Protección de datos (CNDP)

CNDP y Ley 09-08: Protección de datos personales en Marruecos | Upsilon Consulting

Salaheddine Yatim

Salaheddine Yatim

Managing Partner

Compartir
CNDP y Ley 09-08: Protección de datos personales en Marruecos | Upsilon Consulting

En resumen: La Ley 09-08 regula la protección de datos personales en Marruecos. Toda empresa que trate datos personales debe realizar declaraciones u obtener autorizaciones ante la CNDP, respetar los derechos de las personas afectadas y garantizar la seguridad de los datos.

Con más de 15 años de experiencia en asesoramiento jurídico y fiscal, los expertos contables de Upsilon Consulting le acompañan en el cumplimiento de las exigencias de la CNDP.

¿Qué es la CNDP?

La Comisión Nacional de Control de la Protección de Datos de Carácter Personal (CNDP) es la autoridad marroquí encargada de velar por el cumplimiento de la Ley 09-08 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal. Creada en 2009, está compuesta por 7 miembros nombrados por Su Majestad el Rey.

Las principales misiones de la CNDP son:

  • Recibir las declaraciones y solicitudes de autorización previas al tratamiento de datos personales
  • Informar a las personas sobre sus derechos y a los responsables de tratamiento sobre sus obligaciones
  • Realizar investigaciones y controles in situ
  • Pronunciar sanciones en caso de incumplimiento

Ámbito de aplicación de la Ley 09-08

La Ley 09-08 se aplica al tratamiento de datos de carácter personal, automatizado total o parcialmente, así como al tratamiento no automatizado de datos contenidos o destinados a figurar en ficheros manuales.

¿Qué es un dato de carácter personal?

Toda información, de cualquier naturaleza, relativa a una persona física identificada o identificable. Ejemplos: nombre, apellido, dirección, número de CIN, dirección de correo electrónico, número de teléfono, datos de geolocalización, dirección IP.

¿Qué son los datos sensibles?

Los datos sensibles gozan de una protección reforzada. Se trata de datos que revelan:

  • El origen racial o étnico
  • Las opiniones políticas, las convicciones religiosas o filosóficas
  • La pertenencia sindical
  • La salud, incluidos los datos genéticos
  • Los datos biométricos

El tratamiento de datos sensibles está en principio prohibido, salvo en casos limitados previstos por la ley (consentimiento explícito, necesidad de salvaguardar la vida, tratamiento por una asociación religiosa, política o sindical, etc.).

Obligaciones de las empresas

Finalidad y proporcionalidad

Los datos personales deben ser:

  • Recogidos para finalidades determinadas, explícitas y legítimas
  • Adecuados, pertinentes y no excesivos en relación con las finalidades
  • Exactos y actualizados
  • Conservados durante un período que no exceda el necesario para las finalidades del tratamiento

Consentimiento

El tratamiento de datos personales solo puede realizarse si la persona afectada ha expresado su consentimiento de manera inequívoca, salvo excepciones previstas por la ley (ejecución de un contrato, obligación legal, salvaguarda de la vida, misión de interés público).

Seguridad de los datos

El responsable del tratamiento debe implementar las medidas técnicas y organizativas apropiadas para proteger los datos contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizado.

Declaración y autorización previas

Antes de cualquier tratamiento de datos personales, la empresa debe:

Realizar una declaración previa ante la CNDP para los tratamientos de datos no sensibles.

Obtener una autorización previa de la CNDP para:

  • El tratamiento de datos sensibles
  • El tratamiento de datos relativos a la CIN
  • La interconexión de ficheros con finalidades principales diferentes
  • La transferencia de datos hacia un Estado que no disponga de un nivel de protección adecuado

Derechos de las personas afectadas

La Ley 09-08 consagra varios derechos fundamentales en favor de las personas cuyos datos son tratados:

Derecho a la información

Toda persona cuyos datos sean recogidos debe ser informada de: la identidad del responsable del tratamiento, la finalidad del tratamiento, los destinatarios de los datos, la existencia de un derecho de acceso y rectificación.

Derecho de acceso

Toda persona puede obtener del responsable del tratamiento la confirmación de que datos que le conciernen son o no objeto de tratamiento, así como la comunicación de los datos que le conciernen.

Derecho de rectificación

Toda persona puede exigir del responsable del tratamiento que sus datos sean rectificados, completados, actualizados, bloqueados o suprimidos.

Derecho de oposición

Toda persona puede oponerse, por motivos legítimos, al tratamiento de sus datos. También puede oponerse, sin coste alguno, a la utilización de sus datos con fines de prospección comercial.

Transferencia de datos al extranjero

La transferencia de datos personales hacia un Estado extranjero solo puede realizarse si dicho Estado garantiza un nivel de protección suficiente de la vida privada y las libertades. En su defecto, se requiere la autorización de la CNDP, que puede concederse si se presentan garantías suficientes (cláusulas contractuales tipo, normas corporativas vinculantes).

Sanciones previstas por la Ley 09-08

Sanciones administrativas

La CNDP puede pronunciar:

  • Una advertencia
  • Un requerimiento de cesar el incumplimiento en un plazo determinado
  • La retirada provisional o definitiva del recibo de declaración o de la autorización

Sanciones pecuniarias

Se prevén multas por las infracciones a la ley, cuyo importe varía según la gravedad del incumplimiento.

Sanciones penales

La Ley 09-08 prevé penas de prisión y multas para las infracciones más graves, en particular:

  • El tratamiento de datos personales sin declaración ni autorización
  • El desvío de la finalidad del tratamiento
  • La transferencia ilícita de datos al extranjero
  • La obstrucción al ejercicio de los derechos de las personas afectadas

¿Cómo cumplir con la normativa?

El cumplimiento de la Ley 09-08 es un proceso estructurado que comprende:

  1. Cartografiar el conjunto de tratamientos de datos personales de su empresa
  2. Evaluar la conformidad de cada tratamiento respecto a la ley
  3. Realizar las declaraciones y solicitudes de autorización necesarias
  4. Implementar las menciones de información, procedimientos de consentimiento y medidas de seguridad
  5. Formar a sus equipos sobre las obligaciones de protección de datos
  6. Mantener el cumplimiento en el tiempo (vigilancia regulatoria, actualizaciones)

Upsilon Consulting ofrece un acompañamiento completo al cumplimiento CNDP adaptado al tamaño y las necesidades de su empresa. Contáctenos para un diagnóstico gratuito.

Preguntas frecuentes

¿Es la CNDP equivalente a las autoridades del RGPD en Europa?

La CNDP desempeña un papel similar al de las autoridades europeas de protección de datos como la CNIL francesa. Es la autoridad independiente encargada de garantizar el cumplimiento de la legislación marroquí sobre protección de datos personales.

¿Mi empresa debe declarar obligatoriamente sus tratamientos?

Sí. Todo tratamiento de datos personales debe ser objeto de una declaración previa o una autorización previa ante la CNDP, bajo pena de sanciones penales.

¿Se aplica la Ley 09-08 a las empresas extranjeras?

Sí, desde el momento en que tratan datos personales en territorio marroquí o utilizan medios situados en Marruecos para realizar dichos tratamientos.

LEA TAMBIÉN

Creación de empresa en Marruecos

Despacho contable en Casablanca

Asesoramiento fiscal

Articulos relacionados

fiscalite

Crear una sociedad en Marruecos en 2026: guía completa por un experto contable

Crear una sociedad en Marruecos: etapas, costes, plazos y formas jurídicas (SRL, SAS, SA). Guía 2026 por un gabinete de

Leer mas →
fiscalite/is

IS en Marruecos: del resultado contable al resultado fiscal

Cómo pasar del resultado contable al resultado fiscal para el cálculo del IS en Marruecos: reintegraciones, deducciones,

Leer mas →
fiscalite/is

Cálculo del Impuesto de Sociedades en Marruecos — Guía completa 2026

Cálculo del IS en Marruecos en 2026: tipos proporcionales definitivos (20%, 35%, 40%), cotización mínima 0,25%, historia

Leer mas →
fiscalite

Retención en la fuente en Marruecos: servicios 2026

Guía 2026 sobre la retención en la fuente en Marruecos: servicios a no residentes, tipo del 10 %, convenios fiscales y o

Leer mas →

Upsilon

Consulting

Un despacho independiente, una experiencia de proximidad

Upsilon Consulting es una firma de contabilidad, auditoria y asesoria fiscal, miembro del Colegio de Expertos Contables de Marruecos. Nuestro equipo de 40+ profesionales acompana a empresas marroquies y multinacionales desde hace mas de 15 anos. Nuestro enfoque multidisciplinario y nuestra cercania con el cliente nos permiten acompanarle con rigor y reactividad.

Miembros del OEC Experiencia técnica Enfoque multidisciplinario Cercanía con el cliente

Hablemos de su proyecto

Contactenos para una consulta gratuita. Nuestros expertos responden en 24h.

Contactar +212 522 202 568
Newsletter

Mantengase al dia con las novedades fiscales

Reciba nuestros analisis, guias practicas y alertas regulatorias en su correo. Unase a +500 profesionales que confian en nosotros.

Sin spam. Baja en un clic.

Confian en nosotros

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca