Guia de compliment normatiu del consentiment de galetes Hong Kong PDPO per a editors el 2026

La Personal Data (Privacy) Ordinance (PDPO) de Hong Kong és un dels estatuts de privadesa més antics d'Àsia, havent entrat en vigor el 1996. Durant la major part de la seva vida, el PDPO va ocupar una posició estranya: estructuralment sòlid, però evolucionant lentament a través de la interpretació en lloc d'esmenes. El Privacy Commissioner for Personal Data (PCPD) ha estat el motor actiu d'aquesta evolució, publicant notes d'orientació que han alineat progressivament l'estàndard operatiu de Hong Kong amb les normes europees mentre la legislació subjacent ha canviat menys dramàticament que a Singapur, Austràlia o fins i tot Mainland China. Les esmenes del 2021 van abordar específicament el doxxing, però el règim de privadesa més ampli continua operant sota el marc original del PDPO tal com s'interpreta a través de gairebé tres dècades de guia del PCPD. Per als editors i operadors SaaS que atenen trànsit de Hong Kong — un mercat que inclou una de les concentracions més grans d'activitat de serveis financers d'Àsia i una part significativa del comerç electrònic regional — el panorama de compliment del PDPO el 2026 és el d'un regulador madur, estàndards moderadament estrictes i documents d'orientació inusualment clars. Aquest article analitza el que requereix el PDPO, on el PCPD ha aplicat el marc al seguiment en línia i les implicacions operatives per al disseny de pancartes de galetes.

El PDPO en esquema

El PDPO s'organitza al voltant de sis Data Protection Principles (DPPs) que regulen la recollida, la precisió, la retenció, l'ús, la seguretat i l'obertura de les dades personals. Els principis precedeixen el GDPR en gairebé dues dècades i utilitzen una terminologia una mica diferent, però els estàndards substantius han convergit a través de la interpretació. DPP1 (finalitat i manera de recollida), DPP3 (ús de les dades personals) i DPP5 (informació generalment disponible) són els principis més directament rellevants per al seguiment en línia.

L'Ordenança s'aplica a qualsevol usuari de dades — el terme de Hong Kong per al que el GDPR anomena controlador — que controla la recollida, la retenció, el tractament o l'ús de les dades personals. L'abast territorial ha estat una àrea controvertida: el PDPO és anterior a les doctrines extraterritorials, i el PCPD ha adoptat històricament una visió més conservadora que l'EDPB sobre l'aplicació offshore. A la pràctica, el PCPD afirma jurisdicció sobre operadors offshore que s'adrecen a residents de Hong Kong o processen dades de Hong Kong amb nexe suficient, i els operadors que atenen trànsit de Hong Kong haurien de planificar com si s'apliqués l'abast extraterritorial.

Com tracta el PDPO les galetes i el seguiment en línia

El PDPO no conté cap disposició específica de galetes; les obligacions de consentiment i informació deriven dels DPPs i de la Nota d'Orientació del PCPD de 2022 sobre seguiment en línia i publicitat conductual. L'Orientació és un dels documents més clars sobre el compliment de galetes asiàtiques i articula expectatives que s'alineen estretament amb la posició del grup de treball EDPB Cookie Banner Taskforce.

Consentiment afirmatiu per al seguiment no essencial

La posició del PCPD és que el consentiment ha de ser explícit per al seguiment no essencial. El consentiment implícit, l'ús continuat i les caselles prèviament marcades no satisfan el requisit «específic i informat» del DPP1 quan s'interpreta en el context en línia. La Nota d'Orientació cita específicament el desplaçament com a consentiment com a patró defectuós.

Controls de categoria granulars

Les pancartes han de permetre a l'usuari acceptar i rebutjar categories de manera independent. L'Orientació tracta el botó únic d'acceptació de tot sense un equivalent de rebuig com un defecte estructural, i identifica l'etiquetatge incorrecte de les galetes de màrqueting com a estrictament necessàries com una infracció separada.

Contingut de l'avís de privadesa

El DPP5 ha estat històricament un dels principis aplicats de manera més activa. Els avisos de privadesa han d'identificar l'usuari de les dades, les finalitats, els destinataris (inclosos els destinataris de transferències), el marc de drets sota DPP6 (accés i correcció) i un punt de contacte per a consultes. El PCPD ha estat explícit que els avisos genèrics de text estandarditzat no compleixen el DPP5 — la divulgació ha de reflectir el tractament real.

Transferència transfronterera (Section 33)

La Section 33 del PDPO regula les transferències transfrontereres i ha estat, durant la major part de la història de l'Ordenança, la característica més inusual del règim: la secció es va aprovar el 1995 però mai ha entrat en vigor pel Secretari. El PCPD ha emès no obstant clàusules contractuals model i tracta les salvaguardes d'estil Section 33 com a pràcticament necessàries per a les transferències a jurisdiccions fora de Hong Kong. L'estatus legal és ambigu — la Section 33 és llei però no operativa — però l'expectativa operativa segueix el Chapter V del GDPR.

La postura d'aplicació del PCPD

El PCPD opera amb un estil d'aplicació distintiu que difereix de les grans APD europees de tres maneres observables.

Ús intensiu d'investigacions de compliment

L'eina principal d'aplicació del PCPD és la investigació de compliment, que culmina en un avís d'aplicació en lloc d'una multa. Els avisos requereixen mesures correctives en un termini establert i normalment es resolen sense penalització monetària. Existeixen sancions civils però s'han utilitzat amb parsimònia.

Comentaris públics com a senyal d'aplicació

El PCPD publica informes d'investigació detallats per a casos d'alt perfil que funcionen com a jurisprudència en absència de multes fermes que establissin precedents. Els operadors llegeixen aquests informes amb atenció perquè articulen expectatives específiques que poden no aparèixer en les orientacions formals.

Coordinació amb el Continent

Les investigacions transfrontereres que impliquen flux de dades de Hong Kong i Mainland China s'estan gestionant cada cop més a través de procediments coordinats amb la Cyberspace Administration of China. L'abast extraterritorial del PIPL i la posició de Hong Kong en el marc econòmic de la Greater Bay Area fan que aquesta coordinació sigui més operativament conseqüent del que seria a la majoria de jurisdiccions.

Una llista de verificació pràctica de compliment

Sis preguntes concretes a respondre per a qualsevol pancarta de galetes que atengui trànsit de Hong Kong.

On encaixa Hong Kong en una pila de múltiples jurisdiccions

Hong Kong és el règim de protecció de dades més madur de la Greater China i serveix com a punt d'entrada de facto per als fluxos de dades transfrontereres entre Mainland China i la resta del món. Per als editors que avancen cap a operacions panàsia, el PDPO es troba al costat del PDPA de Singapur, el APPI del Japó i el PIPA de Corea del Sud com els quatre règims asiàtics més operativament conseqüents. El PDPO és el més permissiu dels quatre sobre el paper però el més exigent en qualitat de documentació, perquè l'estil d'aplicació impulsat per investigació del PCPD fa que un avís de privadesa ben redactat sigui la línia de defensa individual més forta. Una arquitectura CMP construïda segons estàndards europeus gestiona el gruix del compliment de Hong Kong amb dues addicions: suport lingüístic en Traditional Chinese i el patró de documentació de transferències transfrontereres que implica la Section 33 fins i tot quan no és formalment vigent. Per als operadors que atenen Hong Kong des de l'exterior, la postura pràctica és tractar la Nota d'Orientació de 2022 del PCPD com el document autoritzat i dissenyar contra els seus patrons de fallada específics en lloc del text antic del PDPO únicament.

← Blog Llegir tot →