Guia de Conformidade de Consentimento de Cookies da PDPA do Sri Lanka: Lei n.º 9 de 2022 em vigor para Editores em 2026
O Sri Lanka passou mais de uma década no processo legislativo antes de a sua Lei de Proteção de Dados Pessoais ter sido finalmente promulgada como Lei n.º 9 de 2022, certificada pelo Presidente da Assembleia em 19 March 2022. A Lei adota a arquitetura ampla que se tornou o padrão global desde o GDPR — limitação de finalidade, base jurídica, direitos dos titulares dos dados, responsabilização, controlos de transferência transfronteiriça, notificação de violações e um regulador independente com poderes de coima administrativa — mas incorpora-os num regime adaptado às realidades comerciais e constitucionais da Ásia do Sul. A Lei entrou em vigor de forma faseada a partir de 17 March 2023, com as obrigações substantivas a acionar 18 meses depois e as disposições de aplicação a serem introduzidas progressivamente ao longo de 2025 e para 2026. Para os editores e qualquer outra entidade que processe dados pessoais de indivíduos no Sri Lanka, a implicação é direta: uma postura de consentimento de cookies que satisfazia o patchwork anterior de regras setoriais já não é suficiente, e uma postura que satisfaz o GDPR só satisfará a PDPA se a integração estiver configurada para os pontos específicos em que os dois regimes divergem.
O que a PDPA do Sri Lanka efetivamente exige
A PDPA aplica-se ao tratamento de dados pessoais de titulares de dados que se encontrem no Sri Lanka, independentemente de onde o responsável pelo tratamento ou subcontratante esteja localizado, e aos responsáveis pelo tratamento e subcontratantes estabelecidos no Sri Lanka independentemente de onde os titulares dos dados se encontrem. O alcance extraterritorial espelha o Artigo 3.º do GDPR e significa que um editor sem escritório no Sri Lanka mas com leitores, instalações de aplicações ou clientes pagantes sri-lankeses está plenamente no âmbito de aplicação. Os dados pessoais são amplamente definidos como qualquer informação relativa a uma pessoa singular viva identificada ou identificável, com dados de categorias especiais, incluindo dados biométricos, genéticos, financeiros, de saúde, raciais, étnicos, de crenças religiosas, de opiniões políticas e de registo criminal, tratados sob regras mais rigorosas.
A Lei estabelece sete princípios fundamentais de proteção de dados, seis bases jurídicas para o tratamento, o conjunto padrão de direitos dos titulares dos dados — acesso, retificação, apagamento, limitação, oposição e portabilidade dos dados onde tecnicamente viável — e um regulador, a Autoridade de Proteção de Dados do Sri Lanka, com poderes para emitir diretivas, impor coimas administrativas até LKR 10 milhões por violação e remeter assuntos graves para instauração de processo penal.
Como a PDPA trata especificamente o consentimento de cookies
A PDPA não contém uma disposição separada ao estilo ePrivacy sobre cookies, como faz a Diretiva ePrivacy da UE. Em vez disso, incorpora o tratamento de cookies no quadro geral de consentimento ao estilo GDPR: qualquer tratamento de dados pessoais que se baseie no consentimento como base jurídica deve ser obtido com base num ato afirmativo claro pelo qual o titular dos dados manifesta concordância, dado livremente, específico, informado e inequívoco. A DPA indicou, de forma consistente com a tendência global, que caixas pré-marcadas, linguagem de navegação contínua e banners de consentimento agrupados não são formas válidas de consentimento ao abrigo da Lei.
O efeito prático é a mesma postura que os editores que operam no EEE já mantêm: os cookies e quaisquer tecnologias análogas de armazenamento e acesso que não sejam estritamente necessárias para a prestação do serviço não podem ser definidos antes de o utilizador ter dado o seu consentimento ativo. Os cookies estritamente necessários — identificadores de sessão, conteúdo do carrinho, tokens de segurança, cookies de balanceamento de carga — podem ser definidos sem consentimento porque se enquadram na base de interesses legítimos ligados ao serviço que o utilizador solicitou ativamente. Tudo o resto, incluindo análise, publicidade, personalização, testes A/B, repetição de sessão e qualquer tag de terceiros, requer consentimento prévio.
Como a PDPA difere do GDPR
Três diferenças são importantes para a camada de integração. Primeiro, o catálogo de bases jurídicas da PDPA inclui uma base de interesse público e de obrigação legal que se aproxima muito do Artigo 6.º do GDPR, mas não inclui a base autónoma de interesses legítimos na forma em que os editores europeus a utilizam para o tratamento de medição de publicidade. O equivalente da PDPA é mais restrito, exigindo um teste de ponderação documentado que é arquivado com o registo de tratamento do responsável e disponibilizado à DPA a pedido. Segundo, as regras de transferência transfronteiriça da PDPA exigem que a DPA designe jurisdições de destino, e as transferências para jurisdições não designadas requerem consentimento explícito, garantias contratuais aprovadas pela DPA ou uma das derrogações limitadas. Terceiro, o prazo de notificação de violações da PDPA é mais curto para violações de alto risco e mais longo para violações de baixo risco do que a regra fixa de 72 horas do GDPR — os responsáveis devem notificar sem demora injustificada e, onde viável, dentro de uma janela que as orientações da DPA apertaram ao longo do período de início faseado.
Como se parece um banner de cookies conforme sob a PDPA
Os requisitos técnicos convergem com o que qualquer CMP moderno já produz, mas a rotulagem e o registo de consentimento devem refletir as especificidades do Sri Lanka. O banner da primeira camada deve apresentar ao utilizador uma escolha real — aceitar, rejeitar, gerir — onde a opção de rejeição é pelo menos tão proeminente quanto a opção de aceitação. O consentimento agrupado é proibido, pelo que a segunda camada deve permitir opt-in por categoria cobrindo no mínimo análise, publicidade e qualquer tratamento dependente de transferência transfronteiriça. As categorias devem ser predefinidas como desligadas; o banner não deve carregar tags até que o utilizador as tenha ativado.
O aviso de privacidade apresentado a partir do banner deve identificar o responsável pelo tratamento, as categorias de dados pessoais recolhidos, a base jurídica para cada finalidade de tratamento, o período de conservação dos dados, as categorias de destinatários, incluindo subcontratantes que operem fora do Sri Lanka, os direitos do titular dos dados ao abrigo da PDPA, e os detalhes de contacto da DPA para reclamações. Um aviso que satisfaça o padrão do Artigo 13.º do GDPR será substancialmente sobreponível, mas as linhas de contacto da DPA e de jurisdição de transferência transfronteiriça devem ser adicionadas explicitamente.
O padrão de integração que passa uma revisão da DPA
A implementação de referência tem quatro partes móveis. A primeira é um CMP que suporta opt-in por categoria, desligado por defeito, e expõe a escolha do utilizador através de uma cadeia de consentimento estruturada que o editor pode persistir num registo de consentimento. A segunda é uma camada de carregamento de tags — tipicamente um gestor de tags do lado do servidor ou uma porta de script nativa do CMP — que aplica estritamente o estado de consentimento antes de permitir que qualquer cookie não essencial seja definido. A terceira é um registo de consentimento, do lado do servidor, que regista para cada evento de consentimento a escolha do utilizador por categoria, o carimbo de data/hora, a versão do banner de consentimento, o endereço IP (truncado ou com hash se o responsável tiver decidido que isso satisfaz a sua análise de minimização de dados) e as categorias que foram concedidas versus recusadas. A quarta é um caminho de retirada que é pelo menos tão fácil quanto a concessão original — um link persistente de reabertura do banner no rodapé é o padrão que a DPA tacitamente aprovou referindo-se às melhores práticas internacionais.
- Tags de análise devem ser carregadas apenas depois de a categoria de análise ser concedida; o Google Analytics 4, o Adobe Analytics, o Matomo, o Amplitude e o Mixpanel suportam todos uma configuração com gate de consentimento que impede qualquer escrita de cookie antes de o gate ser ativado.
- Tags de publicidade — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, bidders de header programáticos — devem ser igualmente bloqueados e, onde o parceiro de publicidade transfere dados fora do Sri Lanka, a jurisdição de destino do parceiro deve constar do aviso de privacidade.
- Ferramentas de repetição de sessão e mapa de calor — Hotjar, Microsoft Clarity, FullStory — devem ficar atrás de um gate separado e mais rigoroso porque a DPA, em linha com o EDPB, sinalizou a renderização de campos de entrada como uma categoria que requer consentimento explícito e granular.
- Divulgações de transferência transfronteiriça devem ser específicas para cada jurisdição destinatária, não genéricas. A DPA indicou que os dados são processados por fornecedores de serviços globalmente não é uma divulgação suficiente.
Postura de validação e auditoria para 2026
Uma implementação do Sri Lanka defensável em 2026 deve passar quatro verificações. Primeiro, uma sessão de navegador limpa servida a partir de um endereço IP do Sri Lanka deve produzir zero cookies não essenciais antes de o banner ter sido acionado. Segundo, o caminho rejeitar-tudo deve resultar na mesma postura que uma sessão sem ação — sem tags de análise, sem tags de publicidade, sem scripts de repetição de sessão, apenas o conjunto estritamente necessário. Terceiro, um fluxo aceitar-tudo deve produzir as tags para as quais o utilizador deu consentimento e o registo de consentimento deve conter o registo correspondente. Quarto, um fluxo de retirada deve imediatamente parar os disparos de tags subsequentes, expirar os cookies definidos durante a sessão de consentimento e acionar quaisquer sinais de eliminação ou opt-out a jusante que os parceiros destinatários exijam.
O requisito de trilha de auditoria é onde a PDPA é mais distintiva em 2026. A DPA emitiu orientações indicando que os responsáveis devem ser capazes de produzir, a pedido, o registo de consentimento específico que autorizou qualquer atividade de tratamento. Isso significa que o registo de consentimento deve ser consultável por identificador de utilizador ou identificador de sessão, conservado por um período que o responsável documentou no seu calendário de conservação, e exportável num formato estruturado. Um CMP corretamente configurado com um registo do lado do servidor, combinado com uma camada de carregamento de tags que aplica o estado de consentimento e um aviso de privacidade que nomeia cada destino de transferência transfronteiriça, é o que transforma a PDPA do Sri Lanka de um desconhecido regulatório numa parte defensável da postura global de consentimento de um editor.