Het Juridische Kader

De LFPDPPP staat aan de top van een gelaagd kader. De wet zelf definieert kernprincipes — rechtmatigheid, toestemming, informatie, kwaliteit, doel, getrouwheid, evenredigheid, verantwoordingsplicht — die de Mexicaanse opstellers ontleenden aan de Europese gegevensbeschermingstraditie. Onder de wet vallen de Regelgeving bij de LFPDPPP, die operationele details invult, en de Lineamientos del Aviso de Privacidad (de richtlijnen voor de privacyverklaring), die specificeren wat in een privacyverklaring moet staan en hoe. Samen vormen deze drie teksten het Mexicaanse equivalent van een uniforme privacycode, met de praktische kracht van bindende regelgeving.

Voor online uitgevers zijn de meest consequente bepalingen de toestemmingsregels onder de artikelen 8 tot en met 11 van de wet en de vereisten voor de privacyverklaring die bepalen hoe toestemming wordt gevraagd. Mexicaanse toestemming is gradueel: impliciete toestemming volstaat voor sommige verwerking van gewone persoonsgegevens wanneer een correcte kennisgeving is gegeven, maar uitdrukkelijke toestemming is vereist voor gevoelige gegevens en voor elke verwerking waar de wet dit specifiek vereist. De interpretatieve vraag voor cookiebanners is welk van deze regimes van toepassing is op gedrags- en advertentiecookies.

Hoe de Mexicaanse Wet Cookies en Online Identifiers Behandelt

In tegenstelling tot de ePrivacy-richtlijn van de EU bevat de LFPDPPP geen cookie-specifieke bepaling. In plaats daarvan behandelt het kader online identifiers als persoonsgegevens wanneer zij gekoppeld kunnen worden aan een identificeerbaar individu, en de toestemmingsverplichtingen vloeien voort uit het algemene kader in plaats van uit een specifieke cookieregel. INAI-richtlijnen hebben verduidelijkt dat:

• First-party cookies die strikt noodzakelijk zijn voor de werking van de site geen voorafgaande toestemming vereisen, maar hun aanwezigheid moet worden vermeld in de privacyverklaring.
• Analytische cookies over het algemeen geïnformeerde toestemming vereisen, waarbij impliciete toestemming acceptabel is wanneer de privacyverklaring duidelijk toegankelijk is voordat er gegevens worden verzameld.
• Advertentie- en gedragscookies uitdrukkelijke toestemming vereisen, met name wanneer de gegevens worden gedeeld met derden of worden gebruikt voor cross-site tracking.
• Cookies die gevoelige gegevens vastleggen — gezondheid, seksuele geaardheid, religieuze overtuiging, politieke mening — vereisen uitdrukkelijke toestemming ongeacht de categorie.

Het praktische gevolg is dat een conforme Mexicaanse cookiebanner ten minste onderscheid moet maken tussen noodzakelijke, analytische en advertentiecategorieën, met bevestigende opt-in vereist voor advertenties en duidelijke kennisgeving voor analytics.

De Privacyverklaring als Compliance-Anker

De Mexicaanse privacywetgeving is op een manier kennisgevingsgericht die afwijkt van de Europese traditie. De privacyverklaring — aviso de privacidad — is niet alleen een transparantiedocument; het is het juridische instrument waarmee toestemming wordt gestructureerd. De Lineamientos del Aviso de Privacidad vereisen dat de kennisgeving specifieke elementen bevat, en elke cookiebanner moet consistent zijn met de onderliggende kennisgeving in plaats van te proberen alles samen te persen in een banner-pop-up.

Vereiste kennisgevingselementen

De kennisgeving moet de verwerkingsverantwoordelijke identificeren, de verzamelde persoonsgegevens vermelden, de doeleinden van de verwerking beschrijven, specificeren of gegevens aan derden worden doorgegeven, de rechten van de betrokkene identificeren (acceso, rectificación, cancelación, oposición — de zogenoemde ARCO-rechten), en beschrijven hoe deze rechten kunnen worden uitgeoefend. Voor een online uitgever moet de cookiebanner fungeren als een gelaagde toegangspoort tot de volledige kennisgeving, niet als vervanging ervan.

Kort, vereenvoudigd, integraal

De regelgeving erkent drie kennisgevingsformaten: integraal (volledig), vereenvoudigd en kort. Een cookiebanner presenteert typisch de korte of vereenvoudigde kennisgeving met een duidelijk pad naar de integrale versie. De cookiecategorieën en toestemmingsschakelaars bevinden zich binnen deze gelaagde structuur.

De INAI-Hervorming en Wat Volgt

Eind 2024 voerde de Mexicaanse regering een hervorming door die de federale gegevensbeschermingsfunctie herstructureert — het autonome INAI wordt opgenomen in een nieuwe institutionele opzet onder de uitvoerende macht. Het juridische kader (LFPDPPP, regelgeving, lineamientos) blijft van kracht, maar de continuïteit van het toezicht is de open vraag. Voor uitgevers is de voorzichtige houding om aan te nemen dat de materiële standaarden constant blijven, terwijl de handhavingsintensiteit onzeker is in de overgangsperiode. Bouwen volgens de standaarden die INAI vóór de hervorming had geformuleerd — granulaire categorieën, uitdrukkelijke opt-in voor advertenties, volledige ondersteuning van ARCO-rechten, accurate aviso de privacidad — is de juiste strategie ongeacht hoe de toezichtarchitectuur zich stabiliseert.

Een Praktische Compliance-Checklist

Zes concrete vragen om te beantwoorden voor elke cookiebanner die Mexicaans verkeer bedient.

1. Categorisatie

Verdeelt de banner cookies ten minste in noodzakelijke, analytische en advertentiecategorieën, met bevestigende opt-in voor advertenties? Het bundelen van alle niet-essentiële cookies onder één enkele "Alles accepteren"-knop zonder granulariteit is het meest voorkomende gebrek.

2. Koppeling met privacyverklaring

Linkt de banner naar de volledige privacyverklaring, en bevat die kennisgeving elk vereist element (verwerkingsverantwoordelijke, gegevens, doeleinden, doorgiften, ARCO-rechten)? Een banner zonder een naar behoren opgestelde achterliggende kennisgeving is een dun complianceoppervlak.

3. Spaans (Mexicaans) taal

Wordt de banner gepresenteerd in het Spaans, en gebruikt deze Mexicaans-Spaanse conventies waar deze afwijken van het Europees Spaans? Het juiste taalkundige register signaleert serieusheid aan zowel gebruikers als toezichthouders.

4. Intrekkingspad

Is er een persistente controle waarmee de gebruiker zijn toestemmingskeuze opnieuw kan bekijken en wijzigen? Het recht om in te trekken maakt deel uit van het "oposición"-recht van ARCO en de banner moet dit accommoderen.

5. Openbaarmaking van overdrachten aan derden

Identificeert de kennisgeving de categorieën van derden die persoonsgegevens ontvangen via cookies (advertentienetwerken, analyticsproviders, CDP's), met voldoende detail zodat de gebruiker de gegevensstroom kan begrijpen?

6. Logging

Registreert het systeem elke toestemmingsbeslissing met tijdstempel en bannerversie, zodat de uitgever in geval van een klacht kan aantonen dat de beslissing vrij en geïnformeerd is gegeven?

Hoe Dit Past in het Latijns-Amerikaanse Beeld

Mexico is na Brazilië de op een na grootste digitale markt in Latijns-Amerika, en zijn gegevensbeschermingsregime is een van de meest invloedrijke in de regio. Het hervormingsdebat dat nu gaande is, zal de interpretatieve richting nog jaren bepalen, maar de materiële standaarden zijn stabiel: kennisgevingsgericht, gebaseerd op ARCO-rechten, granulaire toestemming voor advertenties, volledige openbaarmaking van overdrachten aan derden. Uitgevers die in heel Latijns-Amerika opereren, profiteren van eenmalig bouwen volgens de hogere norm — Argentinië's hervormde kader, Brazilië's LGPD, Chili's hervormde wet en Colombia's aanhangige wetsvoorstel convergeren allemaal op vergelijkbare basisverwachtingen. Een CMP die Mexicaans Spaans ondersteunt, toestemming op categorieniveau vastlegt, schoon koppelt aan een volledige aviso de privacidad en beslissingen in audit-grade vorm logt, regelt Mexicaanse compliance via dezelfde infrastructuur die regionale compliance regelt.