Průvodce shodou se soubory cookie podle LFPDPPP v Mexiku: Co musí vydavatelé udělat v roce 2026
Mexiko má jeden z nejstarších režimů ochrany osobních údajů v Latinské Americe. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), federální zákon upravující osobní údaje držené soukromými osobami, vstoupil v platnost v roce 2010, s podrobnými pravidly následujícími v roce 2011 a závazné parametry pro aviso de privacidad v roce 2013. Po větší část své existence byl zákon interpretován v mexicko-administrativnostním stylu: předpisový co do obsahu upozornění, pružnější co do technické implementace. Tato rovnováha se posouvá. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — regulátor až do své reformy v roce 2024 — zveřejňoval čím dál tím více přímé pokyny k digitálnímu sledování a debata o politice přestrukturalizace orgánu na ochranu údajů zostřila kontrolu specifically on line publishers. Pro každou společnost zpracovávající osobní údaje mexických rezidentů je dodržování zásad cookie bannerů nyní hmatatelnou záležitostí vymáhání, nikoli akademickou. Tato příručka vás provede tím, co vyžaduje LFPDPPP a jeho pravidla, kde se nachází linie mezi nezbytným a nezbytným souborami cookies, a jak uvést cookie banner do souladu v praxi.
Právní rámec
LFPDPPP sedí na vrcholu vrstvené struktury. Samotný zákon definuje základní principy — právnost, souhlas, informace, kvalita, účel, věrnost, proporcionalita, odpovědnost — které si mexičtí tvůrci vypůjčili z evropské tradice ochrany osobních údajů. Pod zákonem se nachází Nařízení LFPDPPP, která vyplňují podrobnosti operační povahy, a Lineamientos del Aviso de Privacidad (pokyny pro aviso de privacidad), která specifikují, co se musí objevit v aviso de privacidad a jak. Dohromady tyto tři texty tvoří mexicko-právní ekvivalent jednotného kodexu ochrany soukromí s praktickou vazbou závazného nařízení.
Pro vydavatele online je nejdůležitější ustanovení pravidla souhlasu podle článků 8 až 11 zákona a požadavky na aviso de privacidad, které řídí způsob, jakým je souhlas požadován. Mexický souhlas je odstupňovaný: implicitní souhlas postačuje pro některé zpracování běžných osobních údajů, když byla podána řádná upozornění, ale výslovný souhlas je vyžadován pro citlivá data a pro jakékoli zpracování, kde to zákon konkrétně vyžaduje. Interpretační otázka pro cookie bannery je, který z těchto režimů se vztahuje na behavioral a reklamní cookies.
Jak mexické právo nakládá s cookies a online identifikátory
Na rozdíl od směrnice EU o elektronickém obchodě LFPDPPP neobsahuje cookie-specifické ustanovení. Místo toho rámec zachází s online identifikátory jako s osobními údaji, když je lze spojit se zjistitelnou osobou, a povinnosti souhlasu vycházejí ze obecné struktury spíše než z vyhrazeného pravidla pro cookies. Pokyny INAI objasňují, že:
- First-party cookies přísně nezbytné pro fungování webu nevyžadují předchozí souhlas, ale jejich přítomnost musí být uvedena v aviso de privacidad.
- Analytické cookies obecně vyžadují informovaný souhlas, přičemž implicitní souhlas je přijatelný, když je aviso de privacidad jasně přístupné před jakýmkoli sběrem dat.
- Reklamní a behavioral cookies vyžadují výslovný souhlas, zejména tam, kde jsou data sdílena s třetími stranami nebo používána pro sledování mezi weby.
- Cookies, které shromažďují citlivé data — zdraví, sexuální orientace, náboženské přesvědčení, politické názory — vyžadují výslovný souhlas bez ohledu na kategorii.
Praktickým efektem je, že vyhovující mexický cookie banner musí rozlišovat minimálně mezi nezbytné, analytické a reklamní kategorie, přičemž je vyžadováno aktivní přihlášení k inzerenční kategorii a jasné upozornění pro analytics.
Aviso de privacidad jako kotva souladu
Mexické právo na ochranu soukromí je zaměřeno na upozornění způsobem, který se liší od evropské tradice. Aviso de privacidad není jen dokument o transparentnosti; jedná se o právní nástroj, prostřednictvím kterého je strukturován souhlas. Lineamientos del Aviso de Privacidad vyžadují, aby upozornění obsahovalo specifické prvky, a jakýkoli cookie banner musí být konzistentní s podkladovým upozorněním místo toho, aby se pokoušel vše komprimovat do bannerového vyskakovacího okna.
Povinné prvky upozornění
Upozornění musí identifikovat správce údajů, uvést osobní údaje, které jsou shromažďovány, popsat účely zpracování, uvést, zda budou data přenesena třetím stranám, identifikovat práva subjektu údajů (acceso, rectificación, cancelación, oposición — takzvané ARCO práva), a popsat, jak lze tato práva uplatnit. Pro vydavatele online musí cookie banner fungovat jako vrstvený vstupní bod do úplného upozornění, ne jako jeho náhrada.
Krátké, zjednodušené, kompletní
Pravidla uznávají tři formáty upozornění: kompletní (integrální), zjednodušené a krátké. Cookie banner typicky představuje krátké nebo zjednodušené upozornění s jasnou cestou k úplné verzi. Kategorie cookies a přepínače souhlasu se nacházejí uvnitř této vrstvené struktury.
Reforma INAI a co přijde dál
Koncem roku 2024 mexická vláda pokročila v reformě, která přestrukturalizuje federální funkci ochrany údajů — autonomní INAI je absorbován do nové institucionální úpravy pod výkonnou větví. Právní rámec (LFPDPPP, pravidla, lineamientos) zůstává v platnosti, ale kontinuita dohledu je otevřená otázka. Pro vydavatele je konzervativní postoj předpokládat, že hmotné normy zůstávají konstantní, zatímco intenzita vymáhání je v přechodném období nejistá. Stavba podle norem, které INAI artikuloval před reformou — podrobné kategorie, výslovné přihlášení se pro inzerenci, plná podpora ARCO-práv, přesné aviso de privacidad — je správná strategie bez ohledu na to, jak se architektura dohledu stabilizuje.
Praktický kontrolní seznam souladu
Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli cookie banner podávající mexický provoz.
1. Kategorizace
Odděluje banner cookies minimálně na nezbytné, analytické a reklamní kategorie, s aktivním přihlášením se pro inzerenci? Sdružování všech nezbytných cookies pod jediný „Přijmout vše" bez granularity je nejčastější chyba.
2. Propojení aviso de privacidad
Odkazuje banner na úplné aviso de privacidad a obsahuje toto upozornění každý povinný prvek (správce, data, účely, přenosy, ARCO práva)? Banner bez správně vypracovaného podpůrného upozornění je tenký povrch souladu.
3. Španělština (mexická)
Je banner prezentován ve španělštině a používá mexické španělské konvence, kde se liší od evropské španělštiny? Správný jazykový registr signalizuje vážnost jak uživatelům, tak dozorovatelům.
4. Cesta k odvolání
Existuje trvalá kontrola, která umožní uživateli opětovně navštívit a upravit svou volbu souhlasu? Právo na odvolání je součástí ARCO „oposición" práva a banner jej musí podporovat.
5. Zveřejnění přenosu třetí stranou
Identifikuje upozornění kategorie třetích stran, které přijímají osobní údaje přes cookies (ad sítě, poskytovatele analýz, CDPs), s dostatečnými podrobnostmi, aby uživatel pochopil tok dat?
6. Protokolování
Zaznamenává systém každé rozhodnutí o souhlasu s časovým razítkem a verzí banneru, aby издatель v případě stížnosti mohl dokázat, že rozhodnutí byla přijata svobodně a informovaně?
Jak se to hodí do latinoamerického obrazu
Mexiko je druhým největším digitálním trhem v Latinské Americe po Brazílii a jeho režim ochrany údajů je jedním z nejvlivnějších v regionu. Debata o reformě probíhající nyní bude formovat interpretační směr na roky, ale hmotné normy jsou stabilní: zaměřené na upozornění, zakořeněné v ARCO-právech, podrobný souhlas s inzercí, úplné zveřejnění přenosů třetím stranám. Vydavatelé, kteří působí v celé Latinské Americe, mají prospěch ze stavby podle vyšší normy — reformovaný rámec Argentiny, LGPD Brazílie, reformovaný zákon Chile a čekající návrh Kolumbie se všechny sblížují na podobných základních očekáváních. CMP, který podporuje mexickou španělštinu, zachycuje souhlas na úrovni kategorie, čistě se propojuje s úplným aviso de privacidad a rozhoduje se v auditovaatelné podobě, řeší mexickou shodu prostřednictvím stejné infrastruktury, která zvládá regionální shodu.