Прававая база

LFPDPPP знаходзіцца на вяршыні шматслаёвай базы. Сам закон вызначае асноўныя прынцыпы — законнасць, згода, інфармацыя, якасць, мэта, дакладнасць, прапарцыянальнасць, падсправаздачнасць — якія мексіканскія складальнікі пазычылі з еўрапейскай традыцыі абароны дадзеных. Пад законам знаходзяцца Рэгуляцыі да LFPDPPP, якія запаўняюць аперацыйныя дэталі, і Lineamientos del Aviso de Privacidad (рэкамендацыі па паведамленні пра прыватнасць), якія вызначаюць, што павінна з'яўляцца ў паведамленні пра прыватнасць і як. Разам гэтыя тры тэксты ствараюць мексіканскі эквівалент адзінага кодэкса прыватнасці з практычнай сілай абавязковай рэгуляцыі.

Для анлайн-выдаўцоў самыя значныя палажэнні — гэта правілы згоды па Артыкулах 8-11 закона і патрабаванні паведамлення пра прыватнасць, якія рэгулююць, як запытваецца згода. Мексіканская згода градуяваная: маўклівая згода дастатковая для некаторай апрацоўкі звычайных персанальных дадзеных, калі дадзена належнае паведамленне, але яўная згода патрабуецца для адчувальных дадзеных і для любой апрацоўкі, дзе закон спецыяльна гэтага патрабуе. Інтэрпрэтацыйнае пытанне для банераў cookie — які з гэтых рэжымаў прымяняецца да паводніцкіх і рэкламных cookie.

Як мексіканскі закон ставіцца да cookie і анлайн-ідэнтыфікатараў

У адрозненне ад Дырэктывы ePrivacy ЕС, LFPDPPP не змяшчае cookie-спецыфічнага палажэння. Замест гэтага база ставіцца да анлайн-ідэнтыфікатараў як да персанальных дадзеных, калі яны могуць быць звязаны з ідэнтыфікаваным індывідуумам, і абавязацельствы згоды вынікаюць з агульнай базы, а не з прысвечанага правіла cookie. Рэкамендацыі INAI ўдакладнілі, што:

• Cookie першага боку, строга неабходныя для функцыі сайта, не патрабуюць папярэдняй згоды, але іх прысутнасць павінна быць раскрыта ў паведамленні пра прыватнасць.
• Аналітычныя cookie звычайна патрабуюць інфармаванай згоды, з маўклівай згодай, прымальнай, калі паведамленне пра прыватнасць ясна даступна да збору любых дадзеных.
• Рэкламныя і паводніцкія cookie патрабуюць яўнай згоды, асабліва дзе дадзеныя падзяляюцца з трэцімі бакамі ці выкарыстоўваюцца для міжсайтавага адсочвання.
• Cookie, якія захопліваюць адчувальныя дадзеныя — здароўе, сексуальная арыентацыя, рэлігійныя перакананні, палітычныя меркаванні — патрабуюць яўнай згоды незалежна ад катэгорыі.

Практычны эфект у тым, што адпаведны мексіканскі банер cookie павінен адрозніваць як мінімум паміж неабходнымі, аналітычнымі і рэкламнымі катэгорыямі, з пацвярджальным opt-in, патрабаваным для рэкламы, і ясным паведамленнем для аналітыкі.

Паведамленне пра прыватнасць як якар адпаведнасці

Мексіканскі закон пра прыватнасць арыентаваны на паведамленне ў спосаб, які адрозніваецца ад еўрапейскай традыцыі. Паведамленне пра прыватнасць — aviso de privacidad — гэта не проста дакумент празрыстасці; гэта прававы інструмент, праз які структуруецца згода. Lineamientos del Aviso de Privacidad патрабуюць, каб паведамленне змяшчала канкрэтныя элементы, і любы банер cookie павінен быць узгоднены з асноўным паведамленнем, а не спрабаваць сціснуць усё ў усплываючае акно банера.

Неабходныя элементы паведамлення

Паведамленне павінна ідэнтыфікаваць кантролера дадзеных, пералічыць персанальныя дадзеныя, якія збіраюцца, апісаць мэты апрацоўкі, указаць, ці будуць дадзеныя перададзены трэцім бакам, ідэнтыфікаваць правы суб'екта дадзеных (acceso, rectificación, cancelación, oposición — так званыя правы ARCO), і апісаць, як гэтыя правы могуць быць рэалізаваны. Для анлайн-выдаўца банер cookie павінен дзейнічаць як слаёвая кропка ўваходу ў поўнае паведамленне, а не замена яго.

Кароткае, спрошчанае, цэласнае

Рэгуляцыі прызнаюць тры фарматы паведамлення: цэласнае (поўнае), спрошчанае і кароткае. Банер cookie звычайна прадстаўляе кароткае ці спрошчанае паведамленне з ясным шляхам да цэласнай версіі. Катэгорыі cookie і пераключальнікі згоды жывуць унутры гэтай слаёвай структуры.

Рэформа INAI і што будзе далей

У канцы 2024 года мексіканскі ўрад прасунуў рэформу, якая рэструктурызуе федэральную функцыю абароны дадзеных — аўтаномны INAI паглынаецца ў новую інстытуцыйную дамоўленасць пад выканаўчай галіной. Прававая база (LFPDPPP, рэгуляцыі, lineamientos) застаецца ў сіле, але кантынуітэт нагляду — адкрытае пытанне. Для выдаўцоў кансерватыўная пазіцыя — меркаваць, што змястоўныя стандарты застаюцца пастаяннымі, у той час як інтэнсіўнасць праваахавання нявызначаная ў пераходны перыяд. Пабудова да стандартаў, якія INAI сфармуляваў да рэформы — гранулярныя катэгорыі, яўны opt-in для рэкламы, поўная падтрымка правоў ARCO, дакладны aviso de privacidad — гэта правільная стратэгія незалежна ад таго, як стабілізуецца наглядальная архітэктура.

Практычны чэк-ліст адпаведнасці

Шесць канкрэтных пытанняў, на якія трэба адказаць для любога банера cookie, які абслугоўвае мексіканскі трафік.

1. Катэгарызацыя

Ці падзяляе банер cookie на неабходныя, аналітычныя і рэкламныя катэгорыі як мінімум, з пацвярджальным opt-in для рэкламы? Аб'яднанне ўсіх неістотных cookie пад адзіным «Прыняць усё» без гранулярнасці — гэта самы распаўсюджаны дэфект.

2. Сувязь з паведамленнем пра прыватнасць

Ці спасылаецца банер на поўнае паведамленне пра прыватнасць, і ці змяшчае гэтае паведамленне кожны патрабуемы элемент (кантролер, дадзеныя, мэты, перадачы, правы ARCO)? Банер без належна складзенага падтрымліваючага паведамлення — гэта тонкая паверхня адпаведнасці.

3. Іспанская (мексіканская) мова

Ці прадстаўлены банер на іспанскай, і ці выкарыстоўвае ён мексіканскія іспанскія канвенцыі там, дзе яны разыходзяцца з еўрапейскай іспанскай? Правільны лінгвістычны рэгістр сігналізуе сур'ёзнасць як карыстальнікам, так і наглядальнікам.

4. Шлях адклікання

Ці ёсць пастаянны элемент кіравання, які дазваляе карыстальніку перагледзець і змяніць свой выбар згоды? Права на адкліканне з'яўляецца часткай права «oposición» ARCO, і банер павінен яго забяспечыць.

5. Раскрыццё перадачы трэцім бакам

Ці ідэнтыфікуе паведамленне катэгорыі трэціх бакоў, якія атрымліваюць персанальныя дадзеныя праз cookie (рэкламныя сеткі, пастаўшчыкі аналітыкі, CDP), з дастатковай дэталізацыяй для карыстальніка, каб зразумець паток дадзеных?

6. Лагіраванне

Ці запісвае сістэма кожнае рашэнне аб згодзе з часавай меткай і версіяй банера, каб у выпадку скаргі выдавец мог даказаць, што рашэнне было дадзена свабодна і інфармавана?

Як гэта ўпісваецца ў лацінаамерыканскую карціну

Мексіка — другі па велічыні лічбавы рынак Лацінскай Амерыкі пасля Бразіліі, і яе рэжым абароны дадзеных адзін з самых уплывовых у рэгіёне. Дэбаты пра рэформу, якія зараз вядуцца, сфармуюць інтэрпрэтацыйны кірунак на гады, але змястоўныя стандарты стабільныя: арыентаваныя на паведамленне, заснаваныя на правах ARCO, гранулярная згода для рэкламы, поўнае раскрыццё перадач трэцім бакам. Выдаўцы, якія працуюць па ўсёй Лацінскай Амерыцы, выйграюць ад пабудовы адзін раз да больш высокага стандарту — рэфармаваная база Аргенціны, LGPD Бразіліі, рэфармаваны закон Чылі і чакальны законапраект Калумбіі ўсе сыходзяцца на падобных базавых чаканнях. CMP, якая падтрымлівае мексіканскую іспанскую, захоплівае згоду на ўзроўні катэгорыі, ясна спасылаецца на поўны aviso de privacidad і лагіруе рашэнні ў аўдыт-якаснай форме, апрацоўвае мексіканскую адпаведнасць праз тую ж інфраструктуру, якая апрацоўвае рэгіянальную адпаведнасць.