Guía de cumprimento do consentimento de cookies PDPO de Hong Kong para editores en 2026

O Personal Data (Privacy) Ordinance (PDPO) de Hong Kong é un dos estatutos de privacidade máis antigos e completos de Asia, vixente desde 1996. Durante a maior parte da súa existencia, o PDPO ocupou unha posición estraña: estruturalmente sólido, pero evolucionando lentamente mediante interpretación en vez de emendas. O Privacy Commissioner for Personal Data (PCPD) foi o motor activo desa evolución, publicando notas de orientación que aliñaron progresivamente o estándar operativo de Hong Kong coas normas europeas mentres a lexislación subxacente cambiou menos dramaticamente que en Singapur, Australia ou mesmo Mainland China. As emendas de 2021 abordaron especificamente o doxxing, pero o réxime de privacidade máis amplo continúa operando baixo o marco PDPO orixinal segundo a interpretación de case tres décadas de orientación do PCPD. Para os editores e operadores SaaS que atenden o tráfico de Hong Kong — un mercado que inclúe unha das maiores concentracións de servizos financeiros de Asia e unha parte significativa do comercio electrónico rexional — o panorama de cumprimento do PDPO en 2026 é o dun regulador maduro, estándares moderadamente estritos e documentos de orientación insolitamente claros. Este artigo percorre o que esixe o PDPO, onde o PCPD aplicou o marco ao seguimento en liña e as implicacións operativas para o deseño de banners de cookies.

O PDPO en resumo

O PDPO está organizado en torno a seis Principios de Protección de Datos (DPP) que rexen a recollida, exactitude, retención, uso, seguridade e apertura dos datos persoais. Os principios son anteriores ao GDPR case dúas décadas e usan terminoloxía algo diferente, pero os estándares substantivos converxeron mediante a interpretación. DPP1 (finalidade e modo de recollida), DPP3 (uso de datos persoais) e DPP5 (información xeralmente dispoñible) son os principios máis directamente relevantes para o seguimento en liña.

A Ordenanza aplícase a calquera usuario de datos — o termo de Hong Kong para o que o GDPR chama responsable do tratamento — que controla a recollida, custodia, tratamento ou uso de datos persoais. O alcance territorial foi un ámbito disputado: o PDPO é anterior ás doutrinas extraterritoriais, e o PCPD adoptou historicamente unha visión máis conservadora que o EDPB sobre a aplicación offshore. Na práctica, o PCPD afirma xurisdición sobre os operadores offshore que se dirixen a residentes de Hong Kong ou procesan datos de Hong Kong con nexo suficiente, e os operadores que atenden o tráfico de Hong Kong deben planificar como se o alcance extraterritorial se aplicase.

Como trata o PDPO as cookies e o seguimento en liña

O PDPO non contén unha disposición específica sobre cookies; as obrigas de consentimento e información dimanan dos DPP e da 2022 Guidance Note do PCPD sobre Seguimento en Liña e Publicidade Comportamental. A Guía é un dos documentos máis claros sobre o cumprimento de cookies en Asia e articula expectativas que se aliñan estreitamente coa posición do grupo de traballo EDPB sobre banners de cookies.

Consentimento afirmativo para o seguimento non esencial

A posición do PCPD é que o consentimento debe ser explícito para o seguimento non esencial. O consentimento implícito, o uso continuado e as caixas premarcadas non satisfán o requisito de DPP1 de específico e informado cando se interpreta no contexto en liña. A Nota de Orientación denomina especificamente o desprazamento como consentimento como un patrón defectuoso.

Controis de categorías granulares

Os banners deben permitir ao usuario aceptar e rexeitar categorías de forma independente. A Guía trata un botón único aceptar todo sen un rexeitamento equivalente como un defecto estrutural, e identifica o etiquetado incorrecto das cookies de mercadotecnia como estritamente necesarias como unha infracción separada.

Contido do aviso de privacidade

O DPP5 foi historicamente un dos principios máis activamente aplicados. Os avisos de privacidade deben identificar o usuario dos datos, as finalidades, os destinatarios (incluídos os destinatarios da transferencia), o marco de dereitos en virtude de DPP6 (acceso e corrección) e un punto de contacto para as consultas. O PCPD foi explícito en que os avisos xenéricos boilerplate non superan o DPP5 — a divulgación debe reflectir o tratamento real.

Transferencia transfronteiriza (Section 33)

A Section 33 of the PDPO rexe as transferencias transfronteirizas e foi, durante a maior parte da historia da Ordenanza, a característica máis inusual do réxime: a sección foi aprobada en 1995 pero nunca foi posta en vigor polo Secretario. O PCPD emitiu con todo cláusulas contractuais modelo e trata as salvagardas ao estilo da Section 33 como practicamente obrigatorias para as transferencias a xurisdicións non Hong Kong. O status xurídico é ambiguo — a Section 33 é lei pero non operativa — pero a expectativa operativa segue o Chapter V do GDPR.

A postura de aplicación do PCPD

O PCPD opera cun estilo de aplicación distintivo que difire dos maiores APD europeos en tres formas observables.

Uso intensivo de investigacións de cumprimento

O principal instrumento de aplicación do PCPD é a investigación de cumprimento, que culmina nunha notificación de aplicación en vez dunha multa. As notificacións esixen remediación nun prazo especificado e normalmente resólvense sen penalidade monetaria. Existen sancións civís pero utilizáronse con moderación.

Comentario público como sinal de aplicación

O PCPD publica informes de investigación detallados para casos de alto perfil que funcionan como xurisprudencia á falta de multas sólidas que establecen precedentes. Os operadores len estes informes con atención porque articulan expectativas específicas que poden non aparecer na orientación formal.

Coordinación co Continente

As investigacións transfronteirizas que implican fluxos de datos de Hong Kong e Mainland son cada vez máis xestionadas mediante procedementos coordinados co Cyberspace Administration of China. O alcance extraterritorial do PIPL e a posición de Hong Kong no marco económico do Greater Bay Area fan desta coordinación algo máis operativamente relevante do que sería na maioría das xurisdicións.

Unha lista de verificación práctica de cumprimento

Seis preguntas concretas para responder para calquera banner de cookies que atenda o tráfico de Hong Kong.

Onde encaixa Hong Kong nun conxunto de múltiples xurisdicións

Hong Kong é o réxime de protección de datos máis maduro en Greater China e serve como punto de entrada de facto para os fluxos de datos transfronteirizos entre Mainland China e o resto do mundo. Para os editores que constrúen cara a operacións pan-asiáticas, o PDPO sitúase xunto ao PDPA de Singapur, o APPI de Xapón e o PIPA de Corea do Sur como os catro réximes asiáticos máis operativamente relevantes. O PDPO é o máis permisivo dos catro no papel pero o máis esixente na calidade da documentación, porque a aplicación impulsada por investigacións do PCPD fai dun aviso de privacidade ben redactado a liña de defensa singular máis sólida. Unha arquitectura CMP construída segundo os estándares europeos xestiona a maior parte do cumprimento de Hong Kong con dous engadidos: soporte lingüístico de Traditional Chinese e o patrón de documentación de transferencia transfronteiriza que implica a Section 33 aínda que non estea formalmente en vigor. Para os operadores que atenden Hong Kong desde o exterior, a postura práctica é tratar a 2022 Guidance Note do PCPD como o documento autorizado e deseñar contra os seus patróns de fallo específicos en vez de contra o texto PDPO máis antigo.

← Blog Ler todo →