Consentimento de cookies UU PDP Indonesia: Guía de cumprimento para editores
Indonesia é o cuarto mercado de internet máis grande do mundo. Para calquera editor que ofreza contido aos seus 215 millóns de usuarios en liña, a Lei de Protección de Datos Persoais do país — Undang-Undang Pelindungan Data Pribadi, ou UU PDP — é agora a peza de cumprimento máis importante para facer ben. Aprobada en outubro de 2022 e plenamente aplicable desde outubro de 2024 tras o peche da xanela de transición de dous anos, a UU PDP está estreitamente modelada no GDPR pero introduce o seu propio formato de consentimento específico, obrigas do responsable do tratamento e réxime de sancións. Esta guía orienta os editores sobre o que require a UU PDP, onde diverxe dos hábitos do GDPR e como configurar un banner de consentimento que satisfaga os reguladores indonesios.
O que cobre a UU PDP e quen está afectado
A UU PDP é a primeira lei integral de protección de datos persoais de Indonesia. Antes da súa aprobación, as normas de protección de datos en Indonesia estaban dispersas entre regulacións sectoriais — banca, telecomunicacións, comercio electrónico, sistemas electrónicos. A UU PDP consolídaas nun único réxime horizontal que se aplica a calquera responsable ou encargado do tratamento que xestione datos persoais de interesados indonesios, independentemente do lugar en que estea establecido o responsable.
Este alcance extraterritorial é o feito máis importante para os editores estranxeiros. Un editor baseado nos EUA, a UE ou Singapur que ofreza contido a usuarios fisicamente situados en Indonesia está suxeito á UU PDP. A proba de presenza é funcional, non formal: se o responsable diríxese a usuarios indonesios — a través de contido en Bahasa Indonesia, opcións de pagamento indonesias ou publicidade xeolocalizada — a UU PDP aplícase na súa totalidade.
O estándar de consentimento segundo o Article 22
O Article 22 da UU PDP define o consentimento e é a pedra angular de calquera banner de cookies dirixido ao tráfico indonesio. O Article require que o consentimento sexa:
- Explícito — o silencio, as caixas premarcadas e o uso continuado do sitio non constitúen consentimento. O usuario debe realizar unha acción positiva.
- Específico — o consentimento debe estar vinculado a unha finalidade de tratamento definida. Un único botón de Aceptar todo que cobre dez finalidades diferentes é moi vulnerable.
- Informado — o interesado debe recibir, antes de consentir, a identidade do responsable, as categorías de datos, as finalidades, o prazo de conservación, os destinatarios e os seus dereitos.
- Documentado por escrito ou rexistrado electronicamente — o Article 22(3) require que o responsable poida demostrar o consentimento. Un rexistro de consentimento con marca de tempo asociado a un identificador de usuario con hash satisfai este requisito; unha afirmación vaga de que o usuario fixo clic en Aceptar non é suficiente.
- Revogable en condicións equivalentes — a retirada debe ser tan sinxela como a concesión orixinal. Un percorrido de rexeitamento que require tres clics mentres a aceptación require un non é conforme.
Os profesionais recoñecerán estes requisitos: correspóndense case un a un co Article 7 do GDPR. As diferenzas están no alcance e na aplicación, non no concepto.
Bases xurídicas máis alá do consentimento
Como o GDPR, a UU PDP recoñece bases xurídicas distintas do consentimento para algúns tratamentos. O Article 20 enumera seis bases legais: consentimento, execución dun contrato, obriga legal, interese vital, tarefa de interese público e interese lexítimo. Non obstante, para a maioría das actividades de cookies e seguimento, só o consentimento está realísticamente dispoñible, porque a exención de estrita necesidade para cookies esenciais para prestar un servizo solicitado polo usuario é estreita e non se estende á publicidade nin á analítica.
A exención de estrita necesidade
Os cookies de sesión, os cookies de inicio de sesión, os cookies de preferencia de idioma e os cookies de carro de compra están baixo a execución do contrato ou o interese lexítimo cun risco moi baixo. Non requiren consentimento explícito, aínda que as súas categorías deben seguir sendo comunicadas no aviso de privacidade. Todo o demais — analítica, publicidade, reorientación, píxeles de terceiros, identificación por pegada dixital — require consentimento conforme ao Article 22.
Datos de menores
O Article 25 require consentimento dos pais para calquera tratamento de datos de interesados menores de 18 anos. Isto é máis estrito que o valor predeterminado da idade de consentimento dixital do GDPR de 16 anos (que os estados membros poden reducir a 13). Un editor que ofreza contido orientado a menores en Bahasa Indonesia debe tratar o limiar como 18 e configurar un fluxo de verificación parental, non un cadro de autoafirmación.
Transferencias transfronteirizas de datos
O Article 56 regula a transferencia de datos persoais fóra de Indonesia. Un responsable só pode transferir datos a outro país se se cumpre polo menos unha das tres condicións: o país de destino ten un nivel adecuado de protección de datos persoais comparable á UU PDP, existen garantías adecuadas ou o interesado deu consentimento explícito para a transferencia.
O Ministerio de Comunicación e Informática de Indonesia (Kominfo) aínda non publicou unha lista de adecuación. Na práctica, os editores que transfiren datos a xurisdicións GDPR, aos Estados Unidos, a Singapur ou a Australia confían en garantías adecuadas — normalmente cláusulas contractuais tipo adaptadas á UU PDP, cunha cláusula vinculante de que os subencargados axuantes respecten os dereitos da UU PDP. Para os provedores de tecnoloxía publicitaria que operan desde varias rexións, o voso acordo de tratamento de datos debe especificar que rexións xestionan os datos dos usuarios indonesios e que garantías aplican en cada paso.
Dereitos dos interesados e a xanela de 72 horas
A UU PDP outorga aos interesados indonesios dereitos moi similares aos do GDPR: acceso, rectificación, supresión, oposición ao tratamento, portabilidade dos datos e dereito a impugnar decisións automatizadas. Dous aspectos concretos son importantes para os editores.
En primeiro lugar, o Article 30 require que o responsable responda a unha solicitude de exercicio de dereitos nun prazo razoable, que o regulamento de aplicación fixou en tres días laborables para o acuse de recibo e un máximo de catorce días laborables para a resposta de fondo. Isto é máis rápido que o prazo predeterminado dun mes do GDPR.
En segundo lugar, o Article 46 require a notificación dunha violación de datos persoais aos interesados afectados e á Autoridade de Protección de Datos Persoais no prazo de 3 x 24 hours — é dicir, 72 horas desde que o responsable tomase coñecemento da violación. O prazo comeza cando o responsable confirmou a violación, non cando podería tela detectado.
Sancións e aplicación recente
O réxime de sancións da UU PDP ten máis forza da que moitos editores recoñeceron inicialmente. O Article 57 prevé sancións administrativas de ata o 2 % dos ingresos anuais. Os Article 67 to 73 prevén sancións penais de ata seis anos de prisión e multas de ata 6.000 millóns de rupiah polas infraccións máis graves, incluíndo a recollida ilegal de datos persoais e a divulgación ilegal.
Durante 2025, a aplicación estivo nunha fase de lanzamento suave, con Kominfo emitindo cartas de advertencia e ordes correctoras en lugar de multas. Esa fase rematou a principios de 2026. A primeira gran sanción administrativa en virtude da UU PDP — emitida en marzo de 2026 a un operador nacional de comercio electrónico por notificación insuficiente de infracción e ausencia de consentimento parental nunha liña de produtos dirixida a menores — estableceu un sinal claro de que a aplicación é agora activa.
Como debe ser un banner de editor conforme
Para un editor que atenda tráfico indonesio en 2026, a configuración práctica é:
Localizar o banner en Bahasa Indonesia
O requisito de consentimento informado do Article 22 non se satisfai cun banner en inglés mostrado a un usuario que fala Bahasa. A CMP debe detectar os usuarios indonesios — por xeolocalización, IP ou cabeceira Accept-Language — e servir o banner, o aviso de privacidade e os controles granulares en Bahasa Indonesia.
Tratar o consentimento só como opt-in
Non se pode activar ningún script de seguimento, publicidade ou analítica antes de que o usuario aceptase explicitamente. As categorías premarcadas, o consentimento implícito derivado da navegación continuada e os avisos de "by using this site you agree" son todos non conformes.
Manter rexistros de consentimento documentados
O Article 22(3) é explícito: o responsable debe poder presentar probas. Un rexistro de consentimento que asocie un identificador de usuario a unha marca de tempo, a versión do banner mostrado e as opcións realizadas é o documento que Kominfo solicitará en calquera auditoría ou investigación de reclamación.
Facer que a retirada sexa genuinamente equivalente
Un icono de consentimento flotante persistente, un rexeitamento cun só clic na páxina de preferencias de privacidade, ou unha baixa clara en calquera correo electrónico de recollida de datos — cada un é unha implementación razoable. Un enlace enterrado nunha política de privacidade de 4000 palabras non o é.
Conclusión
A UU PDP non é un clon do GDPR, pero está suficientemente próxima para que os editores con programas de cumprimento europeos maduros poidan ampliar a súa infraestrutura de consentimento existente a Indonesia con axustes específicos: localización en Bahasa, limiar de idade de 18 anos para o consentimento parental, notificación de infracción en 72 horas e cláusulas contractuais tipo que cubran explicitamente a UU PDP. Os editores sen esa infraestrutura deben tratar a UU PDP como o detonante para construíla. A aplicación indonesia é agora activa, e o custo da corrección despois do inicio dunha investigación de Kominfo é uniformemente máis elevado que o custo de facer ben o banner antes do lanzamento.