Panduan Pematuhan Persetujuan Kuki Undang-Undang Colombia 1581 Tahun 2012 untuk Penerbit pada 2026
Undang-Undang Statutori Colombia 1581 Tahun 2012, dilengkapi oleh Decree 1377 Tahun 2013 dan disatukan ke dalam Decree 1074 Tahun 2015, mewujudkan salah satu rangka kerja privasi komprehensif terawal di Amerika Latin. Superintendencia de Industria y Comercio (SIC) adalah pihak berkuasa perlindungan data, dan Delegatura para la Protección de Datos Personales telah menjadi penguatkuasa yang luar biasa aktif berbanding garis asas Amerika Latin yang lebih luas. Selama lebih dari satu dekad, SIC telah mengeluarkan ribuan sanksi, mengumpul doktrin mengikat melalui resolusi dan pendapat konsep, serta membina rejim pendaftaran — Registro Nacional de Bases de Datos (RNBD) — yang merangkumi kebanyakan penerbit dalam talian yang disokong iklan. Bagi pengendali yang melayani trafik Colombia, standard operasional lebih hampir dengan norma Eropah berbanding apa yang mungkin dicadangkan oleh tahun 2012 undang-undang tersebut, dan 2023 SIC Guidance tentang Penjejakan Dalam Talian telah menyelaraskan jangkaan sepanduk kuki secara eksplisit dengan kedudukan gaya EDPB. Panduan ini menelusuri apa yang dikehendaki oleh Law 1581, bagaimana SIC mentafsirkannya untuk kuki dan pengiklanan tingkah laku, serta bagaimana kerja pematuhan praktikal kelihatan pada tahun 2026.
Law 1581 dalam Garis Besar
Law 1581 berstruktur di sekitar lapan prinsip dalam Article 4: kesahihan, tujuan, kebebasan, kebenaran, ketelusan, akses dan peredaran terhad, keselamatan, dan kerahsiaan. Asas sah di bawah Article 9 lebih sempit daripada GDPR — undang-undang Colombia memberikan peranan yang lebih penting kepada persetujuan dan menganggap asas lain (kontrak, kepentingan awam, kepentingan penting) sebagai pengecualian bukan sebagai asas selari. Untuk penjejakan dalam talian, akibat praktikal adalah bahawa persetujuan hampir selalu menjadi asas operatif, dan SIC jarang menerima hujah bergaya kepentingan sah untuk kuki tingkah laku.
Undang-undang ini terpakai kepada pengawal dan pemproses data yang mengendalikan data peribadi individu yang berada di Colombia, dengan jangkauan ekstrateritorial di bawah Article 2 yang merangkumi pengendali luar pesisir yang menyasarkan pasaran Colombia. Pendaftaran dengan RNBD SIC adalah wajib di atas ambang yang ditetapkan, dan SIC telah kelihatan dalam menyasar pengendali yang tidak berdaftar sejak 2016.
Cara Law 1581 Mengendalikan Kuki dan Penjejakan Dalam Talian
Law 1581 tidak mengandungi peruntukan khusus kuki; kewajipan persetujuan dan maklumat mengalir daripada Articles 4, 9, dan 12 undang-undang dan daripada 2023 SIC Guidance tentang Penjejakan Dalam Talian. Empat perkara mempunyai impak operasional paling besar.
Persetujuan terlebih dahulu yang ekspres sebagai lalai
Pendirian lama SIC, yang ditegaskan semula dalam 2023 Guidance, adalah bahawa penjejakan bukan penting memerlukan persetujuan terlebih dahulu yang ekspres — undang-undang Colombia menggunakan “expreso e inequívoco” (ekspres dan tidak samar-samar) sebagai standard persetujuan, dan SIC telah membacanya dengan ketat dalam talian. Persetujuan tersirat, tatal-sebagai-persetujuan, dan kotak pra-ditanda telah ditolak dalam resolusi yang diterbitkan.
Kategori terperinci dan prinsip keseimbangan
Panduan ini mengharapkan sepanduk membenarkan pelawat untuk menerima dan menolak kategori secara bebas. SIC menganggap penerimaan semua yang digabungkan sebagai pelanggaran prinsip keseimbangan dalam Article 4(c) — perlu, berguna, dan mencukupi tidak boleh menjadi “semua sekaligus” tanpa melanggar keseimbangan.
Bahasa Sepanyol sebagai lalai
SIC telah secara eksplisit menyatakan bahawa notis privasi dan sepanduk persetujuan untuk khalayak Colombia mesti tersedia dalam bahasa Sepanyol, dan bahawa bahasa tersebut mesti mencerminkan konvensyen bahasa Sepanyol Colombia di mana ia berbeza daripada varian Eropah atau Amerika Latin lain. Sepanduk hanya bahasa Inggeris telah disebut sebagai kecacatan dalam beberapa resolusi SIC.
Pemindahan rentas sempadan (Article 26)
Article 26 mengawal pemindahan antarabangsa dan memerlukan bidang kuasa destinasi untuk menyediakan tahap perlindungan yang mencukupi. SIC telah mengeluarkan senarai kecukupan — senarai yang lebih kecil daripada senarai EU — dan pemindahan ke negara yang tidak disenaraikan memerlukan persetujuan eksplisit, perlindungan kontraktual, atau kebenaran khusus daripada SIC. Untuk kuki yang menghalakan data kepada vendor ad-tech AS, jangkaan praktikal adalah perlindungan kontraktual yang didokumentasikan.
Pendirian Penguatkuasaan SIC
SIC beroperasi dengan salah satu pendirian penguatkuasaan paling aktif di Amerika Latin. Tiga corak membentuk pendekatannya.
Amalan sanksi bervolum tinggi
SIC mengeluarkan ratusan resolusi sanksi setiap tahun dan menerbitkan yang utama. Volum ini mewujudkan korpus doktrin mengikat yang luar biasa kaya yang boleh digunakan oleh pengendali untuk meramalkan jangkaan kawal selia — tetapi ia juga bermakna kecacatan muncul dengan cepat apabila aduan tiba.
Pemeriksaan didorong RNBD
Banyak pemeriksaan SIC bermula dengan pendaftaran RNBD sebagai titik masuk. Pengendali yang tidak mendaftar, atau yang pendaftarannya tidak terkini, lebih berkemungkinan menarik pengawasan berbanding pengawal yang berdaftar dengan betul dengan pemprosesan yang setanding.
Penyelarasan Ibero-Amerika
SIC mengambil bahagian secara aktif dalam Ibero-American Data Protection Network (RIPD) dan menyelaras dengan AAIP Argentina, INAI Mexico (kini disusun semula), ANPD Brazil, URCDP Uruguay, dan rejim yang diperbaharui Chile. Kes rentas sempadan yang melibatkan trafik Colombia dan Ibero-Amerika lain semakin ditangani melalui prosedur yang diselaraskan.
Senarai Semak Pematuhan Praktikal
Enam soalan konkrit untuk dijawab bagi mana-mana sepanduk kuki yang melayani trafik Colombia.
- Adakah pengawal berdaftar RNBD? Jika pemprosesan melepasi ambang pendaftaran, sahkan pendaftaran adalah terkini. Pemeriksaan SIC sering bermula di sini.
- Adakah persetujuan ekspres dan terlebih dahulu? Laluan tolak mesti berada pada permukaan yang sama dengan terima; tatal-sebagai-persetujuan gagal memenuhi 2023 Guidance.
- Adakah kategori terperinci? Perlu, analitik, dan pemasaran mesti boleh dikawal secara berasingan.
- Adakah bahasa Sepanyol Colombia? Sahkan sepanduk dan notis privasi menggunakan konvensyen bahasa Sepanyol Colombia dan bukan hanya bahasa Inggeris.
- Adakah pemindahan rentas sempadan didokumentasikan? Untuk setiap destinasi bukan Colombia, kenalpasti sama ada bidang kuasa tersenarai dalam senarai kecukupan SIC, atau dokumentasikan perlindungan kontraktual yang membenarkan pemindahan.
- Adakah pengelogan persetujuan pada tahap audit? Penyiasatan SIC kerap meminta rekod persetujuan; cap masa, versi sepanduk, dan pilihan mesti boleh dipulihkan.
Di Mana Colombia Sesuai dalam Tindanan Berbilang Bidang Kuasa
Colombia adalah salah satu daripada empat rejim perlindungan data Amerika Latin yang paling berkesan secara operasional bersama Brazil, Mexico, dan Argentina. Versi tahun 2012 Law 1581 mendahului GDPR tetapi penguatkuasaan aktif SIC dan 2023 Guidance telah menyelaraskan standard operasional dengan rapat kepada norma Eropah. Untuk penerbit yang membina operasi pan-Amerika Latin, rangka kerja Colombia dipasangkan secara semula jadi dengan LGPD Brazil, LFPDPPP Mexico, dan rejim yang diperbaharui Argentina — seni bina CMP yang dibina mengikut standard Eropah mengendalikan sebahagian besar kerja, dengan tiga tambahan khusus Colombia: pendaftaran RNBD di mana ambang terpakai, sokongan bahasa Sepanyol Colombia, dan corak dokumentasi rentas sempadan Article 26. Penumpuan Ibero-Amerika di sekitar standard sejajar GDPR semakin pesat, dan pengalaman penguatkuasaan matang Colombia menjadikannya bidang kuasa serantau di mana pendirian pematuhan paling langsung diuji.