DIFC Authority опубликовал Consultation Paper No.3 of 2026 — пакет амендментов к Data Protection Regulations под AI-эпоху. Сегодня, 18 июля 2026 года, — последний день 30-дневного публичного окна для комментариев. Изменения касаются всех компаний DIFC, которые обрабатывают персональные данные с помощью AI-систем.
Что именно предлагает DIFC
Три блока изменений: усиленная Regulation 10 по privacy by design для AI, новая Regulation 11 о признании сертификаций и уточнённая роль Autonomous Systems Officer.
По данным DIFC Authority, публикация Consultation Paper состоялась 18 июня 2026 года. Публичный consultation period — 30 дней. Финализация правил и effective date в анонсе не указаны — впереди раунд обработки комментариев и отдельное объявление даты вступления в силу.
- Regulation 10 — усиление ожиданий по «safe, ethical and privacy by design» разработке AI-систем в AI-native юрисдикции.
- Regulation 11 (новая) — Commissioner of Data Protection получает полномочия признавать accreditation and certification frameworks.
- Роль ASO (Autonomous Systems Officer) — уточнены требования сертификации и границы функций.
Regulation 10: AI-native jurisdiction на практике
Regulation 10 требует, чтобы защита персональных данных была встроена в архитектуру AI-систем DIFC, а не добавлена сверху в виде compliance-панели.
DIFC позиционирует себя как AI-native jurisdiction — юрисдикция, где регуляторика не догоняет технологии, а закладывается в них изначально. Для бизнеса это означает простое: privacy by design перестаёт быть best practice и становится проверяемым требованием.
Что меняется на уровне ежедневных решений:
- Data Protection Impact Assessment для AI-систем готовится до внедрения, а не постфактум.
- Логика обучения моделей, минимизация данных, retention policy — всё документируется.
- Ethical review встраивается в цикл разработки, а не сводится к формальной галочке.
Regulation 11: сертификация и аккредитация
Новая Regulation 11 даёт Commissioner of Data Protection право официально признавать сторонние сертификационные и аккредитационные схемы AI-compliance.
Для рынка это открывает формальный путь легитимации. Аккредитационные органы смогут добиваться признания своих frameworks в DIFC. Компании — использовать сертификации как аргумент в диалоге с регулятором, клиентами и партнёрами.
| Кому это выгодно | В чём польза |
|---|---|
| DIFC-компаниям | Быстрее подтверждают AI-compliance через признанные схемы |
| Certification bodies | Официальный путь легитимации frameworks в регионе MENASA |
| Клиентам и партнёрам | Единый язык доверия при работе с персональными данными |
Роль ASO — новый функционал compliance
Autonomous Systems Officer — назначаемая фигура внутри DIFC-компании, отвечающая за compliance AI-систем и работающая как точка контакта с Commissioner по AI-вопросам.
Роль ASO появилась в регуляторике DIFC раньше, но её контуры оставались размытыми. Consultation Paper даёт greater clarity — по формулировке самого DIFC Authority. Речь идёт о ясности по требованиям сертификации и границам ответственности офицера.
Что стоит понимать бизнесу:
- ASO — не декоративная позиция. Это компетентная роль с прямой ответственностью за AI-контур защиты данных.
- Требования к квалификации и сертификации ASO будут структурированы отдельно.
- Для компаний DIFC, разрабатывающих или использующих AI-системы для обработки персданных, назначение ASO становится центральным элементом compliance-архитектуры.
Что делать бизнесу DIFC уже сейчас
Не ждать effective date. Инвентаризовать AI-системы, определить кандидата на роль ASO и подтянуть privacy-by-design документацию до финализации амендментов.
Даже сегодняшний дедлайн — это только конец публичного обсуждения. Финализация правил и дата вступления в силу впереди, но подготовка занимает недели. Практический план:
- Инвентаризация. Собрать перечень всех AI-систем, обрабатывающих персональные данные — включая внешние SaaS-сервисы и модели, вызываемые через API.
- Gap-анализ. Сверить текущие DPIA, retention и минимизацию данных с обновлёнными ожиданиями Regulation 10.
- ASO. Определить кандидата на роль Autonomous Systems Officer — внутреннего сотрудника или внешнего специалиста.
- Сертификации. Отслеживать, какие accreditation frameworks Commissioner начнёт признавать после вступления Regulation 11 в силу.
- Комментарии. Если у компании есть техническая или юридическая позиция — подать её до конца сегодняшнего дня.
Как заявил Jacques Visser, Chief Legal Officer DIFC Authority:
«DIFC is pleased to launch this consultation on the proposed amendments to the DIFC Data Protection Regulations. As the use of AI and data-driven systems continues to develop, it is important that the regulatory framework remains practical, clear and able to respond to the way these technologies are being used.»
Атрибуция и следующие шаги
Первоисточник — официальный newsroom DIFC Authority от 18 июня 2026 года. Финализация амендментов и дата вступления в силу будут объявлены отдельно.
После 18 июля DIFC Authority соберёт полученные комментарии, доработает финальную редакцию Regulations и опубликует effective date. DIFC-компаниям разумно заложить в план ближайшие 3–6 месяцев на подготовку — от полноценного gap-анализа до сертификации.
Garant Business Consultancy отслеживает финализацию Consultation Paper No.3 of 2026 и готова помочь DIFC-компаниям с подготовкой к новой редакции — от gap-анализа до назначения ASO и выбора сертификационной схемы.


