Guía de cumprimento do consentimento de cookies segundo a Privacy Act 2020 de Nova Zelandia para editores en 2026
Nova Zelandia é un dos mercados máis pequenos que supera o seu peso en regulación de privacidade. A Privacy Act 2020 substituíu o estatuto de 1993 cun marco modernizado que aliñou o país moito máis estreitamente cos estándares europeos, e o Office of the Privacy Commissioner (OPC) foi un regulador activo e inusualmente comunicativo dende que a nova Lei entrou en vigor. Para editores e operadores SaaS que serven tráfico de Nova Zelandia, a pregunta práctica de cumprimento cambiou substancialmente coas orientacións de 2025 do OPC sobre rastrexo en liña, que aplicou explicitamente os principios de consentimento e información da Lei ás cookies, píxeles e publicidade de comportamento. A Lei non é o GDPR — hai diferenzas significativas — pero o estándar operacional é agora suficientemente próximo para que a maioría dos equipos que constrúen segundo as normas europeas superen o escrutinio de Nova Zelandia con pequenos cambios de configuración. Esta guía percorre o que esixe a Lei, o que cambiou a orientación do OPC de 2025 e onde debe recaer o traballo práctico de cumprimento.
A Privacy Act 2020 en resumo
A Privacy Act 2020 estrutúrase en torno a trece Principios de Privacidade da Información (IPP) que rexen como as axencias recollen, usan, almacenan e divulgan información persoal. Os IPP son conceptualmente anteriores á Lei — remóntanse ao estatuto de 1993 — pero a súa interpretación e aplicación modernizáronse substancialmente en 2020. A Lei aplícase a calquera axencia que recolle ou posúe información persoal sobre os residentes de Nova Zelandia, con alcance extraterritorial: un editor offshore que procesa datos de visitantes de Nova Zelandia está no ámbito de aplicación igual que unha axencia da UE baixo o GDPR.
O cambio máis importante na modernización de 2020 foi a introdución dun réxime obrigatorio de notificación de violacións de privacidade: calquera violación que probablemente cause dano grave debe notificarse ao OPC e ás persoas afectadas. Para os editores en liña, a implicación práctica é que os incidentes relacionados con cookies — un píxel de rastrexo que se dispara antes do consentimento e filtra identificadores a terceiros, un CMP mal configurado que expuxo decisións de consentimento, un incidente de seguridade que afectou os rexistros de auditoría de cookies — poden activar obrigacións de notificación que non existían baixo o réxime anterior.
Como trata a Lei as cookies e o rastrexo en liña
A Lei non contén unha disposición específica para cookies, o que historicamente levou a algúns operadores a supoñer que as cookies quedaban fóra do seu ámbito. As orientacións de 2025 do OPC pecharon explicitamente esa lagoa interpretativa. As cookies e píxeles que recollen información persoal — e o OPC define información persoal con suficiente amplitude para incluír identificadores de dispositivos, enderezos IP combinados con datos de comportamento e pegadas dixitais probabilísticas de dispositivos — están suxeitos aos principios de recollida e divulgación da Lei do mesmo modo que calquera outra superficie de identificación.
Os IPP máis importantes para o rastrexo en liña son:
- IPP 1 (finalidade da recollida) — a información persoal só pode recollerse para unha finalidade legal vinculada a unha función da axencia, e só cando a recollida sexa necesaria para ese fin.
- IPP 3 (información de individuos) — cando a información persoal se recolle directamente do individuo, a axencia debe informalo da finalidade, os destinatarios e as consecuencias de non proporcionar a información.
- IPP 4 (forma de recollida) — a recollida non debe ser inxusta, ilegal ou inxustificadamente intrusiva. A recollida encuberta sen aviso é xeralmente un defecto.
- IPP 10 (uso da información persoal) — a información recollida para un fin non pode usarse para outro sen consentimento ou outra base legal.
- IPP 12 (divulgación fóra de Nova Zelandia) — o envío de información persoal ao exterior require que a xurisdición do destinatario ofreza salvagardas comparables, ou salvagardas contractuais, ou consentimento específico.
A combinación é funcionalmente similar ás regras de base legal, transparencia, limitación de fins e transferencias transfronteirizas do GDPR, con terminoloxía adaptada ao marco de Nova Zelandia. O OPC foi explícito en que os estándares se aliñan mesmo onde a linguaxe xurídica difire.
O que cambiaron as orientacións de 2025 sobre rastrexo en liña
O OPC publicou orientacións completas sobre rastrexo en liña a principios de 2025 que articularon expectativas específicas para banners de cookies, rexistros de consentimento e compartición de datos con terceiros. Catro puntos teñen o maior impacto operacional.
Consentimento afirmativo para o rastrexo non esencial
As orientacións son inequívocas en que o desprazamento como consentimento, o uso continuado como consentimento e o consentimento implícito non satisfán IPP 1 e IPP 3 para o rastrexo non esencial. Requírese unha acción afirmativa explícita. Isto aliñou Nova Zelandia coa posición do EDPB Cookie Banner Taskforce.
Controis granulares por categoría
O OPC espera que os banners separen as cookies estritamente necesarias das analíticas e do marketing, co visitante podendo aceptar categorías de forma independente. A aceptación global de todo sen granularidade trátase como un defecto.
Documentación de transferencias offshore
IPP 12 ten máis mordente que a interpretación anterior. Para as cookies que enrutan datos cara a provedores estadounidenses de tecnoloxía publicitaria, o editor debe ser capaz de demostrar as salvagardas baixo as que se realiza a transferencia — normalmente salvagardas contractuais ou, cando estea dispoñible, o status equivalente de adecuación do destinatario. O OPC indicou que usamos Google Analytics xa non é unha resposta suficiente nunha investigación.
Accesibilidade en Te Reo Māori
As orientacións de 2025 inclúen linguaxe específica sobre a accesibilidade en Te Reo Māori para divulgacións de privacidade. O OPC non fixo dos banners bilingües un requisito estrito, pero marcou a dispoñibilidade do Te Reo como un indicador significativo de cumprimento de boa fe para as axencias que serven comunidades Māori. Varios grandes editores de Nova Zelandia moveronse cara a banners bilingües dende que se publicaron as orientacións.
A postura de cumprimento do Office of the Privacy Commissioner
O OPC opera de maneira diferente ás grandes autoridades de protección de datos europeas en tres formas estruturais que importan para a planificación do cumprimento.
Priorización baseada en queixas
O OPC prioriza as investigacións baseadas en queixas sobre os controis proactivos. A implicación práctica é que o camiño máis común cara a unha investigación do OPC é unha queixa de usuario, o que fai que a xestión reactiva de queixas e un rastro de auditoría documentado sexan particularmente importantes.
Avisos de cumprimento antes das multas
A Lei de 2020 confírelle ao OPC o poder de emitir avisos de cumprimento que requiran corrección específica dentro dun prazo determinado. Existen sancións civís pero normalmente son un último recurso cando un aviso se ignora ou se incumpre deliberadamente. A corrección de boa fe en resposta a un aviso xeralmente pecha o asunto sen consecuencias económicas.
Coordinación con reguladores offshore
O OPC participa activamente na Global Privacy Assembly e mantén relacións de traballo co EDPB, o UK ICO e o foro Asia Pacific Privacy Authorities. As investigacións transfronteirizas que involucran tráfico de Nova Zelandia e europeo xestiónanse cada vez máis a través de procedementos coordinados.
Lista de verificación práctica de cumprimento
Seis preguntas concretas que responder para calquera banner de cookies que serve tráfico de Nova Zelandia.
- Existe un rexeitamento explícito de primeira capa? O camiño de rexeitamento debe estar na mesma superficie que a aceptación, cunha prominencia visual comparable. O desprazamento como consentimento e a aceptación implícita non superan as orientacións de 2025.
- Son granulares as categorías? As categorías necesaria, analítica e marketing deben ser controlables por separado. Unha única aceptación de todo sen granularidade é un defecto.
- Está documentada a transferencia offshore? Para cada cookie que envía datos fóra de Nova Zelandia, identifique o mecanismo IPP 12 que autoriza a transferencia.
- Cumpre o aviso de privacidade con IPP 3? Confirme que o aviso identifica a finalidade, os destinatarios e as consecuencias, e que o banner de cookies liga con el.
- O rexistro de consentimento é de nivel de auditoría? Os rexistros de decisións de consentimento con marca de tempo e versión do banner son prácticamente necesarios para responder a unha consulta do OPC.
- Está configurada a resposta ante violacións? Confirme que os incidentes relacionados con cookies activan o fluxo de traballo de avaliación de violacións que determina se se require notificación ao OPC e aos individuos.
O lugar de Nova Zelandia nun conxunto multi-xurisdición
Para editores que operan en todo o espazo angloparlante — Australia, Reino Unido, Canadá, os EUA e Nova Zelandia — a Privacy Act 2020 sitúase firmemente dentro do sobre aliñado co GDPR cara ao que converxeron as principais xurisdicions angloparlantes. Unha arquitectura CMP construída segundo estándares europeos xestiona o cumprimento de Nova Zelandia con configuración mínima: soporte de idioma Te Reo Māori, documentación de transferencias IPP 12 e xestión de queixas ao estilo OPC son os engadidos específicos nos que merece a pena investir. O valor estratéxico é que Nova Zelandia foi utilizada historicamente como mercado de proba para o lanzamento de produtos por operadores SaaS internacionais, o que significa que a postura de cumprimento despregada aquí é con frecuencia un anticipo do que verá o resto do espazo angloparlante. Facelo correctamente con antelación é unha vantaxe operacional significativa, non un exercicio rutineiro de localización.