Protección de datos (CNDP)

Ley 09-08 y empresas extranjeras en Marruecos: obligaciones CNDP | Upsilon Consulting

Abdelhakim SoudiMansour Eddekkaki

Abdelhakim Soudi, Mansour Eddekkaki

Upsilon Consulting

Compartir
Ley 09-08 y empresas extranjeras en Marruecos: obligaciones CNDP | Upsilon Consulting

Resumen — Toda empresa extranjera que opera en Marruecos o utiliza medios situados en territorio marroquí está sujeta a la Ley 09-08 de protección de datos personales. Esto implica designar un representante local, presentar declaraciones ante la CNDP y obtener autorizaciones específicas para las transferencias de datos a la empresa matriz. Esta guía detalla las obligaciones concretas y los pasos a seguir para garantizar el cumplimiento.

Por qué la Ley 09-08 afecta a las empresas extranjeras

Marruecos se ha convertido en un destino privilegiado para inversores internacionales, multinacionales y empresas de nearshoring. Ya sea para implantar una filial, abrir una oficina de representación o recurrir a proveedores locales, estas empresas recopilan y tratan inevitablemente datos personales en suelo marroquí: datos de empleados, clientes, proveedores o prospectos.

La Ley 09-08, promulgada en 2009 e inspirada en el modelo europeo, regula estrictamente estos tratamientos. Ignorar estas obligaciones expone a la empresa a sanciones penales, multas y un considerable riesgo reputacional.

Ámbito de aplicación territorial (Artículo 2)

El artículo 2 de la Ley 09-08 define un ámbito de aplicación territorial amplio. La ley se aplica en dos casos principales:

Caso 1: El responsable del tratamiento está establecido en territorio marroquí. Esto cubre cualquier filial, sucursal, oficina de enlace o entidad jurídica registrada en Marruecos. Aunque la empresa matriz tenga sede en el extranjero, desde el momento en que dispone de un establecimiento en Marruecos, la ley se aplica íntegramente.

Caso 2: El responsable del tratamiento utiliza medios situados en Marruecos. Esta disposición es más sutil. Una empresa que no tiene presencia física en Marruecos pero que utiliza servidores, cookies, subcontratistas o socios comerciales situados en territorio marroquí también entra en el ámbito de la ley. Este es un punto crucial para las empresas de nearshoring y las plataformas digitales.

En ambos casos, la empresa debe designar un representante en Marruecos ante la CNDP.

La obligación de designar un representante en Marruecos

Cuando una empresa extranjera está sujeta a la Ley 09-08 sin estar directamente establecida en Marruecos, debe designar obligatoriamente un representante en territorio marroquí. Este representante actúa como punto de contacto con la CNDP y las personas afectadas por los tratamientos.

El representante puede ser una persona física o jurídica. En la práctica, las empresas suelen recurrir a su filial local, a un despacho de contabilidad o a un gabinete jurídico especializado. El representante debe estar claramente identificado en las declaraciones dirigidas a la CNDP.

Declaraciones y autorizaciones para las filiales

Toda filial de una empresa extranjera implantada en Marruecos debe cumplir con formalidades previas ante la CNDP antes de implementar sus tratamientos de datos personales.

Declaraciones previas

Los tratamientos habituales (gestión de recursos humanos, ficheros de clientes, contabilidad, facturación) requieren una declaración previa. Esta declaración describe la finalidad del tratamiento, las categorías de datos recopilados, los destinatarios y el plazo de conservación.

Autorizaciones previas

Ciertos tratamientos requieren una autorización previa de la CNDP, en particular:

  • Tratamientos relativos a datos sensibles (salud, opiniones políticas, afiliación sindical, datos biométricos)
  • Interconexión de ficheros con finalidades diferentes
  • Tratamientos que incluyan datos genéticos
  • Transferencias de datos a países que no dispongan de un nivel de protección adecuado

El plazo de instrucción por parte de la CNDP es generalmente de dos meses para las autorizaciones. Por lo tanto, es esencial anticipar estos trámites en el calendario de implantación.

Transferencias de datos a la empresa matriz (Artículos 43-44)

Este es uno de los puntos más sensibles para las empresas extranjeras. Los artículos 43 y 44 de la Ley 09-08 regulan estrictamente las transferencias internacionales de datos personales.

El principio es la prohibición de transferir datos personales a un país que no garantice un nivel de protección adecuado. La CNDP establece y actualiza la lista de países reconocidos como los que ofrecen protección suficiente.

Para transferir datos a la empresa matriz situada en un país sin protección adecuada, la empresa debe obtener una autorización específica de la CNDP. Esta autorización puede concederse si:

  • La persona afectada ha dado su consentimiento explícito
  • La transferencia es necesaria para la ejecución de un contrato
  • El responsable del tratamiento garantiza un nivel de protección suficiente mediante cláusulas contractuales o normas corporativas vinculantes (equivalente a las BCR europeas)

En la práctica, los grupos internacionales deben formalizar cláusulas contractuales tipo o políticas de privacidad intragrupo y someterlas a la CNDP para su validación.

Cloud, SaaS y alojamiento fuera de Marruecos

El uso creciente de servicios cloud y soluciones SaaS plantea desafíos particulares en el marco de la Ley 09-08. Cuando una empresa establecida en Marruecos utiliza un servicio cuyos datos están alojados en servidores situados en el extranjero, esto constituye una transferencia internacional de datos.

En la práctica, esto significa que:

  • El uso de Microsoft 365, Google Workspace, Salesforce o cualquier otro SaaS que implique alojamiento fuera de Marruecos debe evaluarse a la luz de los artículos 43-44
  • Si el país de alojamiento no figura en la lista de países con protección adecuada, se requiere autorización de la CNDP
  • El contrato con el proveedor cloud debe incluir garantías sobre la seguridad y confidencialidad de los datos
  • La empresa sigue siendo responsable del tratamiento, aunque los datos sean técnicamente gestionados por un subcontratista extranjero

Las empresas de nearshoring están particularmente expuestas, ya que su modelo operativo se basa frecuentemente en el intercambio constante de datos con clientes extranjeros y el uso de infraestructuras cloud internacionales.

Pasos prácticos para cumplir con la normativa

Estas son las gestiones concretas que una empresa extranjera debe emprender:

  1. Designar un representante en Marruecos — Identifique a una persona física o jurídica que será su interlocutor con la CNDP.

  2. Cartografiar todos los tratamientos — Realice un inventario de todos los tratamientos de datos personales efectuados por su filial o mediante medios situados en Marruecos: RRHH, nómina, clientes, proveedores, videovigilancia, marketing, etc.

  3. Efectuar las declaraciones previas — Para cada tratamiento identificado, presente la declaración correspondiente ante la CNDP.

  4. Solicitar las autorizaciones necesarias — Para datos sensibles y transferencias internacionales, prepare y presente las solicitudes de autorización.

  5. Asegurar las transferencias internacionales — Implemente cláusulas contractuales tipo o normas corporativas vinculantes para regular los flujos de datos hacia la empresa matriz.

  6. Informar a las personas afectadas — Actualice sus avisos legales, políticas de privacidad y contratos laborales para informar a las personas de sus derechos (acceso, rectificación, oposición).

  7. Formar a los equipos locales — Sensibilice a sus colaboradores marroquíes sobre las normas de protección de datos y los procedimientos internos.

Conexión con otras obligaciones de cumplimiento

El cumplimiento de la CNDP no existe de forma aislada. Se articula con otras obligaciones a las que las empresas extranjeras están sujetas en Marruecos:

  • Obligaciones fiscales: declaraciones IS, IVA, retención en la fuente sobre pagos al extranjero
  • Derecho laboral: contratos de trabajo, CNSS, medicina del trabajo
  • Obligaciones contables: llevanza de libros, estados financieros, auditoría legal

Un enfoque integrado del cumplimiento permite mutualizar esfuerzos y reducir riesgos. Por ello recomendamos a las empresas extranjeras que se rodeen de un experto contable marroquí que domine estas diferentes dimensiones.

Due diligence y adquisiciones

Para las empresas que contemplan adquirir una sociedad marroquí, el cumplimiento de la CNDP es un elemento esencial de la due diligence. La ausencia de declaraciones o autorizaciones puede constituir un pasivo oculto significativo, con riesgos de sanciones penales de hasta un año de prisión y 300.000 MAD de multa.

Antes de cualquier adquisición, es indispensable verificar el registro de tratamientos declarados, las autorizaciones obtenidas y la conformidad de las transferencias internacionales de datos.

Cómo Upsilon Consulting le acompaña

Nuestro despacho acompaña a las empresas extranjeras en el conjunto de sus gestiones de cumplimiento en Marruecos, desde la creación de la filial hasta el cumplimiento de la CNDP, pasando por las obligaciones fiscales y sociales. Actuamos como representante CNDP y aseguramos el seguimiento de sus declaraciones y autorizaciones.

Contáctenos para un diagnóstico personalizado de su situación.

LEA TAMBIÉN

CNDP y Ley 09-08: guía completa

Declaraciones y autorizaciones CNDP

Sanciones CNDP: riesgos penales y multas

Articulos relacionados

fiscalite

Crear una sociedad en Marruecos en 2026: guía completa por un experto contable

Crear una sociedad en Marruecos: etapas, costes, plazos y formas jurídicas (SRL, SAS, SA). Guía 2026 por un gabinete de

Leer mas →
Protección de datos (CNDP)

Sanciones CNDP: riesgos penales y multas por incumplimiento

Desglose completo de las sanciones CNDP en Marruecos: multas de 10.000 a 300.000 MAD, penas de prisión y sanciones admin

Leer mas →
Protección de datos (CNDP)

Transferencia internacional de datos personales en Marruecos: marco jurídico y obligaciones

Marco legal de la transferencia internacional de datos personales en Marruecos: Ley 09-08, autorización CNDP, cláusulas

Leer mas →
Protección de datos (CNDP)

Declaraciones y autorizaciones CNDP: guia practica para empresas

Guia completa de declaraciones y autorizaciones CNDP en Marruecos. Procedimientos, documentos, plazos y exenciones para

Leer mas →

Upsilon

Consulting

Un despacho independiente, una experiencia de proximidad

Upsilon Consulting es una firma de contabilidad, auditoria y asesoria fiscal, miembro del Colegio de Expertos Contables de Marruecos. Nuestro equipo de 40+ profesionales acompana a empresas marroquies y multinacionales desde hace mas de 15 anos. Nuestro enfoque multidisciplinario y nuestra cercania con el cliente nos permiten acompanarle con rigor y reactividad.

Miembros del OEC Experiencia técnica Enfoque multidisciplinario Cercanía con el cliente

Hablemos de su proyecto

Contactenos para una consulta gratuita. Nuestros expertos responden en 24h.

Contactar +212 522 202 568
Newsletter

Mantengase al dia con las novedades fiscales

Reciba nuestros analisis, guias practicas y alertas regulatorias en su correo. Unase a +500 profesionales que confian en nosotros.

Sin spam. Baja en un clic.

Confian en nosotros

PfizerAlstomDrägerCFAO MotorsCDG CapitalBourse de Casablanca