Guida alla Conformità del Consenso Cookie PDPA dello Sri Lanka: Legge n. 9 del 2022 in Vigore per i Publisher nel 2026
Lo Sri Lanka ha trascorso più di un decennio nel processo legislativo prima che la sua Legge sulla Protezione dei Dati Personali venisse finalmente promulgata come Legge n. 9 del 2022, certificata dal Presidente del Parlamento il 19 March 2022. La Legge adotta l'ampia architettura che è diventata lo standard globale dall'era GDPR — limitazione della finalità, base giuridica, diritti degli interessati, responsabilità, controlli sui trasferimenti transfrontalieri, notifica delle violazioni e un'autorità di vigilanza indipendente con poteri di sanzione amministrativa — ma li integra in un regime adattato alle realtà commerciali e costituzionali dell'Asia meridionale. La Legge è entrata in vigore gradualmente dal 17 March 2023, con gli obblighi sostanziali attivati 18 mesi dopo e le disposizioni di esecuzione introdotte progressivamente fino al 2025 e nel 2026. Per i publisher e qualsiasi altra entità che tratta i dati personali di individui nello Sri Lanka, l'implicazione è diretta: una postura di consenso cookie che soddisfaceva il precedente mosaico di regole settoriali non è più sufficiente, e una postura che soddisfa il GDPR soddisferà il PDPA solo se l'integrazione è configurata per i punti specifici in cui i due regimi divergono.
Cosa richiede effettivamente il PDPA dello Sri Lanka
Il PDPA si applica al trattamento dei dati personali degli interessati che si trovano nello Sri Lanka, indipendentemente da dove si trova il titolare o il responsabile del trattamento, e ai titolari e responsabili stabiliti nello Sri Lanka indipendentemente da dove si trovano gli interessati. La portata extraterritoriale rispecchia l'Articolo 3 del GDPR e significa che un publisher senza ufficio nello Sri Lanka ma con lettori, installazioni di app o clienti paganti nello Sri Lanka è pienamente nell'ambito di applicazione. I dati personali sono definiti in modo ampio come qualsiasi informazione relativa a una persona fisica identificata o identificabile vivente, con i dati di categoria speciale — inclusi biometrici, genetici, finanziari, sanitari, razziali, etnici, di credo religioso, opinione politica e dati penali — trattati con norme più stringenti.
La Legge stabilisce sette principi fondamentali di protezione dei dati, sei basi giuridiche per il trattamento, la lista standard dei diritti degli interessati — accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati ove tecnicamente praticabile — e un'autorità di vigilanza, la Data Protection Authority of Sri Lanka, con il potere di emettere direttive, imporre sanzioni amministrative fino a LKR 10 milioni per violazione e rinviare questioni gravi per il procedimento penale.
Come il PDPA tratta il consenso cookie nello specifico
Il PDPA non contiene una disposizione separata in stile ePrivacy sui cookie, come fa la Direttiva ePrivacy dell'UE. Invece, incorpora il trattamento dei cookie nel quadro generale del consenso in stile GDPR: qualsiasi trattamento di dati personali che si basa sul consenso come base giuridica deve essere ottenuto sulla base di un chiaro atto affermativo con cui l'interessato esprime il suo accordo, liberamente prestato, specifico, informato e inequivocabile. La DPA ha indicato, coerentemente con la tendenza globale, che le caselle pre-selezionate, il linguaggio di navigazione continua e i banner di consenso in blocco non sono forme valide di consenso ai sensi della Legge.
L'effetto pratico è la stessa postura che i publisher operanti nel SEE già mantengono: i cookie e qualsiasi tecnologia analoga di archiviazione e accesso che non siano strettamente necessari per la fornitura del servizio non devono essere impostati prima che l'utente abbia attivamente acconsentito. I cookie strettamente necessari — identificatori di sessione, contenuto del carrello, token di sicurezza, cookie di bilanciamento del carico — possono essere impostati senza consenso perché rientrano nella base del legittimo interesse legata al servizio che l'utente ha attivamente richiesto. Tutto il resto, inclusi analitiche, pubblicità, personalizzazione, test A/B, registrazione della sessione e qualsiasi tag di terze parti, richiede il consenso preliminare.
Come il PDPA differisce dal GDPR
Tre differenze sono rilevanti per il livello di integrazione. Prima, il catalogo delle basi giuridiche del PDPA include una base di interesse pubblico e un obbligo legale che si avvicinano all'Articolo 6 del GDPR ma non include la base autonoma del legittimo interesse nella forma su cui i publisher europei fanno affidamento per il trattamento delle misurazioni pubblicitarie. L'equivalente del PDPA è più ristretto, richiedendo un test di bilanciamento documentato che viene archiviato con il registro dei trattamenti del titolare e reso disponibile alla DPA su richiesta. Secondo, le regole sui trasferimenti transfrontalieri del PDPA richiedono che la DPA designi le giurisdizioni di destinazione, e i trasferimenti verso giurisdizioni non designate richiedono il consenso esplicito, garanzie contrattuali approvate dalla DPA o una delle deroghe ristrette. Terzo, il termine per la notifica delle violazioni del PDPA è più breve per le violazioni ad alto rischio e più lungo per quelle a basso rischio rispetto alla regola piatta delle 72 ore del GDPR — i titolari devono notificare senza indebito ritardo e, ove possibile, entro una finestra temporale che le linee guida della DPA hanno ristretto nel periodo di avvio graduale.
Come appare un banner cookie conforme ai sensi del PDPA
I requisiti tecnici convergono con ciò che ogni CMP moderno già produce, ma l'etichettatura e il registro del consenso devono riflettere le specificità dello Sri Lanka. Il banner del primo livello deve presentare all'utente una scelta reale — accetta, rifiuta, gestisci — in cui l'opzione di rifiuto è almeno altrettanto prominente dell'opzione di accettazione. Il consenso in blocco è vietato, quindi il secondo livello deve consentire l'opt-in per categoria che copra come minimo le analitiche, la pubblicità e qualsiasi trattamento dipendente da trasferimenti transfrontalieri. Le categorie devono essere impostate per default su off; il banner non deve caricare tag finché l'utente non li ha attivati in modo affermativo.
L'informativa sulla privacy esposta dal banner deve identificare il titolare del trattamento, le categorie di dati personali raccolti, la base giuridica per ciascuna finalità di trattamento, il periodo di conservazione dei dati, le categorie di destinatari inclusi eventuali sub-responsabili che operano al di fuori dello Sri Lanka, i diritti dell'interessato ai sensi del PDPA e i recapiti della DPA per i reclami. Un'informativa che soddisfa lo standard dell'Articolo 13 del GDPR si sovrapporrà sostanzialmente, ma le righe di contatto della DPA e della giurisdizione di trasferimento transfrontaliero devono essere aggiunte esplicitamente.
Il modello di integrazione che supera una revisione della DPA
L'implementazione di riferimento ha quattro componenti. La prima è una CMP che supporta l'opt-in per categoria, predefinito off, ed espone la scelta dell'utente tramite una stringa di consenso strutturata che il publisher può conservare in un registro del consenso. La seconda è un livello di caricamento dei tag — tipicamente un tag manager lato server o un gate di script nativo CMP — che applica rigorosamente lo stato del consenso prima di consentire l'impostazione di qualsiasi cookie non essenziale. La terza è un registro del consenso lato server che registra per ogni evento di consenso la scelta dell'utente per categoria, il timestamp, la versione del banner del consenso, l'indirizzo IP (troncato o con hash se il titolare ha deciso che questo soddisfa la sua analisi di minimizzazione dei dati) e le categorie concesse rispetto a quelle rifiutate. La quarta è un percorso di revoca che sia almeno facile quanto la concessione originale — un link persistente per riaprire il banner nel piè di pagina è il modello che la DPA ha tacitamente approvato facendo riferimento alle migliori pratiche internazionali.
- I tag analitici devono essere caricati solo dopo che la categoria analitiche è stata concessa; Google Analytics 4, Adobe Analytics, Matomo, Amplitude e Mixpanel supportano tutti una configurazione con gate di consenso che impedisce qualsiasi scrittura di cookie prima che il gate si apra.
- I tag pubblicitari — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, header bidder programmatici — devono essere similarmente protetti e, dove il partner pubblicitario trasferisce dati al di fuori dello Sri Lanka, la giurisdizione di destinazione del partner deve apparire nell'informativa sulla privacy.
- Gli strumenti di registrazione della sessione e heatmap — Hotjar, Microsoft Clarity, FullStory — devono essere collocati dietro un gate separato e più stringente perché la DPA, in linea con l'EDPB, ha segnalato il rendering dei campi di input come una categoria che richiede un consenso esplicito e granulare.
- Le comunicazioni sui trasferimenti transfrontalieri devono essere specifiche per ciascuna giurisdizione del destinatario, non generiche. La DPA ha indicato che i dati sono trattati da fornitori di servizi a livello globale non è una comunicazione sufficiente.
Validazione e postura di audit per il 2026
Un deployment dello Sri Lanka difendibile nel 2026 deve superare quattro verifiche. Prima, una sessione browser pulita servita da un indirizzo IP dello Sri Lanka deve produrre zero cookie non essenziali prima che il banner sia stato azionato. Secondo, il percorso rifiuta-tutto deve produrre la stessa postura di una sessione senza azioni — nessun tag analitico, nessun tag pubblicitario, nessun script di registrazione della sessione, solo il set strettamente necessario. Terzo, un flusso accetta-tutto deve produrre i tag a cui l'utente ha acconsentito e il registro del consenso deve contenere il record corrispondente. Quarto, un flusso di revoca deve immediatamente interrompere ulteriori attivazioni di tag, far scadere i cookie impostati durante la sessione con consenso e attivare qualsiasi segnale di cancellazione o opt-out downstream richiesto dai partner destinatari.
Il requisito della traccia di audit è dove il PDPA è più distintivo nel 2026. La DPA ha emesso linee guida indicando che i titolari devono essere in grado di produrre, su richiesta, il record di consenso specifico che ha autorizzato qualsiasi attività di trattamento data. Ciò significa che il registro del consenso deve essere interrogabile per identificatore utente o identificatore di sessione, conservato per un periodo che il titolare ha documentato nel suo piano di conservazione ed esportabile in un formato strutturato. Una CMP correttamente configurata con un log lato server, abbinata a un livello di caricamento dei tag che applica lo stato del consenso e un'informativa sulla privacy che nomina ciascuna destinazione di trasferimento transfrontaliero, è ciò che trasforma il PDPA dello Sri Lanka da un'incognita normativa in una parte difendibile della postura globale di consenso di un publisher.