Guida alla conformità del consenso cookie per l'emendamento PDPA Malaysia 2024 per gli editori nel 2026

Il Personal Data Protection Act 2010 della Malaysia, quando è entrato in vigore nel 2013, era uno dei primi statuti completi sulla privacy nel Sud-Est asiatico. Nel suo primo decennio lo standard operativo era relativamente leggero: il Personal Data Protection Department (JPDP, ora PDP) gestiva un regime di registrazione attivo per gli utenti dei dati nelle sette classi di attività coperte, ma l'applicazione nei confronti degli operatori online generali era modesta e lo standard del consenso era ampiamente interpretato come permissivo. Il 2024 Amendment Act, che ha ricevuto il Royal Assent in October 2024 ed è entrato in vigore per fasi nel corso del 2025, ha cambiato sostanzialmente questo assetto. L'emendamento ha introdotto la designazione obbligatoria di Data Protection Officers per i titolari del trattamento al di sopra di determinate soglie, la notifica obbligatoria delle violazioni entro 72 ore, il diritto alla portabilità dei dati, un'autorità di controllo rinominata con poteri di applicazione più incisivi e ha ribadito i requisiti sui trasferimenti transfrontalieri che erano stati applicati in modo ambiguo ai sensi della legge originale. Per gli editori e gli operatori SaaS che servono traffico proveniente dalla Malaysia — un mercato che include uno degli ecosistemi fintech ed economia digitale più attivi dell'ASEAN — il PDPA emendato rappresenta un cambiamento operativo significativo. Questa guida illustra cosa è cambiato nel 2024, come il PDP ha interpretato lo standard del consenso emendato per il tracciamento online e dove deve concentrarsi il lavoro pratico di conformità.

Il PDPA nel 2026 — Panoramica post-emendamento

Il PDPA emendato continua a essere strutturato attorno a sette principi nella Section 5: Generale, Avviso e scelta, Divulgazione, Sicurezza, Conservazione, Integrità dei dati e Accesso. Il principio di Avviso e Scelta nella Section 7 è il più rilevante per il consenso ai cookie, poiché richiede agli utenti dei dati di fornire avviso scritto sia in inglese sia in Bahasa Malaysia e di ottenere il consenso (o di affidarsi a un'altra base giuridica nella Section 6) prima del trattamento.

Tre cambiamenti strutturali dell'emendamento del 2024 rilevano sul piano operativo per gli editori online. In primo luogo, il Personal Data Protection Department rinominato ha ora esplicita autorità per imporre sanzioni amministrative legate a una percentuale del fatturato annuo, in sostituzione del vecchio regime a sanzione fissa. In secondo luogo, la designazione obbligatoria del DPO ai sensi della Section 12A si applica ai titolari del trattamento al di sopra di soglie definite — la maggior parte degli editori supportati dalla pubblicità e degli operatori SaaS supera tali soglie. In terzo luogo, la nuova Section 12B richiede la notifica delle violazioni al PDP entro 72 ore dalla loro scoperta, con notifica agli interessati quando è probabile un danno significativo.

Come il PDPA emendato disciplina i cookie e il tracciamento online

Il PDPA non contiene una disposizione specifica sui cookie. Gli obblighi di consenso e informazione derivano dalle Section 5, 6 e 7 della legge e dal 2025 Public Consultation Paper on Online Tracking del PDP, che ha articolato le aspettative del regolatore post-emendamento in materia di banner sui cookie e pubblicità comportamentale. Quattro punti hanno il maggiore impatto operativo.

Consenso esplicito per il tracciamento non essenziale

Il 2025 Public Consultation Paper ha respinto il consenso implicito, l'uso continuato e le caselle pre-selezionate in quanto non soddisfano il Principio di Avviso e Scelta interpretato nel contesto online. Per i cookie non essenziali è richiesta un'azione esplicita di consenso, allineando la prassi malaysiana alla posizione dell'EDPB Cookie Banner Taskforce.

Requisito di avviso bilingue

La Section 7(3) richiede che l'informativa sulla privacy e il meccanismo di consenso siano disponibili sia in inglese sia in Bahasa Malaysia. Questa era una caratteristica della legge originale ribadita dall'emendamento; il PDP ha reso sempre più esplicito che i banner solo in inglese non soddisfano il requisito per il pubblico che serve residenti in Malaysia.

Controlli granulari per categoria

Il documento di consultazione si aspetta che i banner consentano all'utente di accettare e rifiutare le categorie in modo indipendente. Il pulsante unico accetta-tutto senza granularità è considerato un difetto ai sensi della lettura della proporzionalità della Section 5(c) (la raccolta non deve essere eccessiva).

Trasferimento transfrontaliero (Section 129)

La Section 129 del PDPA originale richiedeva che i trasferimenti transfrontalieri fossero effettuati verso un destinatario in un paese inserito in una lista bianca (un elenco che il Ministro avrebbe dovuto mantenere ma che non è mai stato pubblicato efficacemente). L'emendamento del 2024 lo sostituisce con un quadro più pratico: i trasferimenti possono essere effettuati verso giurisdizioni con protezione comparabile, o con adeguate garanzie contrattuali, o con consenso esplicito. Il PDP ha pubblicato clausole contrattuali tipo simili alle EU SCCs.

La postura del PDP nell'applicazione nel 2026

La postura post-emendamento del Personal Data Protection Department differisce dall'approccio pre-emendamento in tre modi osservabili.

Ispezioni settoriali attive

Il PDP ha dato priorità ai settori fintech, e-commerce e prestiti digitali per ispezioni proattive dall'entrata in vigore dell'emendamento. Queste ispezioni tipicamente iniziano con un audit di registrazione e si intensificano in un'ispezione più ampia se la registrazione non è aggiornata.

Sanzioni più elevate e visibili

Il nuovo regime di sanzioni amministrative ha prodotto sanzioni più elevate e più visibili pubblicamente rispetto al vecchio modello a multa fissa. Diversi operatori delle telecomunicazioni e del fintech hanno ricevuto sanzioni in ringgit a otto cifre nel 2025, che il PDP ha utilizzato per comunicare che l'emendamento ha una reale portata applicativa.

Coordinamento regolatorio ASEAN

Il PDP partecipa al flusso di lavoro dell'ASEAN Data Management Framework e si coordina con il PDPC di Singapore, il PDPC della Thailandia e il NPC delle Filippine. Le indagini transfrontaliere che coinvolgono traffico malaysiano e di altri paesi ASEAN sono sempre più gestite attraverso procedure coordinate.

Lista di controllo pratica per la conformità

Sei domande concrete a cui rispondere per qualsiasi banner sui cookie che serve traffico proveniente dalla Malaysia.

Il posto della Malaysia in uno stack multi-giurisdizionale

La Malaysia è uno dei quattro regimi di protezione dei dati ASEAN con maggiori implicazioni operative, insieme a Singapore, Thailandia e Filippine. L'emendamento del 2024 ha colmato gran parte del divario tra il PDPA originale e il GDPR, il che significa che un'architettura CMP costruita secondo gli standard europei ora gestisce la maggior parte della conformità malaysiana con tre specifiche aggiunte: banner e informativa bilingue (inglese e Bahasa Malaysia), registrazione PDP dove si applicano le soglie di classe coperta e il flusso di lavoro di notifica delle violazioni della Section 12B con il timer di 72 ore. Per gli editori che mirano a operazioni pan-ASEAN, il PDPA post-emendamento è un modello significativo — è probabile che le leggi regionali più recenti si ispirino alla sua struttura — e le aggiunte operative sono gestibili su uno stack di consenso di livello europeo già implementato.

← Blog Leggi tutto →