Qué cubre la UU PDP y a quién aplica

La UU PDP es la primera ley integral de protección de datos personales de Indonesia. Antes de su promulgación, las normas de protección de datos en Indonesia estaban dispersas en regulaciones sectoriales — banca, telecomunicaciones, comercio electrónico, sistemas electrónicos. La UU PDP las consolida en un régimen horizontal único que se aplica a cualquier responsable o encargado del tratamiento que maneje datos personales de interesados indonesios, independientemente del lugar donde esté establecido el responsable.

Este alcance extraterritorial es el hecho más importante para los editores extranjeros. Un editor con sede en EE. UU., la UE o Singapur que proporciona contenido a usuarios físicamente ubicados en Indonesia queda sujeto a la UU PDP. La prueba de presencia es funcional, no formal: si el responsable se dirige a usuarios indonesios — a través de contenido en Bahasa Indonesia, opciones de pago indonesias o publicidad dirigida geográficamente — la UU PDP se aplica en su totalidad.

El estándar de consentimiento bajo el Article 22

El Article 22 de la UU PDP define el consentimiento y es la piedra angular de cualquier banner de cookies dirigido al tráfico indonesio. El Article exige que el consentimiento sea:

• Explícito — el silencio, las casillas pre-marcadas y la continuación del uso del sitio no constituyen consentimiento. El usuario debe realizar una acción positiva.
• Específico — el consentimiento debe estar vinculado a una finalidad de tratamiento definida. Un único botón Accept-All que cubre diez finalidades distintas es muy vulnerable.
• Informado — el interesado debe recibir, antes de prestar el consentimiento, la identidad del responsable, las categorías de datos, las finalidades, el período de conservación, los destinatarios y sus derechos.
• Documentado por escrito o registrado electrónicamente — el Article 22(3) exige que el responsable pueda demostrar el consentimiento. Un registro de consentimiento con marca de tiempo asignado a un identificador de usuario cifrado cumple este requisito; una afirmación vaga de que el usuario hizo clic en Aceptar no lo hace.
• Revocable en condiciones equivalentes — la retirada debe ser tan fácil como la concesión original. Una ruta de rechazo que requiere tres clics mientras que la aceptación requiere uno no es conforme.

Los profesionales reconocerán estos requisitos: se corresponden casi uno a uno con el Article 7 del GDPR. Las diferencias están en el alcance y la aplicación, no en el concepto.

Bases jurídicas más allá del consentimiento

Al igual que el GDPR, la UU PDP reconoce bases jurídicas distintas del consentimiento para algunos tratamientos. El Article 20 enumera seis bases legales: consentimiento, ejecución del contrato, obligación legal, interés vital, tarea pública e interés legítimo. Sin embargo, para la mayoría de las actividades de cookies y rastreo, solo el consentimiento está disponible de forma realista, porque la excepción de estricta necesidad para cookies esenciales para proporcionar un servicio solicitado por el usuario es estrecha y no se extiende a la publicidad ni a la analítica.

La excepción de estricta necesidad

Las cookies de sesión, las cookies de inicio de sesión, las cookies de preferencia de idioma y las cookies del carrito de compras se incluyen en la ejecución del contrato o el interés legítimo con muy bajo riesgo. No requieren consentimiento explícito, aunque sus categorías deben divulgarse en el aviso de privacidad. Todo lo demás — analítica, publicidad, retargeting, píxeles de terceros, huella digital — requiere consentimiento del Article 22.

Datos de menores

El Article 25 requiere el consentimiento parental para cualquier tratamiento de datos de interesados menores de 18 años. Esto es más estricto que la edad de consentimiento digital predeterminada del GDPR de 16 años (que los estados miembros pueden reducir a 13). Un editor que publica contenido orientado a niños en Bahasa Indonesia debe tratar el umbral como 18 y configurar un flujo de verificación parental, no una casilla de autodeclaración.

Transferencias de datos transfronterizas

El Article 56 regula la transferencia de datos personales fuera de Indonesia. Un responsable puede transferir datos a otro país solo si se cumple al menos una de tres condiciones: el país de destino tiene un nivel adecuado de protección de datos personales comparable a la UU PDP, existen salvaguardas apropiadas o el interesado ha prestado consentimiento explícito para la transferencia.

El Ministerio de Comunicaciones e Informática de Indonesia (Kominfo) todavía no ha publicado una lista de adecuación. En la práctica, los editores que transfieren datos a jurisdicciones del GDPR, a Estados Unidos, a Singapur o a Australia se basan en salvaguardas apropiadas — normalmente cláusulas contractuales tipo adaptadas a la UU PDP, con una cláusula vinculante de que los subencargados posteriores respetan los derechos de la UU PDP. Para los proveedores de tecnología publicitaria que operan desde múltiples regiones, su acuerdo de tratamiento de datos debe especificar qué regiones manejan los datos de usuarios indonesios y qué salvaguardas se aplican en cada paso.

Derechos de los interesados y la ventana de 72 horas

La UU PDP concede a los interesados indonesios derechos muy similares a los del GDPR: acceso, rectificación, supresión, oposición al tratamiento, portabilidad de datos y el derecho a impugnar decisiones automatizadas. Dos aspectos específicos son relevantes para los editores.

Primero, el Article 30 exige que el responsable responda a una solicitud de ejercicio de derechos en un plazo razonable, que el reglamento de aplicación ha establecido en tres días hábiles para la confirmación y un máximo de catorce días hábiles para la respuesta de fondo. Esto es más rápido que el plazo de un mes por defecto del GDPR.

Segundo, el Article 46 exige notificación de una violación de datos personales a los interesados afectados y a la Autoridad de Protección de Datos Personales en un plazo de 3 x 24 hours — es decir, 72 horas desde que el responsable tenga conocimiento de la violación. El reloj comienza cuando el responsable ha confirmado la violación, no cuando podría haberla detectado.

Sanciones y aplicación reciente

El régimen de sanciones de la UU PDP tiene más fuerza de la que muchos editores reconocieron inicialmente. El Article 57 prevé sanciones administrativas de hasta el 2% de los ingresos anuales. El Article 67 to 73 prevé sanciones penales de hasta seis años de prisión y multas de hasta 6.000 millones de rupiah para las infracciones más graves, incluidas la recopilación ilegal de datos personales y la divulgación ilegal.

Durante 2025 la aplicación se encontraba en una fase de lanzamiento suave, con Kominfo emitiendo cartas de advertencia y órdenes correctivas en lugar de multas. Esa fase terminó a principios de 2026. La primera sanción administrativa importante bajo la UU PDP — emitida a un operador de comercio electrónico local en marzo de 2026 por notificación inadecuada de violación y ausencia de consentimiento parental en una línea de productos dirigida a menores — estableció un marcador claro de que la aplicación ahora es activa.

Cómo es un banner de editor conforme

Para un editor que presta servicio al tráfico indonesio en 2026, la configuración práctica es:

Localizar el banner a Bahasa Indonesia

El requisito de consentimiento informado del Article 22 no se cumple con un banner en inglés mostrado a un usuario que habla Bahasa. El CMP debe detectar a los usuarios indonesios — por geolocalización, IP o encabezado Accept-Language — y servir el banner, el aviso de privacidad y los controles granulares en Bahasa Indonesia.

Tratar el consentimiento solo como opt-in

Ningún script de rastreo, publicidad o analítica puede activarse antes de que el usuario haya aceptado explícitamente. Las categorías pre-marcadas, el consentimiento implícito de la navegación continuada y los avisos de "by using this site you agree" son todos no conformes.

Mantener registros de consentimiento documentados

El Article 22(3) es explícito: el responsable debe poder producir evidencia. Un registro de consentimiento que asigna un identificador de usuario a una marca de tiempo, la versión del banner mostrado y las opciones realizadas es el documento que Kominfo solicitará en cualquier auditoría o investigación de reclamación.

Hacer que la retirada sea genuinamente equivalente

Un icono de consentimiento flotante persistente, un rechazo con un clic en la página de preferencias de privacidad o una baja clara en cualquier correo electrónico de recopilación de datos — cada uno es una implementación razonable. Un enlace enterrado en una política de privacidad de 4000 palabras no lo es.

Integrando todo

La UU PDP no es un clon del GDPR, pero es lo suficientemente cercana como para que los editores con programas europeos de cumplimiento maduros puedan ampliar su infraestructura de consentimiento existente a Indonesia con ajustes específicos: localización en Bahasa, un umbral de edad de 18 años para el consentimiento parental, la notificación de violación de 72 horas y cláusulas contractuales tipo que cubren explícitamente la UU PDP. Los editores sin esa infraestructura deben tratar la UU PDP como el detonante para construirla. La aplicación indonesia es ahora activa, y el costo de la remediación tras el inicio de una investigación de Kominfo es uniformemente mayor que el costo de configurar correctamente el banner antes del lanzamiento.