Guía de cumprimento do consentimento de cookies da emenda PDPA 2024 de Malaisia para editores en 2026

A Lei de Protección de Datos Persoais de Malaisia de 2010 era, cando entrou en vigor en 2013, un dos primeiros estatutos integrais de privacidade no Sueste Asiático. Na súa primeira década, o estándar operativo era relativamente lixeiro: o Personal Data Protection Department (JPDP, agora PDP) xestionaba un réxime de rexistro activo para usuarios de datos en sete clases de actividade cuberta, pero a aplicación contra operadores en liña xerais era modesta e o estándar de consentimento interpretábase amplamente como permisivo. A 2024 Amendment Act, que recibiu o Royal Assent in October 2024 e entrou en vigor por etapas ao longo de 2025, cambiou esa postura substancialmente. A emenda introduciu delegados de protección de datos obrigatorios para os responsables do tratamento por riba dos limiares, notificación obrigatoria de violación no prazo de 72 horas, o dereito á portabilidade dos datos, un regulador renomeado con autoridade de aplicación máis afiada, e reafirmou os requisitos de transferencia transfronteiriza que foran aplicados de forma ambigua baixo a Lei orixinal. Para os editores e operadores SaaS que dan servizo ao tráfico de Malaisia — un mercado que inclúe un dos ecosistemas de fintech e economía dixital máis activos da ASEAN — o PDPA enmendado representa un cambio operativo significativo. Esta guía percorre o que cambiou en 2024, como o PDP interpretou o estándar de consentimento enmendado para o rastrexo en liña, e onde o traballo práctico de cumprimento debe centrarse.

O PDPA en 2026 — Esquema post-emenda

O PDPA enmendado continúa estruturado en torno a sete principios na Section 5: Xeral, Aviso e Elección, Divulgación, Seguridade, Retención, Integridade dos Datos e Acceso. O Principio de Aviso e Elección na Section 7 é o máis decisivo para o consentimento de cookies, requirindo que os usuarios de datos proporcionen un aviso escrito tanto en inglés como en Bahasa Malaysia e obteñan o consentimento (ou se apoien nunha base alternativa na Section 6) antes do tratamento.

Tres cambios estruturais da emenda de 2024 importan operativamente para os editores en liña. Primeiro, o Personal Data Protection Department renomeado ten agora autoridade explícita para impoñer sancións administrativas vinculadas a unha porcentaxe dos ingresos anuais, substituíndo o réxime de multas fixas máis antigo. Segundo, a designación obrigatoria de DPO baixo a Section 12A aplícase aos responsables do tratamento por riba dos limiares definidos — a maioría dos editores con respaldo publicitario e operadores SaaS superan eses limiares. Terceiro, a nova Section 12B require a notificación de violación ao PDP no prazo de 72 horas desde o coñecemento, con notificación aos interesados afectados requirida cando sexa probable un dano significativo.

Como o PDPA Enmendado Trata os Cookies e o Rastrexo en Liña

O PDPA non contén unha disposición específica para cookies. As obrigacións de consentimento e información emanan das Sections 5, 6 e 7 da Lei e do 2025 Public Consultation Paper do PDP sobre Rastrexo en Liña, que articulou as expectativas post-emenda do regulador para os banners de cookies e a publicidade comportamental. Catro puntos teñen o maior impacto operativo.

Consentimento afirmativo para o rastrexo non esencial

O 2025 Public Consultation Paper rexeitou o consentimento implícito, o uso continuado e as caixas pre-marcadas como incumpridores do Principio de Aviso e Elección cando se interpretan no contexto en liña. Requírese unha acción afirmativa explícita para os cookies non esenciais, aliñando a práctica de Malaisia coa posición do Grupo de Traballo sobre Banners de Cookies do EDPB.

Requisito de aviso bilingüe

A Section 7(3) require que o aviso de privacidade e o mecanismo de consentimento estean dispoñibles tanto en inglés como en Bahasa Malaysia. Isto era unha característica da Lei orixinal que a emenda reafirmou; o PDP foi sendo cada vez máis explícito en que os banners só en inglés non satisfacen o requisito para audiencias que serven residentes de Malaisia.

Controis de categoría granulares

O documento de consulta espera que os banners permitan ao usuario aceptar e rexeitar categorías de forma independente. O botón único de aceptar todo sen granularidade trátase como un defecto baixo a lectura de proporcionalidade da Section 5(c) (a recollida non debe ser "excesiva").

Transferencia transfronteiriza (Section 129)

A Section 129 do PDPA orixinal requiría que as transferencias transfronteirizas foran a un destinatario nun país "en lista branca" (unha lista que o Ministro debería manter pero que nunca publicou efectivamente). A 2024 Amendment Act substitúe isto cun marco máis práctico: as transferencias poden proceder a xurisdicións con protección comparable, ou baixo salvagardas contractuais apropiadas, ou con consentimento explícito. O PDP emitiu cláusulas contractuais modelo similares ás EU SCCs.

A Postura de Aplicación do PDP en 2026

A postura post-emenda do Personal Data Protection Department diferénciase do seu enfoque pre-emenda en tres formas observables.

Rastrexos sectoriais activos

O PDP priorizou os sectores de fintech, comercio electrónico e préstamo dixital para rastrexos proactivos desde que a emenda entrou en vigor. Estes rastrexos comezan tipicamente cunha auditoría de rexistro e escalan a unha inspección máis ampla se o rexistro non está actualizado.

Multas de maior perfil

O novo réxime de sancións administrativas produciu multas maiores e máis publicamente visibles que o modelo de multas fixas máis antigo. Varios operadores de telecomunicacións e fintech recibiron sancións de ringgit de oito cifras en 2025, que o PDP utilizou para comunicar que a emenda ten dentes reais.

Coordinación regulatoria ASEAN

O PDP participa no fluxo de traballo do Marco de Xestión de Datos da ASEAN e coordínase co PDPC de Singapur, o PDPC de Tailandia e o NPC das Filipinas. As investigacións transfronteirizas que implican tráfico de Malaisia e outro tráfico ASEAN xestiónanse cada vez máis a través de procedementos coordinados.

Unha Lista de Verificación Práctica de Cumprimento

Seis preguntas concretas para responder para calquera banner de cookies que serve tráfico de Malaisia.

Onde Encaixa Malaisia nunha Pila Multi-Xurisdición

Malaisia é un dos catro réximes de protección de datos da ASEAN máis importantes operativamente xunto con Singapur, Tailandia e as Filipinas. A 2024 Amendment Act pechou a maior parte da brecha entre o PDPA orixinal e o GDPR, o que significa que unha arquitectura CMP construída segundo os estándares europeos xestiona agora a maior parte do cumprimento de Malaisia con tres engadidos específicos: banner e aviso bilingüe (inglés + Bahasa Malaysia), rexistro PDP onde se aplican os limiares de clase cuberta, e o fluxo de traballo de notificación de violación da Section 12B co seu reloxo de 72 horas. Para os editores que constrúen cara a operacións pan-ASEAN, o PDPA post-emenda é un modelo significativo — as leis rexionais máis recentes probablemente se apoiarán na súa estrutura — e os engadidos operativos son manexables sobre unha pila de consentimento de grao europeo xa despregada.

← Blog Ler todo →