Lagalegar forsendur

Ley 25.326 var skrifuð áður en hegðunarlægar auglýsingar voru í stórum stíl. Samþykkisstaðallinn krafðist fyrirframheimldar, skýrrar og upplýstrar leyfis, en hagnýt túlkun AAIP hefur sögulega séð verið minna formsett en evrópskir eftirlitsmenn hafa beitt. Vafrakökur, rakningarpixlar og verkfæri til að byggja upp áhorfendur hafa starfað í Argentínu undir tiltölulega frjálslynt túlkunarkerfi, þar sem framfylgni einblíndi á grófar brotabylgjur frekar en kerfisbundna borðahönnun.

Breytingin mun breyta rekstrarumhverfinu á þrjár skipulegar leiðir. Í fyrsta lagi herðir hún skilgreiningu á samþykki til að fylgja orðalagi GDPR Article 4(11) — frjálslega gefið, sérstakt, upplýst og ótvírætt. Í öðru lagi tekur hún upp skýrt ábyrgðarreglur sem krafist er af gagnaeftirlitsmönnum að geta sýnt fram á reglufylgni, ekki bara fullyrða það. Í þriðja lagi hækkar hún hámark stjórnsýslubóta í hlutfall við tekjur stofnunar, sem breytir verulega framkvæmdarmati alþjóðlegra vettvanga.

Hvað telst sem samþykki samkvæmt endurbætum staðli

Endurbætt texti, í þeirri útgáfu sem nýlegast var til meðferðar þingsins, endurspeglar evrópska skilning á samþykki í mikilvægum atriðum. Forhakaðir reitir teljast ekki samþykki. Áframhaldandi notkun vefsíðu telst ekki samþykki. Að sameina samþykki í tengslum við ótengd markmið — til dæmis að meðhöndla samþykki á þjónustuskilmálum sem heimild fyrir hegðunarlægar auglýsingar — telst ekki samþykki. AAIP hefur gefið til kynna á vinnustofum og samráðum að það ætli að túlka endurbættan staðal með vísan til leiðbeininga EDPB, sem þýðir að argentinskir útgefendur ættu að búast við að framfylgni vafrakökuborða myndi sameinast sömu sex bilunarmódúsana sem EDPB Cookie Banner Taskforce hefur skjalfest: vantar höfnunarhnappa, villandi tengilhönnun, forhakaðar flokkar, rangt merktar vafrakökur, vantar afturkallanleg tæki og þrýstilegar hönnunarmynstrar.

Hagnýtar afleiðingar fyrir vafrakökuborða í Argentínu eru þær að hönnun sem stenst EU skoðun mun standast argentínska skoðun undir breytingunni. Þvert á móti gæti borði sem hefur starfað í Argentínu undir gömlu, léttvægari túlkuninni þurft umtalsverða endurhannnun áður en endurbætt lög taka gildi.

Þverlandamæraflutningur gagna

Ein þeirra breytinga sem hafa mestar afleiðingar í breytingunni er meðferð alþjóðlegra gagnaflutnings. Samkvæmt Ley 25.326 eins og hún var upphaflega sett, krafðist flutningur til landa án fullnægjandi verndar annaðhvort sérstakrar samþykkis eða samningslegar verndar, en reglurnar voru gisnar og AAIP hafði takmarkaðar framkvæmdargetu. Breytingin kynnir til sögunnar skrefilegt ramma sem er hliðstæður GDPR Chapter V: flutningur er leyfður til landa sem AAIP skilgreinir sem fullnægjandi; án fullnægis krefjast flutningar samþykktra tækja eins og bindandi fyrirtækjareglna, staðlaðra samningsákvæða samþykkt af AAIP eða sérstakrar undanþágu.

Fyrir útgefendur sem beinir argentínskum umferð í gegnum bandarískar, evrópska eða asískar auglýsingatæknilegar lánardrottna er hagnýt afleiðing sú að vafrakökusamþykki þarf nú einnig að styðja flutningsábyrgðarskyldu. CMP verður að geta sýnt, fyrir hvaða gesti sem er, hvaða flokkar lánardrottna fengu persónuupplýsingar þeirra og undir hvaða flutningatæki. Þetta er sama ábyrgðararkitektúr sem evrópskir útgefendur hafa verið að byggja upp fyrir GDPR, beitt við argentínskan umferð.

Hlutverk AAIP

Agencia de Acceso a la Información Pública er argentínskt persónuverndaryfirvald. Stofnað árið 2017 með Decreto 746/2017, sameinast það eftirliti bæði yfir persónuvernd og upplýsingaréttarkerfi. Samkvæmt núgildandi lögum eru framkvæmdartennurnar hóflegar; breytingin styrkir þær verulega.

Rannsóknarheimildir

Breytingin veitir AAIP auknar heimildir til að knýja fram framlagningu skjala, framkvæma skoðanir og grípa til bráðabirgðaráðstafana á meðan rannsóknir standa yfir. Fyrir netútgefendur mun þetta líklegast koma fram sem beiðnir um samþykkilegar skrár, lánardrottnalista og skyndimyndir af borðakóða yfir ákveðin dagsetningarbil.

Refsikerfið

Hámark stjórnsýslubóta samkvæmt endurbættu texti eru bundin við hlutfall af árlegum tekjum, takmarkað við hátt algildan þak. Þetta er marktækt víxl frá núgildandi fast-upphæð kerfinu og færir Argentínu í takt við skrefilega sektarbyggingu GDPR.

Samræming við suður-amerískar nágrannalýðveldi

AAIP er virkur þátttakandi í Ibero-ameríska persónuverndarneti. Endurskoðuð argentínsk leiðbeining er búist við að hafa áhrif á — og verða undir áhrifum — ANPD Brasilíu, INAI Mexíkó, endurskoðað kerfi Síle og URCDP Úrúgvæ. Útgefendur sem starfa í svæðinu ættu að búast við sameiningu um samþykkisstaðla innan 24 til 36 mánaða.

Hvað útgefendur ættu að gera núna

Breytingin er í lagalegri hreyfingu, ekki enn í gildi. Varfærna afstaðan er að byggja upp að hærri staðlinum núna, á þeirri forsendu að gildistaka eigi sér stað innan 12 til 18 mánaða. Fimm rekstrarleg skref gera umskiptin viðráðanleg.

• Endurskoðaðu núverandi borða gagnvart viðmiðum EDPB verkefnishópsins. Ef hann mistekst við einhvern af sex algengum bilunarmódúsum mun sama borðinn mistakast undir endurbættu argentínskunni þegar hún tekur gildi. Viðgerð núna forðast endurvinnslu síðar.
• Bættu við spænskumæltum borða og stefnuútgáfum. Argentínskt spænska (es-AR) er aðal notendaviðmót tungumál; tryggðu að CMP styður það innbyggt, ekki bara almenna spænsku.
• Kortleggðu lánardrottnalista á flutningatæki. Fyrir hvern auglýsingatæknilegan, greiningarlegan eða markaðssetningarlegan lánardrottinn sem fær argentínskar persónuupplýsingar, skráðu flutningatækið: fullnægi, staðlaðar samningsákvæðar, bindandi fyrirtækjareglur eða undanþága.
• Stilltu samþykkilegar skrár með svæðisbundinni nákvæmni. Samþykkilegar skrár ættu að skrá upprunaland gests (þvingað frá IP á þeim tíma sem borðinn birtist) svo rannsókn AAIP sé hægt að svara með landssíað gögn.
• Tilnefndu tengiliðastað fyrir bréfasamskipti AAIP. Margir alþjóðlegir útgefendur starfa í Argentínu án formlegs staðbundins fulltrúa; breytingin gerir tilnefningu tengiliðs við eftirlitsyfirvald að hagnýtri nauðsyn.

Lengra en vafrakökuborðar

Argentínska breytingin er víðtækari en vafrakökusamþykki. Hún endurskoðar tímalínur tilkynningar um öryggisbrot, kynnir sérstakar vernd fyrir viðkvæmar gagnaflokkur og skapar nýjar skyldur í kringum sjálfvirkar ákvarðanatökur. Fyrir útgefendur er vafrakökuborðinn sýnilegasta samræmis yfirborðið, en það er ekki það eina. Sama CMP innviði sem skráir vafrakökusamþykki er vel staðsett til að skrá aðrar samþykkilegar ákvarðanir — samskiptasamþykki, gagnasdeiling samþykki með smásala miðlasamstarfsaðilum, samþykki fyrir sérstillingareiginleika — og ábyrgðarkrafa AAIP á við um þær allar.

Breytingin endurspeglar víðara mynstur: Suður-Ameríka er að færast í átt að GDPR-samræmdum stöðlum, með þjóðlegar innleiðingar lagaðar að staðbundnum lagalegum hefðum. Útgefendur sem byggja upp svæðislægan samþykki stakk núna — einn sem skráir kornótt tilgangsmiðað samþykki, styður mörg tungumál og dagsetningarsnið, skráir ákvarðanir í endurskoðunargæðasniði og samþættist við flutningsskjöl — meðhöndlar argentínskt, brasilískt, mexíkóskt og sílenískt samræmi í gegnum sama rekstrarlínu. Kostnaðurinn við að byggja upp fyrir eitt lögsögusvæði og síðan aðlaga fyrir það næsta hefur sögulega verið hærri en kostnaðurinn við að byggja upp fyrir svæðisstöðulinn frá byrjun.