Handleiding voor naleving van cookietoestemming onder de Colombiaanse wet 1581 van 2012 voor uitgevers in 2026

De Colombiaanse Wet 1581 van 2012, aangevuld door Decree 1377 van 2013 en geconsolideerd in Decree 1074 van 2015, vestigde een van de vroegste uitgebreide privacykaders in Latijns-Amerika. De Superintendencia de Industria y Comercio (SIC) is de gegevensbeschermingsautoriteit, en haar Delegatura para la Protección de Datos Personales is een ongewoon actieve handhaver geweest ten opzichte van de bredere Latijns-Amerikaanse basislijn. Gedurende meer dan een decennium heeft de SIC duizenden sancties opgelegd, een corpus van bindende doctrine opgebouwd via resoluties en conceptuele adviezen, en een registratieregime gebouwd — het Registro Nacional de Bases de Datos (RNBD) — dat de meeste door advertenties ondersteunde online uitgevers omvat. Voor operators die Colombiaans verkeer bedienen, ligt de operationele standaard dichter bij Europese normen dan de vintage van 2012 van de wet zou suggereren, en de 2023 SIC Guidance over Online Tracking heeft de verwachtingen voor cookiebanners expliciet afgestemd op EDPB-stijlstandpunten. Deze handleiding doorloopt wat Law 1581 vereist, hoe de SIC dit heeft geïnterpreteerd voor cookies en gedragsreclame, en hoe praktisch nalevingswerk er in 2026 uitziet.

Law 1581 in Overzicht

Law 1581 is gestructureerd rond acht beginselen in Article 4: rechtmatigheid, doel, vrijheid, waarheidsgetrouwheid, transparantie, beperkte toegang en circulatie, veiligheid en vertrouwelijkheid. De rechtmatige grondslagen onder Article 9 zijn beperkter dan de GDPR — het Colombiaanse recht geeft toestemming een centralere rol en behandelt andere grondslagen (overeenkomst, openbaar belang, vitale belangen) als uitzonderingen in plaats van als parallelle grondslagen. Voor online tracking is de praktische consequentie dat toestemming bijna altijd de operationele grondslag is, en de SIC heeft zelden argumenten in de stijl van gerechtvaardigd belang voor gedragscookies geaccepteerd.

De wet is van toepassing op gegevensbeheerders en -verwerkers die persoonsgegevens verwerken van personen die zich in Colombia bevinden, met extraterritoriale werking onder Article 2 die offshore operators omvat die zich richten op de Colombiaanse markt. Registratie bij de RNBD van de SIC is verplicht boven gedefinieerde drempelwaarden, en de SIC is zichtbaar bezig geweest met het aanpakken van niet-geregistreerde operators sinds 2016.

Hoe Law 1581 Cookies en Online Tracking Behandelt

Law 1581 bevat geen cookiespecifieke bepaling; de toestemmings- en informatieverplichtingen vloeien voort uit Articles 4, 9 en 12 van de wet en uit de 2023 SIC Guidance over Online Tracking. Vier punten hebben de grootste operationele impact.

Uitdrukkelijke voorafgaande toestemming als standaard

Het langdurige standpunt van de SIC, herbevestigd in de 2023 Guidance, is dat niet-essentiële tracking uitdrukkelijke voorafgaande toestemming vereist — het Colombiaanse recht gebruikt “expreso e inequívoco” (uitdrukkelijk en ondubbelzinnig) als toestemmingsstandaard, en de SIC heeft dit online strikt uitgelegd. Impliciete toestemming, scrollen-als-toestemming en vooraf aangevinkte vakjes zijn afgewezen in gepubliceerde resoluties.

Gedetailleerde categorieën en het evenredigheidsbeginsel

De Guidance verwacht dat banners de bezoeker in staat stellen categorieën onafhankelijk te accepteren en te weigeren. De SIC beschouwt gebundeld alles-accepteren als een schending van het evenredigheidsbeginsel in Article 4(c) — noodzakelijk, nuttig en adequaat kan niet “alles tegelijk” worden zonder de evenredigheid te schenden.

Spaans als standaardtaal

De SIC heeft expliciet gemaakt dat privacykennisgevingen en toestemmingsbanners voor Colombiaanse doelgroepen beschikbaar moeten zijn in het Spaans, en dat de taal Colombiaanse Spaanse conventies moet weerspiegelen waar deze afwijken van Europese of andere Latijns-Amerikaanse varianten. Banners alleen in het Engels zijn in meerdere SIC-resoluties aangemerkt als gebreken.

Grensoverschrijdende overdracht (Article 26)

Article 26 regelt internationale overdrachten en vereist dat de bestemmingsjurisdictie een adequaat beschermingsniveau biedt. De SIC heeft een adequaatheidslijst uitgebracht — een kleinere lijst dan die van de EU — en overdrachten naar niet-opgenomen landen vereisen uitdrukkelijke toestemming, contractuele waarborgen of een specifieke machtiging van de SIC. Voor cookies die gegevens doorsturen naar Amerikaanse ad-tech-verkopers, is de praktische verwachting gedocumenteerde contractuele waarborgen.

De Handhavingshouding van de SIC

De SIC opereert met een van de meest actieve handhavingshoudingen in Latijns-Amerika. Drie patronen bepalen haar aanpak.

Praktijk van sancties met hoog volume

De SIC geeft honderden sanctieresoluties per jaar uit en publiceert de belangrijkste. Het volume creëert een ongewoon rijk corpus van bindende doctrine dat operators kunnen gebruiken om regulatoire verwachtingen te voorspellen — maar het betekent ook dat gebreken snel aan de oppervlakte komen wanneer klachten binnenkomen.

RNBD-gestuurde inspecties

Veel SIC-inspecties beginnen met de RNBD-registratie als toegangspunt. Een operator die zich niet heeft geregistreerd, of wiens registratie niet actueel is, is meer geneigd om aandacht te trekken dan een correct geregistreerde beheerder met vergelijkbare verwerking.

Ibero-Amerikaans overleg

De SIC neemt actief deel aan het Ibero-American Data Protection Network (RIPD) en coördineert met Argentinië's AAIP, Mexico's INAI (nu geherstructureerd), Brazilië's ANPD, Uruguay's URCDP en het hervormde regime van Chili. Grensoverschrijdende gevallen met Colombiaans en ander Ibero-Amerikaans verkeer worden steeds vaker afgehandeld via gecoördineerde procedures.

Een Praktische Nalevingscontrolelijst

Zes concrete vragen om te beantwoorden voor elke cookiebanner die Colombiaans verkeer bedient.

Waar Colombia Past in een Meervoudige Jurisdictiestapel

Colombia is een van de vier meest operationeel consequente Latijns-Amerikaanse gegevensbeschermingsregimes, naast Brazilië, Mexico en Argentinië. De vintage van 2012 van Law 1581 dateert van vóór de GDPR, maar de actieve handhaving van de SIC en de 2023 Guidance hebben de operationele standaard nauw afgestemd op Europese normen. Voor uitgevers die pan-Latijns-Amerikaanse operaties opbouwen, past het Colombiaanse kader van nature bij Brazilië's LGPD, Mexico's LFPDPPP en het hervormde regime van Argentinië — een CMP-architectuur gebouwd op Europese normen behandelt het grootste deel van het werk, met drie Colombia-specifieke toevoegingen: RNBD-registratie waar drempelwaarden van toepassing zijn, ondersteuning voor Colombiaans Spaans en het grensoverschrijdende documentatiepatroon van Article 26. De Ibero-Amerikaanse convergentie rond GDPR-afgestemde normen versnelt, en Colombia's volwassen handhavingservaring maakt het de regionale jurisdictie waar de nalevingshouding het meest direct wordt getest.

← Blog Alles lezen →