Vodič za usklađenost s pristankom na kolačiće prema LFPDPPP-u Meksika: Što izdavači moraju učiniti u 2026.
Meksiko ima jedan od starijih sustava zaštite podataka u Latinskoj Americi. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), savezni zakon koji uređuje osobne podatke u posjedu privatnih strana, stupio je na snagu 2010. godine, s detaljnim propisima 2011. i obvezujućim parametrima za obavijest o privatnosti 2013. Kroz veći dio svog postojanja zakon se tumačio u stilu meksičkog upravnog prava: preskriptivno u pogledu sadržaja obavijesti, fleksibilnije u pogledu tehničke primjene. Ta ravnoteža se mijenja. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — regulator do reforme 2024. — objavljivao je sve izravnije smjernice o digitalnom praćenju, a politička rasprava oko restrukturiranja tijela za zaštitu podataka posebno je zaostrila nadzor online izdavača. Za svaku tvrtku koja obrađuje osobne podatke meksičkih stanovnika, usklađenost baner kolačića sada je opipljivo pitanje provedbe, a ne akademsko. Ovaj vodič prolazi kroz ono što LFPDPPP i njegovi propisi zahtijevaju, gdje leži granica između nužnih i neesencijalnih kolačića te kako u praksi postići usklađenost baner kolačića.
Pravni okvir
LFPDPPP se nalazi na vrhu višeslojnog okvira. Sam zakon definira osnovna načela — zakonitost, pristanak, informacije, kvaliteta, svrha, vjernost, proporcionalnost, odgovornost — koja su meksički autori posudili iz europske tradicije zaštite podataka. Ispod zakona nalaze se Propisi uz LFPDPPP, koji popunjavaju operativne detalje, i Lineamientos del Aviso de Privacidad (smjernice obavijesti o privatnosti), koje preciziraju što mora sadržavati obavijest o privatnosti i na koji način. Ova tri teksta zajedno čine meksički ekvivalent objedinjenog zakona o privatnosti, s praktičnom snagom obvezujućih propisa.
Za online izdavače, najvažnije odredbe su pravila o pristanku prema člancima 8 do 11 zakona i zahtjevi obavijesti o privatnosti koji uređuju način na koji se traži pristanak. Meksički pristanak je stupnjevan: implicitni pristanak dovoljan je za neku obradu običnih osobnih podataka kada je dana odgovarajuća obavijest, ali izričiti pristanak potreban je za osjetljive podatke i za svaku obradu gdje to zakon posebno zahtijeva. Interpretativno pitanje za banere kolačića jest koji od ovih režima se primjenjuje na bihevioralne i reklamne kolačiće.
Kako meksičko pravo tretira kolačiće i online identifikatore
Za razliku od EU ePrivacy direktive, LFPDPPP ne sadrži odredbu specifičnu za kolačiće. Umjesto toga, okvir tretira online identifikatore kao osobne podatke kada ih se može povezati s prepoznatljivim pojedincem, a obveze pristanka proizlaze iz općeg okvira, a ne iz namjenske pravne norme o kolačićima. Smjernice INAI-ja pojasnile su da:
- Vlastiti kolačići strogo nužni za funkcioniranje stranice ne zahtijevaju prethodni pristanak, ali njihova prisutnost mora biti otkrivena u obavijesti o privatnosti.
- Analitički kolačići općenito zahtijevaju informirani pristanak, pri čemu je implicitni pristanak prihvatljiv kada je obavijest o privatnosti jasno dostupna prije prikupljanja podataka.
- Reklamni i bihevioralni kolačići zahtijevaju izričiti pristanak, osobito kada se podaci dijele s trećim stranama ili koriste za praćenje između stranica.
- Kolačići koji prikupljaju osjetljive podatke — zdravlje, spolna orijentacija, vjerska uvjerenja, politički stavovi — zahtijevaju izričiti pristanak bez obzira na kategoriju.
Praktični učinak je da usklađeni meksički baner kolačića mora razlikovati barem nužne, analitičke i reklamne kategorije, s obveznim afirmativnim opt-in za reklamu i jasnom obavijesti za analitiku.
Obavijest o privatnosti kao sidro usklađenosti
Meksičko pravo privatnosti je usmjereno na obavijest na način koji se razlikuje od europske tradicije. Obavijest o privatnosti — aviso de privacidad — nije samo dokument o transparentnosti; to je pravni instrument kroz koji je pristanak strukturiran. Lineamientos del Aviso de Privacidad zahtijevaju da obavijest sadrži specifične elemente, a svaki baner kolačića mora biti u skladu s temeljnom obavijesti, a ne pokušavati sve komprimirati u skočni prozor banera.
Obvezni elementi obavijesti
Obavijest mora identificirati voditelja obrade, navesti prikupljene osobne podatke, opisati svrhe obrade, navesti hoće li se podaci prenijeti trećim stranama, identificirati prava ispitanika (acceso, rectificación, cancelación, oposición — takozvana ARCO prava) i opisati kako se ta prava mogu ostvariti. Za online izdavača, baner kolačića mora djelovati kao slojevita ulazna točka u potpunu obavijest, a ne kao njezina zamjena.
Kratka, pojednostavljena, integralna
Propisi prepoznaju tri formata obavijesti: integralna (potpuna), pojednostavljena i kratka. Baner kolačića obično prikazuje kratku ili pojednostavljenu obavijest s jasnim putem do integralne verzije. Kategorije kolačića i prekidači pristanka nalaze se unutar ove slojevite strukture.
Reforma INAI-ja i što slijedi
Krajem 2024. meksička vlada pokrenula je reformu koja restrukturira saveznu funkciju zaštite podataka — autonomni INAI se apsorbira u novi institucionalni aranžman pod izvršnom vlašću. Pravni okvir (LFPDPPP, propisi, lineamientos) ostaje na snazi, ali kontinuitet nadzora je otvoreno pitanje. Za izdavače, konzervativni stav je pretpostaviti da materijalni standardi ostaju konstantni dok je intenzitet provedbe neizvjestan u tranzicijskom razdoblju. Gradnja prema standardima koje je INAI artikulirao prije reforme — granularne kategorije, izričiti opt-in za reklamu, potpuna podrška ARCO pravima, točan aviso de privacidad — prava je strategija bez obzira na to kako se stabilizira nadzorna arhitektura.
Praktični kontrolni popis usklađenosti
Šest konkretnih pitanja na koja treba odgovoriti za svaki baner kolačića koji opsluživat meksički promet.
1. Kategorizacija
Razdvaja li baner kolačiće u najmanje nužne, analitičke i reklamne kategorije, s afirmativnim opt-in za reklamu? Grupiranje svih neesencijalnih kolačića pod jednim „Prihvati sve“ bez granularnosti najčešći je nedostatak.
2. Povezivanje s obavijesti o privatnosti
Povezuje li se baner s potpunom obavijesti o privatnosti, i sadrži li ta obavijest svaki obvezni element (voditelj, podaci, svrhe, prijenosi, ARCO prava)? Baner bez pravilno sastavljene prateće obavijesti tanka je površina usklađenosti.
3. Španjolski (meksički) jezik
Je li baner prikazan na španjolskom, i koristi li meksičke konvencije španjolskog tamo gdje se razlikuju od europskog španjolskog? Pravi jezični registar signalizira ozbiljnost i korisnicima i nadzornicima.
4. Put povlačenja
Postoji li stalna kontrola koja korisniku omogućuje da preispita i izmijeni svoj izbor pristanka? Pravo na opoziv dio je ARCO prava „oposición“ i baner mora to omogućiti.
5. Otkrivanje prijenosa trećim stranama
Identificira li obavijest kategorije trećih strana koje primaju osobne podatke putem kolačića (reklamne mreže, pružatelji analitike, CDP-ovi), s dovoljno detalja da korisnik razumije tok podataka?
6. Bilježenje
Bilježi li sustav svaku odluku o pristanku s vremenskom oznakom i verzijom banera kako bi, u slučaju pritužbe, izdavač mogao dokazati da je odluka donesena slobodno i informirano?
Kako se to uklapa u latinoameričku sliku
Meksiko je drugo najveće digitalno tržište u Latinskoj Americi nakon Brazila, a njegov sustav zaštite podataka jedan je od najutjecajnijih u regiji. Rasprava o reformi koja se sada odvija oblikovat će interpretativni smjer godinama, ali materijalni standardi su stabilni: usmjerenost na obavijest, temeljenost na ARCO pravima, granularni pristanak za reklamu, potpuno otkrivanje prijenosa trećim stranama. Izdavači koji djeluju diljem Latinske Amerike imaju koristi od jednokratne izgradnje prema višem standardu — reformirani okvir Argentine, brazilski LGPD, reformirani zakon Čilea i čileanski zakon na čekanju Kolumbije svi konvergiraju prema sličnim temeljnim očekivanjima. CMP koji podržava meksički španjolski, bilježi pristanak na razini kategorije, čisto se povezuje s potpunim aviso de privacidad i bilježi odluke u obliku revizijskog stupnja, rješava meksičku usklađenost kroz istu infrastrukturu koja rješava regionalnu usklađenost.