Argentijnse hervorming van gegevensbescherming: een nalevingsgids voor cookietoestemming voor uitgevers
Argentinië heeft een van de oudere gegevensbeschermingsregimes in Latijns-Amerika. Ley 25.326, de Wet Bescherming Persoonsgegevens van het land, werd aangenomen in 2000 en bezorgde Argentinië in 2003 het adequaatheidsbesluit van de Europese Commissie — een status die twee decennia Latijns-Amerikaans privacyrecht heeft gevormd. Dat regime wordt nu gemoderniseerd. Een hervormingswetsvoorstel, ingediend door de Agencia de Acceso a la Información Pública (AAIP) en besproken in het Congres sinds 2023, zou Ley 25.326 veel nauwer aansluiten op de GDPR: expliciete toestemmingsnormen, scherpere regels voor grensoverschrijdende overdrachten, specifieke verplichtingen voor verwerkers en betekenisvolle administratieve boetes. Voor uitgevers die in Argentinië actief zijn of persoonsgegevens van Argentijnse inwoners verwerken, hervormt de wet hoe cookietoestemming moet worden verkregen, geregistreerd en aangetoond. Deze gids vat samen wat er verandert en wat er gedaan moet worden.
De juridische achtergrond
Ley 25.326 werd geschreven voordat gedragsgerichte reclame op grote schaal bestond. De toestemmingsnorm vereiste voorafgaande, uitdrukkelijke en geïnformeerde toestemming, maar de praktische interpretatie door de AAIP was historisch gezien minder voorschrijvend dan Europese toezichthouders hebben toegepast. Cookies, trackingpixels en doelgroepopbouwtools hebben in Argentinië geopereerd onder een relatief permissief interpretatief regime, waarbij handhaving zich richtte op flagrante gevallen in plaats van op systematisch bannerontwerp.
De hervorming verandert de operationele omgeving op drie structurele manieren. Ten eerste verscherpt ze de definitie van toestemming om de GDPR Article 4(11)-taal te volgen — vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig. Ten tweede neemt ze een expliciet verantwoordelijkheidsbeginsel aan dat vereist dat verwerkingsverantwoordelijken naleving kunnen aantonen, niet slechts beweren. Ten derde verhoogt ze de maximale administratieve boete tot een niveau dat evenredig is aan de omzet van de organisatie, wat de handhavingscalculatie voor internationale platforms materieel verandert.
Wat telt als toestemming onder de hervormde norm
De hervormde tekst, in de versie die het meest recentelijk voor het Congres lag, weerspiegelt het Europese begrip van toestemming op belangrijke punten. Vooraf aangevinkte vakjes vormen geen toestemming. Voortgezet gebruik van een website vormt geen toestemming. Het bundelen van toestemming voor niet-gerelateerde doeleinden — bijvoorbeeld het behandelen van de aanvaarding van servicevoorwaarden als toestemming voor gedragsgerichte reclame — vormt geen toestemming. De AAIP heeft in workshops en consultaties aangegeven van plan te zijn de hervormde norm te interpreteren met verwijzing naar het richtsnoerencorpus van de EDPB, wat betekent dat Argentijnse uitgevers kunnen verwachten dat de handhaving van cookiebanners convergeert op dezelfde zes faalmodi die de EDPB Cookie Banner Taskforce heeft gedocumenteerd: ontbrekende weigerknopjes, misleidend linkontwerp, vooraf aangevinkte categorieën, verkeerd gelabelde cookies, ontbrekende intrekkingsmechanismen en donkere patronen met drukonwerp.
De praktische implicatie voor cookiebanners in Argentinië is dat het ontwerp dat EU-toetsing doorstaat, ook Argentijnse toetsing onder de hervorming zal doorstaan. Omgekeerd kan een banner die in Argentinië heeft geopereerd onder de oude, lichtere interpretatie substantieel herontwerp nodig hebben voordat de hervormde wet in werking treedt.
Grensoverschrijdende gegevensoverdrachten
Een van de meest ingrijpende wijzigingen in de hervorming is de behandeling van internationale gegevensoverdrachten. Onder Ley 25.326 zoals oorspronkelijk aangenomen vereisten overdrachten naar landen zonder adequate bescherming ofwel specifieke toestemming of een contractuele waarborg, maar de regels waren summier en de AAIP had beperkte handhavingscapaciteit. De hervorming introduceert een gelaagd kader dat parallel loopt met Hoofdstuk V van de GDPR: overdrachten zijn toegestaan naar landen die de AAIP als adequaat aanwijst; bij gebrek aan adequaatheid vereisen overdrachten goedgekeurde instrumenten zoals bindende bedrijfsregels, door de AAIP goedgekeurde standaardcontractbepalingen of specifieke afwijkingen.
Voor uitgevers die Argentijns verkeer via Amerikaanse, Europese of Aziatische advertentietechnologieleveranciers leiden, is de praktische consequentie dat het cookietoestemmingsrecord nu ook een overdrachtverantwoordingsverplichting moet ondersteunen. De CMP moet voor elke bezoeker kunnen aantonen welke categorieën leveranciers hun persoonsgegevens hebben ontvangen en op grond van welk overdrachts instrument. Dit is dezelfde verantwoordingsarchitectuur die Europese uitgevers voor de GDPR hebben opgebouwd, toegepast op Argentijns verkeer.
De rol van de AAIP
De Agencia de Acceso a la Información Pública is de Argentijnse gegevensbeschermingsautoriteit. Opgericht in 2017 bij Decreto 746/2017, consolideert ze het toezicht op zowel de gegevensbescherming als de openbaarheid van bestuur. Onder het huidige recht zijn haar handhavingsbevoegdheden bescheiden; de hervorming versterkt deze aanzienlijk.
Onderzoeksbevoegdheden
De hervorming verleent de AAIP uitgebreide bevoegdheden om documentproductie af te dwingen, inspecties uit te voeren en voorlopige maatregelen op te leggen tijdens onderzoeken. Voor online uitgevers zal dit hoogstwaarschijnlijk tot uiting komen als verzoeken om toestemmingslogboeken, leverancierslijsten en bannercodeoverzichten voor specifieke datumbereiken.
Sanctieregime
Maximale administratieve boetes onder de hervormde tekst zijn gekoppeld aan een percentage van de jaarlijkse omzet, gemaximeerd op een hoog absoluut plafond. Dit is een betekenisvolle verschuiving ten opzichte van het huidige regime met vaste bedragen en brengt Argentinië in lijn met de gelaagde boetestructuur van de GDPR.
Coördinatie met Latijns-Amerikaanse collega's
De AAIP is een actieve deelnemer aan het Ibero-Amerikaans netwerk voor gegevensbescherming. Van herziene Argentijnse richtlijnen wordt verwacht dat ze invloed uitoefenen op — en beïnvloed worden door — de ANPD van Brazilië, de INAI van Mexico, het hervormde regime van Chili en de URCDP van Uruguay. Uitgevers die in de hele regio actief zijn, kunnen convergentie op toestemmingsnormen verwachten binnen 24 tot 36 maanden.
Wat uitgevers nu moeten doen
De hervorming is in wetgevend proces, nog niet van kracht. De conservatieve houding is om nu te bouwen naar de hogere norm, in de veronderstelling dat inwerkingtreding plaatsvindt binnen 12 tot 18 maanden. Vijf operationele stappen maken de overgang beheersbaar.
- Auditeer de huidige banner aan de hand van de criteria van de EDPB-taskforce. Als hij een van de zes veelvoorkomende faalmodi niet doorstaat, zal dezelfde banner ook niet voldoen aan de hervormde Argentijnse norm zodra die van kracht wordt. Herstel nu vermijdt herwerk later.
- Voeg Spaanstalige banner- en beleidsversies toe. Argentijns Spaans (es-AR) is de primaire gebruikersgerichte taal; zorg dat de CMP dit native ondersteunt, niet alleen generiek Spaans.
- Koppel de leverancierslijst aan overdrachts instrumenten. Documenteer voor elke advertentietechnologie-, analyse- of marketingleverancier die Argentijnse persoonsgegevens ontvangt het overdrachts instrument: adequaatheid, standaardcontractbepalingen, bindende bedrijfsregels of afwijking.
- Configureer toestemmingslogging met regionale granulariteit. Toestemmingslogboeken moeten het herkomstland van de bezoeker vastleggen (afgeleid van het IP-adres op het moment van bannerdisplay) zodat een AAIP-onderzoek beantwoord kan worden met op land gefilterd bewijs.
- Wijs een contactpunt aan voor AAIP-correspondentie. Veel internationale uitgevers zijn actief in Argentinië zonder formele lokale vertegenwoordiger; de hervorming maakt het aanwijzen van een contactpunt voor de toezichthoudende autoriteit een praktische noodzaak.
Verder dan cookiebanners
De Argentijnse hervorming is breder dan cookietoestemming. Ze herziet de tijdlijnen voor dataleknotificaties, introduceert specifieke beschermingen voor gevoelige datacategorieën en creëert nieuwe verplichtingen rondom geautomatiseerde besluitvorming. Voor uitgevers is de cookiebanner het meest zichtbare nalevingsoppervlak, maar niet het enige. Dezelfde CMP-infrastructuur die cookietoestemming registreert, is goed gepositioneerd om andere toestemmingsbeslissingen vast te leggen — communicatietoestemming, toestemming voor het delen van gegevens met retailmediapartners, toestemming voor personalisatiefuncties — en de verantwoordingsvereiste van de AAIP geldt voor al deze zaken.
De hervorming weerspiegelt een breder patroon: Latijns-Amerika beweegt zich richting GDPR-conforme normen, met nationale implementaties aangepast aan lokale rechtstraditities. Uitgevers die nu een regio-agnostische toestemmingsstack bouwen — een die granulaire doelspecifieke toestemming registreert, meerdere talen en datumopmaak ondersteunt, beslissingen vastlegt in een auditgeschikt formaat en integreert met overdrachts documentatie — behandelen Argentijnse, Braziliaanse, Mexicaanse en Chileense naleving via dezelfde operationele pipeline. De kosten van bouwen voor één jurisdictie en vervolgens aanpassen voor de volgende zijn historisch gezien hoger geweest dan de kosten van bouwen voor de regionale norm vanaf het begin.