Guia de compliment del consentiment de cookies de la Llei de privacitat de dades de Filipines 2012 per a editors el 2026

Filipines va aprovar la seva Data Privacy Act el 2012, quatre anys abans que s'adoptés el GDPR i en un moment en què la majoria de jurisdiccions asiàtiques encara operaven sense una legislació integral de privacitat. La Republic Act 10173 va crear la National Privacy Commission (NPC) com a organisme independent i va dotar el país d'un dels primers marcs de l'estil del GDPR a l'Àsia del Sud-est. L'estructura de la Llei ha resistit notablement bé: els seus principis bàsics, les bases legals i el marc de drets s'alineen clarament amb l'estàndard europeu, però els detalls operatius s'han actualitzat àmpliament mitjançant circulars de la NPC i no pas per esmena legislativa. Per als editors i operadors de SaaS que serveixen trànsit filipí, això significa que la pròpia Llei és el text constitucional d'alt nivell, però les circulars de la NPC sobre consentiment, notificació de bretxes, tractament d'informació personal sensible i el 2024 Advisory sobre seguiment en línia són on viuen els estàndards operatius en la pràctica. Aquesta guia explica el que requereix la Llei, com l'NPC l'ha interpretat per al seguiment en línia i on cal centrar la feina pràctica de compliment el 2026.

La Data Privacy Act en perspectiva

La Data Privacy Act s'estructura al voltant de cinc principis generals a la Section 11 —transparència, propòsit legítim, proporcionalitat i tractament adequat— i un marc més detallat per als criteris de tractament lícit a la Section 12. Les bases legals reflecteixen el GDPR: consentiment, contracte, obligació legal, interessos vitals, funció pública i interès legítim. La Llei té abast extraterritorial en virtut de la Section 6: s'aplica al tractament d'informació personal d'un ciutadà o resident filipí independentment d'on estigui establert el responsable, la qual cosa inclou els editors estrangers que serveixen trànsit filipí.

Dues característiques estructurals són operativament rellevants. En primer lloc, la Llei distingeix entre "informació personal" i "informació personal sensible" (Section 3, paràgrafs (g) i (l)) i aplica normes de tractament més estrictes a la segona: la informació de salut, educació, financera i els identificadors emesos per l'govern s'identifiquen com a sensibles en virtut de la Section 3(l). En segon lloc, la Section 21 exigeix que els responsables i encarregats del tractament d'informació personal que superin determinats llindars es registrin davant la NPC i designin un Delegat de Protecció de Dades DPO. La NPC ha perseguit activament els responsables no registrats.

Com tracta la Data Privacy Act les cookies i el seguiment en línia

La Llei no conté cap disposició específica sobre cookies. Les obligacions de consentiment i informació deriven de les Sections 11, 12 i 16 de la Llei i del 2024 Advisory de la NPC sobre seguiment en línia i publicitat conductual. El Advisory és un document útil perquè articula les expectatives explícitament en lloc de deixar-les a la inferència del marc general.

Consentiment afirmatiu per al seguiment no essencial

La posició de la NPC és que el consentiment ha de ser lliure, específic, informat i acreditat per un registre escrit o electrònic. El 2024 Advisory rebutja el desplaçament com a consentiment i la continuació de l'ús com a consentiment per no complir els requisits de "específic" i "informat" de la Section 3(b). Les caselles marcades prèviament es tracten explícitament com a defectuoses.

Controls de categoria granulars

El Advisory espera que els banners permetin a l'usuari acceptar i rebutjar categories de manera independent. L'acceptar-tot agrupat sense granularitat incompleix el principi de proporcionalitat de la Section 11(d), que exigeix que el tractament sigui "adequat, rellevant, adequat, necessari i no excessiu": un sol consentiment agrupat es considera excessiu quan la separació és tècnicament senzilla.

El DPO i el requisit de registre

Per als responsables que superen el llindar de registre, la designació del DPO és un requisit operatiu significatiu, no un exercici de paper. La NPC ha citat l'absència d'un DPO degudament designat en diverses actuacions d'execució, especialment en els sectors BPO i fintech.

Transferència transfronterera (Section 21)

El marc de transferència transfronterera de la Llei s'implementa a través de la NPC Circular 16-02 sobre Acords d'Externalització i el principi de responsabilitat proactiva. Les transferències a destinataris no filipins requereixen salvaguardes contractuals adequades o consentiment específic. La NPC ha emès clàusules contractuals model; l'expectativa operativa pràctica segueix el GDPR Chapter V en substància fins i tot on el llenguatge legal difereix.

La postura d'execució de la NPC

La NPC ha estat una de les autoritats de protecció de dades públicament més actives de l'Àsia del Sud-est. Tres patrons configuren el seu enfocament d'execució.

Casos de bretxes d'alta visibilitat

La NPC ha prioritzat les investigacions de bretxes a gran escala —la filtració del registre electoral de la COMELEC del 2016 n'és la més transcendent— i ha emprat aquests casos per establir expectatives per a la comunitat regulada en general. Les declaracions públiques durant les investigacions de bretxes articulen freqüentment requisits que van més enllà del text estatutari estricte.

Enfocament en BPO i fintech

Filipines és una de les economies de BPO i centre de trucades més grans del món, i la NPC s'ha centrat històricament en l'execució en aquests sectors. Per als editors que gestionen negocis recolzats per publicitat dirigits a usuaris filipins, el clima regulador entorn de l'audiència és el que determina el BPO, fins i tot quan el propi editor no és en aquell sector.

Coordinació amb els reguladors de l'ASEAN

La NPC participa en el corrent de treball del Marc de Gestió de Dades de l'ASEAN i manté relacions de treball amb el PDPC de Singapur, el PDPC de Tailàndia, l'autoritat emergent d'Indonèsia i el EDPB de la UE. Les investigacions transfrontereres que afecten trànsit filipí i europeu es gestionen cada vegada més mitjançant procediments coordinats.

Una llista de verificació de compliment pràctic

Sis preguntes concretes a respondre per a qualsevol banner de cookies que serveixi trànsit filipí.

On encaixa Filipines en una pila multijurisdiccional

Filipines és un dels quatre règims de protecció de dades operativament més rellevants de l'ASEAN, juntament amb Singapur, Tailàndia i Indonèsia. El 2012 de la Llei significa que és anterior al GDPR, però la modernització de la NPC dirigida per circulars ha alineat progressivament l'estàndard operatiu amb les normes europees. Per als editors que construeixen operacions pan-ASEAN, Filipines s'ubica al costat dels altres tres com un mercat on una arquitectura CMP construïda segons estàndards europeus gestiona la major part del compliment amb dos afegits específics: el registre a la NPC quan s'apliquen els llindars, i el nivell de consentiment d'informació sensible que distingeix el marc filipí de les alternatives regionals menys estrictes. La naturalesa en anglès del marc regulador —poc habitual a l'ASEAN— fa de Filipines un objectiu de compliment extraordinàriament accessible per als operadors estrangers que no compten amb assessoria legal local.

← Blog Llegir tot →