Guía de cumprimento do consentimento de cookies da PDPA de Sri Lanka: Lei núm. 9 de 2022 en vigor para editores en 2026

Sri Lanka pasou máis dunha década no proceso lexislativo antes de que a súa Lei de Protección de Datos Persoais fose finalmente promulgada como Lei núm. 9 de 2022, certificada polo Presidente do Parlamento o 19 March 2022. A Lei adopta a ampla arquitectura que se converteu no estándar mundial desde o GDPR — limitación da finalidade, base xurídica, dereitos dos interesados, responsabilidade, controis de transferencia transfronteiriza, notificación de incidentes e un regulador independente con poderes de sancións administrativas — pero incorpóraos nun réxime adaptado ás realidades comerciais e constitucionais do Sur de Asia. A Lei entrou en vigor por fases a partir do 17 March 2023, activándose as obrigas substantivas 18 meses despois e as disposicións de aplicación progresivamente ao longo de 2025 e 2026. Para os editores e calquera outra entidade que trate datos persoais de persoas situadas en Sri Lanka, a implicación é directa: unha postura de consentimento de cookies que satisfacía o patchwork anterior de normas sectoriais xa non é suficiente, e unha postura que satisfai o GDPR só satisfará a PDPA se a integración está configurada para os puntos específicos nos que os dous réximes diverxen.

O que a PDPA de Sri Lanka realmente esixe

A PDPA aplícase ao tratamento de datos persoais de interesados que se atopan en Sri Lanka, independentemente de onde estea localizado o responsable ou o encargado do tratamento, e aos responsables e encargados establecidos en Sri Lanka independentemente de onde estean os interesados. O alcance extraterritorial reflicte o artigo 3 do GDPR e significa que un editor sen oficina en Sri Lanka pero con lectores, instalacións de aplicacións ou clientes pagadores sri-lankeses está claramente dentro do ámbito de aplicación. Os datos persoais defínense amplamente como calquera información relativa a unha persoa física viva identificada ou identificable, coas categorías especiais de datos incluíndo biométricos, xenéticos, financeiros, de saúde, raciais, étnicos, de crenzas relixiosas, de opinión política e de antecedentes penais tratados baixo normas máis estritas.

A Lei establece sete principios fundamentais de protección de datos, seis bases xurídicas para o tratamento, o catálogo estándar de dereitos dos interesados — acceso, rectificación, supresión, limitación, oposición e portabilidade dos datos onde sexa técnicamente viable — e un regulador, a Autoridade de Protección de Datos de Sri Lanka, con poder para emitir directivas, impoñer sancións administrativas de ata LKR 10 millóns por infracción e remitir asuntos graves para a acción penal.

Como trata a PDPA especificamente o consentimento de cookies

A PDPA non contén unha disposición separada ao estilo ePrivacy sobre cookies, como fai a Directiva ePrivacy da UE. Pola contra, incorpora o tratamento de cookies no marco xeral de consentimento ao estilo GDPR: calquera tratamento de datos persoais que dependa do consentimento como base xurídica debe obterse sobre a base dun acto afirmativo claro polo que o interesado expresa o seu acordo, libremente prestado, específico, informado e inequívoco. A DPA indicou, de forma coherente coa tendencia global, que as caixas premarcadas, a linguaxe de navegación continuada e os banners de consentimento agrupado non son formas válidas de consentimento baixo a Lei.

O efecto práctico é a mesma postura que os editores que operan no EEE xa manteñen: as cookies e calquera tecnoloxía análoga de almacenamento e acceso que non sexan estritamente necesarias para prestar o servizo non deben colocarse antes de que o usuario consentira activamente nelas. As cookies estritamente necesarias — identificadores de sesión, contidos do carro, fichas de seguridade, cookies de equilibrio de carga — pódense colocar sen consentimento porque entran dentro da base de interese lexítimo vinculada ao servizo que o usuario solicitou activamente. Todo o demais, incluíndo analítica, publicidade, personalización, probas A/B, reprodución de sesión e calquera etiqueta de terceiros, require o consentimento previo.

En que se diferencia a PDPA do GDPR

Tres diferenzas importan para a capa de integración. En primeiro lugar, o catálogo de bases xurídicas da PDPA inclúe unha base de interese público e de obriga legal que se corresponden estreitamente co artigo 6 do GDPR pero non inclúe a base autónoma de interese lexítimo na forma en que os editores europeos dependen dela para o tratamento de medición de anuncios. O equivalente na PDPA é máis estrito, requirindo unha proba de equilibrio documentada que se arquiva no rexistro de actividades de tratamento do responsable e se pon a disposición da DPA previa solicitude. En segundo lugar, as normas de transferencia transfronteiriza da PDPA requiren que a DPA designe as xurisdicións de destino, e as transferencias a xurisdicións non designadas requiren consentimento explícito, garantías contractuais aprobadas pola DPA ou unha das derrogacións limitadas. En terceiro lugar, o prazo de notificación de incidentes da PDPA é máis curto para as infraccións de alto risco e máis longo para as infraccións de baixo risco que a regra uniforme de 72 horas do GDPR — os responsables deben notificar sen dilación indebida e, se é posible, dentro dun prazo que as orientacións da DPA foron axustando durante o período de entrada en vigor por fases.

O aspecto dun banner de cookies conforme baixo a PDPA

Os requisitos técnicos converxen co que xa produce calquera CMP moderno, pero o etiquetado e o rexistro de consentimento deben reflectir as particularidades de Sri Lanka. O banner de primeira capa debe presentar ao usuario unha opción real — aceptar, rexeitar, xestionar — onde a opción de rexeitamento sexa polo menos tan visible como a opción de aceptación. O consentimento agrupado está prohibido, polo que a segunda capa debe permitir o opt-in por categoría que cubra como mínimo analítica, publicidade e calquera tratamento dependente de transferencia transfronteiriza. As categorías deben estar por defecto en desactivado; o banner non debe cargar etiquetas ata que o usuario as active activamente.

O aviso de privacidade que se mostra desde o banner debe identificar o responsable do tratamento, as categorías de datos persoais recollidos, a base xurídica para cada finalidade de tratamento, o período de conservación dos datos, as categorías de destinatarios incluídos os subencargados que operen fóra de Sri Lanka, os dereitos do interesado baixo a PDPA e os datos de contacto da DPA para reclamacións. Un aviso que cumpra o estándar do artigo 13 do GDPR será en gran medida coincidente, pero as liñas de contacto da DPA e de xurisdicción de transferencia transfronteiriza deben engadirse explicitamente.

O patrón de integración que supera a revisión da DPA

A implementación de referencia ten catro partes en movemento. A primeira é un CMP que admite opt-in por categoría, desactivado por defecto, e expón a elección do usuario a través dunha cadea de consentimento estruturada que o editor pode persistir nun rexistro de consentimento. A segunda é unha capa de carga de etiquetas — normalmente un xestor de etiquetas do lado do servidor ou un portal de script nativo do CMP — que aplica estrictamente o estado do consentimento antes de permitir a colocación de calquera cookie non esencial. A terceira é un rexistro de consentimento do lado do servidor que rexistra para cada evento de consentimento a elección do usuario por categoría, a marca de tempo, a versión do banner de consentimento, o enderezo IP (truncado ou con hash se o responsable decidiu que isto satisfai a súa análise de minimización de datos) e as categorías concedidas fronte ás denegadas. A cuarta é un camiño de retirada que sexa polo menos tan fácil como a concesión orixinal — un enlace persistente de reapertura do banner no pé de páxina é o patrón que a DPA aprobou tacitamente en referencia ás mellores prácticas internacionais.

Validación e postura de auditoría para 2026

Unha implantación de Sri Lanka defendible en 2026 debe superar catro comprobacións. En primeiro lugar, unha sesión de navegador limpa servida desde un enderezo IP de Sri Lanka debe producir cero cookies non esenciais antes de que se accionara o banner. En segundo lugar, o percorrido de rexeitar-todo debe resultar na mesma postura que unha sesión sen acción — sen etiquetas de analítica, sen etiquetas de publicidade, sen scripts de reprodución de sesión, só o conxunto estritamente necesario. En terceiro lugar, un fluxo de aceptar-todo debe producir as etiquetas ás que o usuario consentiu e o rexistro de consentimento debe conter o rexistro correspondente. En cuarto lugar, un fluxo de retirada debe deter inmediatamente os disparos de etiquetas posteriores, facer caducar as cookies colocadas durante a sesión consentida e activar calquera sinal de eliminación ou exclusión voluntaria que requiran os socios destinatarios.

O requisito de rastro de auditoría é onde a PDPA é máis distintiva en 2026. A DPA emitiu orientacións que indican que os responsables deben poder producir, por solicitude, o rexistro de consentimento específico que autorizou calquera actividade de tratamento determinada. Iso significa que o rexistro de consentimento debe ser consultable por identificador de usuario ou identificador de sesión, conservado durante un período que o responsable documentou no seu calendario de retención e exportable nun formato estruturado. Un CMP correctamente configurado cun rexistro do lado do servidor, combinado cunha capa de carga de etiquetas que aplica o estado do consentimento e un aviso de privacidade que nomea cada destino de transferencia transfronteiriza, é o que converte a PDPA de Sri Lanka dun descoñecido regulatorio nunha parte defendible da postura global de consentimento dun editor.

← Blog Ler todo →