Guía de cumplimiento del consentimiento de cookies bajo la PDPA de Sri Lanka: Act No. 9 of 2022 en vigor para editores en 2026

Sri Lanka pasó más de una década en el proceso legislativo antes de que su Ley de Protección de Datos Personales se promulgara finalmente como Act No. 9 of 2022, certificada por el Speaker el 19 March 2022. La ley adopta la amplia arquitectura que se ha convertido en el estándar mundial desde el RGPD — limitación de finalidad, base jurídica, derechos de los interesados, responsabilidad proactiva, controles de transferencia transfronteriza, notificación de brechas y un regulador independiente con poderes de sanción administrativa — pero los incorpora en un régimen adaptado a las realidades comerciales y constitucionales del sur de Asia. La ley entró en vigor de forma escalonada desde el 17 March 2023, con las obligaciones sustantivas activándose 18 meses después y las disposiciones de ejecución implementándose progresivamente a lo largo de 2025 y hasta 2026. Para los editores y cualquier otra entidad que trate datos personales de personas en Sri Lanka, la implicación es directa: una postura de consentimiento de cookies que satisfacía el anterior mosaico de normas sectoriales ya no es suficiente, y una postura que satisface el RGPD satisfará la PDPA solo si la integración está configurada para los puntos específicos en los que los dos regímenes divergen.

Qué exige realmente la PDPA de Sri Lanka

La PDPA se aplica al tratamiento de datos personales de interesados que se encuentran en Sri Lanka, independientemente de dónde esté establecido el responsable o el encargado, y a los responsables y encargados establecidos en Sri Lanka independientemente de dónde se encuentren los interesados. El alcance extraterritorial refleja el artículo 3 del RGPD y significa que un editor sin oficina en Sri Lanka pero con lectores, instalaciones de aplicaciones o clientes de pago de Sri Lanka está directamente dentro del ámbito de aplicación. Los datos personales se definen ampliamente como cualquier información relativa a una persona física viva identificada o identificable, con datos de categorías especiales — incluidos biométricos, genéticos, financieros, de salud, raciales, étnicos, creencias religiosas, opiniones políticas y antecedentes penales — tratados bajo normas más estrictas.

La ley establece siete principios fundamentales de protección de datos, seis bases jurídicas para el tratamiento, el conjunto estándar de derechos de los interesados — acceso, rectificación, supresión, limitación, oposición y portabilidad de datos donde sea técnicamente factible — y un regulador, la Data Protection Authority of Sri Lanka, con la facultad de emitir directivas, imponer sanciones administrativas de hasta LKR 10 millones por infracción y remitir asuntos graves al ministerio fiscal.

Cómo trata la PDPA específicamente el consentimiento de cookies

La PDPA no contiene una disposición separada de tipo ePrivacy sobre las cookies, del modo en que lo hace la Directiva ePrivacy de la UE. En cambio, incorpora el tratamiento de cookies al marco general de consentimiento de tipo RGPD: cualquier tratamiento de datos personales que se base en el consentimiento como base jurídica debe obtenerse sobre la base de un acto afirmativo claro mediante el cual el interesado manifiesta su acuerdo, libre, específico, informado e inequívoco. La DPA ha indicado, de forma consistente con la tendencia mundial, que las casillas premarcadas, el lenguaje de navegación continuada y los banners de consentimiento agrupado no son formas válidas de consentimiento según la ley.

El efecto práctico es la misma postura que los editores que operan en el EEE ya mantienen: las cookies y cualquier tecnología análoga de almacenamiento y acceso que no sean estrictamente necesarias para prestar el servicio no deben establecerse antes de que el usuario haya consentido activamente. Las cookies estrictamente necesarias — identificadores de sesión, contenidos del carrito, tokens de seguridad, cookies de equilibrio de carga — pueden establecerse sin consentimiento porque están amparadas por la base del interés legítimo vinculado al servicio que el usuario ha solicitado activamente. Todo lo demás, incluidos analítica, publicidad, personalización, pruebas A/B, reproducción de sesiones y cualquier etiqueta de terceros, requiere consentimiento previo.

En qué se diferencia la PDPA del RGPD

Tres diferencias importan para la capa de integración. En primer lugar, el catálogo de bases jurídicas de la PDPA incluye una base de interés público y una de obligación legal que se corresponden estrechamente con el artículo 6 del RGPD, pero no incluye la base de interés legítimo autónoma en la forma en que los editores europeos la utilizan para el tratamiento de medición publicitaria. El equivalente de la PDPA es más restringido y requiere una prueba de ponderación documentada que se archiva con el registro de tratamiento del responsable y se pone a disposición de la DPA previa solicitud. En segundo lugar, las normas de transferencia transfronteriza de la PDPA requieren que la DPA designe jurisdicciones de destino, y las transferencias a jurisdicciones no designadas requieren consentimiento explícito, garantías contractuales aprobadas por la DPA o una de las excepciones estrictas. En tercer lugar, el plazo de notificación de brechas de la PDPA es más corto para brechas de alto riesgo y más largo para brechas de bajo riesgo que la regla uniforme de 72 horas del RGPD — los responsables deben notificar sin dilación indebida y, cuando sea factible, dentro de un plazo que las directrices de la DPA han reducido durante el período de entrada en vigor escalonada.

Cómo es un banner de cookies conforme con la PDPA

Los requisitos técnicos convergen con lo que ya produce cualquier CMP moderna, pero el etiquetado y el registro de consentimiento deben reflejar las especificidades de Sri Lanka. El banner de primera capa debe presentar al usuario una opción real — aceptar, rechazar, gestionar — donde la opción de rechazo sea al menos tan prominente como la de aceptación. El consentimiento agrupado está prohibido, por lo que la segunda capa debe permitir la suscripción por categorías cubriendo como mínimo analítica, publicidad y cualquier tratamiento dependiente de transferencias transfronterizas. Las categorías deben estar configuradas por defecto en desactivado; el banner no debe cargar etiquetas hasta que el usuario las haya activado.

El aviso de privacidad que aparece desde el banner debe identificar al responsable, las categorías de datos personales recogidos, la base jurídica para cada finalidad de tratamiento, el período de retención de datos, las categorías de destinatarios incluidos los subencargados que operan fuera de Sri Lanka, los derechos del interesado en virtud de la PDPA y los datos de contacto de la DPA para reclamaciones. Un aviso que cumpla el estándar del artículo 13 del RGPD se solapará sustancialmente, pero las líneas de contacto de la DPA y la jurisdicción de transferencia transfronteriza deben añadirse explícitamente.

El patrón de integración que supera una revisión de la DPA

La implementación de referencia tiene cuatro partes móviles. La primera es una CMP que admite la suscripción por categoría con predeterminado desactivado y expone la elección del usuario mediante una cadena de consentimiento estructurada que el editor puede conservar en un registro de consentimiento. La segunda es una capa de carga de etiquetas — normalmente un gestor de etiquetas del lado del servidor o una puerta de script nativa de CMP — que aplica estrictamente el estado del consentimiento antes de permitir que se establezca cualquier cookie no esencial. La tercera es un registro de consentimiento del lado del servidor que registra para cada evento de consentimiento la elección del usuario por categoría, la marca de tiempo, la versión del banner de consentimiento, la dirección IP (truncada o con hash si el responsable ha decidido que eso satisface su análisis de minimización de datos) y las categorías otorgadas frente a las rechazadas. La cuarta es una vía de retirada que sea al menos tan sencilla como el otorgamiento original — un enlace permanente de reapertura del banner en el pie de página es el patrón que la DPA ha aprobado tácitamente en referencia a las mejores prácticas internacionales.

Postura de validación y auditoría para 2026

Un despliegue srilanqués defendible en 2026 debe pasar cuatro comprobaciones. En primer lugar, una sesión de navegador limpia servida desde una dirección IP srilanquesa debe producir cero cookies no esenciales antes de que el banner haya sido accionado. En segundo lugar, la ruta de rechazar-todo debe dar como resultado la misma postura que una sesión sin acción — ninguna etiqueta de analítica, ninguna etiqueta de publicidad, ningún script de reproducción de sesiones, solo el conjunto estrictamente necesario. En tercer lugar, un flujo de aceptar-todo debe producir las etiquetas con las que el usuario ha consentido y el registro de consentimiento debe contener el registro correspondiente. En cuarto lugar, un flujo de retirada debe detener inmediatamente nuevos disparos de etiquetas, hacer caducar las cookies establecidas durante la sesión consentida y activar cualquier señal de eliminación o exclusión voluntaria posterior que requieran los socios destinatarios.

El requisito de pista de auditoría es lo que hace que la PDPA sea más distintiva en 2026. La DPA ha emitido orientación indicando que los responsables deben poder producir bajo petición el registro de consentimiento específico que autorizó cualquier actividad de tratamiento determinada. Eso significa que el registro de consentimiento debe ser consultable por identificador de usuario o identificador de sesión, conservado durante un período que el responsable ha documentado en su calendario de conservación y exportable en un formato estructurado. Una CMP correctamente configurada con un registro del lado del servidor, combinada con una capa de carga de etiquetas que aplica el estado del consentimiento y un aviso de privacidad que nombra cada destino de transferencia transfronteriza, es lo que convierte la PDPA de Sri Lanka de una incógnita regulatoria en una parte defendible de la postura global de consentimiento de un editor.

← Blog Leer todo →