Reforma de la protecció de dades a l'Argentina: Guia de compliment normatiu del consentiment de cookies per a editors
L'Argentina disposa d'un dels règims de protecció de dades més antics d'Amèrica Llatina. La Ley 25.326, la Llei de protecció de dades personals del país, va ser adoptada l'any 2000 i va atorgar a l'Argentina la decisió d'adequació de la Comissió Europea el 2003 — un estatus que ha donat forma a dues dècades de dret de privadesa llatinoamericà. Aquest règim s'està modernitzant. Un projecte de llei de reforma, impulsat per la Agencia de Acceso a la Información Pública (AAIP) i debatut al Congrés des del 2023, alinearia la Ley 25.326 molt més estretament amb el GDPR: estàndards de consentiment explícit, normes més clares sobre transferències transfrontereres, obligacions específiques per als encarregats del tractament i sancions administratives significatives. Per als editors que operen a l'Argentina o que tracten dades personals de residents argentins, la reforma reformula com s'ha d'obtenir, registrar i demostrar el consentiment de cookies. Aquesta guia resumeix què canvia i què s'ha de fer al respecte.
El marc jurídic
La Ley 25.326 es va redactar abans que la publicitat conductual existís a gran escala. El seu estàndard de consentiment requeria una autorització prèvia, expressa i informada, però la interpretació pràctica per part de l'AAIP ha estat històricament menys prescriptiva del que han aplicat els supervisors europeus. Les cookies, els píxels de seguiment i les eines de creació d'audiències han operat a l'Argentina sota un règim interpretatiu relativament permissiu, amb l'aplicació centrada en casos flagrants més que en el disseny sistemàtic de bàners.
La reforma canvia l'entorn operatiu de tres maneres estructurals. En primer lloc, reforça la definició de consentiment per seguir el llenguatge de l'Article 4(11) del GDPR — lliurement donat, específic, informat i inequívoc. En segon lloc, adopta un principi de responsabilitat proactiva explícita que exigeix que els responsables del tractament puguin demostrar el compliment, no simplement afirmar-lo. En tercer lloc, eleva la sanció administrativa màxima a un nivell proporcional als ingressos de l'organització, cosa que canvia materialment el càlcul d'aplicació per a les plataformes internacionals.
Què compta com a consentiment segons l'estàndard reformat
El text reformat, en la versió més recentment presentada al Congrés, reflecteix la comprensió europea del consentiment en aspectes importants. Les caselles premarcades no constitueixen consentiment. La continuació de l'ús d'un lloc web no constitueix consentiment. L'agrupació del consentiment per a finalitats no relacionades — per exemple, tractar l'acceptació de les condicions del servei com a autorització per a la publicitat conductual — no constitueix consentiment. L'AAIP ha senyalat en tallers i consultes que pretén interpretar l'estàndard reformat amb referència al corpus d'orientació de l'EDPB, cosa que significa que els editors argentins haurien d'esperar que l'aplicació dels bàners de cookies convergeixi en els mateixos sis modes de fallada que el Grup de Treball de Bàners de Cookies de l'EDPB ha documentat: botons de rebuig absents, disseny d'enllaços enganysós, categories premarcades, cookies mal etiquetades, mecanismes de retirada absents i patrons foscos de disseny coercitiu.
La implicació pràctica per als bàners de cookies a l'Argentina és que el disseny que supera l'escrutini de la UE superarà l'escrutini argentí en virtut de la reforma. Per contra, un bàner que hagi estat operant a l'Argentina sota l'antiga interpretació més laxa pot necessitar un redisseny substancial abans que la llei reformada entri en vigor.
Transferències transfrontereres de dades
Un dels canvis més transcendents de la reforma és el tractament de les transferències internacionals de dades. Sota la Ley 25.326 tal com es va promulgar originalment, les transferències a països sense protecció adequada requerien o bé un consentiment específic o bé una garantia contractual, però les normes eren escasses i l'AAIP tenia una capacitat d'aplicació limitada. La reforma introdueix un marc per nivells que paral·lelitza el Capítol V del GDPR: les transferències estàn permèses a països que l'AAIP designi com a adequats; en absència d'adequació, les transferències requereixen instruments aprovats com ara normes corporatives vinculants, clàusules contractuals tipus aprovades per l'AAIP o derogacions específiques.
Per als editors que encaminen el trànsit argentí a través de proveïdors d'adtech dels EUA, la UE o Àsia, la conseqüència pràctica és que el registre del consentiment de cookies ara també ha de donar suport a una obligació de responsabilitat en les transferències. El CMP ha de poder mostrar, per a qualsevol visitant concret, quines categories de proveïdors han rebut les seves dades personals i sota quin instrument de transferència. Aquesta és la mateixa arquitectura de responsabilitat que els editors europeus han estat construint per al GDPR, aplicada al trànsit argentí.
El paper de l'AAIP
La Agencia de Acceso a la Información Pública és l'autoritat argentina de protecció de dades. Creada el 2017 pel Decreto 746/2017, consolida la supervisió tant dels règims de protecció de dades com de llibertat d'informació. Sota la llei actual, els seus poders d'aplicació són modestos; la reforma els enforteix substancialment.
Poders d'investigació
La reforma atorga a l'AAIP poders millorats per obligar a la producció de documents, realitzar inspeccions i imposar mesures cautelars durant les investigacions. Per als editors en línia, és probable que es manifesti com a sol·licituds de registres de consentiment, llistes de proveïdors i instantànies del codi del bàner que cobreixen rangs de dates específics.
Règim sancionador
Les sancions administratives màximes en virtut del text reformat estan vinculades a un percentatge dels ingressos anuals, amb un límit absolut elevat. Aquest és un canvi significatiu respecte al règim actual d'import fix i situa l'Argentina en línia amb l'estructura de sancions per nivells del GDPR.
Coordinació amb els homòlegs llatinoamericans
L'AAIP és un participant actiu a la Xarxa Iberoamericana de Protecció de Dades. S'espera que l'orientació argentina reformada influïxi — i sigui influïda per — l'ANPD de Brazil, l'INAI de Mexico, el règim reformat de Chile i la URCDP d'Uruguay. Els editors que operen a tota la regió haurien d'esperar una convergència en els estàndards de consentiment en un termini de 24 a 36 mesos.
Què han de fer els editors ara
La reforma es troba en procés legislatiu, encara no en vigor. La postura conservadora és construir ara seguint l'estàndard més exigent, partint de la hipòtesi que la promulgació tindrà lloc en un termini de 12 a 18 mesos. Cinc passos operatius fan la transició manejable.
- Auditeu el bàner actual respecte als criteris del grup de treball de l'EDPB. Si falla en algun dels sis modes de fallada habituals, el mateix bàner fallarà sota l'estàndard argentí reformat un cop entri en vigor. La correcció ara evita refer la feina més endavant.
- Afegiu versions del bàner i de la política en castellà. El castellà argentí (es-AR) és la llengua principal per als usuaris; assegureu-vos que el CMP el suporti de manera nativa, no només en castellà genèric.
- Assigneu la llista de proveïdors als instruments de transferència. Per a cada proveïdor d'adtech, analítica o màrqueting que rebi dades personals argentines, documenteu l'instrument de transferència: adequació, clàusules contractuals tipus, normes corporatives vinculants o derogació.
- Configureu el registre del consentiment amb granularitat regional. Els registres de consentiment han d'enregistrar el país d'origen del visitant (obtingut de la IP en el moment de la visualització del bàner) perquè una investigació de l'AAIP pugui respondre's amb evidències filtrades per país.
- Designeu un punt de contacte per a la correspondència amb l'AAIP. Molts editors internacionals operen a l'Argentina sense representant local formal; la reforma fa que la designació d'un contacte per a l'autoritat de supervisió sigui una necessitat pràctica.
Més enllà dels bàners de cookies
La reforma argentina és més àmplia que el consentiment de cookies. Revisa els terminis de notificació de bretxes de seguretat, introdueix proteccions específiques per a categories de dades sensibles i crea noves obligacions al voltant de la presa de decisions automatitzada. Per als editors, el bàner de cookies és la superfície de compliment més visible, però no és l'única. La mateixa infraestructura CMP que registra el consentiment de cookies està ben posicionada per registrar altres decisions de consentiment — consentiment per a comunicacions, consentiment per compartir dades amb socis de retail media, consentiment per a funcions de personalització — i el requisit de responsabilitat de l'AAIP s'aplica a tots ells.
La reforma reflecteix un patró més ampli: Amèrica Llatina avança cap a estàndards alineats amb el GDPR, amb implementacions nacionals adaptades a les tradicions jurídiques locals. Els editors que construeixin ara una pila de consentiment agnòstica a la regió — una que registri el consentiment granular específic per a cada finalitat, admeti múltiples idiomes i formats de dates, registri les decisions en un format d'auditoria i s'integri amb la documentació de transferència — gestionen el compliment argentí, brasiler, mexicà i xilè a través del mateix procés operatiu. El cost de construir per a una sola jurisdicció i adaptar-se a la següent ha estat històricament superior al cost de construir per a l'estàndard regional des del principi.