Cosa Copre l'UU PDP e Chi È Interessato

L'UU PDP è la prima legge organica indonesiana sulla protezione dei dati personali. Prima della sua adozione, le norme sulla protezione dei dati in Indonesia erano sparse in regolamenti settoriali — bancario, telecomunicazioni, e-commerce, sistemi elettronici. L'UU PDP le consolida in un unico regime orizzontale che si applica a qualsiasi titolare o responsabile del trattamento che gestisca dati personali di interessati indonesiani, indipendentemente da dove sia stabilito il titolare.

Questa portata extraterritoriale è il fatto più importante per i publisher stranieri. Un publisher con sede negli USA, nell'UE o a Singapore che serve contenuti a utenti fisicamente situati in Indonesia è soggetto all'UU PDP. Il test di presenza è funzionale, non formale: se il titolare si rivolge agli utenti indonesiani — attraverso contenuti in Bahasa Indonesia, opzioni di pagamento indonesiane o pubblicità geolocalizzata — l'UU PDP si applica integralmente.

Lo Standard del Consenso ai Sensi dell'Article 22

L'Article 22 dell'UU PDP definisce il consenso ed è la pietra angolare di qualsiasi banner per cookie rivolto al traffico indonesiano. L'articolo richiede che il consenso sia:

• Esplicito — il silenzio, le caselle pre-selezionate e l'uso continuato del sito non costituiscono consenso. L'utente deve compiere un'azione positiva.
• Specifico — il consenso deve essere collegato a una finalità di trattamento definita. Un singolo pulsante Accetta tutto che copre dieci diverse finalità è altamente vulnerabile.
• Informato — l'interessato deve ricevere, prima di acconsentire, l'identità del titolare, le categorie di dati, le finalità, il periodo di conservazione, i destinatari e i propri diritti.
• Documentato per iscritto o registrato elettronicamente — l'Article 22(3) richiede che il titolare sia in grado di dimostrare il consenso. Un registro del consenso con timestamp associato a un identificatore utente con hash soddisfa questo requisito; una vaga affermazione che l'utente ha cliccato su Accetta non lo fa.
• Revocabile a condizioni equivalenti — la revoca deve essere altrettanto facile della concessione originale. Un percorso di rifiuto che richiede tre clic mentre accettare ne richiede uno non è conforme.

I professionisti riconosceranno questi requisiti: si mappano quasi uno a uno all'Article 7 del GDPR. Le differenze riguardano la portata e l'applicazione, non il concetto.

Basi Giuridiche Oltre il Consenso

Come il GDPR, l'UU PDP riconosce basi giuridiche diverse dal consenso per alcuni trattamenti. L'Article 20 elenca sei basi giuridiche: consenso, esecuzione del contratto, obbligo legale, interesse vitale, compito pubblico e interesse legittimo. Per la maggior parte delle attività di cookie e tracciamento, tuttavia, solo il consenso è realisticamente disponibile, perché la clausola di stretta necessità per i cookie essenziali per fornire un servizio richiesto dall'utente è ristretta e non si estende alla pubblicità o all'analisi.

La clausola di stretta necessità

I cookie di sessione, i cookie di accesso, i cookie delle preferenze linguistiche e i cookie del carrello acquisti rientrano nell'esecuzione del contratto o nell'interesse legittimo con rischio molto basso. Non richiedono il consenso esplicito, sebbene le loro categorie debbano comunque essere divulgate nell'informativa sulla privacy. Tutto il resto — analisi, pubblicità, retargeting, pixel di terze parti, fingerprinting — richiede il consenso dell'Article 22.

Dati dei minori

L'Article 25 richiede il consenso dei genitori per qualsiasi trattamento di dati di interessati di età inferiore ai 18 anni. Questo è più severo rispetto all'età predefinita del consenso digitale del GDPR di 16 anni (che gli Stati membri possono abbassare a 13). Un publisher che gestisce contenuti orientati ai bambini in Bahasa Indonesia dovrebbe trattare la soglia come 18 anni e configurare un flusso di verifica parentale, non una casella di dichiarazione autonoma.

Trasferimenti Transfrontalieri di Dati

L'Article 56 disciplina il trasferimento di dati personali al di fuori dell'Indonesia. Un titolare può trasferire dati in un altro paese solo se è soddisfatta almeno una di tre condizioni: il paese di destinazione ha un livello adeguato di protezione dei dati personali comparabile all'UU PDP, sono in vigore garanzie appropriate, o l'interessato ha dato il consenso esplicito al trasferimento.

Il Ministero indonesiano della Comunicazione e dell'Informatica (Kominfo) non ha ancora pubblicato un elenco di adeguatezza. In pratica, i publisher che trasferiscono dati a giurisdizioni GDPR, agli Stati Uniti, a Singapore o all'Australia si affidano a garanzie appropriate — tipicamente clausole contrattuali standard adattate all'UU PDP, con una clausola vincolante che i sub-responsabili a valle rispettino i diritti UU PDP. Per i fornitori di ad-tech che operano da più regioni, il contratto di trattamento dei dati deve specificare quali regioni gestiscono i dati degli utenti indonesiani e quali garanzie si applicano a ciascun passaggio.

Diritti degli Interessati e la Finestra delle 72 Ore

L'UU PDP garantisce agli interessati indonesiani diritti molto simili a quelli del GDPR: accesso, rettifica, cancellazione, opposizione al trattamento, portabilità dei dati e diritto di contestare le decisioni automatizzate. Due aspetti specifici sono importanti per i publisher.

In primo luogo, l'Article 30 richiede che il titolare risponda a una richiesta di diritto entro un tempo ragionevole, che il regolamento attuativo ha fissato in tre giorni lavorativi per la conferma di ricezione e un massimo di quattordici giorni lavorativi per la risposta sostanziale. Questo è più rapido del termine predefinito di un mese del GDPR.

In secondo luogo, l'Article 46 richiede la notifica di una violazione di dati personali agli interessati colpiti e all'Autorità per la Protezione dei Dati Personali entro 3 x 24 hours — ovvero 72 ore da quando il titolare è venuto a conoscenza della violazione. Il tempo inizia a decorrere quando il titolare ha confermato la violazione, non quando avrebbe potuto rilevarla.

Sanzioni e Recenti Applicazioni

Il regime sanzionatorio dell'UU PDP ha più denti di quanti molti publisher abbiano inizialmente riconosciuto. L'Article 57 prevede sanzioni amministrative fino al 2% del fatturato annuo. L'Article 67 to 73 prevede sanzioni penali fino a sei anni di reclusione e multe fino a 6 miliardi di rupiah per le violazioni più gravi, tra cui la raccolta illecita di dati personali e la divulgazione illecita.

Per tutto il 2025 l'applicazione era in una fase di soft-launch, con Kominfo che emetteva lettere di avvertimento e ordini correttivi piuttosto che multe. Quella fase è terminata all'inizio del 2026. La prima importante sanzione amministrativa ai sensi dell'UU PDP — emessa contro un operatore di e-commerce domestico nel marzo 2026 per una notifica di violazione inadeguata e la mancanza del consenso dei genitori su una linea di prodotti rivolta ai minori — ha fissato un chiaro segnale che l'applicazione è ora attiva.

Come Appare un Banner Publisher Conforme

Per un publisher che serve traffico indonesiano nel 2026, la configurazione pratica è:

Localizzare il banner in Bahasa Indonesia

Il requisito di consenso informato dell'Article 22 non è soddisfatto da un banner in lingua inglese mostrato a un utente parlante Bahasa Indonesia. Il CMP deve rilevare gli utenti indonesiani — tramite geolocalizzazione, IP o intestazione Accept-Language — e servire il banner, l'informativa sulla privacy e i controlli granulari in Bahasa Indonesia.

Trattare il consenso solo come opt-in

Nessuno script di tracciamento, pubblicità o analisi può essere attivato prima che l'utente abbia esplicitamente accettato. Le categorie pre-selezionate, il consenso implicito dalla navigazione continuata e gli avvisi "utilizzando questo sito accetti" sono tutti non conformi.

Mantenere registri di consenso documentati

L'Article 22(3) è esplicito: il titolare deve essere in grado di produrre prove. Un registro del consenso che associa un identificatore utente a un timestamp, alla versione del banner mostrato e alle scelte effettuate è il documento che Kominfo richiederà in qualsiasi audit o indagine su reclami.

Rendere la revoca genuinamente equivalente

Un'icona di consenso fluttuante persistente, un rifiuto con un clic nella pagina delle preferenze sulla privacy, o un chiaro annullamento dell'iscrizione in qualsiasi e-mail che raccoglie dati — ciascuno è un'implementazione ragionevole. Un link nascosto in un'informativa sulla privacy di 4000 parole non lo è.

Mettendo Tutto Insieme

L'UU PDP non è un clone del GDPR, ma è abbastanza vicino che i publisher con programmi di conformità europea maturi possano estendere la loro infrastruttura di consenso esistente all'Indonesia con aggiustamenti mirati: localizzazione in Bahasa Indonesia, soglia di età di 18 anni per il consenso dei genitori, notifica di violazione entro 72 ore e clausole contrattuali standard che coprono esplicitamente l'UU PDP. I publisher senza tale infrastruttura dovrebbero trattare l'UU PDP come il segnale per costruirla. L'applicazione indonesiana è ora attiva e il costo della risoluzione dopo l'avvio di un'indagine Kominfo è uniformemente più alto del costo di configurare correttamente il banner prima del lancio.