Guia de compliment normatiu sobre consentiment de galetes per a editors: esmena Malaysia PDPA 2024 el 2026
La Llei de protecció de dades personals de Malàisia de 2010, quan va entrar en vigor el 2013, era un dels primers estatuts integrals de privadesa al sud-est asiàtic. Durant la primera dècada, l'estàndard operatiu era relativament lleuger: el Personal Data Protection Department (JPDP, ara PDP) gestionava un règim de registre actiu per als usuaris de dades en set categories d'activitat cobertes, però l'aplicació contra els operadors en línia generals era moderada i l'estàndard de consentiment s'interpretava àmpliament com a permissiu. La Llei d'esmena de 2024, que va rebre Royal Assent l'October 2024 i va entrar en vigor per etapes durant el 2025, va canviar substancialment aquesta postura. L'esmena va introduir delegats de protecció de dades obligatoris per als responsables que superin determinats llindars, notificació obligatòria de bretxes en 72 hores, el dret a la portabilitat de les dades, un regulador rebatejat amb autoritat d'aplicació més nítida, i va reafirmar els requisits de transferència transfronterera que s'havien implementat ambiguament sota la Llei original. Per als editors i operadors SaaS que atenen trànsit malasià —un mercat que inclou un dels ecosistemes de fintech i economia digital més actius de l'ASEAN— el PDPA esmenat representa un canvi operatiu significatiu. Aquesta guia analitza els canvis del 2024, com ha interpretat el PDP l'estàndard de consentiment esmenat per al seguiment en línia i on ha de centrar-se el treball pràctic de compliment.
El PDPA el 2026 — Visió general posterior a l'esmena
El PDPA esmenat continua estructurant-se al voltant dels set principis de la Section 5: General, Avís i elecció, Divulgació, Seguretat, Retenció, Integritat de les dades i Accés. El principi d'avís i elecció de la Section 7 és el més determinant per al consentiment de galetes, i exigeix als usuaris de dades que proporcionin avís escrit en anglès i en Bahasa Malaysia i que obtinguin consentiment (o que s'acullin a un motiu alternatiu de la Section 6) abans de tractar les dades.
Tres canvis estructurals de l'esmena del 2024 importen operativament als editors en línia. En primer lloc, el Personal Data Protection Department rebatejat ara té autoritat explícita per imposar sancions administratives vinculades a un percentatge dels ingressos anuals, en substitució de l'antic règim de multes fixes. En segon lloc, la designació obligatòria de DPO en virtut de la Section 12A s'aplica als responsables que superen els llindars definits — la majoria d'editors amb suport publicitari i operadors SaaS superen aquests llindars. En tercer lloc, la nova Section 12B exigeix notificar al PDP una bretxa en 72 hores des que se n'és conscient, i cal notificar als interessats afectats quan és probable que es produeixi un dany significatiu.
Com tracta el PDPA esmenat les galetes i el seguiment en línia
El PDPA no conté cap disposició específica sobre galetes. Les obligacions de consentiment i informació deriven de les Sections 5, 6 i 7 de la Llei i del 2025 Public Consultation Paper on Online Tracking del PDP, que va articular les expectatives del regulador posteriores a l'esmena sobre els bàners de galetes i la publicitat conductual. Quatre punts tenen el màxim impacte operatiu.
Consentiment afirmatiu per al seguiment no essencial
El Document de consulta de 2025 va rebutjar el consentiment implícit, l'ús continuat i les caselles pre-marcades com a incompliments del principi d'avís i elecció quan s'interpreten en el context en línia. Cal una acció afirmativa explícita per a les galetes no essencials, cosa que alinea la pràctica malasiana amb la posició del EDPB Cookie Banner Taskforce.
Requisit d'avís bilingüe
La Section 7(3) exigeix que l'avís de privadesa i el mecanisme de consentiment estiguin disponibles en anglès i en Bahasa Malaysia. Aquesta era una característica de la Llei original que l'esmena va reafirmar; el PDP és cada vegada més explícit que els bàners en un sol idioma en anglès no compleixen el requisit per a les audiències que atenen residents malaisians.
Controls de categories granulars
El Document de consulta espera que els bàners permetin a l'usuari acceptar i rebutjar categories de manera independent. Un bàner d'acceptar tot amb un sol botó sense granularitat es considera un defecte en la lectura de proporcionalitat de la Section 5(c) (la recollida no ha de ser "excessiva").
Transferència transfronterera (Section 129)
La Section 129 del PDPA original exigia que les transferències transfrontereres fossin a un destinatari en un país "inclòs a la llista blanca" (una llista que el ministre havia de mantenir però que mai va publicar de manera efectiva). L'esmena del 2024 la substitueix per un marc més operatiu: les transferències poden continuar cap a jurisdiccions amb protecció comparable, o amb garanties contractuals adequades, o amb consentiment explícit. El PDP ha emès clàusules contractuals model similars a les EU SCCs.
La postura del PDP en matèria d'aplicació el 2026
La postura posterior a l'esmena del Personal Data Protection Department difereix del seu enfocament anterior en tres maneres observables.
Inspeccions sectorials actives
El PDP ha prioritzat els sectors de fintech, comerç electrònic i préstecs digitals per a inspeccions proactives des que va entrar en vigor l'esmena. Aquestes inspeccions solen començar amb una auditoria de registre i escalen a una inspecció més àmplia si el registre no és vigent.
Multes d'alt perfil
El nou règim de sancions administratives ha produït multes més grans i més visibles públicament que l'antic model de multes fixes. Diversos operadors de telecomunicacions i fintech van rebre multes de vuit xifres en ringgit el 2025, que el PDP ha utilitzat per comunicar que l'esmena té abast real.
Coordinació reguladora a l'ASEAN
El PDP participa en el grup de treball de l'ASEAN Data Management Framework i es coordina amb el PDPC de Singapur, el PDPC de Tailàndia i el NPC de Filipines. Les investigacions transfrontereres que involucren trànsit malasià i d'altres membres de l'ASEAN es gestionen cada vegada més mitjançant procediments coordinats.
Una llista de verificació pràctica de compliment
Sis preguntes concretes que cal respondre per a qualsevol bàner de galetes que atengui trànsit malasià.
- El responsable està registrat al PDP? Si el tractament entra en una categoria coberta, confirmeu que el registre és vigent. L'esmena del 2024 va ampliar l'abast pràctic del registre.
- Hi ha un DPO designat? La Section 12A exigeix la designació per sobre dels llindars. Confirmeu que la designació està documentada i que les dades de contacte del DPO es publiquen a l'avís de privadesa.
- L'avís és bilingüe? L'anglès i el Bahasa Malaysia són tots dos obligatoris en virtut de la Section 7(3).
- Hi ha un rebuig explícit al primer nivell? El camí de rebuig ha d'estar a la mateixa superfície que l'acceptació. El desplaçament com a consentiment no supera el Document de consulta de 2025.
- Les transferències transfrontereres estan documentades? Identifiqueu cada destinació fora de Malàisia i el mecanisme de la Section 129 que autoritza la transferència.
- La resposta a bretxes està configurada? Confirmeu que els incidents relacionats amb galetes activen el flux de treball de notificació de la Section 12B amb un rellotge de 72 hores des que se n'és conscient.
El lloc de Malàisia en un entorn multijurisdiccional
Malàisia és un dels quatre règims de protecció de dades operativament més rellevants de l'ASEAN, juntament amb Singapur, Tailàndia i Filipines. L'esmena del 2024 va tancar la major part de la bretxa entre el PDPA original i el GDPR, cosa que significa que una arquitectura CMP construïda amb estàndards europeus ara gestiona la major part del compliment malasià amb tres addicions específiques: bàner i avís bilingüe (anglès + Bahasa Malaysia), registre al PDP on s'apliquen els llindars de categoria coberta, i el flux de treball de notificació de bretxes de la Section 12B amb el seu rellotge de 72 hores. Per als editors que construeixen cap a operacions panASEAN, el PDPA posterior a l'esmena és una plantilla significativa —és probable que les lleis regionals més recents s'inspirin en la seva estructura— i les addicions operatives són tractables a sobre d'una pila de consentiment de grau europeu ja desplegada.