Kolumbia 1581/2012-es törvénye – Cookie-hozzájárulás-megfelelőségi útmutató kiadók számára 2026-ban
Kolumbia 1581/2012-es törvénye, amelyet az 1377/2013-as Szabályozási Rendelet egészít ki és az 1074/2015-ös rendeletbe konszolidáltak, Latin-Amerika egyik legkorábbi átfogó adavédelmi keretrendszerét hozta létre. A Superintendencia de Industria y Comercio (SIC) az adavédelmi hatóság, és a Delegatura para la Protección de Datos Personales szokatlanul aktív végrehajtónak bizonyult a tágabb latin-amerikai viszonyrendszerhez képest. Több mint egy évtized alatt a SIC több ezer szankciót szabott ki, kötelező erejű doktrínát alakított ki határozatokon és véleményeken keresztül, és nyilvántartási rendszert — a Registro Nacional de Bases de Datos (RNBD) — épített fel, amely a hirdetéssel támogatott online kiadók nagy részét lefedi. A kolumbiai forgalmat kiszolgáló üzemeltetők számára az üzemeltetési szabvány közelebb áll az európai normákhoz, mint amit a törvény 2012-es kiadása sugallna, és a 2023 Guidance az online nyomkövetésről a cookie-sávokra vonatkozó elvárásokat kifejezetten az EDPB-stílusú álláspontokhoz igazította. Ez az útmutató részletezi, mit követel az 1581-es törvény, hogyan értelmezte azt a SIC cookie-k és viselkedésalapjú reklámozás tekintetében, és hogy néz ki a gyakorlati megfelelőségi munka 2026-ban.
Az 1581-es törvény vázlata
Az 1581-es törvény a Article 4 keretében nyolc elv köré szerveződik: jogszerűség, cél, szabadság, igazság, átláthatóság, korlátozott hozzáférés és forgalom, biztonság, valamint titoktartás. A Article 9 szerinti jogalapok szűkebbek a GDPR-énál — a kolumbiai jog központibb szerepet ad a hozzájárulásnak, és más jogalapokat (szerződés, közérdek, létfontosságú érdekek) inkább kivételként kezel, mintsem párhuzamos alapként. Az online nyomkövetés szempontjából ez azt jelenti, hogy a hozzájárulás szinte mindig az operatív jogalap, és a SIC ritkán fogadott el legitim érdekre hivatkozó érveket a viselkedésalapjú cookie-k esetén.
A törvény adatkezelőkre és adatfeldolgozókra vonatkozik, amelyek Kolumbiában tartózkodó személyek személyes adatait kezelik, és a Article 2 extrateritoriális hatállyal vonja alá a kolumbiai piacot célzó offshore üzemeltetőket is. Az RNBD-nél való regisztráció a meghatározott küszöbértékek felett kötelező, és a SIC 2016 óta nyíltan üldözi a nem regisztrált üzemeltetőket.
Hogyan kezeli az 1581-es törvény a cookie-kat és az online nyomkövetést
Az 1581-es törvény nem tartalmaz cookie-specifikus rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek a törvény Article 4, Article 9 és Article 12 cikkéből, valamint a 2023 Guidance nyomkövetési iránymutatójából fakadnak. Négy pontnak van a legtöbb működési hatása.
Kifejezett előzetes hozzájárulás mint alapértelmezés
A SIC régóta fennálló álláspontja, amelyet a 2023 Guidance is megerősít, az, hogy a nem alapvető nyomkövetéshez kifejezett előzetes hozzájárulás szükséges — a kolumbiai jog az „expreso e inequívoco” (kifejezett és egyértelmű) hozzájárulási mércét alkalmazza, és a SIC ezt szigorúan értelmezte online vonatkozásban. A ráutaló magatartással való hozzájárulást, a görgetés-mint-hozzájárulást és az előre bejelölt négyzeteket a közzétett határozatokban elutasították.
Részletes kategóriák és az arányosság elve
Az iránymutató elvárja, hogy a sávok tegyék lehetővé a látogató számára a kategóriák önálló elfogadását és elutasítását. A SIC az „összes elfogadása” típusú, csoportosított megoldásokat az arányossági elv megsértéseként értelmezi a Article 4(c) alapján — a szükséges, hasznos és megfelelő nem válhat „mindent egyszerre” elvé az arányosság sérelme nélkül.
Spanyol nyelv mint alapértelmezés
A SIC egyértelművé tette, hogy a kolumbiai közönség számára szánt adavédelmi közleményeknek és hozzájárulási sávoknak spanyolul kell rendelkezésre állniuk, és a nyelvnek a kolumbiai spanyol konvenciókat kell tükröznie, ahol azok eltérnek az európai vagy egyéb latin-amerikai változatoktól. Több SIC-határozatban hiányosságként hivatkoztak a csak angolul elérhető sávokra.
Határokon átnyúló adattovábbítás (Article 26)
Article 26 szabályozza a nemzetközi adattovábbítást, és megköveteli, hogy a célállomás megfelelő szintű védelmet biztosítson. A SIC kiadott egy megfelelőségi listát — az EU-énál kisebb listát —, és a nem listázott országokba irányuló adattovábbításhoz kifejezett hozzájárulás, szerződéses biztosítékok vagy a SIC külön engedélye szükséges. Az adatokat US hirdetési technológiai szállítókhoz irányító cookie-k esetén a gyakorlati elvárás a dokumentált szerződéses biztosítékok megléte.
A SIC végrehajtási álláspontja
A SIC Latin-Amerika egyik legaktívabb végrehajtási álláspontjával rendelkezik. Három mintázat határozza meg megközelítését.
Nagyszámú szankciós gyakorlat
A SIC évente több száz szankcionáló határozatot hoz és a főbbeket közzéteszi. Ez a mennyiség szokatlanul gazdag, kötelező erejű doktrínát hoz létre, amelyet az üzemeltetők a hatósági elvárások előrejelzésére használhatnak — ugyanakkor azt is jelenti, hogy a hiányosságok gyorsan felszínre kerülnek, amikor panaszok érkeznek.
RNBD által vezérelt ellenőrzések
Sok SIC-ellenőrzés az RNBD-regisztráción keresztül kezdődik belépési pontként. Egy nem regisztrált vagy nem naprakész regisztrációjú üzemeltető nagyobb valószínűséggel vonzza a figyelmet, mint egy megfelelően regisztrált adatkezelő hasonló adatfeldolgozással.
Ibero-amerikai koordináció
A SIC aktívan részt vesz az Ibero-American Data Protection Network (RIPD) munkájában, és koordinál Argentína AAIP, Mexikó INAI (átszervezett), Brazília ANPD, Uruguay URCDP és Chile reformált rendszerével. A kolumbiai és más ibero-amerikai forgalommal összefüggő határokon átnyúló ügyeket egyre inkább koordinált eljárások keretében kezelik.
Gyakorlati megfelelőségi ellenőrzőlista
Hat konkrét kérdés, amelyre válaszolni kell minden, kolumbiai forgalmat kiszolgáló cookie-sáv esetén.
- Regisztrált-e az adatkezelő az RNBD-ben? Ha az adatkezelés átlépi a regisztrációs küszöböt, erősítse meg, hogy a regisztráció naprakész. A SIC-ellenőrzések itt kezdődnek.
- Kifejezett és előzetes-e a hozzájárulás? Az elutasítás útjának ugyanazon a felületen kell lennie, mint az elfogadásnak; a görgetés-mint-hozzájárulás nem felel meg a 2023 Guidance-nek.
- Részletesek-e a kategóriák? A szükséges, analitikai és marketing kategóriákat külön-külön kell szabályozhatóvá tenni.
- Kolumbiai spanyol a nyelv? Erősítse meg, hogy a sáv és az adavédelmi tájékoztató kolumbiai spanyol konvenciókat alkalmaz, és nem csak angolul érhető el.
- Dokumentáltak-e a határokon átnyúló adattovábbítások? Minden nem kolumbiai célállomás esetén azonosítsa, hogy a joghatóság szerepel-e a SIC megfelelőségi listáján, vagy dokumentálja az adattovábbítást engedélyező szerződéses biztosítékot.
- Auditszintű-e a hozzájárulás naplózása? A SIC vizsgálatok gyakran kérnek hozzájárulási nyilvántartásokat; az időbélyegnek, a sávverziónak és a választásnak visszakereshetőnek kell lennie.
Kolumbia helye a többjurisdikciós keretrendszerben
Kolumbia a négy leginkább operatív szempontból jelentős latin-amerikai adavédelmi rendszer egyike Brazília, Mexikó és Argentína mellett. Az 1581-es törvény 2012-es keltezése megelőzi a GDPR-t, de a SIC aktív végrehajtása és a 2023 Guidance az üzemeltetési szabványt szorosan az európai normákhoz igazította. A pán-latin-amerikai műveletek felé törekvő kiadók számára a kolumbiai keret természetesen párosítható Brazília LGPD, Mexikó LFPDPPP és Argentína reformált rendszerével — egy európai szabványokra épített CMP architektúra kezeli a munka nagy részét, három Kolumbia-specifikus kiegészítéssel: RNBD-regisztráció ahol a küszöbértékek vonatkoznak, kolumbiai spanyol nyelvi támogatás, és az Article 26 szerinti határokon átnyúló dokumentációs minta. A GDPR-igazított szabványok köré szerveződő ibero-amerikai konvergencia gyorsul, és Kolumbia érett végrehajtási tapasztalata teszi azt a regionális joghatósággá, ahol a megfelelőségi álláspont a legközvetlenebbül tesztelődik.