Guía de cumplimiento del consentimiento de cookies bajo la New Zealand Privacy Act 2020 para editores en 2026

New Zealand es uno de los mercados más pequeños que supera su peso en regulación de privacidad. La Privacy Act 2020 sustituyó el estatuto de 1993 por un marco modernizado que alineó al país mucho más estrechamente con los estándares europeos, y el Office of the Privacy Commissioner (OPC) ha sido un regulador activo e inusualmente comunicativo desde que la nueva ley entró en vigor. Para los editores y operadores de SaaS que sirven tráfico de New Zealand, la pregunta práctica de cumplimiento cambió sustancialmente con la guía del OPC de 2025 sobre el seguimiento en línea, que aplicó explícitamente los principios de consentimiento e información de la ley a las cookies, los píxeles y la publicidad conductual. La ley no es el GDPR —existen diferencias significativas— pero el estándar operativo está ahora lo suficientemente cerca como para que la mayoría de los equipos que construyen según normas europeas pasen el escrutinio de New Zealand con cambios menores de configuración. Esta guía explica qué requiere la ley, qué cambió la guía del OPC de 2025 y dónde debe aterrizar el trabajo práctico de cumplimiento.

La Privacy Act 2020 en síntesis

La Privacy Act 2020 se estructura en torno a trece Principios de Privacidad de la Información (IPPs) que rigen cómo las agencias recopilan, usan, almacenan y divulgan información personal. Los IPPs preceden a la ley conceptualmente —se remontan al estatuto de 1993— pero su interpretación y aplicación fueron modernizadas sustancialmente en 2020. La ley se aplica a cualquier agencia que recopile o posea información personal sobre residentes de New Zealand, con alcance extraterritorial: un editor offshore que procesa datos de visitantes de New Zealand está en el ámbito de aplicación igual que lo estaría una agencia de la EU bajo el GDPR.

El cambio más significativo de la modernización de 2020 fue la introducción de un régimen obligatorio de notificación de infracciones de privacidad: cualquier infracción que probablemente cause un daño grave debe notificarse al OPC y a las personas afectadas. Para los editores en línea, la implicación práctica es que los incidentes relacionados con cookies —un píxel de seguimiento que se activa antes del consentimiento y filtra identificadores a un tercero, un CMP mal configurado que expuso decisiones de consentimiento, un incidente de seguridad que afecta a los registros de auditoría de cookies— pueden desencadenar obligaciones de notificación que no existían bajo el régimen anterior.

Cómo trata la ley las cookies y el seguimiento en línea

La ley no contiene una disposición específica sobre cookies, lo que históricamente llevó a algunos operadores a asumir que las cookies estaban fuera de su ámbito. La guía del OPC de 2025 cerró explícitamente esa brecha interpretativa. Las cookies y los píxeles que recopilan información personal —y el OPC define la información personal de manera suficientemente amplia para incluir identificadores de dispositivos, direcciones IP combinadas con datos conductuales y huellas dactilares probabilísticas de dispositivos— están sujetos a los principios de recopilación y divulgación de la ley de la misma manera que cualquier otra superficie de identificación.

Los IPPs que más importan para el seguimiento en línea son:

La combinación es funcionalmente similar a las normas del GDPR sobre base jurídica, transparencia, limitación de finalidad y transferencias transfronterizas, con terminología adaptada al marco de New Zealand. El OPC ha sido explícito en que los estándares se alinean incluso cuando el lenguaje jurídico difiere.

Lo que cambió la guía de seguimiento en línea de 2025

El OPC publicó una guía exhaustiva de seguimiento en línea a principios de 2025 que articuló expectativas específicas para banners de cookies, registros de consentimiento y uso compartido de datos con terceros. Cuatro puntos tienen el mayor impacto operativo.

Consentimiento afirmativo para el seguimiento no esencial

La guía es inequívoca en que el desplazamiento como consentimiento, el uso continuado como consentimiento y el consentimiento implícito no satisfacen IPP 1 e IPP 3 para el seguimiento no esencial. Se requiere una acción afirmativa explícita. Esto alineó a New Zealand con la posición del Grupo de Trabajo del EDPB sobre banners de cookies.

Controles de categorías granulares

El OPC espera que los banners separen las cookies estrictamente necesarias de las analíticas y las de marketing, con el visitante capaz de aceptar categorías de forma independiente. La aceptación total agrupada sin granularidad se trata como un defecto.

Documentación de transferencias al extranjero

IPP 12 tiene más impacto que la interpretación anterior. Para las cookies que enrutan datos a proveedores de tecnología publicitaria estadounidenses, el editor debe poder demostrar las salvaguardas bajo las cuales se lleva a cabo la transferencia —típicamente salvaguardas contractuales o, donde esté disponible, el estado equivalente de adecuación del destinatario. El OPC ha indicado que usamos Google Analytics ya no es una respuesta suficiente en una investigación.

Accesibilidad del Te Reo Māori

La guía de 2025 incluye un lenguaje específico sobre la accesibilidad del Te Reo Māori para las divulgaciones de privacidad. El OPC no ha convertido los banners bilingües en un requisito estricto, pero ha señalado la disponibilidad del Te Reo como un indicador significativo de cumplimiento de buena fe para las agencias que sirven a comunidades Māori. Varios editores importantes de New Zealand han pasado a banners bilingües desde que se publicó la guía.

La postura de aplicación del Office of the Privacy Commissioner

El OPC opera de manera diferente a las DPAs europeas más grandes en tres aspectos estructurales que importan para la planificación del cumplimiento.

Priorización basada en quejas

El OPC prioriza las investigaciones basadas en quejas sobre las inspecciones proactivas. La implicación práctica es que el camino más común hacia una investigación del OPC es una queja de un usuario, lo que hace que la gestión responsiva de quejas y un rastro de auditoría documentado sean particularmente importantes.

Avisos de cumplimiento antes de las multas

La ley de 2020 otorga al OPC el poder de emitir avisos de cumplimiento que requieren una remediación específica dentro de un plazo establecido. Las sanciones civiles existen pero son típicamente una alternativa cuando un aviso es ignorado o incumplido deliberadamente. La remediación de buena fe en respuesta a un aviso generalmente cierra el asunto sin consecuencias monetarias.

Coordinación con reguladores en el extranjero

El OPC participa activamente en la Global Privacy Assembly y mantiene relaciones de trabajo con el EDPB, el UK ICO y el foro de Asia Pacific Privacy Authorities. Las investigaciones transfronterizas que involucran tráfico de New Zealand y europeo se gestionan cada vez más a través de procedimientos coordinados.

Una lista de verificación práctica de cumplimiento

Seis preguntas concretas a responder para cualquier banner de cookies que sirva tráfico de New Zealand.

Dónde encaja New Zealand en una arquitectura multijurisdiccional

Para los editores que operan en toda la Anglosfera —Australia, el Reino Unido, Canadá, Estados Unidos y New Zealand— la Privacy Act 2020 se sitúa firmemente dentro del marco alineado con el GDPR en el que han convergido las principales jurisdicciones de habla inglesa. Una arquitectura CMP construida según estándares europeos gestiona el cumplimiento de New Zealand con una configuración menor: soporte del idioma Te Reo Māori, documentación de transferencia de IPP 12 y gestión de quejas al estilo OPC son las adiciones específicas que vale la pena invertir. El valor estratégico es que New Zealand ha sido utilizada históricamente como un mercado de prueba para el lanzamiento de productos por parte de operadores SaaS internacionales, lo que significa que la postura de cumplimiento implementada aquí es a menudo una vista previa de lo que verá el resto de la Anglosfera. Hacerlo bien desde el principio es una ventaja operativa significativa en lugar de un ejercicio rutinario de localización.

← Blog Leer todo →