O que a UU PDP Abrange e Quem É Abrangido

A UU PDP é o primeiro estatuto abrangente da Indonésia sobre proteção de dados pessoais. Antes da sua promulgação, as regras de proteção de dados na Indonésia estavam dispersas por regulamentações setoriais — banca, telecomunicações, comércio eletrónico, sistemas eletrónicos. A UU PDP consolida-as num único regime horizontal que se aplica a qualquer responsável pelo tratamento ou subcontratante que trate dados pessoais de titulares de dados indonésios, independentemente de onde o responsável pelo tratamento esteja estabelecido.

Este alcance extraterritorial é o facto mais importante para os editores estrangeiros. Um editor com sede nos EUA, na UE ou em Singapura que sirva conteúdo a utilizadores fisicamente localizados na Indonésia é abrangido pela UU PDP. O teste de presença é funcional, não formal: se o responsável pelo tratamento visa utilizadores indonésios — através de conteúdo em Bahasa Indonesia, opções de pagamento indonésias ou publicidade geolocalizada — a UU PDP aplica-se integralmente.

O Padrão de Consentimento ao Abrigo do Article 22

O Article 22 da UU PDP define o consentimento e é a pedra angular de qualquer banner de cookies direcionado ao tráfego indonésio. O artigo exige que o consentimento seja:

• Explícito — o silêncio, as caixas pré-marcadas e a utilização contínua do site não constituem consentimento. O utilizador deve realizar uma ação positiva.
• Específico — o consentimento deve estar vinculado a uma finalidade de tratamento definida. Um único botão Aceitar Tudo que cobre dez finalidades diferentes é altamente vulnerável.
• Informado — o titular dos dados deve receber, antes do consentimento, a identidade do responsável pelo tratamento, as categorias de dados, as finalidades, o período de conservação, os destinatários e os seus direitos.
• Documentado por escrito ou registado eletronicamente — o Article 22(3) exige que o responsável pelo tratamento possa provar o consentimento. Um registo de consentimento com carimbo de data e hora associado a um identificador de utilizador com hash satisfaz este requisito; uma alegação vaga de que o utilizador clicou em Aceitar não.
• Revogável em termos equivalentes — a retirada deve ser tão fácil quanto a concessão original. Um caminho de rejeição que exige três cliques enquanto a aceitação exige um não está em conformidade.

Os profissionais reconhecerão estes requisitos: correspondem quase um para um ao Article 7 do GDPR. As diferenças estão no âmbito e na aplicação, não no conceito.

Bases Legais Além do Consentimento

Tal como o GDPR, a UU PDP reconhece bases legais que não o consentimento para alguns tratamentos. O Article 20 enumera seis bases legais: consentimento, execução de contrato, obrigação legal, interesse vital, tarefa pública e interesse legítimo. Para a maioria das atividades de cookies e rastreamento, contudo, apenas o consentimento é realisticamente disponível, porque a exclusão de estrita necessidade para cookies essenciais à prestação de um serviço solicitado pelo utilizador é restrita e não se estende à publicidade ou análises.

A exclusão de estrita necessidade

Cookies de sessão, cookies de início de sessão, cookies de preferência de idioma e cookies de carrinho de compras enquadram-se na execução de contrato ou interesse legítimo com risco muito baixo. Não requerem consentimento explícito, embora as suas categorias ainda devam ser divulgadas no aviso de privacidade. Todo o resto — análises, publicidade, retargeting, pixels de terceiros, fingerprinting — requer o consentimento do Article 22.

Dados de menores

O Article 25 exige o consentimento parental para qualquer tratamento de titulares de dados com menos de 18 anos. Isto é mais restritivo do que a idade padrão de consentimento digital do GDPR de 16 anos (que os Estados-Membros podem reduzir para 13). Um editor que opere conteúdo orientado para crianças em Bahasa Indonesia deve tratar o limite como 18 anos e configurar um fluxo de verificação parental, não uma caixa de verificação de autodeclaração.

Transferências de Dados Transfronteiriças

O Article 56 rege a transferência de dados pessoais para fora da Indonésia. Um responsável pelo tratamento só pode transferir dados para outro país se pelo menos uma de três condições for cumprida: o país de destino tem um nível adequado de proteção de dados pessoais comparável à UU PDP, existem salvaguardas adequadas em vigor, ou o titular dos dados deu consentimento explícito para a transferência.

O Ministério da Comunicação e Informática da Indonésia (Kominfo) ainda não publicou uma lista de adequação. Na prática, os editores que transferem dados para jurisdições do GDPR, para os Estados Unidos, para Singapura ou para a Austrália baseiam-se em salvaguardas adequadas — tipicamente cláusulas contratuais padrão adaptadas à UU PDP, com uma cláusula vinculativa de que os subcontratantes a jusante respeitam os direitos da UU PDP. Para fornecedores de tecnologia publicitária que operam a partir de múltiplas regiões, o seu acordo de processamento de dados deve especificar quais as regiões que tratam os dados dos utilizadores indonésios e quais as salvaguardas aplicadas em cada etapa.

Direitos dos Titulares dos Dados e a Janela de 72 Horas

A UU PDP concede aos titulares de dados indonésios direitos que se assemelham de perto aos do GDPR: acesso, retificação, eliminação, oposição ao tratamento, portabilidade de dados e o direito de contestar decisões automatizadas. Dois aspetos específicos são relevantes para os editores.

Em primeiro lugar, o Article 30 exige que o responsável pelo tratamento responda a um pedido de direitos dentro de um prazo razoável, que o regulamento de implementação fixou em três dias úteis para acuse de recebimento e um máximo de catorze dias úteis para resposta substantiva. Isto é mais rápido do que o prazo padrão de um mês do GDPR.

Em segundo lugar, o Article 46 exige notificação de uma violação de dados pessoais aos titulares de dados afetados e à Autoridade de Proteção de Dados Pessoais dentro de 3 x 24 horas — isto é, 72 horas a partir do momento em que o responsável pelo tratamento toma conhecimento da violação. O relógio começa quando o responsável pelo tratamento confirmou a violação, não quando poderia tê-la detetado.

Penalidades e Fiscalização Recente

O regime de penalidades da UU PDP tem mais dentes do que muitos editores inicialmente reconheceram. O Article 57 prevê sanções administrativas até 2% da receita anual. O Article 67 to 73 prevê sanções penais até seis anos de prisão e multas até 6 mil milhões de rupiah para as violações mais graves, incluindo a recolha ilícita de dados pessoais e a divulgação ilícita.

Ao longo de 2025, a fiscalização estava numa fase de lançamento suave, com o Kominfo a emitir cartas de aviso e ordens corretivas em vez de multas. Essa fase terminou no início de 2026. A primeira grande penalidade administrativa ao abrigo da UU PDP — emitida a um operador doméstico de comércio eletrónico em março de 2026 por notificação de violação inadequada e falta de consentimento parental numa linha de produtos dirigida a menores — estabeleceu um marcador claro de que a fiscalização está agora ativa.

Como É um Banner de Editor Conforme

Para um editor que sirva tráfego indonésio em 2026, a configuração prática é:

Localizar o banner para o Bahasa Indonesia

O requisito de consentimento informado do Article 22 não é satisfeito por um banner em inglês mostrado a um utilizador que fala Bahasa. O CMP deve detetar utilizadores indonésios — por geolocalização, IP ou cabeçalho Accept-Language — e servir o banner, o aviso de privacidade e os controlos granulares em Bahasa Indonesia.

Tratar o consentimento como apenas opt-in

Nenhum script de rastreamento, publicidade ou análise pode ser executado antes de o utilizador ter aceite explicitamente. Categorias pré-marcadas, consentimento implícito por navegação contínua e avisos de «ao usar este site concorda» são todos não conformes.

Manter registos de consentimento documentados

O Article 22(3) é explícito: o responsável pelo tratamento deve ser capaz de produzir evidências. Um registo de consentimento que associe um identificador de utilizador a um carimbo de data e hora, a versão do banner apresentado e as escolhas efetuadas é o documento que o Kominfo solicitará em qualquer auditoria ou investigação de reclamação.

Tornar a retirada genuinamente equivalente

Um ícone de consentimento flutuante persistente, uma rejeição com um clique na página de preferências de privacidade, ou uma opção clara de cancelamento em qualquer e-mail de recolha de dados — cada um é uma implementação razoável. Uma ligação escondida numa política de privacidade de 4000 palavras não é.

Reunindo Tudo

A UU PDP não é um clone do GDPR, mas é suficientemente próxima para que os editores com programas de conformidade europeus maduros possam estender a sua infraestrutura de consentimento existente à Indonésia com ajustes direcionados: localização em Bahasa, um limite de idade de 18 anos para consentimento parental, a notificação de violação de 72 horas e cláusulas contratuais padrão que cubram explicitamente a UU PDP. Os editores sem essa infraestrutura devem tratar a UU PDP como o gatilho para a construir. A fiscalização indonésia está agora ativa, e o custo de remediação após o início de uma investigação do Kominfo é uniformemente mais elevado do que o custo de acertar com o banner antes do lançamento.