Guia de compliment de consentiment de cookies de la PDPA de Sri Lanka: Act No. 9 of 2022 en vigor per a editors el 2026

Sri Lanka va passar més d'una dècada en el procés legislatiu abans que la seva Llei de Protecció de Dades Personals fos finalment promulgada com a Act No. 9 of 2022, certificada pel Speaker el 19 March 2022. La Llei adopta l'àmplia arquitectura que s'ha convertit en l'estàndard global des del GDPR — limitació de finalitat, base jurídica, drets dels interessats, responsabilitat, controls de transferència transfronterera, notificació de bretxes i un regulador independent amb poders de sancions administratives — però els incorpora en un règim adaptat a les realitats comercials i constitucionals del sud d'Àsia. La Llei va entrar en vigor per fases des del 17 March 2023, amb les obligacions substantives activant-se 18 mesos després i les disposicions d'aplicació implementades progressivament al llarg del 2025 i fins al 2026. Per als editors i qualsevol altra entitat que tracti dades personals de persones a Sri Lanka, la implicació és directa: una postura de consentiment de cookies que satisfeia el mosaic anterior de normes sectorials ja no és suficient, i una postura que satisfà el GDPR satisfarà el PDPA només si la integració està configurada per als punts específics on els dos règims divergeixen.

Què exigeix realment la PDPA de Sri Lanka

La PDPA s'aplica al tractament de dades personals d'interessats que es troben a Sri Lanka, independentment d'on es trobi el responsable o l'encarregat, i als responsables i encarregats establerts a Sri Lanka independentment d'on es trobin els interessats. L'abast extraterritorial reflecteix l'article 3 del GDPR i significa que un editor sense oficina a Sri Lanka però amb lectors, instal·lacions d'aplicacions o clients de pagament de Sri Lanka es troba directament en l'àmbit d'aplicació. Les dades personals es defineixen àmpliament com qualsevol informació relativa a una persona física viva identificada o identificable, amb dades de categories especials — incloses biomètriques, genètiques, financeres, de salut, racials, ètniques, creences religioses, opinions polítiques i antecedents penals — tractades sota normes més estrictes.

La Llei estableix set principis bàsics de protecció de dades, sis bases jurídiques per al tractament, el conjunt estàndard de drets dels interessats — accés, rectificació, supressió, limitació, oposició i portabilitat de dades on sigui tècnicament viable — i un regulador, la Data Protection Authority of Sri Lanka, amb la facultat d'emetre directives, imposar sancions administratives de fins a LKR 10 milions per infracció i remetre qüestions greus a la fiscalia.

Com tracta la PDPA específicament el consentiment de cookies

La PDPA no conté una disposició separada d'estil ePrivacy sobre les cookies, de la manera que fa la Directiva ePrivacy de la UE. En canvi, incorpora el tractament de cookies al marc general de consentiment d'estil GDPR: qualsevol tractament de dades personals que es basi en el consentiment com a base jurídica s'ha d'obtenir sobre la base d'un acte afirmatiu clar mitjançant el qual l'interessat manifesti el seu acord, lliurement atorgat, específic, informat i inequívoc. L'APD ha indicat, de manera coherent amb la tendència global, que les caselles prèviament marcades, el llenguatge de navegació continuada i els bàners de consentiment agrupat no són formes vàlides de consentiment en virtut de la Llei.

L'efecte pràctic és la mateixa postura que els editors que operen a l'EEE ja mantenen: les cookies i les tecnologies anàlogues d'emmagatzematge i accés que no són estrictament necessàries per prestar el servei no s'han d'establir abans que l'usuari les hagi acceptat activament. Les cookies estrictament necessàries — identificadors de sessió, continguts del carret, tokens de seguretat, cookies d'equilibri de càrrega — es poden establir sense consentiment perquè s'inclouen en la base d'interès legítim vinculada al servei que l'usuari ha sol·licitat activament. Tot allò demés, incloses analítiques, publicitat, personalització, proves A/B, reproducció de sessions i qualsevol etiqueta de tercers, requereix consentiment previ.

Com difereix la PDPA del GDPR

Tres diferències són importants per a la capa d'integració. En primer lloc, el catàleg de bases jurídiques de la PDPA inclou una base d'interès públic i una d'obligació legal que s'assimilen a l'article 6 del GDPR però no inclou la base d'interès legítim autònom en la forma en què els editors europeus s'hi recolzen per al tractament de mesures publicitàries. L'equivalent de la PDPA és més estret, requerint una prova de ponderació documentada que s'arxiva amb el registre de tractament del responsable i es posa a disposició de l'APD a petició. En segon lloc, les normes de transferència transfronterera de la PDPA requereixen que l'APD designi jurisdiccions de destinació, i les transferències a jurisdiccions no designades requereixen consentiment explícit, garanties contractuals aprovades per l'APD o una de les excepcions estretes. En tercer lloc, el termini de notificació de bretxes de la PDPA és més curt per a les bretxes d'alt risc i més llarg per a les de baix risc que la regla plana de 72 hores del GDPR — els responsables han de notificar sense retard indegut i, quan sigui viable, dins d'un termini que l'orientació de l'APD ha reajustat durant el període d'inici per fases.

Com és un bàner de cookies conforme amb la PDPA

Els requisits tècnics convergeixen amb el que ja produeix qualsevol CMP moderna, però l'etiquetatge i el registre de consentiment han de reflectir les especificitats de Sri Lanka. El bàner de primera capa ha de presentar a l'usuari una elecció real — acceptar, rebutjar, gestionar — on l'opció de rebuig sigui almenys tan destacada com l'opció d'acceptació. El consentiment agrupat està prohibit, de manera que la segona capa ha de permetre l'acceptació per categories cobrint com a mínim analítiques, publicitat i qualsevol tractament dependent de transferència transfronterera. Les categories han d'estar per defecte en posició desactivada; el bàner no ha de carregar etiquetes fins que l'usuari les hagi activat activament.

L'avís de privacitat que apareix des del bàner ha d'identificar el responsable, les categories de dades personals recollides, la base jurídica per a cada finalitat de tractament, el període de retenció de dades, les categories de destinataris inclosos els subprocessadors que operen fora de Sri Lanka, els drets de l'interessat en virtut de la PDPA i les dades de contacte de l'APD per a les reclamacions. Un avís que compleixi l'estàndard de l'article 13 del GDPR s'encavalcarà substancialment, però les línies de contacte de l'APD i la jurisdicció de transferència transfronterera s'han d'afegir explícitament.

El patró d'integració que supera una revisió de l'APD

La implementació de referència té quatre parts mòbils. La primera és una CMP que admet l'acceptació per categories amb el valor predeterminat desactivat i exposa l'elecció de l'usuari mitjançant una cadena de consentiment estructurada que l'editor pot conservar en un registre de consentiment. La segona és una capa de càrrega d'etiquetes — normalment un gestor d'etiquetes del costat del servidor o una porta de script nativa de CMP — que aplica estrictament l'estat del consentiment abans de permetre l'establiment de qualsevol cookie no essencial. La tercera és un registre de consentiment del costat del servidor que registra per a cada esdeveniment de consentiment l'elecció de l'usuari per categoria, la marca de temps, la versió del bàner de consentiment, l'adreça IP (truncada o amb hash si el responsable ha decidit que això satisfà la seva anàlisi de minimització de dades) i les categories atorgades en comparació amb les refusades. La quarta és una via de retirada que sigui com a mínim tan fàcil com l'atorgament original — un enllaç permanent de reobertura del bàner al peu de pàgina és el patró que l'APD ha aprovat tàcitament en referència a les millors pràctiques internacionals.

Postura de validació i auditoria per al 2026

Un desplegament defensable de Sri Lanka el 2026 ha de superar quatre comprovacions. En primer lloc, una sessió de navegador neta servida des d'una adreça IP de Sri Lanka ha de produir zero cookies no essencials abans que el bàner hagi estat accionat. En segon lloc, el camí de rebuig de tot ha de resultar en la mateixa postura que una sessió sense acció — sense etiquetes d'analítiques, sense etiquetes de publicitat, sense scripts de reproducció de sessions, només el conjunt estrictament necessari. En tercer lloc, un flux d'acceptació de tot ha de produir les etiquetes amb les quals l'usuari ha consentit i el registre de consentiment ha de contenir el registre corresponent. En quart lloc, un flux de retirada ha d'aturar immediatament els activaments d'etiquetes posteriors, fer caducar les cookies establertes durant la sessió consentida i activar qualsevol senyal de supressió o exclusió voluntària aigües avall que els socis destinataris requereixin.

El requisit de pista d'auditoria és el que fa que la PDPA sigui més distintiva el 2026. L'APD ha emès orientació indicant que els responsables han de poder produir, a petició, el registre de consentiment específic que va autoritzar qualsevol activitat de tractament. Això vol dir que el registre de consentiment ha de ser consultable per identificador d'usuari o identificador de sessió, conservat durant un període que el responsable ha documentat en el seu programa de retenció i exportable en un format estructurat. Una CMP correctament configurada amb un registre del costat del servidor, combinada amb una capa de càrrega d'etiquetes que aplica l'estat del consentiment i un avís de privacitat que nomeni cada destinació de transferència transfronterera, és el que converteix la PDPA de Sri Lanka d'una incògnita reguladora en una part defensable de la postura global de consentiment d'un editor.

← Blog Llegir tot →