Юрыдычны кантэкст

Ley 25.326 быў напісаны да таго, як паводзінская рэклама з'явілася ў маштабе. Яго стандарт згоды патрабаваў папярэдняга, відавочнага і інфармаванага дазволу, але практычная інтэрпрэтацыя AAIP гістарычна была менш прадпісвальнай, чым прымянялі еўрапейскія наглядчыя органы. Cookie, адсочвальныя пікселі і інструменты пабудовы аўдыторыі працавалі ў Аргентыне ў адносна ліберальным інтэрпрэтацыйным рэжыме, прычым выкананне было засяроджана на кідкіх выпадках, а не на сістэмным дызайне банераў.

Рэформа мяняе аперацыйнае асяроддзе трыма структурнымі спосабамі. Па-першае, яна ўзмацняе вызначэнне згоды, каб адпавядаць фармулёўцы артыкула 4(11) GDPR — свабодна дадзеная, канкрэтная, інфармаваная і недвухсэнсоўная. Па-другое, яна прымае відавочны прынцып падсправаздачнасці, які патрабуе, каб кантролеры даных маглі прадэманстраваць адпаведнасць, а не проста яе сцвярджаць. Па-трэцяе, яна павышае максімальны адміністрацыйны штраф да ўзроўню, прапарцыйнага даходу арганізацыі, што істотна мяняе разлікі выканання для міжнародных платформаў.

Што лічыцца згодай па рэфармаваным стандарце

Рэфармаваны тэкст, у версіі, нядаўна прадстаўленай Кангрэсу, адлюстроўвае еўрапейскае разуменне згоды ў важных аспектах. Папярэдне адзначаныя сцяжкі не з'яўляюцца згодай. Працяг выкарыстання вэб-сайта не з'яўляецца згодай. Аб'яднанне згоды па незвязаных мэтах — напрыклад, разгляд прыняцця ўмоў абслугоўвання як дазволу на паводзінскую рэкламу — не з'яўляецца згодай. AAIP на семінарах і кансультацыях падала сігнал, што мае намер інтэрпрэтаваць рэфармаваны стандарт са спасылкай на корпус рэкамендацый EDPB, што азначае, што аргентынскія выдаўцы павінны чакаць, што выкананне ў адносінах да банераў cookie сыдзецца на тых жа шасці рэжымах збояў, якія задакументавала Рабочая група EDPB па банерах cookie: адсутнасць кнопак адхілення, падманлівы дызайн спасылак, папярэдне адзначаныя катэгорыі, няправільна маркіраваныя cookie, адсутнасць механізмаў адклікання і цёмныя патэрны ціску.

Практычнае следства для банераў cookie ў Аргентыне заключаецца ў тым, што дызайн, які праходзіць праверку ЕС, пройдзе аргентынскую праверку па рэформе. І наадварот, банер, які працаваў у Аргентыне па старой, больш мяккай інтэрпрэтацыі, можа запатрабаваць істотнай перапрацоўкі да ўступлення рэфармаванага закону ў сілу.

Трансгранічныя перадачы даных

Адна з найбольш значных змен у рэформе — гэта рэжым міжнародных перадач даных. Па Ley 25.326 у першапачатковай рэдакцыі перадачы ў краіны без адэкватнай аховы патрабавалі альбо канкрэтнай згоды, альбо дагаворнай гарантыі, але правілы былі бедныя, а AAIP мела абмежаваныя магчымасці выканання. Рэформа ўводзіць шматузроўневую структуру, паралельную главе V GDPR: перадачы дазволены ў краіны, якія AAIP абазначае як адэкватныя; пры адсутнасці адэкватнасці перадачы патрабуюць зацверджаных інструментаў, такіх як абавязковыя карпаратыўныя правілы, зацверджаныя AAIP стандартныя дагаворныя палажэнні ці канкрэтныя адступленні.

Для выдаўцоў, якія накіроўваюць аргентынскі трафік праз амерыканскіх, еўрапейскіх ці азіяцкіх ad-tech-пастаўшчыкоў, практычнае следства заключаецца ў тым, што запіс згоды на cookie цяпер таксама павінна падтрымліваць абавязацельства падсправаздачнасці па перадачы. CMP павінна ўмець паказаць для любога дадзенага наведвальніка, якія катэгорыі пастаўшчыкоў атрымалі іх персанальныя даныя і па якім інструменце перадачы. Гэта тая ж архітэктура падсправаздачнасці, якую еўрапейскія выдаўцы будавалі для GDPR, прыкладзеная да аргентынскага трафіку.

Роля AAIP

Agencia de Acceso a la Información Pública — гэта аргентынскі орган па ахове даных. Створанае ў 2017 годзе Дэкрэтам 746/2017, яно аб'ядноўвае нагляд як за рэжымамі аховы даных, так і за рэжымамі свабоды інфармацыі. Па цяперашнім законе яго выканаўчыя паўнамоцтвы сціплыя; рэформа істотна іх узмацняе.

Следчыя паўнамоцтвы

Рэформа дае AAIP пашыраныя паўнамоцтвы патрабаваць прадастаўлення дакументаў, праводзіць праверкі і накладаць часовыя меры ў ходзе расследаванняў. Для анлайн-выдаўцоў гэта, хутчэй за ўсё, праявіцца ў выглядзе запытаў журналаў згоды, спісаў пастаўшчыкоў і здымкаў кода банераў за канкрэтныя дыяпазоны дат.

Рэжым санкцый

Максімальныя адміністрацыйныя штрафы па рэфармаваным тэксце прывязаны да працэнта ад гадавога даходу з высокай абсалютнай столлю. Гэта значны зрух ад цяперашняга рэжыму фіксаваных сум і прыводзіць Аргентыну ў адпаведнасць са шматузроўневай структурай штрафаў GDPR.

Каардынацыя з лацінаамерыканскімі калегамі

AAIP з'яўляецца актыўным удзельнікам Іберыйска-амерыканскай сеткі аховы даных. Чакаецца, што рэфармаванае аргентынскае кіраўніцтва будзе ўплываць — і падвяргацца ўплыву — з боку бразільскага ANPD, мексіканскага INAI, рэфармаванага рэжыму Чылі і уругвайскага URCDP. Выдаўцы, якія працуюць па ўсім рэгіёне, павінны чакаць збліжэння стандартаў згоды цягам 24–36 месяцаў.

Што выдаўцам варта рабіць зараз

Рэформа знаходзіцца ў заканадаўчым руху, яшчэ не ўступіла ў сілу. Кансерватыўная пазіцыя — будаваць па больш высокім стандарце зараз, зыходзячы з здагадкі, што прыняцце адбудзецца цягам 12–18 месяцаў. Пяць аперацыйных крокаў робяць пераход кіравальным.

• Праверце цяперашні банер па крытэрыях рабочай групы EDPB. Калі ён не праходзіць ніводны з шасці распаўсюджаных рэжымаў збояў, той жа банер не пройдзе па рэфармаваным аргентынскім стандарце пасля яго ўступлення ў сілу. Ліквідацыя зараз пазбягае дапрацоўкі пазней.
• Дадайце версіі банера і палітыкі на іспанскай мове. Аргентынскі іспанскі (es-AR) — асноўная мова для карыстальнікаў; пераканайцеся, што CMP падтрымлівае яе натыўна, а не проста агульны іспанскі.
• Супастаўце спіс пастаўшчыкоў з інструментамі перадачы. Для кожнага ad-tech-, аналітычнага ці маркетынгавага пастаўшчыка, які атрымлівае аргентынскія персанальныя даныя, задакументуйце інструмент перадачы: адэкватнасць, стандартныя дагаворныя палажэнні, абавязковыя карпаратыўныя правілы ці адступленне.
• Наладзьце журналаванне згоды з рэгіянальнай дэталізацыяй. Журналы згоды павінны фіксаваць краіну паходжання наведвальніка (атрыманую па IP у момант адлюстравання банера), каб на расследаванне AAIP можна было адказаць доказамі з фільтрацыяй па краіне.
• Прызначце кантактную асобу для перапіскі з AAIP. Многія міжнародныя выдаўцы працуюць у Аргентыне без фармальнага мясцовага прадстаўніка; рэформа робіць прызначэнне кантактнай асобы для наглядчага органа практычнай неабходнасцю.

За межамі банераў cookie

Аргентынская рэформа шырэйшая, чым згода на cookie. Яна перагледжвае тэрміны паведамлення аб парушэннях, уводзіць канкрэтныя меры аховы для адчувальных катэгорый даных і стварае новыя абавязацельствы вакол аўтаматызаванага прыняцця рашэнняў. Для выдаўцоў банер cookie — самая бачная паверхня адпаведнасці, але не адзіная. Тая ж інфраструктура CMP, якая фіксуе згоду на cookie, добра падыходзіць для фіксацыі іншых рашэнняў аб згодзе — згоды на камунікацыі, згоды на абмен данымі з партнёрамі па рознічных медыя, згоды на функцыі персаналізацыі — і патрабаванне падсправаздачнасці AAIP прымяняецца да ўсіх з іх.

Рэформа адлюстроўвае больш шырокі патэрн: Лацінская Амерыка рухаецца да стандартаў, узгодненых з GDPR, з нацыянальнымі рэалізацыямі, адаптаванымі да мясцовых прававых традыцый. Выдаўцы, якія будуюць рэгіянальна-агнастычны стэк згоды зараз — той, які фіксуе дэталізаваную згоду па канкрэтных мэтах, падтрымлівае некалькі моў і фарматаў даты, журналуе рашэнні ў фармаце ўзроўню аўдыту і інтэгруецца з дакументацыяй перадачы — апрацоўваюць аргентынскую, бразільскую, мексіканскую і чылійскую адпаведнасць праз адзін і той жа аперацыйны канвеер. Кошт будаўніцтва для адной юрысдыкцыі і наступнага дааснашчэння для наступнай гістарычна быў вышэйшы, чым кошт будаўніцтва для рэгіянальнага стандарту з самага пачатку.