הרקע המשפטי

Ley 25.326 נכתב לפני שפרסום התנהגותי קיים בקנה מידה. תקן ההסכמה שלו דרש הרשאה מוקדמת, מפורשת ומושכלת, אך הפרשנות המעשית של AAIP הייתה היסטורית פחות נורמטיבית מאשר זו שהפעילו מפקחים אירופאים. עוגיות, פיקסלים למעקב וכלים לבניית קהלים פעלו בארגנטינה תחת משטר פרשנות מתירני יחסית, כאשר האכיפה התמקדה במקרים חמורים ולא בתכנון שיטתי של באנרים.

הרפורמה משנה את סביבת הפעולה בשלוש דרכים מבניות. ראשית, היא מהדקת את הגדרת ההסכמה כדי לעקוב אחר לשון GDPR Article 4(11) — ניתנת בחופשיות, ספציפית, מושכלת וחד-משמעית. שנית, היא מאמצת עיקרון מפורש של אחריותיות הדורש ממבקרי נתונים להיות מסוגלים להוכיח ציות, לא רק לטעון אותו. שלישית, היא מעלה את הקנס המנהלי המרבי לרמה פרופורציונלית להכנסות הארגון, מה שמשנה מהותית את חישוב האכיפה עבור פלטפורמות בינלאומיות.

מה נחשב להסכמה לפי התקן המתוקן

הטקסט המתוקן, בגרסה שהייתה לאחרונה בפני הקונגרס, משקף את ההבנה האירופית של הסכמה בהיבטים חשובים. תיבות מסומנות מראש אינן מהוות הסכמה. שימוש מתמשך באתר אינו מהווה הסכמה. אריזת הסכמה למטרות לא קשורות — למשל, התייחסות לקבלת תנאי שירות כהרשאה לפרסום התנהגותי — אינה מהווה הסכמה. AAIP ציינה בסדנאות ובהתייעצויות שהיא מתכוונת לפרש את התקן המתוקן בהתייחסות למאגר ההנחייות של EDPB, כלומר מפרסמים ארגנטינים צריכים לצפות שאכיפת באנר העוגיות תתכנס על אותם ששת מצבי כשל שה-EDPB Cookie Banner Taskforce תיעד: כפתורי דחייה חסרים, עיצוב קישורים מטעה, קטגוריות מסומנות מראש, עוגיות מתוייגות בצורה שגויאה, מנגנוני ביטול חסרים ודפוסים כהים של עיצוב לחץ.

המשמעות המעשית עבור באנרי עוגיות בארגנטינה היא שהעיצוב שעובר בדיקת EU יעבור גם את הבדיקה הארגנטינית תחת הרפורמה. לעומת זאת, באנר שפעל בארגנטינה תחת הפרשנות הישנה, הקלה יותר, עשוי להיזדקק לעיצוב מחדש מהותי לפני שהחוק המתוקן ייכנס לתוקף.

העברות נתונים חוצות גבולות

אחד השינויים המשמעותיים ביותר ברפורמה הוא הטיפול בהעברות נתונים בינלאומיות. תחת Ley 25.326 כפי שנחקק במקור, העברות למדינות ללא הגנה מספקת דרשו הסכמה ספציפית או הגנה חוזית, אך הכללים היו דלילים ול-AAIP היתה יכולת אכיפה מוגבלת. הרפורמה מציגה מסגרת שכבותית המקבילה ל-Chapter V של GDPR: העברות מותרות למדינות שה-AAIP מייעדת כמתאימות; בהיעדר התאמה, העברות דורשות מכשירים מאושרים כגון כללים ארגוניים מחייבים, סעיפים חוזיים סטנדרטיים שאושרו על ידי AAIP, או פטורים ספציפיים.

עבור מפרסמים המנתבים תנועה ארגנטינית דרך ספקי טכנולוגיית פרסום של ארה"ב, EU או אסיה, השלכה המעשית היא שרשומת הסכמת העוגיות עכשיו גם חייבת לתמוך בחובת אחריותיות להעברה. ה-CMP חייב להיות מסוגל להראות, עבור כל מבקר נתון, אילו קטגוריות של ספקים קיבלו את נתוניהם האישיים ותחת איזה מכשיר העברה. זוהי אותה ארכיטקטורת אחריותיות שמפרסמים אירופאים בנו עבור GDPR, המיושמת על תנועה ארגנטינית.

תפקיד ה-AAIP

Agencia de Acceso a la Información Pública היא רשות הגנת המידע הארגנטינית. נוצרה בשנת 2017 על ידי Decreto 746/2017, היא מאגדת את הפיקוח על שני משטרי הגנת המידע וחופש המידע. תחת החוק הנוכחי, שיני האכיפה שלה צנועות; הרפורמה מחזקת אותן באופן משמעותי.

סמכויות חקירה

הרפורמה מעניקה ל-AAIP סמכויות משופרות לאכוף הפקת מסמכים, לערוך בדיקות ולהטיל אמצעים זמניים במהלך חקירות. עבור מפרסמים מקוונים, סביר ביותר שזה יתבטא כבקשות ליומני הסכמה, רשימות ספקים ותמונות-מצב של קוד באנר המכסות טווחי תאריכים ספציפיים.

משטר ענישה

הקנסות המנהליים המרביים תחת הטקסט המתוקן קשורים לאחוז מההכנסות השנתיות, עם תקרה מוחלטת גבוהה. זהו שינוי משמעותי ממשטר הסכום הקבוע הנוכחי ומביא את ארגנטינה לאיזון עם מבנה הקנסות השכבתי של GDPR.

תיאום עם עמיתים באמריקה הלטינית

AAIP הוא משתתף פעיל ברשת הגנת המידע האיברו-אמריקאית. ההנחיות הארגנטינאות המתוקנות צפויות להשפיע על — ולהיות מושפעות מ — ANPD של ברזיל, INAI של מקסיקו, המשטר המתוקן של צ'ילה ו-URCDP של אורוגואי. מפרסמים הפועלים באזור צריכים לצפות להתכנסות על תקני הסכמה תוך 24 עד 36 חודשים.

מה על המפרסמים לעשות עכשיו

הרפורמה נמצאת בתנועה חקיקאית, עדיין לא בתוקף. העמדה השמרנית היא לבנות לתקן הגבוה יותר עכשיו, בהנחה שחקיקה מתרחשת תוך 12 עד 18 חודשים. חמישה צעדים תפעוליים הופכים את המעבר לניהול.

• בדוק את הבאנר הנוכחי מול קריטריוני צוות המשימה של EDPB. אם הוא נכשל באחד מששת מצבי הכשל הנפוצים, אותו באנר ייכשל גם תחת התקן הארגנטיני המתוקן לאחר כניסתו לתוקף. תיקון עכשיו מונע עבודה חוזרת מאוחר יותר.
• הוסף גרסאות באנר ומדיניות בספרדית. ספרדית ארגנטינאית (es-AR) היא שפת הממשק העיקרית; ודא שה-CMP תומך בה באופן מקורי, לא רק ספרדית כללית.
• מפה את רשימת הספקים למכשירי העברה. עבור כל ספק טכנולוגיית פרסום, אנליטיקה או שיווק המקבל נתונים אישיים ארגנטיניים, תעד את מכשיר העברה: התאמה, סעיפים חוזיים סטנדרטיים, כללים ארגוניים מחייבים או פטור.
• הגדר רישום הסכמה עם פרטנות אזורית. יומני ההסכמה צריכים לתעד את מדינת המוצא של המבקר (שנגזרת מה-IP בעת הצגת הבאנר) כדי שחקירת AAIP תוכל להיענות עם ראיות מסוננות לפי מדינה.
• ייעד נקודת קשר לכתבייה עם AAIP. מפרסמים בינלאומיים רבים פועלים בארגנטינה ללא נציג מקומי רשמי; הרפורמה הופכת את ייעוד קשר לרשות הפיקוח לצורך מעשי.

מעבר לבאנרי עוגיות

הרפורמה הארגנטינאית רחבה יותר מהסכמת עוגיות. היא משנה לחלוטין את לוחות הזמנים להודעות על הפרות, מציגה הגנות ספציפיות לקטגוריות נתונים רגישים ויוצרת חובות חדשות סביב קבלת החלטות אוטומטית. עבור מפרסמים, באנר העוגיות הוא שטח הציות הגלוי ביותר, אך הוא אינו היחידי. אותה תשתית CMP שמתעדת הסכמת עוגיות ממוקמת היטב לתעוד החלטות הסכמה אחרות — הסכמת תקשורת, הסכמת שיתוף נתונים עם שותפי מדיה קמעונאים, הסכמה לתכונות התאמה אישית — ודרישת האחריותיות של AAIP חלה על כולן.

הרפורמה משקפת דפוס רחב יותר: אמריקה הלטינית נעה לעבר תקנים המיושרים עם GDPR, עם יישומים לאומיים המותאמים למסורות משפטיות מקומיות. מפרסמים הבונים עכשיו ערימת הסכמה אגנוסטית לאזור — אחת המתעדת הסכמה גרנולרית ספציפית למטרה, תומכת במספר שפות ופורמטי תאריך, מתעדת החלטות בפורמט ברמת ביקורת ומשתלבת עם תיעוד העברה — מטפלים בציות הארגנטינאי, הברזילאי, המקסיקני והצ'ילאני דרך אותה צינור תפעולי. עלות הבנייה עבור תחום שיפוט אחד ולאחר מכן התאמה לבא הייתה היסטורית גבוהה יותר מעלות הבנייה לתקן האזורי מהתחלה.