Guia de compliment normatiu del consentiment de galetes per a la New Zealand Privacy Act 2020 per a editors el 2026
New Zealand és un dels mercats més petits que supera el seu pes en regulació de privadesa. La Privacy Act 2020 va substituir l'estatut de 1993 per un marc modernitzat que va alinear el país molt més estretament amb els estàndards europeus, i l'Office of the Privacy Commissioner (OPC) ha estat un regulador actiu i inusualment comunicatiu des que la nova llei va entrar en vigor. Per als editors i operadors SaaS que serveixen trànsit de New Zealand, la pregunta pràctica de compliment va canviar substancialment amb la guia de l'OPC del 2025 sobre el seguiment en línia, que va aplicar explícitament els principis de consentiment i informació de la llei a les galetes, els píxels i la publicitat conductual. La llei no és el GDPR —hi ha diferències significatives— però l'estàndard operatiu ara és prou proper perquè la majoria d'equips que construeixen seguint normes europees superin l'escrutini de New Zealand amb canvis de configuració menors. Aquesta guia explica el que requereix la llei, el que va canviar la guia de l'OPC del 2025 i on ha d'aterrar el treball pràctic de compliment.
La Privacy Act 2020 en resum
La Privacy Act 2020 s'estructura al voltant de tretze Principis de Privadesa de la Informació (IPPs) que regeixen com les agències recullen, utilitzen, emmagatzemen i divulguen informació personal. Els IPPs precedeixen la llei conceptualment —s'enremonten a l'estatut de 1993— però la seva interpretació i aplicació van ser substancialment modernitzades el 2020. La llei s'aplica a qualsevol agència que reculli o posseeixi informació personal sobre residents de New Zealand, amb abast extraterritorial: un editor offshore que processa dades de visitants de New Zealand està en abast tal com ho estaria una agència de la EU sota el GDPR.
El canvi més important de la modernització del 2020 va ser la introducció d'un règim obligatori de notificació de violacions de privadesa: qualsevol violació que probablement causi un dany greu s'ha de notificar a l'OPC i als individus afectats. Per als editors en línia, la implicació pràctica és que els incidents relacionats amb galetes —un píxel de seguiment que s'activa prèviament al consentiment i filtra identificadors a un tercer, un CMP mal configurat que va exposar decisions de consentiment, un incident de seguretat que afecta els registres d'auditoria de galetes— poden activar obligacions de notificació que no existien sota el règim anterior.
Com tracta la llei les galetes i el seguiment en línia
La llei no conté cap disposició específica sobre galetes, cosa que històricament va portar alguns operadors a suposar que les galetes estaven fora del seu àmbit. La guia de l'OPC del 2025 va tancar explícitament aquesta bretxa interpretativa. Les galetes i els píxels que recullen informació personal —i l'OPC defineix la informació personal de manera prou àmplia per incloure identificadors de dispositius, adreces IP combinades amb dades conductuals i empremtes digitals probabilístiques de dispositius— estan subjectes als principis de recollida i divulgació de la llei de la mateixa manera que qualsevol altra superfície d'identificació.
Els IPPs que més importen per al seguiment en línia són:
- IPP 1 (finalitat de la recollida) — la informació personal només es pot recollir per a una finalitat lícita relacionada amb una funció de l'agència, i només quan la recollida és necessària per a aquesta finalitat.
- IPP 3 (informació dels individus) — quan s'obté informació personal directament de l'individu, l'agència l'ha d'informar de la finalitat, els destinataris i les conseqüències de no proporcionar la informació.
- IPP 4 (manera de recollida) — la recollida no ha de ser injusta, il·legal o intrusiva de manera no raonable. La recollida encoberta sense avís és generalment un defecte.
- IPP 10 (ús de la informació personal) — la informació recollida per a una finalitat no es pot utilitzar per a una altra sense consentiment o altra base jurídica.
- IPP 12 (divulgació fora de New Zealand) — enviar informació personal a l'exterior requereix que la jurisdicció del destinatari ofereixi garanties comparables, o garanties contractuals, o consentiment específic.
La combinació és funcionalment similar a les normes de base jurídica, transparència, limitació de la finalitat i transferència transfronterera del GDPR, amb terminologia adaptada al marc de New Zealand. L'OPC ha estat explícit que els estàndards s'alineen fins i tot quan el llenguatge jurídic difereix.
El que va canviar la guia de seguiment en línia del 2025
L'OPC va publicar una guia exhaustiva de seguiment en línia a principis del 2025 que va articular expectatives específiques per a bàners de galetes, registres de consentiment i compartició de dades amb tercers. Quatre punts tenen el major impacte operatiu.
Consentiment afirmatiu per al seguiment no essencial
La guia és inequívoca que el desplaçament com a consentiment, l'ús continuat com a consentiment i el consentiment implícit no satisfan IPP 1 i IPP 3 per al seguiment no essencial. Es requereix una acció afirmativa explícita. Això va alinear New Zealand amb la posició del Grup de Treball sobre Bàners de Galetes de l'EDPB.
Controls de categories granulars
L'OPC espera que els bàners separin les galetes estrictament necessàries de les analítiques i les de màrqueting, amb el visitant capaç d'acceptar categories de manera independent. L'acceptació de tot agrupada sense granularitat es tracta com un defecte.
Documentació de transferència a l'exterior
IPP 12 té més impacte que la interpretació anterior. Per a les galetes que encaminen dades a proveïdors de tecnologia publicitària dels EUA, l'editor ha de poder demostrar les salvaguardes sota les quals es produeix la transferència —normalment salvaguardes contractuals o, quan estigui disponible, l'estat equivalent d'adequació del destinatari. L'OPC ha indicat que fem servir Google Analytics ja no és una resposta suficient en una investigació.
Accessibilitat del Te Reo Māori
La guia del 2025 inclou un llenguatge específic sobre l'accessibilitat del Te Reo Māori per a les divulgacions de privadesa. L'OPC no ha fet dels bàners bilingüis un requisit estricte, però ha assenyalat la disponibilitat del Te Reo com un indicador significatiu de compliment de bona fe per a les agències que serveixen comunitats Māori. Diversos editors importants de New Zealand han passat a bàners bilingüis des que es va publicar la guia.
La postura d'aplicació de l'Office of the Privacy Commissioner
L'OPC opera de manera diferent als DPAs europeus més grans en tres aspectes estructurals que importen per a la planificació del compliment.
Priorització basada en queixes
L'OPC prioritza les investigacions basades en queixes per damunt de les inspeccions proactives. La implicació pràctica és que el camí més comú cap a una investigació de l'OPC és una queixa d'un usuari, cosa que fa que la gestió de queixes responsiva i un rastre d'auditoria documentat siguin particularment importants.
Avisos de compliment abans de les multes
La llei del 2020 atorga a l'OPC el poder d'emetre avisos de compliment que requereixen una remediació específica dins d'un termini establert. Existeixen sancions civils, però normalment són una opció alternativa quan un avís és ignorat o incomplert intencionadament. La remediació de bona fe en resposta a un avís generalment tanca l'assumpte sense conseqüències monetàries.
Coordinació amb reguladors a l'exterior
L'OPC participa activament en la Global Privacy Assembly i manté relacions de treball amb l'EDPB, l'UK ICO i el fòrum de l'Asia Pacific Privacy Authorities. Les investigacions transfrontereres que impliquen trànsit de New Zealand i europeu s'estan gestionant cada vegada més mitjançant procediments coordinats.
Una llista de verificació pràctica de compliment
Sis preguntes concretes a respondre per a qualsevol bàner de galetes que serveixi trànsit de New Zealand.
- Hi ha un rebuig explícit a la primera capa? El camí de rebuig ha d'estar a la mateixa superfície que l'acceptació, amb una prominència visual comparable. El desplaçament com a consentiment i l'acceptació implícita no compleixen la guia del 2025.
- Les categories són granulars? Les necessàries, les analítiques i les de màrqueting han de ser controlables de manera independent. L'acceptació de tot única sense granularitat és un defecte.
- La transferència a l'exterior està documentada? Per a cada galeta que envia dades fora de New Zealand, identifiqueu el mecanisme IPP 12 que autoritza la transferència.
- L'avís de privadesa compleix IPP 3? Confirmeu que l'avís identifica la finalitat, els destinataris i les conseqüències, i que el bàner de galetes hi enllaça.
- El registre de consentiment és de nivell d'auditoria? Els registres de decisions de consentiment amb marca de temps i versió del bàner són pràcticament necessaris per respondre a una consulta de l'OPC.
- La resposta a violacions està connectada? Confirmeu que els incidents relacionats amb galetes activen el flux de treball d'avaluació de violacions que determina si cal notificar a l'OPC i als individus.
On encaixa New Zealand en una pila multijurisdiccional
Per als editors que operen a tot l'Anglosfera —Austràlia, el Regne Unit, el Canadà, els EUA i New Zealand— la Privacy Act 2020 s'enquadra fermament dins de l'envolupant alineat amb el GDPR en la qual han convergit les principals jurisdiccions de parla anglesa. Una arquitectura CMP construïda seguint estàndards europeus gestiona el compliment de New Zealand amb una configuració menor: suport lingüístic per al Te Reo Māori, documentació de transferència per a IPP 12 i gestió de queixes a l'estil de l'OPC són les addicions específiques que val la pena invertir. El valor estratègic és que New Zealand s'ha utilitzat històricament com a mercat de proves per a llançaments de productes per part d'operadors SaaS internacionals, cosa que significa que la postura de compliment desplegada aquí sovint és una vista prèvia del que veurà la resta de l'Anglosfera. Fer-ho bé aviat és un avantatge operatiu significatiu en lloc d'un exercici de localització rutinari.