Mexico LFPDPPP Ръководство за съответствие на бисквитката със съгласие: Какво трябва да направят издателите през 2026 г.
Мексико има един от по-старите режими на защита на данните в Латинска Америка. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), федералният закон, регулиращ личните данни, притежавани от частни страни, влезе в сила през 2010 г., с подробни разпоредби, следвали през 2011 г., и обвързващи параметри за известието за поверителност през 2013 г. През по-голямата част от своето съществуване законът е бил тълкуван в мексикански административно-правен стил: прескриптивен по отношение на съдържанието на известията, по-гъвкав по отношение на техническата реализация. Това равновесие се променя. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — регулаторът до неговата реформа от 2024 г. — публикува все по-преки насоки относно цифровото проследяване, а политическия дебат около преструктуриране на органа за защита на данните заостри надзора специално върху онлайн издателите. За всяка компания, обработваща лични данни на мексикански жители, съответствието на bannerите за cookies е сега осезаема правоприлагателна задача, а не академична. Това ръководство преминава през това, което LFPDPPP и неговите разпоредби изискват, където се намира линията между необходимите и ненужните cookies, и как да приведете баннер за cookies в съответствие на практика.
Правната рамка
LFPDPPP стои в върха на многоетажна рамка. Самият закон определя основни принципи — законност, съгласие, информация, качество, цел, вярност, пропорционалност, отчетност — които мексиканските проектанти заимствиха от европейската традиция на защита на данните. Под закона се намират Разпоредбите на LFPDPPP, които попълват оперативни детайли, и Lineamientos del Aviso de Privacidad (насоките за известието за поверителност), които определят какво трябва да се появи в известието за поверителност и как. Заедно тези три текста образуват мексиканския еквивалент на единния код за поверителност, с практическата сила на обвързващо разпредление.
За онлайн издателите, най-важните разпоредби са правилата за съгласие в членове 8 до 11 на закона и изискванията за известието за поверителност, които регулират как се поискира съгласие. Мексиканското съгласие е градуирано: неявното съгласие е достатъчно за някои обработки на обикновени лични данни при надлежно известие, но изрично съгласие се изисква за чувствителни данни и за всяка обработка, където законът конкретно го изисква. Интерпретационния въпрос за bannerите за cookies е кой от тези режими се прилага на поведенчески и рекламни cookies.
Как мексиканския закон третира cookies и онлайн идентификатори
За разлика от ePrivacy Directive на ЕС, LFPDPPP не съдържа разпоредба, специфична за cookies. Вместо това, рамката третира онлайн идентификаторите като лични данни, когато могат да се свържат с идентифицируемо физическо лице, и задълженията за съгласие произтичат от общата рамка, а не от посветено правило за cookies. INAI насоките са уточнили, че:
- Първостепенни cookies, строго необходими за функция на сайта не изискват предварително съгласие, но тяхното присъствие трябва да бъде разкрито в известието за поверителност.
- Analytics cookies обикновено изискват информирано съгласие, като неявното съгласие е приемливо, когато известието за поверителност е ясно достъпно преди каквито и да е събиране на данни.
- Реклами и поведенчески cookies изискват изрично съгласие, особено когато данните се споделят с трети страни или се използват за проследяване между сайтове.
- Cookies, които хвърлят чувствителни данни — здраве, сексуална ориентация, религиозна вяра, политическо мнение — изискват изрично съгласие независимо от категория.
Практическият ефект е, че съответният на мексиканския закон баннер за cookies трябва да разграничи между необходимите, analytics и рекламни категории като минимум, като е необходимо активно включване за реклами и ясно известие за analytics.
Известието за поверителност като закотвяне на съответствието
Мексиканския закон за поверителност е ориентиран към известието по начин, който се различава от европейската традиция. Известието за поверителност — aviso de privacidad — не е просто документ за прозрачност; това е правния инструмент, чрез който съгласието е структурирано. Lineamientos del Aviso de Privacidad изискват известието да съдържа конкретни елементи, и всеки баннер за cookies трябва да бъде в съответствие със заложащото известие, вместо да се опитва да компресира всичко в баннер pop-up.
Задължителни елементи на известието
Известието трябва да идентифицира контролера на данните, да изброи личните данни, които се събират, да опише целите на обработката, да уточни дали данните ще бъдат прехвърлени на трети страни, да идентифицира правата на субекта на данните (acceso, rectificación, cancelación, oposición — така наречените ARCO права), и да опише как тези права могат да бъдат упражнени. За онлайн издател, bannerът за cookies трябва да действа като многоетажен вход в пълното известие, а не замяна на него.
Кратко, опростено, интегрално
Разпоредбите признават три формата на известието: интегрално (пълно), опростено и кратко. Баннер за cookies обикновено представя кратко или опростено известие с ясен път към интегралната версия. Категориите на cookies и контролите за съгласие живеят в този многоетажен структура.
INAI реформата и какво идва дальше
В края на 2024 г. мексиканското правителство напреди реформа, която преструктурира функцията на федерална защита на данните — автономния INAI се поглъща в ново институционално договореност под изпълнителния клон. Правната рамка (LFPDPPP, разпоредби, lineamientos) остава в сила, но надзорната преемственост е открития въпрос. За издателите, консервативния постав е да се предполага, че веществените стандарти остават постоянни, докато интензивността на правоприлагане е несигурна в преходния период. Строене според стандартите, които INAI артикулира преди реформата — гранулирани категории, изрично включване за реклами, пълна поддръжка на ARCO-права, точна aviso de privacidad — е правилната стратегия независимо как се стабилизира надзорната архитектура.
Практически списък за проверка на съответствието
Шест конкретни въпроса, които трябва да отговорите за всеки баннер за cookies, който служи мексикански трафик.
1. Категоризация
Баннерът отделя ли cookies на необходимите, analytics и рекламни категории като минимум, с активно включване за реклами? Пакетирането на всички ненужни cookies под един "Приеми всичко" без гранулярност е най-честия дефект.
2. Свързване с известието за поверителност
Баннерът свързано ли към пълното известие за поверителност, и съдържа ли то всеки задължителен елемент (контролер, данни, цели, прехвърляния, ARCO права)? Баннер без надлежно разработено подпорно известие е тънка повърхност на съответствието.
3. Испански (мексикански) език
Баннерът представен ли е на испански, и използва ли конвенции на мексикански испански, където те се разминават от европейския испански? Правилния езиков регистър сигнализира сериозност както на потребителите, така и на надзорните органи.
4. Път за отстъпление
Има ли постоянен контрол, който позволява на потребителя да преразгледа и измени избора си за съгласие? Правото на отмяна е част от "oposición" правото на ARCO и баннерът трябва да го приемане.
5. Разкриване на прехвърляне на трети страни
Известието идентифицира ли категориите на трети страни, които получават лични данни чрез cookies (ad networks, analytics доставчици, CDPs), с достатъчна детайлност за потребителя да разбере потока от данни?
6. Логване
Системата записва ли всяко решение за съгласие с хронологичен час и версия на баннер, така че при жалба издателят може да докаже решението е дадено свободно и информирано?
Как това се вписва в латиноамериканската картина
Мексико е вторият най-голям цифров пазар в Латинска Америка след Бразилия, и неговия режим на защита на данните е един от най-влиятелните в региона. Дебатът за реформа, който се провежда сега, ще формира интерпретационното направление за години, но веществените стандарти са стабилни: ориентирани към известието, основани на ARCO-права, гранулирано съгласие за реклами, пълно разкриване на прехвърляния на трети страни. Издателите, работещи в Латинска Америка, се облагодетелстват от строене веднъж до по-високия стандарт — реформираната рамка на Аржентина, LGPD на Бразилия, реформираният закон на Чили и предстоящия законопроект на Колумбия, всички се събират в подобни базови очаквания. CMP, който поддържа мексикански испански, улавя съгласие на ниво категория, свързва чисто към пълен aviso de privacidad, и регистрира решения в форма, подходяща за одит, обработва мексиканското съответствие чрез същата инфраструктура, която обработва регионалното съответствието.