Oikeudellinen tausta

Ley 25.326 kirjoitettiin ennen kuin käyttäytymisperusteinen mainonta oli olemassa mittakaavassa. Sen suostumusstandardi edellytti ennakollista, nimenomaista ja tietoista lupaa, mutta AAIP:n käytännön tulkinta on historiallisesti ollut vähemmän normatiivinen kuin eurooppalaiset valvojat ovat soveltaneet. Evästeet, seurantapikselit ja yleisönrakennustyökalut ovat toimineet Argentiinassa suhteellisen sallivassa tulkintajärjestelmässä, jossa täytäntöönpano on kohdistunut räikeisiin tapauksiin eikä systemaattiseen bannerisuunnitteluun.

Uudistus muuttaa toimintaympäristöä kolmella rakenteellisella tavalla. Ensinnäkin se tiukentaa suostumuksen määritelmää vastaamaan GDPR Article 4(11) -kieltä — vapaaehtoisesti annettu, erityinen, tietoinen ja yksiselitteinen. Toiseksi se omaksuu nimenomaisen vastuuperiaatteen, joka vaatii rekisterinpitäjiä pystymään osoittamaan vaatimustenmukaisuus, ei pelkästään väittämään sitä. Kolmanneksi se nostaa enimmäishallinnollisen sakon organisaation liikevaihtoon suhteutetulle tasolle, mikä muuttaa olennaisesti kansainvälisten alustojen täytäntöönpanolaskelmaa.

Mitä lasketaan suostumukseksi uudistetun standardin mukaan

Uudistettu teksti, viimeisimmässä kongressille esitetyssä versiossa, heijastaa eurooppalaista suostumuskäsitystä tärkeissä suhteissa. Ennalta rastitetut ruudut eivät muodosta suostumusta. Verkkosivuston jatkuva käyttö ei muodosta suostumusta. Suostumuksen niputtaminen toisiinsa liittymättömiin tarkoituksiin — esimerkiksi käyttöehtojen hyväksymisen käsitteleminen käyttäytymisperusteisen mainonnan lupauksena — ei muodosta suostumusta. AAIP on viitannut työpajoissa ja konsultaatioissa aikovansa tulkita uudistettua standardia viitaten EDPB:n ohjeistuskokoelmaan, mikä tarkoittaa, että argentiinalaiset julkaisijat voivat odottaa evästebannerin täytäntöönpanon lähentyvän samoihin kuuteen yleiseen vikatilaan, jotka EDPB Cookie Banner Taskforce on dokumentoinut: puuttuvat hylkäyspainikkeet, harhaanjohtava linkkisuunnittelu, ennalta valitut kategoriat, väärin merkityt evästeet, puuttuvat peruutusmekanismit ja painesuunnittelun pimeät mallit.

Käytännön vaikutus evästebannereille Argentiinassa on se, että suunnittelu, joka läpäisee EU:n tarkastelun, läpäisee myös argentiinalaisen tarkastelun uudistuksen jälkeen. Sitä vastoin banneri, joka on toiminut Argentiinassa vanhan, kevyemmän tulkinnan mukaan, saattaa tarvita merkittävän uudelleensuunnittelun ennen kuin uudistettu laki tulee voimaan.

Rajat ylittävät tiedonsiirrot

Yksi uudistuksen merkittävimmistä muutoksista on kansainvälisten tiedonsiirtojen käsittely. Alun perin hyväksytyn Ley 25.326:n mukaan siirrot maihin ilman riittävää suojaa edellyttivät joko erityistä suostumusta tai sopimussuojausta, mutta säännöt olivat niukat ja AAIP:lla oli rajoitettu täytäntöönpanokapasiteetti. Uudistus ottaa käyttöön portaittaisen kehyksen, joka rinnastuu GDPR:n Chapter V:een: siirrot sallitaan maihin, jotka AAIP nimeää riittäviksi; riittävyyden puuttuessa siirrot edellyttävät hyväksyttyjä välineitä, kuten sitovia yrityssääntöjä, AAIP:n hyväksymiä vakiosopimuslausekkeita tai erityisiä poikkeuksia.

Julkaisijoille, jotka ohjaavat argentiinalaisen liikenteen USA:n, EU:n tai aasialaisten mainosteknologiatoimittajien kautta, käytännön seuraus on se, että evästeiden suostumustietueen on nyt myös tuettava siirron vastuuvelvoitetta. CMP:n on pystyttävä osoittamaan mille tahansa kävijälle, mitkä toimittajakategoriat saivat heidän henkilötietonsa ja minkä siirtovälineen nojalla. Tämä on sama vastuuarkkitehtuuri, jota eurooppalaiset julkaisijat ovat rakentaneet GDPR:ää varten, sovellettuna argentiinalaiseen liikenteeseen.

AAIP:n rooli

Agencia de Acceso a la Información Pública on Argentiinan tietosuojaviranomainen. Se perustettiin vuonna 2017 Decreto 746/2017:llä ja kokoaa yhteen sekä tietosuojan että tiedonsaantijärjestelmien valvonnan. Nykyisen lain mukaan sen täytäntöönpanohampaat ovat vaatimattomia; uudistus vahvistaa niitä merkittävästi.

Tutkintavaltuudet

Uudistus antaa AAIP:lle parannetut valtuudet pakottaa asiakirjatuotantoon, suorittaa tarkastuksia ja määrätä väliaikaisia toimenpiteitä tutkimusten aikana. Verkkojulkaisijoille tämä todennäköisimmin ilmenee suostumuslokien, toimittajaluetteloiden ja bannerikooden tilannekuvien pyyntöinä, jotka kattavat tiettyjä päivämäärävälejä.

Sanktioinnin järjestelmä

Uudistetun tekstin mukaiset enimmäishallinnolliset sakot on sidottu prosenttiosuuteen vuotuisesta liikevaihdosta, rajattuna korkealla absoluuttisella katolla. Tämä on merkittävä muutos nykyisestä kiinteän summan järjestelmästä ja tuo Argentiinan GDPR:n portaittaisen sakkorakenteen mukaiseksi.

Yhteistyö Latinalaisen Amerikan kollegoiden kanssa

AAIP on aktiivinen osallistuja iberoamerikkalaisessa tietosuojaverkostossa. Uudistettujen argentiinalaisten ohjeiden odotetaan vaikuttavan — ja niiden olevan vaikutettuja — Brasilian ANPD:hen, Meksikon INAI:hin, Chilen uudistettuun järjestelmään ja Uruguayn URCDP:hen. Alueella toimivien julkaisijoiden pitäisi odottaa suostumusstandardien lähentymistä 24–36 kuukauden kuluessa.

Mitä julkaisijoiden pitäisi tehdä nyt

Uudistus on lainsäädännöllisessä liikkeessä, ei vielä voimassa. Konservatiivinen asenne on rakentaa nyt korkeampaan standardiin olettaen, että voimaantulo tapahtuu 12–18 kuukauden kuluessa. Viisi operatiivista vaihetta tekevät siirtymästä hallittavan.

• Auditoi nykyinen banneri EDPB-työryhmän kriteereitä vasten. Jos se epäonnistuu jonkin kuudesta yleisestä vikatilasta, sama banneri epäonnistuu myös uudistetun argentiinalaisen standardin mukaan, kun se tulee voimaan. Korjaaminen nyt välttää uudelleentyön myöhemmin.
• Lisää espanjankieliset banneri- ja käytäntöversiot. Argentiinalainen espanja (es-AR) on ensisijainen käyttäjille näkyvä kieli; varmista, että CMP tukee sitä natiivisti, ei vain yleistä espanjaa.
• Kartoita toimittajaluettelo siirtovälineille. Jokaiselle mainosteknologia-, analytiikka- tai markkinointitoimittajalle, joka vastaanottaa argentiinalaisia henkilötietoja, dokumentoi siirtoväline: riittävyys, vakiosopimuslausekkeet, sitovat yrityssäännöt tai poikkeus.
• Konfiguroi suostumuslokkaus alueellisella tarkkuudella. Suostumuslokien pitäisi tallentaa kävijän alkuperämaa (johdettu IP:stä bannerin näyttöhetkellä), jotta AAIP-tutkimukseen voidaan vastata maasuodatetulla todistusaineistolla.
• Nimeä yhteyshenkilö AAIP-kirjeenvaihtoa varten. Monet kansainväliset julkaisijat toimivat Argentiinassa ilman virallista paikallista edustajaa; uudistus tekee valvontaviranomaisen yhteyshenkilön nimeämisestä käytännön välttämättömyyden.

Evästebannereita pidemmälle

Argentiinan uudistus on laajempi kuin evästeiden suostumus. Se uudistaa tietomurtoilmoitusten aikatauluja, ottaa käyttöön erityisiä suojauksia arkaluonteisille tietoluokille ja luo uusia velvoitteita automatisoidun päätöksenteon ympärille. Julkaisijoille evästebanneri on näkyvin vaatimustenmukaisuuspinta, mutta ei ainoa. Sama CMP-infrastruktuuri, joka tallentaa evästeiden suostumuksen, on hyvin asemoitu tallentamaan muita suostumuspäätöksiä — viestintäsuostumus, tietojen jakamisen suostumus vähittäiskauppamediapartnereiden kanssa, suostumus personalisointiominaisuuksiin — ja AAIP:n vastuuvaatimus koskee kaikkia niitä.

Uudistus heijastaa laajempaa mallia: Latinalainen Amerikka siirtyy kohti GDPR-linjaistuneita standardeja kansallisilla toteutuksilla, jotka on mukautettu paikallisiin oikeudellisiin perinteisiin. Julkaisijat, jotka rakentavat nyt alueesta riippumattoman suostumuspinon — sellaisen, joka tallentaa granulaarisen tarkoituskohtaisen suostumuksen, tukee useita kieliä ja päivämäärämuotoja, kirjaa päätökset tilintarkastusarvoisessa muodossa ja integroituu siirtodokumentaatioon — käsittelevät argentiinalaisen, brasilialaisen, meksikolaisen ja chileläisen vaatimustenmukaisuuden saman operatiivisen putkilinjan kautta. Yhdelle lainkäyttöalueelle rakentamisen ja seuraavaan sovittamisen kustannukset ovat historiallisesti olleet korkeammat kuin alueelliselle standardille alusta alkaen rakentamisen kustannukset.