Protección de datos (CNDP)

Declaraciones y autorizaciones CNDP: guia practica | Upsilon Consulting

Salaheddine YatimAbdelhakim Soudi

Salaheddine Yatim, Abdelhakim Soudi

Upsilon Consulting

Compartir
Declaraciones y autorizaciones CNDP: guia practica | Upsilon Consulting

En breve: Toda empresa que trate datos personales en Marruecos debe realizar una declaracion u obtener una autorizacion ante la CNDP. Esta guia detalla los pasos, documentos requeridos, plazos legales y casos de exencion conforme a la Ley 09-08.

Introduccion: por que declarar sus tratamientos ante la CNDP?

La Commission Nationale de controle de la protection des Donnees a caractere Personnel (CNDP) es la autoridad marroqui de proteccion de datos, encargada de hacer cumplir la Ley 09-08 relativa a la proteccion de las personas fisicas respecto al tratamiento de datos personales. Toda empresa, asociacion u organismo publico que recopile, almacene o utilice datos personales esta sujeto a su jurisdiccion.

No cumplir con las obligaciones de declaracion o autorizacion expone a la empresa a sanciones penales y multas de hasta 300.000 MAD, e incluso penas de prision. Comprender la diferencia entre declaracion y autorizacion es fundamental para proteger su actividad.

Declaracion o autorizacion: cual es la diferencia?

Declaracion previa (regimen general)

La declaracion es la formalidad estandar. Se aplica a la mayoria de los tratamientos de datos personales no sensibles. Si su empresa gestiona una base de datos de clientes, archivos de nomina o un sistema de facturacion, debe presentar una declaracion previa ante la CNDP.

El principio es sencillo: usted informa a la CNDP de la existencia de su tratamiento y la Comision le emite un acuse de recibo en un plazo de 24 horas. Este acuse de recibo equivale a la autorizacion para implementar el tratamiento.

Autorizacion previa (datos sensibles)

La autorizacion es necesaria para los tratamientos que involucran datos sensibles: origenes raciales o etnicos, opiniones politicas, convicciones religiosas, afiliaciones sindicales, datos de salud, datos geneticos, datos biometricos o datos relativos a infracciones o condenas penales.

La CNDP dispone de 30 dias para pronunciarse sobre la solicitud de autorizacion. Si no hay respuesta dentro de este plazo, la autorizacion se considera denegada (el silencio equivale a rechazo).

Autorizacion para transferencias internacionales

Toda transferencia de datos personales a un pais que no ofrezca un nivel de proteccion adecuado requiere igualmente una autorizacion previa de la CNDP, conforme a los articulos 43 y 44 de la Ley 09-08.

Contenido de la declaracion (Articulo 15 de la Ley 09-08)

Cada declaracion o solicitud de autorizacion debe incluir la siguiente informacion:

  1. Identidad del responsable del tratamiento: nombre o denominacion social, direccion del domicilio social, numero del registro mercantil.
  2. Finalidad del tratamiento: objetivo preciso de la recopilacion y uso de datos (ej.: gestion de la relacion con clientes, contratacion, marketing directo).
  3. Categorias de datos tratados: nombre, apellidos, direccion, correo electronico, telefono, datos bancarios, etc.
  4. Categorias de personas afectadas: clientes, empleados, proveedores, prospectos.
  5. Destinatarios de los datos: departamentos internos, subcontratistas, socios comerciales.
  6. Transferencias internacionales: paises de destino y garantias implementadas.
  7. Plazo de conservacion: periodo durante el cual se conservaran los datos.
  8. Medidas de seguridad: dispositivos tecnicos y organizativos para proteger los datos (cifrado, control de acceso, copias de seguridad).

Procedimiento paso a paso para la declaracion

Paso 1: Mapear sus tratamientos de datos

Antes de cualquier gestion, realice un inventario de todos los tratamientos de datos personales de su empresa. Para cada tratamiento, identifique la finalidad, las categorias de datos, las personas afectadas y las medidas de seguridad implementadas.

Paso 2: Determinar el regimen aplicable

Para cada tratamiento, verifique si corresponde a una declaracion simple, una declaracion simplificada o una autorizacion previa. Los datos sensibles y las transferencias internacionales exigen sistematicamente la autorizacion.

Paso 3: Preparar el expediente

Reuna los siguientes documentos:

  • Formulario de declaracion o autorizacion (disponible en el sitio web de la CNDP)
  • Copia del registro mercantil o equivalente
  • Descripcion detallada del tratamiento segun el articulo 15
  • Politica de privacidad de la empresa
  • Medidas de seguridad implementadas

Paso 4: Presentar la solicitud

La presentacion se realiza en linea a traves de la plataforma de la CNDP (https://www.cndp.ma). Tambien puede realizar una presentacion fisica en la sede de la Comision en Rabat.

Paso 5: Obtener el acuse de recibo o la decision

  • Declaracion: acuse de recibo emitido en 24 horas.
  • Autorizacion: decision en 30 dias. Si el expediente esta incompleto, la CNDP puede solicitar documentos adicionales, lo que suspende el plazo.

Paso 6: Actualizar sus declaraciones

Toda modificacion sustancial del tratamiento (cambio de finalidad, adicion de categorias de datos, nueva transferencia internacional) debe ser objeto de una nueva declaracion o actualizacion ante la CNDP.

Exenciones de declaracion (Articulo 18)

Ciertos tratamientos estan exentos de declaracion previa:

  • Los tratamientos que involucran datos personales contenidos en registros publicos destinados a la informacion del publico y abiertos a consulta.
  • Los tratamientos realizados por una persona fisica para actividades exclusivamente personales o domesticas.
  • Los tratamientos cuya finalidad se limita al mantenimiento de un registro que, en virtud de disposiciones legislativas o reglamentarias, esta destinado a la informacion publica.

Nota importante: la exencion de declaracion no exime del cumplimiento de las demas obligaciones de la Ley 09-08, en particular los derechos de acceso, rectificacion y oposicion de las personas afectadas.

Declaraciones simplificadas (Articulo 17)

La CNDP puede establecer normas simplificadas para ciertas categorias de tratamientos que manifiestamente no atentan contra la vida privada. En ese caso, basta con una declaracion simplificada, con un formulario reducido.

Los tratamientos habituales cubiertos por las normas simplificadas incluyen generalmente:

  • Gestion de nominas y recursos humanos
  • Gestion de clientes y proveedores
  • Contabilidad general

Consulte el sitio web de la CNDP para verificar si su tratamiento es elegible para una norma simplificada.

Consejos practicos para las empresas

  1. Designe un responsable interno encargado del cumplimiento CNDP. Esta persona coordinara las declaraciones y asegurara la actualizacion de los registros.
  2. Mantenga un registro de tratamientos documentado y actualizado. Es una buena practica que facilita las inspecciones eventuales.
  3. Anticipe los plazos: no lance un nuevo tratamiento antes de obtener su acuse de recibo o autorizacion.
  4. Capacite a sus equipos en buenas practicas de proteccion de datos personales.
  5. Hagase acompanar por un experto contable o un consultor especializado para asegurar sus gestiones.

Conclusion

El cumplimiento CNDP no es opcional: es una obligacion legal que protege tanto a su empresa como a las personas cuyos datos trata. Siguiendo los pasos descritos en esta guia y asegurandose de distinguir correctamente entre declaracion y autorizacion, reduce significativamente sus riesgos juridicos.

Upsilon Consulting acompana a las empresas en todas sus gestiones de cumplimiento CNDP, desde el mapeo de tratamientos hasta la presentacion de declaraciones y solicitudes de autorizacion.

LEA TAMBIEN

CNDP y Ley 09-08: guia completa Sanciones CNDP: riesgos penales y multas Transferencia internacional de datos en Marruecos Asistencia cumplimiento CNDP

Articulos relacionados

fiscalite

Crear una sociedad en Marruecos en 2026: guía completa por un experto contable

Crear una sociedad en Marruecos: etapas, costes, plazos y formas jurídicas (SRL, SAS, SA). Guía 2026 por un gabinete de

Leer mas →
Protección de datos (CNDP)

Ley 09-08 y empresas extranjeras en Marruecos: obligaciones CNDP

Obligaciones CNDP para empresas extranjeras en Marruecos: ámbito territorial, representante, declaraciones, transferenci

Leer mas →
Protección de datos (CNDP)

Sanciones CNDP: riesgos penales y multas por incumplimiento

Desglose completo de las sanciones CNDP en Marruecos: multas de 10.000 a 300.000 MAD, penas de prisión y sanciones admin

Leer mas →
Protección de datos (CNDP)

Transferencia internacional de datos personales en Marruecos: marco jurídico y obligaciones

Marco legal de la transferencia internacional de datos personales en Marruecos: Ley 09-08, autorización CNDP, cláusulas

Leer mas →

Upsilon

Consulting

Un despacho independiente, una experiencia de proximidad

Upsilon Consulting es una firma de contabilidad, auditoria y asesoria fiscal, miembro del Colegio de Expertos Contables de Marruecos. Nuestro equipo de 40+ profesionales acompana a empresas marroquies y multinacionales desde hace mas de 15 anos. Nuestro enfoque multidisciplinario y nuestra cercania con el cliente nos permiten acompanarle con rigor y reactividad.

Miembros del OEC Experiencia técnica Enfoque multidisciplinario Cercanía con el cliente

Hablemos de su proyecto

Contactenos para una consulta gratuita. Nuestros expertos responden en 24h.

Contactar +212 522 202 568
Newsletter

Mantengase al dia con las novedades fiscales

Reciba nuestros analisis, guias practicas y alertas regulatorias en su correo. Unase a +500 profesionales que confian en nosotros.

Sin spam. Baja en un clic.

Confian en nosotros

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca