Ghid de Conformitate privind Consimțământul Cookie-urilor PDPA din Sri Lanka: Legea Nr. 9 din 2022 în vigoare pentru Editori în 2026

Sri Lanka a petrecut mai mult de un deceniu în procesul legislativ înainte ca Legea sa privind Protecția Datelor cu Caracter Personal să fie în cele din urmă promulgată ca Legea Nr. 9 din 2022, certificată de Președintele Parlamentului la 19 March 2022. Legea adoptă arhitectura largă care a devenit standardul global din momentul GDPR — limitarea scopului, temeiul juridic, drepturile persoanelor vizate, responsabilitatea, controalele privind transferul transfrontalier, notificarea încălcărilor și un organism de reglementare independent cu puteri de sancțiuni administrative — dar le integrează într-un regim adaptat realităților comerciale și constituționale din Asia de Sud. Legea a intrat în vigoare în etape începând cu 17 March 2023, obligațiile de fond intrând în vigoare 18 luni mai târziu, iar dispozițiile de aplicare fiind introduse progresiv pe parcursul anului 2025 și în 2026. Pentru editori și orice altă entitate care prelucrează date cu caracter personal ale persoanelor din Sri Lanka, implicația este directă: o poziție privind consimțământul pentru cookie-uri care satisfăcea mozaicul anterior de reguli sectoriale nu mai este suficientă, iar o poziție care satisface GDPR va satisface PDPA numai dacă integrarea este configurată pentru punctele specifice în care cele două regimuri diverge.

Ce impune efectiv PDPA din Sri Lanka

PDPA se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care se află în Sri Lanka, indiferent de locul în care se află operatorul sau persoana împuternicită de operator, și operatorilor și persoanelor împuternicite stabilite în Sri Lanka, indiferent de locul în care se află persoanele vizate. Raza extrateritorială oglindește Articolul 3 din GDPR și înseamnă că un editor fără birou în Sri Lanka, dar cu cititori, instalări de aplicații sau clienți plătitori din Sri Lanka se află pe deplin în sfera de aplicare. Datele cu caracter personal sunt definite în sens larg ca orice informație referitoare la o persoană fizică vie identificată sau identificabilă, categoriile speciale de date incluzând date biometrice, genetice, financiare, de sănătate, rasiale, etnice, de convingeri religioase, opinii politice și evidențe penale tratate sub reguli mai stricte.

Legea stabilește șapte principii fundamentale de protecție a datelor, șase temeiuri juridice pentru prelucrare, setul standard de drepturi ale persoanelor vizate — acces, rectificare, ștergere, restricție, opoziție și portabilitatea datelor acolo unde este fezabil din punct de vedere tehnic — și un organism de reglementare, Autoritatea de Protecție a Datelor din Sri Lanka, cu puterea de a emite directive, a impune sancțiuni administrative de până la LKR 10 milioane per încălcare și de a trimite chestiuni grave spre urmărire penală.

Cum tratează PDPA consimțământul pentru cookie-uri în mod specific

PDPA nu conține o dispoziție separată în stil ePrivacy privind cookie-urile, în modul în care face Directiva ePrivacy a UE. În schimb, înglobează prelucrarea cookie-urilor în cadrul general de consimțământ în stil GDPR: orice prelucrare de date cu caracter personal care se bazează pe consimțământ ca temei juridic trebuie obținută pe baza unui act afirmativ clar prin care persoana vizată semnifică acordul, dat în mod liber, specific, informat și neechivoc. DPA a indicat, în mod consecvent cu tendința globală, că casetele pre-bifate, limbajul de navigare continuă și bannerele de consimțământ grupate nu sunt forme valide de consimțământ în temeiul Legii.

Efectul practic este aceeași poziție pe care editorii care operează în SEE o mențin deja: cookie-urile și orice tehnologii analogice de stocare și acces care nu sunt strict necesare pentru furnizarea serviciului nu trebuie setate înainte ca utilizatorul să-și fi dat consimțământul în mod activ. Cookie-urile strict necesare — identificatori de sesiune, conținut de coș, token-uri de securitate, cookie-uri de echilibrare a încărcăturii — pot fi setate fără consimțământ deoarece se încadrează în temeiul interesului legitim legat de serviciul pe care utilizatorul l-a solicitat activ. Orice altceva, inclusiv analitica, publicitatea, personalizarea, testarea A/B, redarea sesiunilor și orice tag terță parte, necesită consimțământ prealabil.

Cum diferă PDPA de GDPR

Trei diferențe contează pentru stratul de integrare. În primul rând, catalogul de temeiuri juridice al PDPA include un temei de interes public și obligație legală care se mapează îndeaproape la Articolul 6 din GDPR, dar nu include temeiul autonom al intereselor legitime în forma pe care editorii europeni se bazează pentru prelucrarea măsurării publicității. Echivalentul PDPA este mai restrâns, necesitând un test de echilibrare documentat care este depus împreună cu registrul de prelucrare al operatorului și pus la dispoziția DPA la cerere. În al doilea rând, regulile de transfer transfrontalier ale PDPA cer ca DPA să desemneze jurisdicțiile de destinație, iar transferurile către jurisdicții nedesemnate necesită fie consimțământ explicit, garanții contractuale aprobate de DPA, fie una din derogările restrânse. În al treilea rând, termenul de notificare a încălcărilor al PDPA este mai scurt pentru încălcările cu risc ridicat și mai lung pentru încălcările cu risc scăzut decât regula fixă de 72 de ore a GDPR — operatorii trebuie să notifice fără întârziere nejustificată și, acolo unde este fezabil, în intervalul pe care orientările DPA l-au înăsprit pe parcursul perioadei de intrare în vigoare etapizată.

Cum arată un banner de cookie-uri conform sub PDPA

Cerințele tehnice converg cu ceea ce orice CMP modern produce deja, dar etichetarea și jurnalul de consimțământ trebuie să reflecte specificul din Sri Lanka. Banner-ul primului strat trebuie să prezinte utilizatorului o alegere reală — acceptă, refuză, gestionează — unde opțiunea de refuz este cel puțin la fel de proeminentă ca opțiunea de acceptare. Consimțământul grupat este interzis, deci al doilea strat trebuie să permită opt-in per categorie acoperind cel puțin analitica, publicitatea și orice prelucrare dependentă de transferul transfrontalier. Categoriile trebuie să fie implicit setate la dezactivat; banner-ul nu trebuie să încarce tag-uri până când utilizatorul nu le-a activat activ.

Notificarea de confidențialitate afișată din banner trebuie să identifice operatorul, categoriile de date cu caracter personal colectate, temeiul juridic pentru fiecare scop de prelucrare, perioada de păstrare a datelor, categoriile de destinatari, inclusiv orice sub-contractanți care operează din afara Sri Lanka, drepturile persoanei vizate în temeiul PDPA și datele de contact ale DPA pentru plângeri. O notificare care satisface standardul Articolului 13 din GDPR va fi în mod substanțial suprapusă, dar liniile de contact ale DPA și de jurisdicție de transfer transfrontalier trebuie adăugate explicit.

Modelul de integrare care trece o revizuire DPA

Implementarea de referință are patru componente mobile. Prima este un CMP care acceptă opt-in per categorie, implicit dezactivat, și expune alegerea utilizatorului printr-un șir de consimțământ structurat pe care editorul îl poate persista într-un jurnal de consimțământ. A doua este un strat de încărcare a tag-urilor — de obicei un manager de tag-uri pe partea serverului sau o poartă de script nativă CMP — care aplică strict starea de consimțământ înainte de a permite setarea oricărui cookie ne-esențial. A treia este un jurnal de consimțământ, pe partea serverului, care înregistrează pentru fiecare eveniment de consimțământ alegerea utilizatorului per categorie, timestamp-ul, versiunea banner-ului de consimțământ, adresa IP (trunchiată sau cu hash dacă operatorul a decis că aceasta satisface analiza sa de minimizare a datelor) și categoriile care au fost acordate față de refuzate. A patra este o cale de retragere care este cel puțin la fel de ușoară ca acordul original — un link persistent de redeschidere a banner-ului în subsol este modelul pe care DPA l-a aprobat tacit referindu-se la cele mai bune practici internaționale.

Poziția de validare și audit pentru 2026

O implementare defensabilă din Sri Lanka în 2026 trebuie să treacă patru verificări. În primul rând, o sesiune de browser curată servită de la o adresă IP din Sri Lanka trebuie să producă zero cookie-uri ne-esențiale înainte ca banner-ul să fi fost acționat. În al doilea rând, calea refuză-tot trebuie să rezulte în aceeași poziție ca o sesiune fără acțiune — fără tag-uri analitice, fără tag-uri publicitare, fără scripturi de redare a sesiunilor, doar setul strict necesar. În al treilea rând, un flux acceptă-tot trebuie să producă tag-urile la care utilizatorul și-a dat consimțământul, iar jurnalul de consimțământ trebuie să conțină înregistrarea corespunzătoare. În al patrulea rând, un flux de retragere trebuie să oprească imediat declanșările ulterioare de tag-uri, să expire cookie-urile setate în timpul sesiunii cu consimțământ acordat și să declanșeze orice semnale de ștergere sau opt-out din aval pe care le cer partenerii destinatari.

Cerința pistei de audit este acolo unde PDPA este cel mai distinctiv în 2026. DPA a emis orientări indicând că operatorii ar trebui să fie capabili să producă, la cerere, înregistrarea specifică de consimțământ care a autorizat orice activitate de prelucrare dată. Aceasta înseamnă că jurnalul de consimțământ trebuie să fie interogabil după identificatorul utilizatorului sau identificatorul sesiunii, păstrat pentru o perioadă pe care operatorul a documentat-o în programul său de reținere și exportabil într-un format structurat. Un CMP configurat corect cu un jurnal pe partea serverului, împerecheat cu un strat de încărcare a tag-urilor care aplică starea de consimțământ și o notificare de confidențialitate care denumește fiecare destinație de transfer transfrontalier, este cel care transformă PDPA din Sri Lanka dintr-o necunoscută de reglementare într-o parte defensabilă a poziției globale de consimțământ a unui editor.

← Blog Citește tot →