Guía PDPL para Arabia Saudí

Autoridades primariasSDAIA, NDMO, reguladores sectoriales

Tipo de páginaGuía regulatoria

Última revisión12 de marzo de 2026

Propietario editorialMesa editorial de Camellos Group

Cadencia de actualizaciónTrimestral

Estado de frescuraAlta volatilidad

Qué es la PDPL

La Ley de Protección de Datos Personales saudí crea un marco nacional para el tratamiento de datos personales y obliga a cualquier empresa que procese datos de personas en el Reino a revisar gobernanza, contratos y flujos internacionales.

No debe tratarse como un simple aviso de privacidad. Afecta bases legales, transferencias internacionales, gestión de incidentes, contratos con proveedores y el diseño de productos digitales.

A quién aplica

Aplica a entidades que tratan datos personales en Arabia Saudí y, en determinados supuestos, a organizaciones fuera del Reino que procesan datos de residentes saudíes. Para grupos internacionales, la cuestión práctica es si el negocio saudí genera un perímetro propio de cumplimiento.

Cuanto más digital es la oferta, más fácil es que la PDPL toque CRM, marketing, atención al cliente, recursos humanos y analítica al mismo tiempo.

Bases de tratamiento y derechos de los titulares

La empresa necesita una base clara para cada actividad de tratamiento. Además, debe poder responder a derechos de acceso, corrección y otros derechos aplicables sin improvisar. La dificultad no está en el principio, sino en traducirlo a sistemas y responsables internos.

Prueba operativa. Si un titular pide acceso o rectificación, la organización debe saber quién responde, en qué sistema vive el dato y qué evidencias guarda del proceso.

Transferencias transfronterizas e incidentes

Las transferencias de datos fuera del Reino exigen una revisión más cuidadosa que en muchas implementaciones regionales heredadas. La empresa debe entender dónde se aloja la información, quién la procesa y qué condiciones justifican su traslado.

Los incidentes de seguridad no son solo un problema de ciberseguridad. También se convierten en un problema de privacidad y de reporting, por lo que los equipos jurídicos, tecnológicos y de comunicación deben trabajar juntos.

Lista de control práctica

Mapear datos personales por función: clientes, empleados, leads, proveedores.
Definir bases legales y periodos de conservación por flujo.
Revisar contratos con proveedores cloud, CRM, payroll y analítica.
Diseñar proceso para derechos de titulares y gestión de incidentes.
Comprobar si la arquitectura actual envía datos fuera del Reino y bajo qué fundamento.

Guías relacionadas

IA y computación en la nube, para el impacto de residencia de datos y despliegues cloud.
IVA e impuestos, si la capa fiscal y de facturación mueve datos de clientes.
Permisos de trabajo e iqama, para tratamiento de datos de personal extranjero.

Preguntas frecuentes

¿La PDPL aplica también a datos de empleados?

Sí. Los datos de recursos humanos y movilidad forman parte del perímetro cuando identifican a personas.

¿Puedo almacenar datos saudíes fuera del Reino?

Depende del caso y de las condiciones aplicables. Debe revisarse la base jurídica y la arquitectura real antes de asumir que la transferencia es admisible.

¿PDPL equivale exactamente a GDPR?

No. Hay paralelos conceptuales, pero no conviene asumir equivalencia operativa completa.

¿Quién dentro de la empresa debería liderar la respuesta?

Normalmente una coordinación entre jurídico, tecnología, seguridad y negocio, con un responsable claro de decisión y ejecución.

Fuentes primarias

SDAIA: sdaia.gov.sa
NDMO: sdaia.gov.sa/ndmo
Textos y guías de la Ley de Protección de Datos Personales publicadas por las autoridades competentes.

Última revisión: 12 de marzo de 2026. Las reglas interpretativas y de transferencia pueden evolucionar. Confirme siempre el criterio vigente antes de rediseñar arquitectura o contratos.