Tresoria
← Todos los artículos
Blog

La Ley 09-08 de Marruecos: proteger los datos personales y bancarios

17 de abril de 2026

Una guía clara sobre la Ley 09-08 de protección de datos personales en Marruecos: sus principios, el papel de la CNDP y lo que implica en la práctica al tratar datos bancarios y elegir un software de tesorería.

¿Qué es la Ley 09-08?

La Ley n.º 09-08 relativa a la protección de las personas físicas frente al tratamiento de datos de carácter personal es el texto de referencia en materia de privacidad digital en Marruecos. Promulgada en 2009 mediante el dahír n.º 1-09-15, establece un marco inspirado en los estándares europeos de la época y se aplica a todo tratamiento de datos personales, automatizado o manual, realizado en territorio marroquí.

Un dato de carácter personal es cualquier información relativa a una persona física identificada o identificable: nombre, dirección y teléfono, pero también datos bancarios, identificadores de cuenta o historial de transacciones. En cuanto una empresa recopila, registra, conserva o comparte esa información, se convierte en responsable del tratamiento y debe cumplir las obligaciones de la ley.

La supervisión corresponde a la CNDP, la comisión nacional de control de la protección de datos de carácter personal. Como autoridad independiente, tramita las formalidades, emite recomendaciones, controla los tratamientos y puede ser requerida por cualquier persona que considere vulnerados sus derechos.

Los principios fundamentales que hay que respetar

La Ley 09-08 se apoya en varios principios estructurales. El primero es el de finalidad: los datos solo pueden recogerse con fines determinados, explícitos y legítimos, y no deben reutilizarse de forma incompatible con dichos fines. No se recopilan datos bancarios por precaución, sino para un uso concreto y anunciado.

A ello se suman la lealtad y licitud de la recogida, la minimización (reunir solo lo estrictamente necesario), la exactitud (mantener los datos actualizados y corregirlos cuando proceda) y la limitación del plazo de conservación: una información no debe guardarse más allá del tiempo necesario para la finalidad perseguida, salvo obligaciones legales de archivo.

El consentimiento de la persona interesada constituye, en principio, la base del tratamiento, salvo excepciones previstas por la ley, como una obligación legal o la ejecución de un contrato. Por último, el responsable debe garantizar la seguridad y la confidencialidad de los datos mediante medidas técnicas y organizativas que impidan cualquier acceso no autorizado, pérdida o divulgación.

Los derechos de las personas

La ley reconoce a cada persona un conjunto de derechos exigibles al responsable del tratamiento. El derecho de información obliga a precisar, en el momento de la recogida, quién trata los datos, con qué finalidad y qué destinatarios tendrán acceso.

A ellos se añaden el derecho de acceso (confirmar que sus datos se tratan y obtener una copia), el derecho de rectificación (corregir datos inexactos o incompletos) y el derecho de oposición, por motivos legítimos, a un tratamiento concreto. En el ámbito bancario y financiero, ejercer estos derechos supone que la empresa sepa localizar con precisión los datos de una persona y corregirlos sin demora.

Trámites ante la CNDP y transferencias fuera de Marruecos

Antes de poner en marcha un tratamiento, el responsable debe, en principio, cumplir un trámite previo ante la CNDP. Según la naturaleza de los datos y la finalidad, puede tratarse de una simple declaración o de una solicitud de autorización, en particular para tratamientos que impliquen datos sensibles.

Un punto merece especial atención en el software en la nube: la transferencia de datos a un país extranjero está regulada. Exige que el país de destino garantice un nivel de protección adecuado y, en su caso, una autorización de la CNDP. Alojar datos bancarios en servidores situados fuera de Marruecos no es, por tanto, una decisión jurídicamente menor.

La ley prevé además sanciones administrativas y penales en caso de incumplimiento. Sin entrar en el detalle de las cuantías, conviene recordar que incumplir estas obligaciones expone a la empresa a acciones legales y a un daño reputacional, además del perjuicio causado a las personas.

Qué cambia para los datos bancarios y financieros

Los datos de tesorería figuran entre los más sensibles de una empresa: extractos de cuenta, datos bancarios, calendarios de pago y saldos de clientes y proveedores. Revelan la salud financiera, las relaciones comerciales y, a veces, información sobre personas físicas como directivos, empleados o clientes particulares. Por ello exigen una vigilancia reforzada.

En la práctica, esto implica limitar el acceso solo al personal autorizado, registrar las consultas, cifrar los intercambios de archivos y definir plazos de conservación coherentes. Cuando se importa un extracto bancario a una herramienta de gestión, conviene saber dónde se almacena, quién puede leerlo y cuánto tiempo se conserva.

Elegir un software de tesorería acorde con tu política de datos

El cumplimiento de la Ley 09-08 empieza por la propia organización: como responsable del tratamiento, la empresa declara sus tratamientos, informa a las personas y protege los accesos. La elección de las herramientas viene a apoyar ese esfuerzo, en especial mediante la ubicación de los datos y el control de los accesos.

Con ese espíritu, Tresoria ofrece una opción de alojamiento en Marruecos y una opción de instalación local (on-premise), para que los datos de tesorería puedan permanecer bajo el control directo de la empresa y dentro del territorio nacional. Se trata de una postura de alojamiento y organización que facilita tu cumplimiento; no sustituye las obligaciones que te corresponden: la declaración ante la CNDP, la información a las personas y la gestión de los consentimientos siguen siendo responsabilidad tuya.

En la práctica, pregunta a cualquier proveedor tres cosas sencillas: dónde se alojan los datos, quién puede acceder a ellos y durante cuánto tiempo se conservan. Alineadas con los principios de la Ley 09-08, estas preguntas suelen bastar para distinguir a un socio serio de una solución que lo es menos.

Ve Tresoria en tus propias cuentas

Una demo de treinta minutos, con tus extractos. Sin compromiso.

Solicitar demo