Guia de compliment de consentiment de cookies de México LFPDPPP: Què han de fer els editors el 2026
Mèxic té un dels règims més antics de protecció de dades de Llatinoamèrica. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), la llei federal que regula les dades personals en poder de les parts privades, va entrar en vigor el 2010, amb regulacions detallades el 2011 i paràmetres vinculants per a l'avís de privacitat el 2013. Durant la major part de la seva existència, la llei s'ha interpretat segons l'estil del dret administratiu mexicà: prescriptiu en relació amb el contingut de l'avís, més flexible en la implementació tècnica. Aquell equilibri està canviant. L'Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — el regulador fins a la seva reforma de 2024 — va publicar orientacions cada vegada més directes sobre el rastreig digital, i el debat polític sobre la reestructuració de l'autoritat de protecció de dades ha intensificat l'escrutini específicament sobre els editors en línia. Per a qualsevol empresa que tractï dades personals de residents mexicans, el compliment de banners de galetes és ara una qüestió d'aplicació tangible, no una de merament acadèmica. Aquesta guia analitza els requisits de la LFPDPPP i de les seves regulacions, on es traça la línia entre les galetes necessàries i les no essencials, i com posar un banner de galetes en conformitat en la pràctica.
El marc legal
La LFPDPPP es troba a la part superior d'un marc en capes. La llei en si mateixa defineix principis fonamentals — legalitat, consentiment, informació, qualitat, propòsit, fidelitat, proporcionalitat, responsabilitat — que els redactors mexicans van manllevar de la tradició europea de protecció de dades. Per sota de la llei es troben les Regulacions de la LFPDPPP, que proporcionen detalls operacionals, i els Lineamientos del Aviso de Privacidad (les directrius d'avís de privacitat), que especifiquen què ha d'aparèixer en un avís de privacitat i com. Aquests tres textos junts formen l'equivalent mexicà d'un codi de privacitat unificat, amb la força pràctica de la regulació vinculant.
Per als editors en línia, les disposicions més conseqüents són les normes de consentiment dels articles 8 a 11 de la llei i els requisits d'avís de privacitat que regeixen com es sol·licita el consentiment. El consentiment mexicà és graduat: el consentiment implícit és suficient per a alguns tractaments de dades personals ordinàries quan s'ha proporcionat avís adequat, però es requereix consentiment exprés per a dades sensibles i per a qualsevol tractament on la llei específicament ho requereixi. La qüestió interpretativa per als banners de galetes és quin d'aquests règims s'aplica a les galetes de comportament i publicitat.
Com la llei mexicana tracta les galetes i els identificadors en línia
A diferència de la Directiva ePrivacy de la UE, la LFPDPPP no conté una disposició específica sobre galetes. En canvi, el marc tracta els identificadors en línia com a dades personals quan es poden vincular a una persona identificable, i les obligacions de consentiment deriven del marc general més que d'una norma específica sobre galetes. L'orientació de l'INAI ha aclarit que:
- Les galetes de primera part estrictament necessàries per al funcionament del lloc no requereixen consentiment previ, però la seva presència ha de divulgar-se en l'avís de privacitat.
- Les galetes d'analítica generalment requereixen consentiment informat, amb consentiment implícit acceptable quan l'avís de privacitat és clarament accessible abans de recopilar dades.
- Les galetes publicitàries i de comportament requereixen consentiment exprés, especialment quan les dades es comparteixen amb tercers o s'utilitzen per al rastreig entre llocs.
- Les galetes que capturen dades sensibles — salut, orientació sexual, creença religiosa, opinió política — requereixen consentiment exprés independentment de la categoria.
L'efecte pràctic és que un banner de galetes compliant mexicà necessita distingir com a mínim entre categories necessàries, analítica i publicitat, amb opt-in afirmatius requerits per a la publicitat i avís clar per a l'analítica.
L'avís de privacitat com a ancla de compliment
La llei mexicana de privacitat és centrada en l'avís d'una manera que difereix de la tradició europea. L'avís de privacitat — aviso de privacidad — no és només un document de transparència; és l'instrument legal a través del qual es estructura el consentiment. Els Lineamientos del Aviso de Privacidad requereixen que l'avís contingui elements específics, i qualsevol banner de galetes ha de ser coherent amb l'avís subjacent en lloc de intentar comprimir-ho tot en una finestra emergent de banner.
Elements obligatoris de l'avís
L'avís ha d'identificar el controlador de dades, llistar les dades personals que es recopilen, descriure els propòsits del tractament, especificar si les dades es transferiran a tercers, identificar els drets de la persona interessada (acceso, rectificación, cancelación, oposición — els anomenats drets ARCO), i descriure com exercitar aquests drets. Per a un editor en línia, el banner de galetes ha d'actuar com a punt d'entrada en capes a l'avís complet, no com a substitut.
Curt, simplificat, integral
Les regulacions reconeixen tres formats d'avís: integral (complet), simplificat i curt. Un banner de galetes típicament presenta l'avís curt o simplificat amb una ruta clara a la versió integral. Les categories de galetes i els interruptors de consentiment viuen dins d'aquesta estructura en capes.
La reforma de l'INAI i què vindrà a continuació
A finals de 2024, el govern mexicà va impulsar una reforma que reestructura la funció federal de protecció de dades — l'INAI autònom s'està absorbint en un nou arranjament institucional sota la branca executiva. El marc legal (LFPDPPP, regulacions, lineamientos) segueix en vigor, però la continuïtat supervisora és la qüestió oberta. Per als editors, la postura conservadora és assumir que els estàndards substantius romanen constants mentre que la intensitat d'aplicació és incerta en el període de transició. Construir als estàndards que l'INAI va articular abans de la reforma — categories granulars, opt-in exprés per a publicitat, suport complet de drets ARCO, aviso de privacidad precís — és l'estratègia correcta independentment de com s'estabilitza l'arquitectura supervisora.
Una llista de verificació de compliment pràctic
Sis preguntes concretes per respondre per a qualsevol banner de galetes que serveix tràfic mexicà.
1. Categorització
El banner separa les galetes en categories necessàries, analítiques i publicitàries com a mínim, amb opt-in afirmatius per a publicitat? Agrupar totes les galetes no essencials sota un únic "Acceptar tot" sense granularitat és el defecte més comú.
2. Vinculació de l'avís de privacitat
El banner es vincula a l'avís complet de privacitat, i aquest avís conté tots els elements requerits (controlador, dades, propòsits, transferències, drets ARCO)? Un banner sense un avís de suport adequadament redactat és una superfície de compliment fina.
3. Idioma espanyol (mexicà)
El banner es presenta en espanyol, i utilitza convencions d'espanyol mexicà on divergeixen de l'espanyol europeu? El registre lingüístic correcte senyala seriïtat tant als usuaris com als supervisors.
4. Ruta de retirada
Hi ha un control persistent que permet a l'usuari revisitar i modificar la seva tria de consentiment? El dret a revocar és part del dret "oposición" d'ARCO i el banner ha d'acomodar-lo.
5. Divulgació de transferència a tercers
L'avís identifica les categories de tercers que reben dades personals via galetes (xarxes publicitàries, proveïdors d'analítica, CDPs), amb suficient detall perquè l'usuari entengui el flux de dades?
6. Registre
El sistema registra cada decisió de consentiment amb marca de temps i versió de banner perquè, en cas de queixa, l'editor pugui demostrar que la decisió es va donar lliurement i informada?
Com encaixa en el panorama latinoamericà
Mèxic és el segon mercat digital més gran de Llatinoamèrica després del Brasil, i el seu règim de protecció de dades és un dels més influents de la regió. El debat de reforma que es produeix actualment formarà la direcció interpretativa durant anys, però els estàndards substantius són estables: centrats en l'avís, fonamentats en drets ARCO, consentiment granular per a publicitat, divulgació completa de transferències a tercers. Els editors que operen a través de Llatinoamèrica es beneficien de construir una vegada al estàndard superior — el marc reformulat de l'Argentina, el LGPD del Brasil, la llei reformada de Xile i el projecte de llei pendent de Colòmbia tots convergeixen en expectatives de base similars. Un CMP que suporta espanyol mexicà, captura consentiment a nivell de categoria, es vincula netament a un aviso de privacidad complet, i registra decisions en forma de grau d'auditoria maneja el compliment mexicà a través de la mateixa infraestructura que maneja el compliment regional.