere que la SDAIA ha superado la fase "educativa" y ahora está auditando activamente el ecosistema para garantizar que el cumplimiento se esté practicando, no solo prometiendo.

Entendiendo el panorama de la aplicación de la ley

Aunque los nombres específicos de todas las entidades sancionadas no siempre se hacen públicos, la naturaleza de las 48 decisiones proporciona una hoja de ruta de lo que la autoridad está priorizando. Basándose en las tendencias regulatorias, estas acciones de ejecución probablemente se centraron en tres áreas principales:

1. Gestión del consentimiento: Organizaciones que no obtuvieron un consentimiento explícito e informado antes de procesar datos personales.
2. Localización y transferencia de datos: La PDPL tiene reglas estrictas con respecto a la transferencia de datos personales fuera del Reino. Las empresas que eludieron estos protocolos o no garantizaron un "nivel equivalente de protección" en el país de destino se han encontrado en el punto de mira.
3. Notificación de brechas: Un componente crítico de la ley es el requisito de notificar a la SDAIA y a las personas afectadas sobre las brechas de datos dentro de plazos específicos. Los retrasos en estas notificaciones parecen ser un factor principal para las sanciones recientes.

Piense en la PDPL como un conjunto de leyes de tráfico para la autopista digital. Durante los primeros años, la policía estuvo dando advertencias y explicando las señales. Ahora, las cámaras están encendidas y las multas se están enviando por correo.

Por qué esto importa para la tecnología global

Para las empresas internacionales, Arabia Saudita representa uno de los mercados tecnológicos de más rápido crecimiento en el mundo. Desde el masivo proyecto NEOM hasta la floreciente escena fintech en Riad, las oportunidades son inmensas. Sin embargo, el costo de entrada ahora incluye un riguroso marco de cumplimiento de datos.

Uno de los errores más comunes para las firmas globales es la suposición de que cumplir con el RGPD (el estándar europeo) significa automáticamente que cumplen con la PDPL. Si bien existen similitudes, la ley saudí tiene requisitos únicos con respecto a la residencia de datos y las funciones específicas de los "Responsables del tratamiento" y los "Encargados del tratamiento" dentro del contexto legal local. Ignorar estos matices ya no es una opción cuando hay 48 acciones de ejecución registradas como advertencia.

Pasos prácticos para el cumplimiento en 2026

Si su organización opera en Arabia Saudita o maneja datos de ese país, el reciente aumento en la aplicación de la ley debería motivar una auditoría interna inmediata. Aquí hay una lista de verificación de lo que debe priorizar:

• Designar a un representante local: Si es una entidad extranjera sin presencia física en el Reino pero procesa datos de residentes saudíes, asegúrese de tener un representante designado según lo exige la ley.
• Actualizar las políticas de privacidad: Asegúrese de que sus avisos de privacidad estén disponibles en árabe y expliquen claramente la base legal para el procesamiento de datos.
• Mapeo de datos: No puede proteger lo que no sabe que tiene. Realice un ejercicio integral de mapeo de datos para identificar dónde se almacenan los datos personales saudíes y cómo fluyen a través de las fronteras.
• Revisar contratos con terceros: Asegúrese de que sus proveedores y proveedores de servicios en la nube también cumplan con la normativa. Bajo la PDPL, el responsable principal de los datos a menudo comparte la carga de la responsabilidad si un encargado del tratamiento no protege los datos.

El camino a seguir: IA y soberanía de datos

A medida que avanzamos en 2026, se espera que el papel de la SDAIA se expanda aún más. Con la inversión masiva del Reino en Inteligencia Artificial, la autoridad tiene la tarea de un delicado acto de equilibrio: fomentar la innovación mientras se protege la privacidad individual. Es probable que veamos nuevas directrices que aborden específicamente cómo se pueden entrenar los modelos de IA con datos locales sin violar la PDPL.

Las 48 decisiones emitidas este último año son solo el comienzo. Representan la base de un nuevo contrato social digital en Arabia Saudita. Para las empresas, el mensaje es claro: el período de gracia es un recuerdo y la era de la rendición de cuentas ha llegado.

Fuentes

• Portal oficial de la Autoridad de Datos e Inteligencia Artificial de Arabia Saudita (SDAIA): https://sdaia.gov.sa
• Reglamentos de aplicación de la Ley de Protección de Datos Personales (PDPL) de Arabia Saudita: https://stc.com.sa (Archivos regulatorios)
• Descripción general de la transformación digital de Visión 2030: https://www.vision2030.gov.sa