Reforma da protección de datos en Arxentina: guía de cumprimento do consentimento de cookies para editores
Arxentina ten un dos réximes de protección de datos máis antigos de América Latina. A Ley 25.326, a Lei de Protección de Datos Persoais do país, foi adoptada no ano 2000 e outorgou a Arxentina a decisión de adecuación da Comisión Europea en 2003 — un status que moldou dúas décadas de dereito de privacidade latinoamericano. Ese réxime está a ser modernizado agora. Un proxecto de reforma, promovido pola Agencia de Acceso a la Información Pública (AAIP) e debatido no Congreso desde 2023, aliñaría a Ley 25.326 moito máis estreitamente co GDPR: estándares explícitos de consentimento, normas máis precisas sobre as transferencias transfronteirizas, obrigas dedicadas aos encargados do tratamento e multas administrativas significativas. Para os editores que operan en Arxentina ou que procesan datos persoais de residentes arxentinos, a reforma modifica como debe obterse, rexistrarse e demostrarse o consentimento de cookies. Esta guía resume o que está a cambiar e o que se debe facer.
O contexto xurídico
A Ley 25.326 foi redactada antes de que existise a publicidade comportamental a gran escala. O seu estándar de consentimento requiría autorización previa, expresa e informada, pero a interpretación práctica da AAIP foi historicamente menos prescritiva que a aplicada polos supervisores europeos. As cookies, os píxeles de rastrexo e as ferramentas de creación de audiencias operaron en Arxentina baixo un réxime interpretativo relativamente permisivo, con aplicación centrada nos casos flagrantes máis que no deseño sistemático de banners.
A reforma cambia o entorno operativo de tres maneiras estruturais. En primeiro lugar, restringe a definición de consentimento para seguir a linguaxe do GDPR Article 4(11) — libremente outorgado, específico, informado e inequívoco. En segundo lugar, adopta un principio explícito de responsabilidade que esixe aos responsables do tratamento poder demostrar o cumprimento, non simplemente afirmalo. En terceiro lugar, eleva a multa administrativa máxima a un nivel proporcional aos ingresos da organización, o que modifica materialmente o cálculo da aplicación para as plataformas internacionais.
Que conta como consentimento segundo o estándar reformado
O texto reformado, na versión máis recente ante o Congreso, reflicte a comprensión europea do consentimento en aspectos importantes. As caixas premarcadas non constitúen consentimento. O uso continuado dun sitio web non constitúe consentimento. A agrupación do consentimento para finalidades non relacionadas — por exemplo, tratar a aceptación das condicións de servizo como autorización para a publicidade comportamental — non constitúe consentimento. A AAIP sinalou en obradoiros e consultas que pretende interpretar o estándar reformado con referencia ao corpus de orientacións da EDPB, o que significa que os editores arxentinos deben esperar que a aplicación de banners de cookies converxa nos mesmos seis modos de fallo que a Taskforce Cookie Banner da EDPB documentou: botóns de rexeitamento ausentes, deseño de ligazóns enganoso, categorías premarcadas, cookies mal etiquetadas, mecanismos de retirada ausentes e patróns escuros de deseño de presión.
A implicación práctica para os banners de cookies en Arxentina é que o deseño que supera o escrutinio da EU tamén superará o escrutinio arxentino baixo a reforma. Pola contra, un banner que operou en Arxentina baixo a antiga interpretación máis lixeira pode precisar un rediseño substancial antes de que a lei reformada entre en vigor.
Transferencias transfronteirizas de datos
Un dos cambios máis significativos da reforma é o tratamento das transferencias internacionais de datos. Baixo a Ley 25.326 tal como foi promulgada orixinalmente, as transferencias a países sen protección adecuada requirían ben un consentimento específico ou unha salvagarda contractual, pero as normas eran escasas e a AAIP tiña capacidade de aplicación limitada. A reforma introduce un marco escalonado que é paralelo ao Chapter V do GDPR: as transferencias están permitidas a países que a AAIP designa como adecuados; en ausencia de adecuación, as transferencias requiren instrumentos aprobados como normas corporativas vinculantes, cláusulas contractuais tipo aprobadas pola AAIP, ou derogacións específicas.
Para os editores que encamiñan o tráfico arxentino a través de provedores de tecnoloxía publicitaria dos EUA, da EU ou asiáticos, a consecuencia práctica é que o rexistro do consentimento de cookies tamén debe agora soportar unha obriga de responsabilidade de transferencia. A CMP debe poder demostrar, para calquera visitante dado, que categorías de provedores recibiron os seus datos persoais e baixo que instrumento de transferencia. Esta é a mesma arquitectura de responsabilidade que os editores europeos levan construíndo para o GDPR, aplicada ao tráfico arxentino.
O papel da AAIP
A Agencia de Acceso a la Información Pública é a autoridade de protección de datos arxentina. Creada en 2017 polo Decreto 746/2017, consolida a supervisión dos réximes de protección de datos e de liberdade de información. Baixo a lei actual, os seus poderes de aplicación son modestos; a reforma refórzaos substancialmente.
Poderes de investigación
A reforma outorga á AAIP poderes mellorados para obrigar á produción de documentos, realizar inspeccións e impor medidas provisionais durante as investigacións. Para os editores en liña, isto é máis probable que se manifeste como solicitudes de rexistros de consentimento, listas de provedores e instantáneas de código de banner que abarquen rangos de datas específicos.
Réxime sancionador
As multas administrativas máximas baixo o texto reformado están vinculadas a unha porcentaxe dos ingresos anuais, limitadas por un teito absoluto alto. Este é un cambio significativo do réxime actual de cantidade fixa e aliña Arxentina coa estrutura de multas escalonada do GDPR.
Coordinación cos homólogos latinoamericanos
A AAIP é un participante activo na Rede Iberoamericana de Protección de Datos. Espérase que as orientacións arxentinas reformadas influencien — e se vexan influenciadas por — a ANPD do Brasil, a INAI de México, o réxime reformado de Chile e a URCDP do Uruguai. Os editores que operan en toda a rexión deben esperar converxencia nos estándares de consentimento nos próximos 24 a 36 meses.
O que os editores deberían facer agora
A reforma está en movemento lexislativo, aínda non en vigor. A postura conservadora é construír agora polo estándar máis alto, co suposto de que a entrada en vigor se produce dentro de 12 a 18 meses. Cinco pasos operativos fan a transición manexable.
- Auditar o banner actual segundo os criterios da taskforce da EDPB. Se falla en algún dos seis modos de fallo comúns, o mesmo banner fallará baixo o estándar arxentino reformado unha vez que entre en vigor. A corrección agora evita retraballos máis tarde.
- Engadir versións de banner e política en español. O español arxentino (es-AR) é a lingua principal de cara ao usuario; asegurarse de que a CMP o admite de forma nativa, non só español xenérico.
- Mapear a lista de provedores cos instrumentos de transferencia. Para cada provedor de tecnoloxía publicitaria, analítica ou márketing que reciba datos persoais arxentinos, documentar o instrumento de transferencia: adecuación, cláusulas contractuais tipo, normas corporativas vinculantes ou derogación.
- Configurar o rexistro de consentimento con granularidade rexional. Os rexistros de consentimento deben rexistrar o país de orixe do visitante (derivado do IP no momento da visualización do banner) para que unha investigación da AAIP poida responderse con evidencias filtradas por país.
- Designar un punto de contacto para a correspondencia coa AAIP. Moitos editores internacionais operan en Arxentina sen representante local formal; a reforma fai que a designación dun contacto para a autoridade supervisora sexa unha necesidade práctica.
Máis alá dos banners de cookies
A reforma arxentina é máis ampla que o consentimento de cookies. Revisa os plazos de notificación de brechas, introduce proteccións específicas para as categorías de datos sensibles e crea novas obrigas en torno á toma de decisións automatizada. Para os editores, o banner de cookies é a superficie de cumprimento máis visible, pero non é a única. A mesma infraestrutura de CMP que rexistra o consentimento de cookies está ben posicionada para rexistrar outras decisións de consentimento — consentimento de comunicacións, consentimento para compartir datos con socios de medios de venda polo miúdo, consentimento para funcionalidades de personalización — e o requisito de responsabilidade da AAIP aplícase a todos eles.
A reforma reflicte un patrón máis amplo: América Latina está a avanzar cara a estándares aliñados co GDPR, con implementacións nacionais adaptadas ás tradicións xurídicas locais. Os editores que constrúen agora unha pila de consentimento agnóstica respecto da rexión — que rexistra consentimento granular específico para cada finalidade, admite múltiples idiomas e formatos de data, rexistra decisións nun formato de nivel de auditoría e intégrase coa documentación de transferencia — xestionan o cumprimento arxentino, brasileiro, mexicano e chileno a través da mesma canle operativa. O custo de construír para unha única xurisdición e logo adaptar para a seguinte foi historicamente máis alto que o custo de construír para o estándar rexional desde o principio.