Compliance24. juni 2026 | FlexyConsent

Mexico LFPDPPP Cookie Consent Compliance Guide: Hvad udgiver skal gøre i 2026

Mexico har et af Latinamerikas ældre databeskyttelsesregimer. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), den føderale lov, der regulerer personlige data i besiddelse af private parter, trådte i kraft i 2010, med detaljerede regler følgende i 2011 og bindende parametre for privatlivserklæringen i 2013. I størstedelen af dens eksistens er loven blevet fortolket i mexicansk administrativ-juridisk stil: foreskrivende om meddelelsesindhold, mere fleksibel på teknisk implementering. Den balance skifter. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — regulatoren indtil dets reform i 2024 — offentliggjorde stadig mere direkte vejledning om digital sporing, og politikdebatten omkring omstrukturering af databeskyttelsesmyndigheden har skærpet kontrollen specifikt på online-udgiver. For enhver virksomhed, der behandler personlige data om mexicanske beboere, er cookie banner-overholdelse nu et konkret håndhævelsespørgsmål, ikke et akademisk. Denne guide går gennem, hvad LFPDPPP og dets regler kræver, hvor grænsen mellem nødvendige og ikke-væsentlige cookies ligger, og hvordan man bringer en cookie banner i overensstemmelse med praksis.

Den juridiske ramme

LFPDPPP sidder øverst i en lagdelt ramme. Loven selv definerer kerneprincipper — lovlighed, samtykke, information, kvalitet, formål, troskab, proportionalitet, ansvarlighed — som de mexicanske lovgivere lånte fra europæisk databeskyttelsestradition. Under loven ligger Regulations to the LFPDPPP, som udfylder operationelle detaljer, og Lineamientos del Aviso de Privacidad (privatlivserklæringens retningslinjer), som specificerer, hvad der skal fremgå af en privatlivserklæring og hvordan. Sammen danner disse tre tekster mexicansk ækvivalent til en samlet privatlivskodeks, med den praktiske kraft af bindende regulering.

For online-udgiver er de mest vigtige bestemmelser samtykkerules under artikler 8 til 11 i loven og kravene til privatlivserklæring, der regulerer, hvordan samtykke anmodes. Mexicansk samtykke er gradueret: underforstået samtykke er tilstrækkeligt for nogle behandlinger af almindelige personlige data, når der er givet korrekt meddelelse, men udtrykkeligt samtykke kræves for følsomme data og for enhver behandling, hvor loven specifikt kræver det. Fortolkningsspørgsmålet for cookie bannere er, hvilket af disse regimer der gælder for adfærds- og reklamecookies.

Hvordan mexicansk lov behandler cookies og online-identifikatorer

I modsætning til EU's ePrivacy-direktiv indeholder LFPDPPP ikke en cookie-specifik bestemmelse. I stedet behandler rammen online-identifikatorer som personlige data, når de kan knyttes til en identificerbar person, og samtykkepligterne stammer fra den generelle ramme snarere end fra en dedikeret cookie-regel. INAI-vejledning har præciseret, at:

Den praktiske effekt er, at et overholdende mexicansk cookie banner skal skelne som minimum mellem nødvendige, analytics- og reklamekategorier, med bekræftende valg-ind krævet for reklame og klar meddelelse for analytics.

Privatlivserklæringen som overholdelsesanker

Mexicansk privatlivlov er meddelelsescentreret på en måde, der adskiller sig fra europæisk tradition. Privatlivserklæringen — aviso de privacidad — er ikke blot et transparensdokument; det er det juridiske instrument, gennem hvilket samtykke er struktureret. Lineamientos del Aviso de Privacidad kræver, at meddelelsen indeholder specifikke elementer, og ethvert cookie banner skal være konsistent med den underliggende meddelelse snarere end at forsøge at komprimere alt til et banner-pop-up.

Påkrævet meddelelsessementer

Meddelelsen skal identificere dataansvarlig, liste de personlige data, der indsamles, beskrive behandlingsformålene, specificere om data skal overføres til tredjeparter, identificere den registreredes rettigheder (acceso, rectificación, cancelación, oposición — de såkaldte ARCO-rettigheder), og beskrive, hvordan disse rettigheder kan udøves. For en online-udgiver skal cookie banneret fungere som et lagdelt indgangspunkt til fuld meddelelse, ikke som erstatning for det.

Kort, forenklet, integreret

Reglerne anerkender tre meddelelsesformater: integreret (fuld), forenklet og kort. Et cookie banner præsenterer typisk den korte eller forenklede meddelelse med en klar vej til den integrerede version. Cookiekategorierne og samtykkeudvekslerne lever inden for denne lagdelte struktur.

INAI-reformen og hvad der kommer næste gang

I slutningen af 2024 fremsendte den mexicanske regering en reform, der omstrukturerer den føderale databeskyttelsesopgave — den autonome INAI blive absorberet i en ny institutionel ordning under den eksekutive. Den juridiske ramme (LFPDPPP, regler, lineamientos) forbliver i kraft, men tilsynsmæssig kontinuitet er det åbne spørgsmål. For udgiver er den konservative holdning at antage, at de materielle standarder forbliver konstant, mens håndhævelsesintensiteten er usikker i overgangsperioden. Bygning til de standarder, INAI formulerede før reformen — granulær kategorier, udtrykkeligt valg-ind for reklame, fuld ARCO-rettigheder-support, nøjagtigt aviso de privacidad — er den rigtige strategi uanset hvordan tilsynsarkitekturen stabiliseres.

En praktisk overholdelsestjekliste

Seks konkrete spørgsmål at besvare for ethvert cookie banner, der betjener mexicansk trafik.

1. Kategorisering

Skiller banneret cookies i nødvendige, analytics- og reklamekategorier som minimum, med bekræftende valg-ind for reklame? Bundling alle ikke-væsentlige cookies under en enkelt "Accepter alle" uden granularitet er den mest almindelige defekt.

2. Privatlivserklæringsforbindelse

Linker banneret til den fulde privatlivserklæring, og indeholder denne meddelelse hvert påkrævet element (ansvarlig, data, formål, overførsler, ARCO-rettigheder)? Et banner uden en ordentligt udformet støttende meddelelse er en tynd overholdelsesoverflade.

3. Spansk (mexicansk) sprog

Præsenteres banneret på spansk, og bruger det mexicansk spansk-konventioner, hvor de adskiller sig fra europæisk spansk? Det rigtige sproglige register signalerer alvor til både brugere og supervisorer.

4. Tilbagekaldelsesvej

Er der en vedvarende kontrol, der lader brugeren gense og ændre deres samtykkevalg? Retten til tilbagekaldelse er en del af ARCO's "oposición" ret, og banneret skal imødekomme det.

5. Tredjepartsoverførelsesoplysning

Identificerer meddelelsen kategorierne af tredjeparter, der modtager personlige data via cookies (annonсenetværk, analyticsudbydere, CDP'er), med tilstrækkelig detalje for brugeren til at forstå dataflowet?

6. Logning

Registrerer systemet hver samtykkeafgørelse med tidsstempel og bannersversion, så udgiver i tilfælde af en klage kan bevise, at afgørelsen blev truffet frit og informeret?

Hvordan dette passer til det latinamerikanske billede

Mexico er Latinamerikas næststørste digitale marked efter Brasilien, og dets databeskyttelsesregime er et af regionens mest indflydelsesrige. Reformdebatten, der nu er i gang, vil forme fortolkningsretning i årevis, men de materielle standarder er stabile: meddelelsescentreret, ARCO-rettigheds-baseret, granulær samtykke for reklame, fuld offentliggørelse af tredjepartsoverførsler. Udgiver, der opererer på tværs af Latinamerika, er gavnlig at bygge en gang til den højere standard — Argentinas reformerede ramme, Brasiliens LGPD, Chiles reformerede lov og Colombias afventende lovforslag konvergerer alle på lignende baseline-forventninger. En CMP, der understøtter mexicansk spansk, fanger kategorieniveau-samtykke, linker rent til fuld aviso de privacidad, og logger beslutninger i revision-kvalitetform, håndterer mexicansk overholdelse gennem den samme infrastruktur, der håndterer regional overholdelse.

← Blog Læs alt →