法的背景

Ley 25.326はビヘイビアル広告が大規模に普及する以前に制定されました。同法の同意基準は事前の、明示的かつ情報に基づく承認を要求していましたが、AAIPによる実際の解釈は欧州の監督当局が適用してきたものよりも歴史的に規範的ではありませんでした。クッキー、トラッキングピクセル、オーディエンス構築ツールはアルゼンチンにおいて比較的緩やかな解釈的制度の下で運用されており、執行は悪質なケースに集中し、バナーデザインの体系的な問題への対処は限られていました。

この改革は運営環境を三つの構造的な側面で変えます。第一に、GDPR Article 4(11)の文言に沿って同意の定義を厳格化します。具体的には自由に与えられ、特定的で、情報に基づき、かつ曖昧でないものとされます。第二に、データ管理者が単に遵守を主張するだけでなく、遵守を証明できるよう求める明示的な説明責任原則を採用します。第三に、最大行政罰則を組織の収益に比例したレベルに引き上げ、国際的なプラットフォームに対する執行計算を実質的に変えます。

改正基準における同意とは何か

改正テキストは、議会で最近審議されているバージョンにおいて、重要な点でEUの同意理解を反映しています。事前にチェックされたボックスは同意を構成しません。ウェブサイトの継続使用は同意を構成しません。無関係な目的にわたって同意をまとめること（例えば、サービス利用規約の承認をビヘイビアル広告の承認として扱うこと）は同意を構成しません。AAIPはワークショップや協議において、改正基準をEDPBの指針集を参照して解釈する意向を示しており、これはアルゼンチンの出版事業者がクッキーバナーの執行においてEDPB Cookie Banner Taskforceが記録した同じ6つの失敗パターンに収束することを期待すべきことを意味します。具体的には、拒否ボタンの欠如、欺瞞的なリンクデザイン、事前チェックされたカテゴリ、誤ったラベルのクッキー、撤回メカニズムの欠如、圧力誘導型ダークパターンです。

アルゼンチンのクッキーバナーへの実際的な示唆は、EUの審査を通過するデザインは改革後のアルゼンチンの審査も通過するということです。逆に、旧来の緩やかな解釈の下でアルゼンチンで運用されていたバナーは、改正法が施行される前に実質的な再設計が必要になる可能性があります。

越境データ移転

改革で最も重大な変更の一つは国際データ移転の扱いです。当初施行されたLey 25.326の下では、十分な保護のない国への移転には特定の同意または契約上の保護措置が必要でしたが、規則は乏しくAAIPの執行能力は限られていました。改革はGDPR Chapter Vに並行した段階的なフレームワークを導入します。AAIPが適切と指定した国への移転は許可され、適切性がない場合、移転には拘束力のある企業規則、AAIPが承認した標準契約条項、または特定の適用除外などの承認された手段が必要です。

アルゼンチンのトラフィックを米国、EU、またはアジアのアドテックベンダーを通じてルーティングする出版事業者にとって、実際的な結果としてクッキー同意記録は今や移転説明責任義務もサポートする必要があります。CMPは特定の訪問者に対してどのカテゴリのベンダーが個人データを受け取り、どの移転手段に基づいているかを示すことができなければなりません。これは欧州の出版事業者がGDPRのために構築してきた同じ説明責任アーキテクチャをアルゼンチンのトラフィックに適用したものです。

AAIPの役割

Agencia de Acceso a la Información Públicaはアルゼンチンのデータ保護当局です。Decreto 746/2017によって2017年に設立され、データ保護と情報公開制度の両方の監督を統合しています。現行法の下では執行能力は限定的ですが、改革によって大幅に強化されます。

調査権限

改革はAAIPに文書の提出を強制し、検査を実施し、調査中に暫定措置を課す強化された権限を付与します。オンライン出版事業者にとって、これは特定の日付範囲をカバーする同意ログ、ベンダーリスト、バナーコードのスナップショットの要求として最も現れる可能性があります。

制裁制度

改正テキストの下での最大行政制裁は年間収益の一定割合に連動し、高い絶対上限が設けられています。これは現行の定額制度からの重要な転換であり、アルゼンチンをGDPRの段階的制裁構造と一致させます。

ラテンアメリカの同僚との協調

AAIPはイベロアメリカデータ保護ネットワークの積極的な参加者です。アルゼンチンの改正指針はブラジルのANPD、メキシコのINAI、チリの改正制度、ウルグアイのURCDPに影響を与え、またそれらから影響を受けることが期待されています。地域で事業を行う出版事業者は24〜36ヶ月以内に同意基準の収束を期待すべきです。

出版事業者が今すべきこと

改革は立法的に進行中であり、まだ施行されていません。保守的な姿勢は12〜18ヶ月以内に施行されるとの前提で今から高い基準に合わせて構築することです。移行を管理可能にする5つの運用ステップがあります。

• EDPBタスクフォース基準に対して現在のバナーを監査する。 6つの一般的な失敗パターンのいずれかに失敗する場合、同じバナーは改正アルゼンチン基準が施行されると同様に失敗します。今の改善で後の手直しを避けられます。
• スペイン語版バナーとポリシーバージョンを追加する。 アルゼンチンスペイン語（es-AR）は主要なユーザー向け言語です。CMPが一般的なスペイン語だけでなく、ネイティブにサポートすることを確認してください。
• ベンダーリストを移転手段にマッピングする。 アルゼンチンの個人データを受け取る各アドテック、アナリティクス、またはマーケティングベンダーについて、移転手段（適切性、標準契約条項、拘束力のある企業規則、または適用除外）を文書化してください。
• 地域的な粒度で同意ログを設定する。 同意ログは訪問者の出身国（バナー表示時のIPから導出）を記録し、AAIP調査に国別フィルタリングされた証拠で答えられるようにしてください。
• AAIP対応の連絡窓口を指定する。 多くの国際的な出版事業者は正式な現地代表なしにアルゼンチンで事業を行っています。改革は監督当局への連絡窓口の指定を実際的な必要性にします。

クッキーバナーを超えて

アルゼンチンの改革はクッキー同意より広範です。違反通知のタイムラインを見直し、機密データカテゴリへの特定の保護を導入し、自動意思決定に関する新しい義務を創出します。出版事業者にとって、クッキーバナーは最も見えやすいコンプライアンス面ですが、唯一のものではありません。クッキー同意を記録する同じCMPインフラは他の同意決定（通信同意、リテールメディアパートナーとのデータ共有同意、パーソナライズ機能への同意）を記録するのにも適しており、AAIPの説明責任要件はそれらすべてに適用されます。

この改革はより広いパターンを反映しています。ラテンアメリカは現地の法的伝統に適応した国内実装でGDPR準拠の基準に向かっています。今すぐ地域に依存しない同意スタックを構築する出版事業者（詳細な目的別同意を記録し、複数の言語と日付形式をサポートし、監査グレードの形式で決定をログに記録し、移転文書と統合するもの）は、同じ運用パイプラインを通じてアルゼンチン、ブラジル、メキシコ、チリのコンプライアンスを処理できます。単一の管轄区域のために構築し、次のために後付けするコストは、最初から地域標準のために構築するコストよりも歴史的に高くなっています。