Betetzea2026 api 21 | FlexyConsent

Quebeceko 25. Legea (64. Proyecto): Cookie Baimenaren eta Pribatutasunaren Gida Osoa Argitaratzaileentzat 2026an

Ipar Amerikako pribatutasun eztabaida gehienak Californiarekin hasten eta amaitzen dira. Ikuspuntu hori zaharkituta dago. Quebeceko 25. Legeak, lehen 64. Proiektu bezala ezagutua, orain CCPA, CPRA eta AEBetako edozein estatuko legea gainditzen duten zigorrak ezartzen ditu — CAD 25 milioi edo mundu mailako fakturazioaren %4raino, altuena dena. 25. Legearen azken fasea 2024ko irailaren 22an sartu zen indarrean, datuak eramangarritasunaren eskubide osoa ezarriz, eta betearaztea 2025ean zehar eta 2026ra arte zorroztu da. Quebec-eko trafikoa duen edozein argitaratzaile, SaaS plataforma edo adtech saltzaile GDPR mailako betebeharrei aurre egin behar die orain — askotan GDPR bera baino zorrotzagoak arlo zehatzetan, hala nola mugaz gaindiko transferentziak eta erabaki automatizatuei buruzko jakinarazpenak.

Quebeceko 25. Legeak benetan zer eskatzen duen

25. Legeak Quebeceko sektore pribatuko lehendik dagoen pribatutasun legea (Act Respecting the Protection of Personal Information in the Private Sector) aldatzen du eta Europako GDPR-era hurbiltzen du, Kanadako ezaugarri bereziak mantenduz. Argitaratzaileei eta operadore digitalei eragiten dieten oinarrizko eskakizunak hauek dira:

Baimen esplizitu eta zehatza informazio pertsonala biltzen edo erabiltzen hasi aurretik, hasiera batean adierazitakoa gainditzen duen edozein helburutarako.
Izen eta kontaktua webgunean argitaratu beharreko Pribatutasun Ofizial izendatua (lehenespenez exekutibo nagusia, formalki eskuordetzen ez den bitartean).
Derrigorrezko Pribatutasunaren Eragin Balorazioak (PIA-k) informazio pertsonala barne hartzen duten proiektuak abiarazi aurretik, bereziki mugaz gaindiko transferentziak edo teknologia berriak.
Urraketa jakinarazpena Commission d'accès à l'information (CAI) eta kaltetutako pertsonei urraketак lesio larriaren arriskua dueenean.
Banakako eskubideak, sarbidea, zuzenketa, ezabapena, eramangarritasuna eta — modu berezian — erabaki automatizatuei buruz jakinaraziak izateko eskubidea eta giza berrikuspen bat eskatzeko aukera barne.

Betearazpen organoa Commission d'accès à l'information du Québec (CAI) da, eta 2025ean zehar nazioarteko hainbat argitaratzaileri eta plataformari ikerketa ohartarazpen formalak helarazi dizkie. Erregulatzaile batzuk ez bezala, CAI-k Quebec-eko bizilagunak zerbitzatzen dituzten Kanadakoak ez diren entitateen atzetik joateko borondatea erakutsi du.

Cookie baimenaren zehaztasunak: GDPR baino zorrotzagoa arlo nagusietan

25. Legeak "cookie" hitza zuzenean erabiltzen ez badu ere, bere definizioak norbanakoari identifikatzen, kokatzen edo profila egiten dion teknologiari buruz egiten du, cookieak, pixelak, aztarna digitalak eta SDK oinarritutako identifikatzaile mugikorrak barne hartuz. 8.1 Sekzioa xedapen kritikoa da: lehenespenez aktibatuta dagoen teknologia lehenespenez desgaitu behar da eta pizteko baimen aktiboa behar du.

Ez aurrez markatutako laukiak, ez inplizitutako baimena

Hizkuntza hau GDPR-ren ePrivacy esparrua baino zorrotzagoa da alderdi zehatz batean: baimena ez ezik, oinarrizko teknologia teknikoki desgaitu egon behar da baimena eman arte. Erabiltzaileak onartu klikatzen aurretik analitika kargatzen duen cookie-bandero batek 25. Legea urratzen du, banner-a bera teknikoki zuzena bada ere. Argitaratzaileek benetako baimenagatik mugatutako script karga inplementatu behar dute, Google Consent Mode v2-ren aurreratu modua bezalakoa — oinarrizko modua orokorrean nahikoa ez da.

Profil oinarritutako pertsonalizazioak baimen bereizi bat behar du

Cookieak erabiltzaile-profila eraikitzeko iragarki pertsonalizatua egiteko erabiltzen badituzu, 25. Legeak hori helburu bereizi gisa tratatzen du, bere baimen geruza behar duena, gainean cookieen kokapenaren oinarrizko baimenaz gain. Cookie bat "dena onartu" botoi bakarraren bidez biltegiratzea, analitika eta pertsonalizazioa bateratzen dituena arriskua dago — Quebeceko erregulatzaileak helburu bakoitzeko konmutadore zehatzen alde jotzeko joera adierazi du.

Mugaz gaindiko transferentziak: PIA eskakizuna

Quebec Kanada barruan informazio pertsonala Quebec-etik kanpora transferitu aurretik Pribatutasunaren Eragin Balorazio formal bat eskatzen duen probintzia bakarra da — Kanadako gainerakora, Estatu Batuetara eta Europako datu-zentroetara barne hartuta. PIA-k ebaluatu behar du:

Datuen sentikortasuna.
Transferentziaren helburua eta beharrezkotasuna.
Helmugako jurisdikzioaren esparru legala.
Indarrean dauden babes kontratu eta teknikoak.

Argitaratzaileentzat, honek gehienetan analitika, etiketa kudeaketa, CDN erregistroak eta AEBetako azpiegituretara doan ad server datuak eragiten ditu. Quebec-egokitasuneko PIA batek ez ditu transferentzia hauek blokeatzen, baina ebaluazio dokumentatua eta — kritikoki — hartzailearen idatzizko berrespena eskatzen du datuak baliokide printzipioen arabera babestuko direla ziurtatzeko. AEB-n ostatatutako SaaS kontratu estandarrek nekez barne hartzen dute hizkuntza hau lehenespenez eta aldatu egin behar dira.

Erabaki automatizatuen jakinarazpenak

25. Legearen 12.1 Sekzioa Ipar Amerikako legean bakarra da: enpresa batek informazio pertsonala prozesamendu automatizatuan oinarritu soilik den erabaki bat hartzeko erabiltzen badu, honako hauek egin behar ditu:

Norbanakoari erabakia hartu aurretik edo hartzen den unean jakinarazi.
Eskaeraz, erabilian erabilitako informazio pertsonala, arrazoiak eta erabakira eraman zuten faktore nagusiak azaldu.
Iradokizunak giza berrikustaile bati aurkezteko aukera eman.

Adtech-en kasuan, honek eskaintzako eskaeretako erabaki programatikoak, prezio dinamikoa, iruzurren balorazioa eta AI laguntzarekin egindako eduki sailkapena barne hartzen ditu. Argitaratzaileek zuzenean algoritmo hauek gutxi kontrolatzen dituzte — SSP-etan eta DSP-etan oinarritzen dira — baina 25. Legeak argitaratzailea baterako erantzule gisa tratatzen du erabakiak argitaratzaileak bildutako datuak erabiltzen dituenean. Zure pribatutasun ohartarazpenari erabaki automatizatuen argitarazte labur bat gehitzea gutxieneko bideragarria betepen urratsa da.

2026rako betepen kontrol-zerrenda praktikoa

1. urratsa: Quebec-eko trafikoa eta datu fluxuak mapatu

Erabili IP geolokalizazioa zure analitikan Quebec-eko bisitarien bolumena estimatzeko. Quebec zure audientziaren %5 baino gutxiago bada ere, fakturazioaren %4ko zigorrak proportzionatik kanpo egitea arriskutsua da. Mapatu Quebec-eko erabiltzaileentzat abiarazten den cookie, pixel eta SDK bakoitza eta bere datuak nora joaten diren.

2. urratsa: baimenagatik mugatutako CMP bat ezarri

Zure CMP-k benetako script maila blokeo onartzen du, ez banner kosmetikoa kentzea. FlexyConsent eta Google-k ziurtatutako beste CMP batzuek Quebec-espezifikoak diren geo-arauak eskaintzen dituzte, 25. Legearen logika Consent Mode v2 eta GPP AEB-nazionaleko seinalearekin lotzen dutenak. Quebec-en aurrez konfiguratutako moduak ez-funtsezko kategoria guztiak itzalita ezarri beharko lituzke lehenespenez.

3. urratsa: Pribatutasun Ofiziala izendatu eta argitaratu

Zure erakundeak Kanadako presentziarik ez badu, zure zuzendari nagusia edo baliokidea Pribatutasun Ofizial da lehenespenez, idatziz formalki eskuordetzen ez duzun bitartean. Argitaratu izena eta posta elektronikoa zure pribatutasun ohartarazpenean — CAI-k lehen ikuskapen honetan begiratzen du.

4. urratsa: PIA bat osatu proiektu berrien aurretik

Saltzaile berri bakoitzak, mugaz gaindiko transferentzia berri bakoitzak, jarraipen teknologia berri bakoitzak PIA dokumentatua behar du. CAI-ko txantiloi PIA-k onartzen dira; analitika arruntarako edo CDN kontratuentzat ez da iritzi juridiko pertsonalizaturik behar.

5. urratsa: zure pribatutasun ohartarazpena eguneratu

Quebecek argitaratze zehatzak eskatzen ditu: Pribatutasun Ofizialaren kontaktua, bildutako informazio pertsonalaren kategoriak, atxikitze epeak, hirugarren hartzaileak, mugaz gaindiko transferentziaren helmugak eta erabaki automatizatuen jardunbideak. GDPR ohar generiko batek ia inoiz ez du 25. Legea betetzen gehiketa materialik gabe.

Quebeceko 25. Legeak PIPEDA eta 25. Legearen etorkizunarekin nola elkarreragiten duen

PIPEDA, Kanadako pribatutasun lege federala, Kanada osoko merkataritza jarduerari aplikatzen zaio — baina Quebeceko 25. Legeak Quebec barruan lehentasuna du, probintzia sektore pribatuko pribatutasuna dela eta funtsean antzekoa izendatu delako. Praktikan honek esan nahi du Quebec-eko eragiketak lehenespenez 25. Legeara jotzen dutela eta PIPEDA probintzia mugak gainditzen dituzten jardueretan soilik aplikatzen dela.

Kanadak PIPEDA ere modernizatzen ari da proposatutako Consumer Privacy Protection Act (CPPA) bidez. CPPA bere egungo forman onartzen bada, Kanadako gainerakoa Quebeceko eredutik hurbilago ekarriko du — baimen esplizitua, zigor esanguratsuak, aginduak egiteko boterearekin federal Pribatutasun Komisarioa eta erabaki automatizatuen gardentasuna. 25. Legean oinarritutako pila eraikitzen duten argitaratzaileak gaur bihar federal aldaketarako ongi kokatuta egongo dira.

Laburbilduz: Quebeceko 25. Legea ez da probintziako bitxikeria bat. Kanada pribatutasuna nora doan adierazten duen txantiloi da eta Ameriketan pribatutasun erregimen agresiboenena. Kanadako trafikoa zerbitzatzen duten argitaratzaileek, iragarleek eta SaaS saltzaileek 25. Legearen betepena 2026ko lehentasun gisa tratatu beharko lukete, ez etorkizuneko proiektu gisa.