Vejledning om overholdelse af colombiansk Law 1581 fra 2012 om cookiesamtykke for udgivere i 2026

Colombias Statutory Law 1581 fra 2012, suppleret med Regulatory Decree 1377 fra 2013 og konsolideret i Decree 1074 fra 2015, etablerede en af de tidligste omfattende privatlivsrammer i Latinamerika. Superintendencia de Industria y Comercio (SIC) er databeskyttelsesmyndigheden, og dens Delegatura para la Protección de Datos Personales har været en usædvanligt aktiv håndhæver i forhold til det bredere latinamerikanske udgangspunkt. I løbet af mere end et årti har SIC udstedt tusindvis af sanktioner, akkumuleret en masse bindende doktrin gennem resolutioner og konceptuelle udtalelser og opbygget et registreringsregime — Registro Nacional de Bases de Datos (RNBD) — der dækker de fleste reklamestøttede onlineudgivere. For operatører, der betjener colombiansk trafik, er driftsstandarden tættere på europæiske normer, end årgangen af loven fra 2012 måske antyder, og SIC-vejledningen om online sporing fra 2023 tilpassede eksplicit forventningerne til cookiebannere med EDPB-lignende positioner. Denne vejledning gennemgår, hvad Law 1581 kræver, hvordan SIC har fortolket den i forbindelse med cookies og adfærdsbaseret annoncering, og hvad praktisk compliance-arbejde ser ud som i 2026.

Law 1581 i Oversigt

Law 1581 er struktureret omkring otte principper i Article 4: lovlighed, formål, frihed, sandhed, gennemsigtighed, begrænset adgang og cirkulation, sikkerhed og fortrolighed. De lovlige grundlag i henhold til Article 9 er snævrere end GDPR's — colombiansk lovgivning giver samtykke en mere central rolle og behandler andre grundlag (kontrakt, offentlig interesse, vitale interesser) som undtagelser snarere end som parallelle grundlag. For online sporing er den praktiske konsekvens, at samtykke næsten altid er det operative grundlag, og SIC har sjældent accepteret argumenter af typen legitim interesse for adfærdscookies.

Loven finder anvendelse på dataansvarlige og databehandlere, der håndterer personoplysninger om enkeltpersoner, der befinder sig i Colombia, med ekstraterritorial rækkevidde under Article 2, der dækker offshore-operatører, der retter sig mod det colombianske marked. Registrering i SIC's RNBD er obligatorisk over definerede tærskler, og SIC har siden 2016 været synlig med hensyn til at forfølge uregistrerede operatører.

Hvordan Law 1581 Behandler Cookies og Online Sporing

Law 1581 indeholder ikke en cookiespecifik bestemmelse; samtykke- og informationsforpligtelserne udspringer af Articles 4, 9 og 12 i loven og af SIC's Online Sporings-vejledning fra 2023. Fire punkter har størst driftsmæssig indvirkning.

Udtrykkelig forudgående samtykke som standard

SIC's langvarige holdning, bekræftet i vejledningen fra 2023, er, at ikke-essentiel sporing kræver udtrykkelig forudgående samtykke — colombiansk lovgivning bruger "expreso e inequívoco" (udtrykkelig og utvetydig) som samtykkestandardard, og SIC har håndhævet dette strengt online. Implicit samtykke, scroll-as-consent og forudmærkede felter er blevet afvist i offentliggjorte resolutioner.

Granulære kategorier og proportionalitetsprincippet

Vejledningen forventer, at bannere giver den besøgende mulighed for at acceptere og afvise kategorier uafhængigt. SIC betragter bundtet acceptér-alt som en overtrædelse af proportionalitetsprincippet i Article 4(c) — nødvendigt, nyttigt og tilstrækkeligt kan ikke blive "alt på en gang" uden at krænke proportionaliteten.

Spansk som standardsprog

SIC har eksplicit udtalt, at privatlivsmeddelelser og samtykkebannere til colombianske målgrupper skal være tilgængelige på spansk, og at sproget skal afspejle colombianske spanskkonventioner, hvor de adskiller sig fra europæiske eller andre latinamerikanske varianter. Bannere udelukkende på engelsk er blevet citeret som defekter i adskillige SIC-resolutioner.

Grænseoverskridende overførsel (Article 26)

Article 26 regulerer internationale overførsler og kræver, at destinationsjurisdiktionen leverer et tilstrækkeligt beskyttelsesniveau. SIC har udstedt en tilstrækkelhedsliste — en mindre liste end EU's — og overførsler til ikke-listede lande kræver eksplicit samtykke, kontraktmæssige beskyttelsesforanstaltninger eller en specifik tilladelse fra SIC. For cookies, der ruter data til amerikanske ad-tech-leverandører, er den praktiske forventning dokumenterede kontraktmæssige beskyttelsesforanstaltninger.

SIC's Håndhævelsesposition

SIC opererer med en af de mest aktive håndhævelsespositioner i Latinamerika. Tre mønstre former dens tilgang.

Sanktionspraksis med høj volumen

SIC udsteder hundredvis af sanktionsresolutioner om året og offentliggør de vigtigste. Mængden skaber et usædvanligt rigt korpus af bindende doktrin, som operatørerne kan bruge til at forudsige regulatoriske forventninger — men det betyder også, at fejl opdages hurtigt, når klager ankommer.

RNBD-drevne inspektioner

Mange SIC-inspektioner begynder med RNBD-registreringen som indgangspunkt. En operatør, der ikke har registreret sig, eller hvis registrering ikke er aktuel, er mere tilbøjelig til at tiltrække kontrol end en korrekt registreret ansvarlig med sammenlignelig behandling.

Ibero-amerikansk koordination

SIC deltager aktivt i Ibero-American Data Protection Network (RIPD) og koordinerer med Argentinas AAIP, Mexicos INAI (nu omstruktureret), Brasiliens ANPD, Uruguays URCDP og Chiles reformerede regime. Grænseoverskridende sager med colombiansk og anden iberoamerikansk trafik håndteres i stigende grad gennem koordinerede procedurer.

En Praktisk Compliance-Tjekliste

Seks konkrete spørgsmål at besvare for ethvert cookie-banner, der betjener colombiansk trafik.

Hvor Colombia Passer i en Multi-Jurisdiktions-Stack

Colombia er et af de fire driftsmæssigt mest konsekvente databeskyttelsesregimer i Latinamerika, ved siden af Brasilien, Mexico og Argentina. 2012-årgangen af Law 1581 er forud for GDPR, men SIC's aktive håndhævelse og vejledningen fra 2023 har tilpasset driftsstandarden tæt med europæiske normer. For udgivere, der bygger hen imod pan-latinamerikanske operationer, parrer den colombianske ramme sig naturligt med Brasiliens LGPD, Mexicos LFPDPPP og Argentinas reformerede regime — en CMP-arkitektur bygget til europæiske standarder håndterer størstedelen af arbejdet med tre Colombia-specifikke tilføjelser: RNBD-registrering, hvor tærsklerne finder anvendelse, colombiansk spansk sprogunderstøttelse og Article 26-mønsteret for dokumentation af grænseoverskridende overførsler. Den ibero-amerikanske konvergens omkring GDPR-tilpassede standarder accelererer, og Colombias modne håndhævelseserfaring gør det til den regionale jurisdiktion, hvor compliance-positionen testes mest direkte.

← Blog Læs alt →