Právní pozadí

Zákon Ley 25.326 byl napsán před tím, než behaviorální reklama existovala ve velkém měřítku. Jeho standard souhlasu vyžadoval předchozí, výslovný a informovaný souhlas, ale praktický výklad ze strany AAIP byl historicky méně závazný, než jaký uplatnili evropští dozorci. Cookies, sledovací pixely a nástroje pro budování publika fungovaly v Argentině v relativně permisivním interpretačním režimu, přičemž prosazování se zaměřovalo na závažné případy spíše než na systémový design bannerů.

Reforma mění provozní prostředí třemi strukturálními způsoby. Za prvé, zpřísňuje definici souhlasu tak, aby sledovala formulaci článku 4 odst. 11 GDPR — svobodně daný, konkrétní, informovaný a jednoznačný. Za druhé, zavádí výslovnou zásadu odpovědnosti, která vyžaduje, aby správci dat byli schopni prokázat soulad, nikoli jej pouze tvrdit. Za třetí, zvyšuje maximální správní pokutu na úroveň úměrnou příjmům organizace, což podstatně mění kalkulaci prosazování pro mezinárodní platformy.

Co se počítá jako souhlas podle reformovaného standardu

Reformovaný text, ve verzi nejnověji předložené Kongresu, odráží evropské chápání souhlasu v důležitých ohledech. Předem zaškrtnutá políčka nepředstavují souhlas. Pokračující používání webové stránky nepředstavuje souhlas. Sdružování souhlasů pro nesouvisející účely — například zacházení s přijetím podmínek služby jako s povolením pro behaviorální reklamu — nepředstavuje souhlas. AAIP ve workshopech a konzultacích signalizovala, že hodlá vykládat reformovaný standard s odkazem na soubor pokynů EDPB, což znamená, že argentinští vydavatelé by měli očekávat, že prosazování bannerů s cookies bude konvergovat ke stejným šesti způsobům selhání, které Task Force EDPB pro bannery s cookies zdokumentovala: chybějící tlačítka pro odmítnutí, klamavý design odkazů, předem zaškrtnuté kategorie, špatně označené cookies, chybějící mechanismy odvolání a temné vzory nátlakového designu.

Praktický důsledek pro bannery s cookies v Argentině je, že design, který projde přezkoumáním EU, projde argentinským přezkoumáním v rámci reformy. Naopak, banner, který fungoval v Argentině pod starým, mírnějším výkladem, může vyžadovat podstatné přepracování před tím, než reformovaný zákon vstoupí v platnost.

Přeshraniční přenosy dat

Jednou z nejvýznamnějších změn v reformě je zacházení s mezinárodními přenosy dat. Podle Ley 25.326 v původně přijatém znění vyžadovaly přenosy do zemí bez přiměřené ochrany buď konkrétní souhlas, nebo smluvní záruky, ale pravidla byla strohá a AAIP měla omezenou kapacitu pro prosazování. Reforma zavádí vrstvený rámec, který je paralelní s kapitolou V GDPR: přenosy jsou povoleny do zemí, které AAIP označí jako přiměřené; při absenci přiměřenosti vyžadují přenosy schválené nástroje, jako jsou závazná podniková pravidla, standardní smluvní doložky schválené AAIP nebo specifické výjimky.

Pro vydavatele, kteří přesměrovávají argentinský provoz přes americké, evropské nebo asijské poskytovatele adtech, je praktickým důsledkem to, že záznam o souhlasu s cookies musí nyní také podporovat povinnost odpovědnosti za přenosy. CMP musí být schopen ukázat pro jakéhokoli konkrétního návštěvníka, které kategorie prodejců obdržely jejich osobní údaje a v rámci jakého přenosového nástroje. Jedná se o stejnou architekturu odpovědnosti, kterou evropští vydavatelé budují pro GDPR, aplikovanou na argentinský provoz.

Role AAIP

Agencia de Acceso a la Información Pública je argentinský úřad pro ochranu osobních údajů. Vytvořen v roce 2017 Decreto 746/2017, konsoliduje dohled nad režimy ochrany osobních údajů i svobodného přístupu k informacím. Podle platného zákona jsou jeho vymáhací prostředky skromné; reforma je podstatně posiluje.

Vyšetřovací pravomoci

Reforma uděluje AAIP rozšířené pravomoci k vynucení předložení dokumentů, provádění kontrol a ukládání předběžných opatření v průběhu šetření. Pro online vydavatele se to pravděpodobně projeví jako žádosti o protokoly souhlasů, seznamy dodavatelů a snímky kódu bannerů pokrývající konkrétní časová období.

Sankční režim

Maximální správní sankce podle reformovaného textu jsou vázány na procento z ročního obratu, omezené vysokým absolutním stropem. Jedná se o smysluplný posun od stávajícího režimu pevných částek a přibližuje Argentinu k vrstvené struktuře pokut GDPR.

Koordinace s latinskoamerickými kolegy

AAIP je aktivním účastníkem Iberoamerické sítě ochrany osobních údajů. Očekává se, že reformované argentinské pokyny budou ovlivňovat — a budou ovlivňovány — ANPD Brazílie, INAI Mexika, reformovaným režimem Chile a URCDP Uruguaye. Vydavatelé působící v celém regionu by měli očekávat konvergenci standardů souhlasu do 24 až 36 měsíců.

Co by vydavatelé měli dělat nyní

Reforma je v legislativním procesu, zatím není v platnosti. Konzervativní přístup je budovat podle vyššího standardu nyní, s předpokladem, že přijetí proběhne do 12 až 18 měsíců. Pět provozních kroků usnadňuje přechod.

• Proveďte audit stávajícího banneru podle kritérií pracovní skupiny EDPB. Pokud selže u některého ze šesti běžných způsobů selhání, stejný banner selže podle reformovaného argentinského standardu jakmile vstoupí v platnost. Náprava nyní zabrání pozdějšímu přepracování.
• Přidejte španělské verze banneru a zásad. Argentinská španělština (es-AR) je primárním jazykem pro uživatele; zajistěte, aby CMP ji nativně podporoval, nikoli jen obecnou španělštinu.
• Namapujte seznam dodavatelů na přenosové nástroje. Pro každého dodavatele adtech, analýzy nebo marketingu, který přijímá argentinské osobní údaje, zdokumentujte přenosový nástroj: přiměřenost, standardní smluvní doložky, závazná podniková pravidla nebo výjimku.
• Nakonfigurujte protokolování souhlasů s regionální granularitou. Protokoly souhlasů by měly zaznamenávat zemi původu návštěvníka (odvozeno z IP v době zobrazení banneru), aby bylo možné odpovědět na šetření AAIP s důkazy filtrovanými podle země.
• Jmenujte kontaktní místo pro korespondenci s AAIP. Mnoho mezinárodních vydavatelů působí v Argentině bez formálního místního zástupce; reforma činí jmenování kontaktu pro dozorový orgán praktickou nutností.

Za hranicí bannerů s cookies

Argentinská reforma je širší než souhlas s cookies. Přepracovává lhůty pro oznamování narušení bezpečnosti, zavádí specifické ochrany pro kategorie citlivých dat a vytváří nové povinnosti týkající se automatizovaného rozhodování. Pro vydavatele je banner s cookies nejviditelnějším povrchem souladu, ale není jediným. Stejná infrastruktura CMP, která zaznamenává souhlas s cookies, je dobře uzpůsobena k zaznamenávání dalších rozhodnutí o souhlasu — souhlas s komunikací, souhlas se sdílením dat s partnery v retail mediích, souhlas s funkcemi personalizace — a požadavek odpovědnosti AAIP se vztahuje na všechny z nich.

Reforma odráží širší vzorec: Latinská Amerika se pohybuje směrem ke standardům sladěným s GDPR s národními implementacemi přizpůsobenými místním právním tradicím. Vydavatelé, kteří nyní budují regionálně agnostický zásobník souhlasů — takový, který zaznamenává podrobný souhlas specifický pro účel, podporuje více jazyků a formátů dat, protokoluje rozhodnutí ve formátu na úrovni auditu a integruje se s dokumentací přenosů — zvládají argentinský, brazilský, mexický a chilský soulad prostřednictvím stejného provozního kanálu. Náklady na budování pro jednu jurisdikci a poté přizpůsobování pro další byly historicky vyšší než náklady na budování pro regionální standard od samého začátku.