A jogi keret

Az LFPDPPP egy rétegzett keret tetején helyezkedik el. Maga a törvény alapelveket határoz meg — jogszerűség, hozzájárulás, tájékoztatás, minőség, cél, hűség, arányosság, elszámoltathatóság —, amelyeket a mexikói jogalkotók az európai adatvédelmi hagyományból vettek át. A törvény alatt helyezkedik el az LFPDPPP végrehajtási rendelete, amely az operatív részleteket tölti ki, valamint a Lineamientos del Aviso de Privacidad (az adatvédelmi tájékoztató irányelvei), amelyek meghatározzák, minek kell szerepelnie az adatvédelmi tájékoztatóban és hogyan. Ez a három szöveg együttesen alkotja az egységes adatvédelmi kódex mexikói megfelelőjét, kötelező erejű szabályozás gyakorlati erejével.

Az online kiadók számára a legfontosabb rendelkezések a törvény 8–11. cikke szerinti hozzájárulási szabályok és az adatvédelmi tájékoztató követelményei, amelyek szabályozzák a hozzájárulás kérésének módját. A mexikói hozzájárulás fokozatos: az egyszerű személyes adatok egyes kezeléséhez elegendő a hallgatólagos hozzájárulás, ha megfelelő tájékoztatás történt, de az érzékeny adatokhoz és a törvény által kifejezetten előírt kezelésekhez kifejezett hozzájárulás szükséges. A cookie-bannerek értelmezési kérdése az, hogy ezek közül melyik rendszer vonatkozik a viselkedésalapú és reklámcélú cookie-kra.

Hogyan kezeli a mexikói jog a cookie-kat és az online azonosítókat

Az EU ePrivacy irányelvével ellentétben az LFPDPPP nem tartalmaz cookie-specifikus rendelkezést. Ehelyett a keret az online azonosítókat személyes adatként kezeli, ha azok azonosítható személyhez köthetők, és a hozzájárulási kötelezettségek az általános keretből erednek, nem pedig egy dedikált cookie-szabályból. Az INAI iránymutatása tisztázta, hogy:

• Az oldal működéséhez feltétlenül szükséges saját cookie-k nem igényelnek előzetes hozzájárulást, de jelenlétüket közzé kell tenni az adatvédelmi tájékoztatóban.
• Az analitikai cookie-k általában tájékozott hozzájárulást igényelnek, hallgatólagos hozzájárulás elfogadható, ha az adatvédelmi tájékoztató egyértelműen elérhető az adatgyűjtés előtt.
• A reklám- és viselkedésalapú cookie-k kifejezett hozzájárulást igényelnek, különösen ha az adatokat harmadik felekkel osztják meg, vagy keresztoldalas nyomon követésre használják.
• Az érzékeny adatokat rögzítő cookie-k — egészség, szexuális irányultság, vallási meggyőződés, politikai vélemény — kategóriától függetlenül kifejezett hozzájárulást igényelnek.

A gyakorlati következmény az, hogy egy megfelelő mexikói cookie-bannernek legalább a szükséges, analitikai és reklámcélú kategóriák között kell különbséget tennie, a reklámokhoz igenlő opt-in szükséges, az analitikához pedig egyértelmű értesítés.

Az adatvédelmi tájékoztató mint megfelelőségi alap

A mexikói adatvédelmi jog tájékoztató-centrikus megközelítést alkalmaz, ami különbözik az európai hagyománytól. Az adatvédelmi tájékoztató — aviso de privacidad — nem csupán átláthatósági dokumentum; ez az a jogi eszköz, amelyen keresztül a hozzájárulás strukturált. A Lineamientos del Aviso de Privacidad előírják, hogy a tájékoztatónak meghatározott elemeket kell tartalmaznia, és minden cookie-bannernek összhangban kell lennie az alapul szolgáló tájékoztatóval, ahelyett hogy mindent egy felugró ablakba próbálna sűríteni.

Kötelező tájékoztató elemek

A tájékoztatónak azonosítania kell az adatkezelőt, fel kell sorolnia a gyűjtött személyes adatokat, ismertetnie kell a kezelés céljait, meg kell határoznia, hogy az adatokat átadják-e harmadik feleknek, azonosítania kell az érintett jogait (acceso, rectificación, cancelación, oposición — az úgynevezett ARCO-jogok), és le kell írnia, hogyan lehet ezeket a jogokat gyakorolni. Az online kiadók számára a cookie-bannernek rétegzett belépési pontként kell működnie a teljes tájékoztatóhoz, nem annak helyettesítőjeként.

Rövid, egyszerűsített, teljes

A rendeletek háromféle tájékoztató formátumot ismernek el: teljes, egyszerűsített és rövid. A cookie-banner jellemzően a rövid vagy egyszerűsített tájékoztatót mutatja be, egyértelmű útvonallal a teljes verzióhoz. A cookie-kategóriák és a hozzájárulási kapcsolók ebben a rétegzett szerkezetben helyezkednek el.

Az INAI-reform és ami ezután következik

2024 végén a mexikói kormány egy reformot terjesztett elő, amely átstrukturálja a szövetségi adatvédelmi funkciót — az autonóm INAI-t beolvasztják a végrehajtó hatalomnak alárendelt új intézményi rendszerbe. A jogszabályi keret (LFPDPPP, rendeletek, lineamientos) hatályban marad, de a felügyeleti folytonosság nyitott kérdés. A kiadók számára a konzervatív álláspont az, hogy feltételezzük: az érdemi szabványok állandók maradnak, míg a végrehajtás intenzitása bizonytalan az átmeneti időszakban. Az INAI által a reform előtt megfogalmazott szabványok szerint felépíteni — részletes kategóriák, kifejezett opt-in a reklámokhoz, teljes ARCO-jog-támogatás, pontos aviso de privacidad — helyes stratégia, függetlenül attól, hogyan stabilizálódik a felügyeleti architektúra.

Gyakorlati megfelelőségi ellenőrzőlista

Hat konkrét kérdés, amelyet meg kell válaszolni a mexikói forgalmat kiszolgáló bármely cookie-banner esetén.

1. Kategorizálás

A banner legalább szükséges, analitikai és reklámcélú kategóriákra osztja-e a cookie-kat, igenlő opt-innel a reklámokhoz? Az összes nem szükséges cookie egyetlen „Mindet elfogad" alá csoportosítása részletesség nélkül a leggyakoribb hiányosság.

2. Adatvédelmi tájékoztató hivatkozása

A banner hivatkozik-e a teljes adatvédelmi tájékoztatóra, és tartalmaz-e az a tájékoztató minden kötelező elemet (adatkezelő, adatok, célok, továbbítások, ARCO-jogok)? Megfelelően megszövegezett háttértájékoztató nélküli banner vékony megfelelőségi felületet jelent.

3. Spanyol (mexikói) nyelv

A banner spanyol nyelven jelenik-e meg, és a mexikói spanyol konvenciókat alkalmazza-e ott, ahol azok eltérnek az európai spanyoltól? A megfelelő nyelvi regiszter komolyságot jelez mind a felhasználók, mind a felügyelők felé.

4. Visszavonási útvonal

Van-e olyan állandó vezérlő, amely lehetővé teszi a felhasználónak, hogy visszatérjen és módosítsa hozzájárulási döntését? A visszavonási jog az ARCO „oposición" jogának részét képezi, és a bannernek ezt be kell fogadnia.

5. Harmadik feleknek való adattovábbítás közzététele

A tájékoztató azonosítja-e a cookie-k útján személyes adatokat fogadó harmadik felek kategóriáit (hirdetési hálózatok, analitikai szolgáltatók, CDP-k), elegendő részletességgel ahhoz, hogy a felhasználó megértse az adatfolyamot?

6. Naplózás

A rendszer rögzít-e minden hozzájárulási döntést időbélyeggel és banner-verzióval, hogy panasz esetén a kiadó bizonyíthassa: a döntés szabadon és tájékozottan született?

Hogyan illeszkedik ez a latin-amerikai képbe

Mexikó Latin-Amerika második legnagyobb digitális piaca Brazília után, és adatvédelmi rendszere a régió egyik legbefolyásosabbika. A jelenleg zajló reformvita évekre meghatározza az értelmezési irányt, de az érdemi szabványok stabilak: tájékoztató-centrikus, ARCO-jogokon alapuló, részletes hozzájárulás a reklámokhoz, harmadik feleknek való továbbítások teljes közzétételével. A Latin-Amerikában működő kiadók előnyt húznak abból, ha egyszer a magasabb szabványhoz igazítanak — Argentína reformált kerete, Brazília LGPD-je, Chile reformált törvénye és Kolumbia függőben lévő törvényjavaslata mind hasonló alapváralmásokra konvergál. Egy olyan CMP, amely támogatja a mexikói spanyolt, kategóriaszintű hozzájárulást rögzít, tisztán hivatkozik a teljes aviso de privacidad-ra, és ellenőrzési minőségű formában naplózza a döntéseket, a mexikói megfelelőséget ugyanazon infrastruktúrán keresztül kezeli, amely a regionális megfelelőséget is kezeli.