Правният контекст

Ley 25.326 е написан преди поведенческата реклама да съществува в широк мащаб. Стандартът за съгласие изисква предварително, изрично и информирано разрешение, но практическото тълкуване от страна на AAIP исторически е по-малко предписващо от това, прилагано от европейските надзорни органи. Бисквитките, пикселите за проследяване и инструментите за изграждане на аудитория са функционирали в Аржентина при сравнително либерален тълкувателен режим, като изпълнението е насочено към груби нарушения, а не към системния дизайн на банери.

Реформата променя оперативната среда по три структурни начина. Първо, стяга дефиницията на съгласие, за да следва формулировката на GDPR Article 4(11) — дадено доброволно, конкретно, информирано и недвусмислено. Второ, приема изрично счетоводен принцип, изискващ от администраторите на данни да могат да докажат спазването, а не само да го твърдят. Трето, повишава максималната административна глоба до ниво, пропорционално на организационните приходи, което съществено променя изчисленията за изпълнение за международните платформи.

Какво се счита за съгласие по реформирания стандарт

Реформираният текст, в последно внесената в Конгреса версия, отразява европейското разбиране за съгласие в важни аспекти. Предварително отметнатите полета не представляват съгласие. Продължаването на използването на уебсайт не представлява съгласие. Обединяването на съгласие по несвързани цели — например, третирането на приемането на условия за ползване като разрешение за поведенческа реклама — не представлява съгласие. AAIP е сигнализирала на семинари и консултации, че възнамерява да тълкува реформирания стандарт с позоваване на ръководствата на EDPB, което означава, че аржентинските издатели трябва да очакват, че прилагането на банерите за бисквитки ще се сближи около същите шест режима на неуспех, документирани от Работната група на EDPB за банерите с бисквитки: липсващи бутони за отказ, измамен дизайн на връзки, предварително отметнати категории, неправилно обозначени бисквитки, липсващи механизми за оттегляне и тъмни модели с натиск за проектиране.

Практическото следствие за банерите с бисквитки в Аржентина е, че дизайнът, преминаващ проверката на ЕС, ще премине аржентинската проверка след реформата. Обратното, банер, функционирал в Аржентина по старото, по-леко тълкуване, може да се нуждае от значително преработване, преди реформираният закон да влезе в сила.

Трансгранично предаване на данни

Една от най-значимите промени в реформата е режимът за международно предаване на данни. Съгласно Ley 25.326, в оригиналната редакция, предаванията към страни без адекватна защита изискват или специфично съгласие, или договорна гаранция, но правилата са оскъдни и AAIP има ограничен капацитет за изпълнение. Реформата въвежда многостепенна рамка, успоредна на Chapter V на GDPR: предаванията са разрешени към страни, определени от AAIP като адекватни; при липса на адекватност, предаванията изискват одобрени инструменти като задължителни корпоративни правила, стандартни договорни клаузи, одобрени от AAIP, или специфични дерогации.

За издателите, насочващи аржентинския трафик чрез доставчици на рекламни технологии от САЩ, ЕС или Азия, практическото следствие е, че записът за бисквитково съгласие вече трябва да поддържа и задължение за отчетност при предаване. CMP трябва да може да покаже за всеки конкретен посетител кои категории доставчици са получили личните му данни и при какъв инструмент за предаване. Това е същата архитектура на отчетност, която европейските издатели изграждат за GDPR, приложена за аржентинския трафик.

Ролята на AAIP

Agencia de Acceso a la Información Pública е аржентинският орган за защита на данните. Създаден през 2017 г. с Decreto 746/2017, той консолидира надзора на режимите за защита на данните и свободния достъп до информация. При действащото законодателство правомощията му за изпълнение са скромни; реформата ги засилва значително.

Разследвателни правомощия

Реформата предоставя на AAIP разширени правомощия за принудително представяне на документи, провеждане на инспекции и налагане на временни мерки по време на разследвания. За онлайн издателите това най-вероятно ще се прояви като искания за дневници на съгласие, списъци с доставчици и снимки на кода на банера, обхващащи конкретни периоди от дати.

Санкционен режим

Максималните административни глоби по реформирания текст са обвързани с процент от годишните приходи, ограничен до висок абсолютен таван. Това е смислена промяна от сегашния режим с фиксирани суми и поставя Аржентина в съответствие с многостепенната структура на глобите на GDPR.

Координация с латиноамерикански партньори

AAIP е активен участник в Иберо-американската мрежа за защита на данните. Реформираните аржентински насоки се очаква да влияят — и да бъдат повлияни от — ANPD на Brazil, INAI на Mexico, реформирания режим на Chile и URCDP на Uruguay. Издателите, работещи в региона, трябва да очакват сближаване на стандартите за съгласие в рамките на 24 до 36 месеца.

Какво трябва да направят издателите сега

Реформата е в законодателно движение, но още не е в сила. Консервативната позиция е да се изгради по по-висок стандарт сега, при предположение, че приемането ще настъпи в рамките на 12 до 18 месеца. Пет оперативни стъпки правят прехода управляем.

• Одитирайте текущия банер спрямо критериите на работната група на EDPB. Ако се провали при някой от шестте общи режима на неуспех, същият банер ще се провали по реформирания аржентински стандарт, след като влезе в сила. Отстраняването сега избягва преработката по-късно.
• Добавете версии на банера и политиките на испански език. Аржентинският испански (es-AR) е основният потребителски език; уверете се, че CMP го поддържа местно, а не само на общ испански.
• Съпоставете списъка с доставчици с инструментите за предаване. За всеки доставчик на рекламни технологии, анализи или маркетинг, получаващ аржентински лични данни, документирайте инструмента за предаване: адекватност, стандартни договорни клаузи, задължителни корпоративни правила или дерогация.
• Конфигурирайте записа на съгласие с регионална детайлност. Дневниците на съгласие трябва да записват страната на произход на посетителя (получена от IP адреса по времето на показване на банера), за да може разследване на AAIP да бъде отговорено с филтрирани по страна доказателства.
• Определете точка за контакт за кореспонденция с AAIP. Много международни издатели работят в Аржентина без официален местен представител; реформата прави определянето на контакт за надзорния орган практическа необходимост.

Отвъд банерите с бисквитки

Аржентинската реформа е по-широка от бисквитковото съгласие. Тя преработва сроковете за уведомяване за нарушения, въвежда специфична защита за категории чувствителни данни и създава нови задължения около автоматизираното вземане на решения. За издателите банерът с бисквитки е най-видимата повърхност на съответствие, но не е единствената. Същата CMP инфраструктура, която записва бисквитково съгласие, е добре позиционирана да записва и други решения за съгласие — съгласие за комуникации, съгласие за споделяне на данни с партньори в медиите на дребно, съгласие за функции за персонализация — и изискването за отчетност на AAIP се прилага към всички тях.

Реформата отразява по-широк модел: Латинска Америка се движи към стандарти, съгласувани с GDPR, с национални реализации, адаптирани към местните правни традиции. Издателите, изграждащи регионално независим стек за съгласие сега — такъв, записващ детайлно съгласие за конкретни цели, поддържащ множество езици и формати на дати, регистриращ решения в одит-класов формат и интегрираш се с документацията за предаване — управляват аржентинското, бразилското, мексиканското и чилийско съответствие чрез един и същ оперативен поток. Разходите за изграждане за единична юрисдикция и след това адаптация за следващата исторически са по-високи от разходите за изграждане по регионалния стандарт от самото начало.