A jogi háttér

A Ley 25.326-ot még azelőtt írták, hogy a viselkedésalapú hirdetés nagy léptékben létezett volna. A hozzájárulási standard előzetes, kifejezett és tájékozott engedélyezést követelt meg, de az AAIP gyakorlati értelmezése történelmileg kevésbé volt előíró, mint amit az európai felügyelők alkalmaztak. A cookie-k, nyomkövető pixelek és közönségépítő eszközök Argentínában viszonylag megengedő értelmezési rendszer alatt működtek, ahol a végrehajtás inkább a kirívó esetekre összpontosított, mintsem a szisztematikus banner-tervezésre.

A reform három strukturális módon változtatja meg a működési környezetet. Először is, szűkíti a hozzájárulás meghatározását a GDPR Article 4(11) szövegéhez igazodva — szabadon adott, egyedi, tájékozott és egyértelmű. Másodszor, bevezet egy kifejezett elszámoltathatósági elvet, amely megköveteli az adatkezelőktől, hogy igazolni tudják a megfelelőséget, ne csupán állítsák. Harmadszor, a maximális közigazgatási bírságot a szervezeti bevétellel arányos szintre emeli, ami lényegesen megváltoztatja a végrehajtási számítást a nemzetközi platformok számára.

Mi számít hozzájárulásnak a reformált standard szerint

A reformált szöveg, a Kongresszus előtt legutóbb szereplő változatában, fontos szempontokból tükrözi az európai hozzájárulásértelmezést. Az előre bejelölt négyzetek nem minősülnek hozzájárulásnak. A weboldal további használata nem minősül hozzájárulásnak. A hozzájárulás összevonása nem összefüggő célokra — például a szolgáltatási feltételek elfogadásának viselkedésalapú hirdetés engedélyezéseként való kezelése — nem minősül hozzájárulásnak. Az AAIP műhelyeken és konzultációkon jelezte, hogy a reformált standardot az EDPB iránymutatásaira hivatkozva kívánja értelmezni, ami azt jelenti, hogy az argentin kiadóknak arra kell számítaniuk, hogy a cookie-banner végrehajtás konvergál ugyanarra a hat hibamódra, amelyeket az EDPB Cookie Banner Taskforce dokumentált: hiányzó elutasítás gombok, megtévesztő hivatkozástervezés, előre bejelölt kategóriák, tévesen felcímkézett cookie-k, hiányzó visszavonási mechanizmusok és nyomásgyakorló sötét minták.

A cookie-bannerek gyakorlati következménye Argentínában az, hogy az EU ellenőrzésén átmenő tervezés átmegy az argentin ellenőrzésen is a reform után. Ezzel szemben egy banner, amely Argentínában a régi, enyhébb értelmezés alatt működött, lényeges újratervezést igényelhet, mielőtt a reformált törvény hatályba lép.

Határon átnyúló adattovábbítások

A reform egyik legjelentősebb változása a nemzetközi adattovábbítások kezelése. A Ley 25.326 eredeti változata szerint a megfelelő védelem nélküli országokba való továbbítás vagy egyedi hozzájárulást, vagy szerződéses biztosítékot igényelt, de a szabályok szűkösek voltak és az AAIP korlátozott végrehajtási kapacitással rendelkezett. A reform egy lépcsőzetes keretrendszert vezet be, amely párhuzamos a GDPR Chapter V-vel: az adattovábbítás engedélyezett az AAIP által megfelelőnek minősített országokba; megfelelőség hiányában az adattovábbítás jóváhagyott eszközöket igényel, mint például kötelező erejű vállalati szabályok, AAIP által jóváhagyott standard szerződéses záradékok vagy egyedi eltérések.

Azon kiadók számára, akik az argentin forgalmat amerikai, EU vagy ázsiai ad-tech szállítókon keresztül irányítják, a gyakorlati következmény az, hogy a cookie-hozzájárulási nyilvántartásnak most már egy átadási elszámoltathatósági kötelezettséget is alá kell támasztania. A CMP-nek képesnek kell lennie arra, hogy bármely látogató esetén megmutassa, mely szállítói kategóriák kapták meg a személyes adatait és milyen átadási eszköz alapján. Ez ugyanaz az elszámoltathatósági architektúra, amelyet az európai kiadók a GDPR számára építenek, alkalmazva az argentin forgalomra.

Az AAIP szerepe

Az Agencia de Acceso a la Información Pública az argentin adatvédelmi hatóság. A Decreto 746/2017 által 2017-ben létrehozva, összevonja az adatvédelmi és az információszabadság-rendszerek felügyeletét. A jelenlegi törvény szerint végrehajtási fogai szerények; a reform lényegesen erősíti ezeket.

Vizsgálati jogkörök

A reform fokozott jogköröket biztosít az AAIP számára dokumentumok előállításának kikényszerítésére, ellenőrzések lefolytatására és ideiglenes intézkedések meghozatalára vizsgálatok során. Az online kiadók számára ez legvalószínűbben hozzájárulási naplók, szállítói listák és banner-kód pillanatképek iránti kérelmekként fog megnyilvánulni, amelyek adott dátumtartományokra vonatkoznak.

Szankcionálási rendszer

A reformált szöveg szerinti maximális közigazgatási bírságok az éves bevétel százalékához kötődnek, egy magas abszolút plafonnal. Ez érdemi elmozdulás a jelenlegi fix összegű rendszertől, és Argentínát a GDPR lépcsőzetes bírságstruktúrájával összhangba hozza.

Koordináció a latin-amerikai partnerekkel

Az AAIP aktív résztvevője az Ibero-Amerikai Adatvédelmi Hálózatnak. Az argentin reformált iránymutatás várhatóan befolyásolni fogja — és befolyásolni fog — Brazília ANPD-jét, Mexikó INAI-ját, Chile reformált rendszerét és Uruguay URCDP-jét. A régióban működő kiadóknak a hozzájárulási standardok konvergenciájára kell számítaniuk 24-36 hónapon belül.

Mit tegyenek most a kiadók

A reform jogalkotási mozgásban van, még nem lépett hatályba. A konzervatív megközelítés az, hogy most a magasabb standardhoz kell igazodni, azzal a feltételezéssel, hogy a hatályba lépés 12-18 hónapon belül megtörténik. Öt operatív lépés teszi kezelhetővé az átmenetet.

• Vizsgálja felül a jelenlegi bannert az EDPB taskforce kritériumaival szemben. Ha nem felel meg a hat közös hibamód valamelyikének, ugyanaz a banner nem fog megfelelni a reformált argentin standard szerint sem, amint az hatályba lép. A most elvégzett orvoslás megelőzi a későbbi újramunkálást.
• Adjon hozzá spanyol nyelvű banner és irányelvverziókat. Az argentin spanyol (es-AR) az elsődleges felhasználóval szembenéző nyelv; biztosítsa, hogy a CMP natívan támogatja, ne csak általános spanyolul.
• Térképezze fel a szállítói listát az átadási eszközökkel. Minden egyes ad-tech, analitikai vagy marketing szállítóra, amely argentin személyes adatokat kap, dokumentálja az átadási eszközt: megfelelőség, standard szerződéses záradékok, kötelező erejű vállalati szabályok vagy eltérés.
• Konfigurálja a hozzájárulás-naplózást regionális részletességgel. A hozzájárulási naplóknak rögzíteniük kell a látogató származási országát (a banner megjelenítésének időpontjában az IP-ből levezetett), hogy az AAIP vizsgálatára ország szerint szűrt bizonyítékkal lehessen válaszolni.
• Jelöljön ki kapcsolattartót az AAIP levelezéséhez. Sok nemzetközi kiadó formális helyi képviselet nélkül működik Argentínában; a reform a felügyeleti hatóság számára kijelölt kapcsolattartó gyakorlati szükségességévé teszi.

A cookie-bannereken túl

Az argentin reform szélesebb körű a cookie-hozzájárulásnál. Átalakítja az adatvédelmi incidens bejelentési határidőit, bevezet specifikus védelmet az érzékeny adatkategóriák számára, és új kötelezettségeket teremt az automatizált döntéshozatal körül. A kiadók számára a cookie-banner a legláthatóbb megfelelőségi felület, de nem az egyetlen. Ugyanaz a CMP infrastruktúra, amely rögzíti a cookie-hozzájárulást, jól pozicionált más hozzájárulási döntések rögzítésére is — kommunikációs hozzájárulás, retail média partnerekkel való adatmegosztási hozzájárulás, személyre szabási funkciókhoz való hozzájárulás — és az AAIP elszámoltathatósági követelménye mindegyikre vonatkozik.

A reform egy tágabb mintát tükröz: Latin-Amerika a GDPR-hoz igazodó standardok felé mozdul, nemzeti implementációkkal, amelyek a helyi jogi hagyományokhoz vannak igazítva. Azok a kiadók, akik most régió-agnosztikus hozzájárulási stacket építenek — amelyek granulált, célspecifikus hozzájárulást rögzítenek, több nyelvet és dátumformátumot támogatnak, audit-minőségű formátumban naplózzák a döntéseket, és integrálódnak az átadási dokumentációval — az argentin, brazil, mexikói és chilei megfelelőséget ugyanazon az operatív folyamaton keresztül kezelik. Az egy joghatóságra való építés és a következőhöz való utólagos igazítás költsége történelmileg magasabb volt, mint a regionális standardra való kezdetektől fogva való építés költsége.