Indonèsia UU PDP Consentiment de galetes: Guia de compliment per a editors
Indonèsia és el quart mercat d'internet més gran del món. Per a qualsevol editor que ofereixi contingut als seus 215 milions d'usuaris en línia, la Llei de protecció de dades personals del país — Undang-Undang Pelindungan Data Pribadi, o UU PDP — és ara el requisit de compliment més important. Promulgada l'octubre del 2022 i plenament aplicable des de l'octubre del 2024 després del tancament del període de transició de dos anys, la UU PDP es basa estretament en el GDPR però introdueix el seu propi format de consentiment específic, obligacions del responsable i règim de sancions. Aquesta guia orienta els editors sobre el que requereix la UU PDP, on divergeix dels hàbits del GDPR i com configurar un bàner de consentiment que satisfaci els reguladors indonesis.
Què cobreix la UU PDP i a qui s'aplica
La UU PDP és la primera llei integral de protecció de dades personals d'Indonèsia. Abans de la seva promulgació, les normes de protecció de dades a Indonèsia estaven disperses en regulacions sectorials — banca, telecomunicacions, comerç electrònic, sistemes electrònics. La UU PDP les consolida en un règim horitzontal únic que s'aplica a qualsevol responsable o encarregat que tracti dades personals d'interessats indonesis, independentment d'on estigui establert el responsable.
Aquest abast extraterritorial és el fet més important per als editors estrangers. Un editor situat als EUA, a la UE o a Singapur que ofereix contingut a usuaris físicament ubicats a Indonèsia queda subjecte a la UU PDP. La prova de presència és funcional, no formal: si el responsable s'adreça a usuaris indonesis — a través de contingut en Bahasa Indonesia, opcions de pagament indonèsies o publicitat dirigida geogràficament — la UU PDP s'aplica íntegrament.
L'estàndard de consentiment en virtut de l'Article 22
L'Article 22 de la UU PDP defineix el consentiment i és la pedra angular de qualsevol bàner de galetes adreçat al trànsit indonesi. L'Article exigeix que el consentiment sigui:
- Explícit — el silenci, les caselles pre-marcades i la continuació de l'ús del lloc no constitueixen consentiment. L'usuari ha de prendre una acció positiva.
- Específic — el consentiment ha d'estar vinculat a una finalitat de tractament definida. Un únic botó Accept-All que cobreix deu finalitats diferents és molt vulnerable.
- Informat — l'interessat ha de rebre, abans de donar el consentiment, la identitat del responsable, les categories de dades, les finalitats, el període de conservació, els destinataris i els seus drets.
- Documentat per escrit o registrat electrònicament — l'Article 22(3) exigeix que el responsable pugui demostrar el consentiment. Un registre de consentiment amb marca de temps associat a un identificador d'usuari codificat satisfà aquest requisit; una afirmació vaga que l'usuari va fer clic a Acceptar no ho fa.
- Revocable en condicions equivalents — la retirada ha de ser tan fàcil com el consentiment original. Un camí de rebuig que requereix tres clics mentre l'acceptació n'exigeix un no és conforme.
Els professionals reconeixeran aquests requisits: s'assignen gairebé un a un a l'Article 7 del GDPR. Les diferències estan en l'abast i l'execució, no en el concepte.
Bases jurídiques més enllà del consentiment
Com el GDPR, la UU PDP reconeix bases jurídiques diferents del consentiment per a alguns tractaments. L'Article 20 enumera sis bases jurídiques: consentiment, execució del contracte, obligació legal, interès vital, tasca pública i interès legítim. Per a la majoria d'activitats de galetes i seguiment, però, només el consentiment és realistament disponible, perquè l'excepció d'estricta necessitat per a galetes essencials per a prestar un servei sol·licitat per l'usuari és restringida i no s'estén a la publicitat ni a les analítiques.
L'excepció d'estricta necessitat
Les galetes de sessió, les galetes d'inici de sessió, les galetes de preferència d'idioma i les galetes del carret de compra queden sota l'execució del contracte o l'interès legítim amb un risc molt baix. No requereixen consentiment explícit, tot i que les seves categories han de divulgar-se igualment en l'avís de privadesa. Tot allò altre — analítiques, publicitat, retargeting, píxels de tercers, empremtes digitals — requereix consentiment de l'Article 22.
Dades de menors
L'Article 25 exigeix el consentiment parental per a qualsevol tractament de dades d'interessats menors de 18 anys. Això és més estricte que el GDPR, que estableix per defecte els 16 anys per al consentiment digital (que els estats membres poden reduir a 13). Un editor que ofereixi contingut orientat a nens en Bahasa Indonesia ha de tractar el llindar com a 18 anys i configurar un flux de verificació parental, no una casella de verificació d'autodeclaració.
Transferències de dades transfrontereres
L'Article 56 regula la transferència de dades personals fora d'Indonèsia. Un responsable pot transferir dades a un altre país només si es compleix almenys una de tres condicions: el país de destinació té un nivell adequat de protecció de dades personals comparable a la UU PDP, hi ha salvaguardes adequades o l'interessat ha donat el seu consentiment explícit a la transferència.
El Ministeri de Comunicació i Informàtica d'Indonèsia (Kominfo) encara no ha publicat una llista d'adequació. En la pràctica, els editors que transfereixen dades a jurisdiccions del GDPR, als Estats Units, a Singapur o a Austràlia es basen en salvaguardes adequades — normalment clàusules contractuals tipus adaptades a la UU PDP, amb una clàusula vinculant que obliga els subprocessadors posteriors a respectar els drets de la UU PDP. Per als proveïdors de tecnologia publicitària que operen des de múltiples regions, el vostre acord de processament de dades ha d'especificar quines regions gestionen les dades d'usuaris indonesis i quines salvaguardes s'apliquen a cada pas.
Drets dels interessats i la finestra de 72 hores
La UU PDP atorga als interessats indonesis drets molt semblants als del GDPR: accés, rectificació, supressió, oposició al tractament, portabilitat de dades i el dret a impugnar decisions automatitzades. Dos aspectes específics importants per als editors.
Primer, l'Article 30 exigeix que el responsable respongui a una sol·licitud de drets en un termini raonable, que el reglament d'aplicació ha establert en tres dies hàbils per a l'acusament de rebuda i un màxim de catorze dies hàbils per a la resposta de fons. Això és més ràpid que el termini d'un mes per defecte del GDPR.
Segon, l'Article 46 exigeix notificació d'una violació de dades personals als interessats afectats i a l'Autoritat de Protecció de Dades Personals en el termini de 3 x 24 hours — és a dir, 72 hores des que el responsable en tingui coneixement. El rellotge comença quan el responsable ha confirmat la violació, no quan hauria pogut detectar-la.
Sancions i aplicació recent
El règim de sancions de la UU PDP té més mordent del que molts editors van reconèixer inicialment. L'Article 57 preveu sancions administratives de fins al 2% dels ingressos anuals. L'Article 67 to 73 preveu sancions penals de fins a sis anys de presó i multes de fins a 6.000 milions de rupiah per a les infraccions més greus, inclosa la recollida il·legal de dades personals i la divulgació il·legal.
Durant el 2025, l'aplicació es trobava en una fase de llançament tou, amb Kominfo emetent cartes d'advertiment i ordres correctives en lloc de multes. Aquesta fase va acabar a principis de 2026. La primera sanció administrativa important en virtut de la UU PDP — imposada a un operador de comerç electrònic nacional al març de 2026 per notificació d'incompliment inadequada i manca de consentiment parental en una línia de productes dirigida a menors — va marcar clarament que l'aplicació és ara activa.
Com és un bàner de editor conforme
Per a un editor que presta servei al trànsit indonesi el 2026, la configuració pràctica és:
Localitzeu el bàner a Bahasa Indonesia
El requisit de consentiment informat de l'Article 22 no es satisfà amb un bàner en anglès mostrat a un usuari que parla Bahasa. El CMP ha de detectar usuaris indonesis — per geolocalització, IP o capçalera Accept-Language — i servir el bàner, l'avís de privadesa i els controls granulars en Bahasa Indonesia.
Tracteu el consentiment com a opt-in únicament
Cap script de seguiment, publicitat ni analítiques pot activar-se abans que l'usuari hagi acceptat explícitament. Les categories pre-marcades, el consentiment implícit de la navegació continuada i els avisos "by using this site you agree" no són conformes.
Mantingueu registres de consentiment documentats
L'Article 22(3) és explícit: el responsable ha de poder aportar proves. Un registre de consentiment que associa un identificador d'usuari a una marca de temps, la versió del bàner mostrat i les opcions fetes és el document que Kominfo sol·licitarà en qualsevol auditoria o investigació de reclamació.
Feu que la retirada sigui genuïnament equivalent
Una icona de consentiment flotant persistent, un rebuig amb un sol clic a la pàgina de preferències de privadesa, o una baixa clara en qualsevol correu electrònic de recollida de dades — cadascun és una implementació raonable. Un enllaç enterrat en una política de privadesa de 4000 paraules no ho és.
Posant-ho tot junt
La UU PDP no és un clon del GDPR, però és prou propera perquè els editors amb programes de compliment europeus madurs puguin estendre la seva infraestructura de consentiment existent a Indonèsia amb ajustaments específics: localització en Bahasa, un llindar d'edat de 18 anys per al consentiment parental, la notificació de violació de 72 hores i clàusules contractuals tipus que cobreixen explícitament la UU PDP. Els editors sense aquesta infraestructura haurien de tractar la UU PDP com el detonant per construir-la. L'aplicació indonèsia és ara activa, i el cost de la solució després que comenci una investigació de Kominfo és uniformement superior al cost d'aconseguir el bàner correcte abans del llançament.