コロンビア法律1581号(2012年)出版社向けクッキー同意コンプライアンスガイドネ2026年版ノ

コロンビアの法律1581号(2012年)は、Decree 1377(2013年)によって補完され、Decree 1074(2015年)に統合されており、ラテンアメリカで最も早期に設けられた包括的なプライバシーの枚組みの一つを確立しました。Superintendencia de Industria y Comercio (SIC)はデータ保護当局であり、そのDelegatura para la Protección de Datos Personalesはラテンアメリカ全体の基準に比べて異常なほど積極的な執行機関となっています。10年以上にわたりSICは数千件の制裁を課し、決議と概念意見を通じて拘束力のある法理を蔓積し、登録制度——Registro Nacional de Bases de Datos (RNBD)——を構築してきました。コロンビアのトラフィックにサービスを提供するオペレーターにとって、運用基準は2012年の法律の年代が示唆するよりも欧州基準に近く、2023 Guidanceはクッキーバナーへの期待をEDPBスタイルの立場と明示的に整合させました。本ガイドでは、Law 1581が何を求めているか、SICがクッキーと行動広告についてどのように解釈してきたか、そしで2026年における実際のコンプライアンス作業がどのようなものかを説明します。

Law 1581の概要

Law 1581はArticle 4の8つの原則を中心に構成されています:適法性、目的、自由、真実性、透明性、制限されたアクセスと流通、安全性、および機密性。Article 9に基づく適法根拠はGDPRよりも紹く、コロンビア法は同意により中心的な役割を与え、他の根拠(契約、公共の利益、生命に関わる利益)を並行する根拠としてではなく例外として扱います。オンライントラッキングの実際的な結果として、同意がほぼ常に運用上の根拠となり、SICは行動クッキーについての正当な利益スタイルの主張をほとんど認めていません。

この法律は、コロンビアに所在する個人の個人データを取り扱うデータ管理者および処理者に適用され、Article 2の域外適用によりコロンビア市場を対象とするオフシェアオペレーターも捕捉されます。SICのRNBDへの登録は定義された閾値を超えると義務付けられ、SICは2016年以降未登録のオペレーターを積極的に追跡してきました。

Law 1581がクッキーとオンライントラッキングをどのように扱うか

Law 1581にはクッキー固有の規定はありません;同意と情報提供の義務はArticles 4、Article 9およびArticle 12および2023 Guidanceから生じます。4つのポイントが最も大きな運用上の影響を持っています。

デフォルトとしての明示的事前同意

2023 Guidanceで再確認されたSICの長年の立場は、非必須トラッキングには明示的事前同意が必要だというものです——コロンビア法は同意基準として「expreso e inequívoco」(明示的かつ曖昧でない)を使用しており、SICはこれをオンラインで厳格に解釈してきました。默示的同意、スクロールによる同意、事前チェック済みボックスは公開された決議で拒否されています。

細分化されたカテゴリと比例原則

ガイダンスは、バナーが訪問者にカテゴリを独立して承認・拒否できるようにすることを期待しています。SICはバンドルされた全て承認をArticle 4(c)の比例原則違反と位置付けています——必要で有益で適切なものが比例性を破ることなく「一度に全て」になることはできません。

デフォルトとしてのスペイン語

SICは、コロンビアの視聴者向けのプライバシー通知と同意バナーはスペイン語で利用可能でなければならず、言語は欧州やその他のラテンアメリカの変種と異なる場合、コロンビアスペイン語の慣習を反映しなければならないことを明確にしています。英語のみのバナーはいくつかのSIC決議で欠陥として引用されています。

国境を越えた移転(Article 26)

Article 26は国際的な移転を規律し、移転先の法域が適切なレベルの保護を提供することを求めています。SICは内容妙性リスト——EUより小さいリスト——を発行しており、リストに欲いていない国への移転には明示的な同意、契約上の保護措置、またはSICからの特定の承認が必要です。米国の広告技術ベンダーにデータを送信するクッキーについては、実際の期待は文書化された契約上の保護措置です。

SICの執行姿勢

SICはラテンアメリカで最も積極的な執行姿勢の一つで運営しています。3つのパターンがそのアプローチを形成しています。

大量制裁の実務

SICは年間数百件の制裁決議を発行し、主要なものを公開しています。その量は、オペレーターが規制上の期待を予測するために使用できる異常なほど豊富な拘束力のある法理を生み出しますが、苦情が届いた際に欠陥が迅速に浮かび上がることも意味します。

RNBD主導の検査

多くのSIC検査はRNBD登録を入口として始まります。未登録または登録が最新でないオペレーターは、比較可能な処理を行う適切に登録されたデータ管理者よりも精査を引き付ける可能性が高くなります。

イベロアメリカの調整

SICはIbero-American Data Protection Network (RIPD)に積極的に参加し、アルゼンチンのAAIP、メキシコのINAI(現在再編成済み)、ブラジルANPD、ウルグアイURCDPおよびチリの改革された制度と調整しています。コロンビアおよびその他のイベロアメリカのトラフィックが関わる境界を越えた事件は、ますます調整された手続きを通じて処理されています。

実践的なコンプライアンスチェックリスト

コロンビアのトラフィックにサービスを提供するクッキーバナーに対して答えるべき6つの具体的な質問。

多法域スタックにおけるコロンビアの位置づけ

コロンビアはブラジル、メキシコ、アルゼンチンと並んで、運用上最も重要な4つのラテンアメリカデータ保護制度の一つです。Law 1581の2012年のビンテージはGDPRより前ですが、SICの積極的な執行と 2023 Guidanceは運用基準を欧州基準と密接に整合させてきました。汎ラテンアメリカ業務に向けて構築している出版社にとって、コロンビアの枚組みはブラジルLGPD、メキシコLFPDPPP、アルゼンチンの改革された制度と自然に組み合わされます——欧州基準に基づいて構築されたCMPアーキテクチャが作業の大部分を処理し、3つのコロンビア固有の追加があります:閾値が適用される場合のRNBD登録、コロンビアスペイン語サポート、およびArticle 26の境界を越えた文書化パターン。GDPR整合基準を中心としたイベロアメリカの収晵が加速しており、コロンビアの成熟した執行経験は、コンプライアンス姿勢が最も直接的に試される地域の法域としています。

← ブログ すべて読む →