Guía de cumplimiento del consentimiento de cookies de la enmienda Malaysia PDPA 2024 para editores en 2026

La Ley de Protección de Datos Personales de Malasia de 2010, cuando entró en vigor en 2013, era uno de los primeros estatutos integrales de privacidad en el Sudeste Asiático. Durante su primera década, el estándar operativo fue relativamente ligero: el Personal Data Protection Department (JPDP, ahora PDP) gestionaba un régimen activo de registro para los usuarios de datos en siete categorías de actividades cubiertas, pero la aplicación contra los operadores en línea generales era moderada y el estándar de consentimiento se interpretaba ampliamente como permisivo. La Ley de Enmienda de 2024, que recibió Royal Assent en October 2024 y entró en vigor por etapas durante 2025, cambió sustancialmente esa postura. La enmienda introdujo delegados de protección de datos obligatorios para los responsables del tratamiento por encima de ciertos umbrales, notificación obligatoria de brechas en 72 horas, el derecho a la portabilidad de datos, un regulador rebautizado con una autoridad de aplicación más nítida, y reafirmó los requisitos de transferencia transfronteriza que se habían implementado de forma ambigua bajo la Ley original. Para los editores y operadores SaaS que atienden tráfico malasio —un mercado que incluye uno de los ecosistemas de fintech y economía digital más activos de la ASEAN— el PDPA enmendado representa un cambio operativo significativo. Esta guía analiza qué cambió en 2024, cómo ha interpretado el PDP el estándar de consentimiento enmendado para el seguimiento en línea y dónde debe centrarse el trabajo práctico de cumplimiento.

El PDPA en 2026 — Panorama tras la enmienda

El PDPA enmendado sigue estructurado en torno a los siete principios de la Section 5: General, Aviso y elección, Divulgación, Seguridad, Retención, Integridad de los datos y Acceso. El principio de aviso y elección de la Section 7 es el más relevante para el consentimiento de cookies, exigiendo a los usuarios de datos que proporcionen aviso escrito tanto en inglés como en Bahasa Malaysia y que obtengan consentimiento (o se apoyen en un motivo alternativo en la Section 6) antes del tratamiento.

Tres cambios estructurales de la enmienda de 2024 importan operativamente a los editores en línea. En primer lugar, el Personal Data Protection Department rebautizado cuenta ahora con autoridad explícita para imponer sanciones administrativas vinculadas a un porcentaje de los ingresos anuales, sustituyendo el antiguo régimen de multas fijas. En segundo lugar, la designación obligatoria de DPO conforme a la Section 12A se aplica a los responsables que superen los umbrales definidos — la mayoría de los editores con soporte publicitario y operadores SaaS superan dichos umbrales. En tercer lugar, la nueva Section 12B exige notificar al PDP una brecha en 72 horas desde el momento en que se tiene conocimiento, siendo necesaria la notificación a los interesados afectados cuando sea probable que se produzca un daño significativo.

Cómo trata el PDPA enmendado las cookies y el seguimiento en línea

El PDPA no contiene ninguna disposición específica sobre cookies. Las obligaciones de consentimiento e información derivan de los Sections 5, 6 y 7 de la Ley y del 2025 Public Consultation Paper on Online Tracking del PDP, que articuló las expectativas del regulador tras la enmienda sobre los banners de cookies y la publicidad conductual. Cuatro puntos tienen el mayor impacto operativo.

Consentimiento afirmativo para el seguimiento no esencial

El Documento de Consulta de 2025 rechazó el consentimiento implícito, el uso continuado y las casillas premarcadas por no cumplir el principio de aviso y elección cuando se interpreta en el contexto en línea. Se requiere una acción afirmativa explícita para las cookies no esenciales, alineando la práctica malasia con la posición del EDPB Cookie Banner Taskforce.

Requisito de aviso bilingüe

La Section 7(3) exige que el aviso de privacidad y el mecanismo de consentimiento estén disponibles tanto en inglés como en Bahasa Malaysia. Esto era una característica de la Ley original que la enmienda reafirmó; el PDP es cada vez más explícito en que los banners en un único idioma en inglés no satisfacen el requisito para audiencias que atienden a residentes malasios.

Controles granulares de categorías

El Documento de Consulta espera que los banners permitan al usuario aceptar y rechazar categorías de forma independiente. Un banner de aceptar todo con un solo botón sin granularidad se trata como un defecto bajo la lectura de proporcionalidad de la Section 5(c) (la recogida no debe ser «excesiva»).

Transferencia transfronteriza (Section 129)

La Section 129 del PDPA original exigía que las transferencias transfronterizas fueran a un destinatario en un país «en lista blanca» (una lista que el Ministro debía mantener pero que nunca publicó efectivamente). La enmienda de 2024 la sustituye por un marco más operativo: las transferencias pueden continuar hacia jurisdicciones con protección comparable, o bajo garantías contractuales adecuadas, o con consentimiento explícito. El PDP ha emitido cláusulas contractuales modelo similares a las EU SCCs.

La postura de aplicación del PDP en 2026

La postura posterior a la enmienda del Personal Data Protection Department difiere de su enfoque previo en tres formas observables.

Inspecciones sectoriales activas

El PDP ha priorizado los sectores de fintech, comercio electrónico y préstamos digitales para inspecciones proactivas desde que entró en vigor la enmienda. Estas inspecciones suelen comenzar con una auditoría de registro y escalan a una inspección más amplia si el registro no está actualizado.

Multas de alto perfil

El nuevo régimen de sanciones administrativas ha producido multas mayores y más visibles públicamente que el antiguo modelo de multas fijas. Varios operadores de telecomunicaciones y fintech recibieron multas de ocho cifras en ringgit en 2025, que el PDP ha utilizado para comunicar que la enmienda tiene dientes reales.

Coordinación regulatoria en la ASEAN

El PDP participa en el grupo de trabajo del ASEAN Data Management Framework y coordina con el PDPC de Singapur, el PDPC de Tailandia y el NPC de Filipinas. Las investigaciones transfronterizas que involucran tráfico malasio y de otros países de la ASEAN se gestionan cada vez más a través de procedimientos coordinados.

Una lista de verificación práctica de cumplimiento

Seis preguntas concretas que deben responderse para cualquier banner de cookies que atienda tráfico malasio.

El lugar de Malasia en una pila multijurisdiccional

Malasia es uno de los cuatro regímenes de protección de datos operativamente más relevantes de la ASEAN junto con Singapur, Tailandia y Filipinas. La enmienda de 2024 cerró la mayor parte de la brecha entre el PDPA original y el GDPR, lo que significa que una arquitectura CMP construida con estándares europeos ahora gestiona la mayor parte del cumplimiento malasio con tres adiciones específicas: banner y aviso bilingüe (inglés + Bahasa Malaysia), registro en el PDP donde se aplican los umbrales de categoría cubierta, y el flujo de trabajo de notificación de brechas de la Section 12B con su reloj de 72 horas. Para los editores que construyen hacia operaciones panASEAN, el PDPA posterior a la enmienda es una plantilla significativa — es probable que las leyes regionales más recientes se basen en su estructura — y las adiciones operativas son manejables sobre una pila de consentimiento de nivel europeo ya desplegada.

← Blog Leer todo →