Przewodnik po zgodności z wymogami zgody na pliki cookie na podstawie kolumbijskiej ustawy 1581 z 2012 roku dla wydawców w 2026 roku

Kolumbijska ustawa statutowa 1581 z 2012 roku, uzupełniona Decree 1377 z 2013 roku i skonsolidowana w Decree 1074 z 2015 roku, ustanowiła jeden z najwcześniejszych kompleksowych ram prawnych dotyczących prywatności w Ameryce Łacińskiej. Superintendencia de Industria y Comercio (SIC) jest organem ochrony danych, a jej Delegatura para la Protección de Datos Personales była wyjątkowo aktywnym egzekutorem w porównaniu z szerszą latynoamerykańską linią bazową. Przez ponad dekadę SIC wydała tysiące sankcji, zgromadziła korpus wiążącej doktryny poprzez rezolucje i opinie konceptualne oraz zbudowała reżim rejestracyjny — Registro Nacional de Bases de Datos (RNBD) — który obejmuje większość wydawców internetowych wspieranych reklamami. Dla operatorów obsługujących ruch kolumbijski standard operacyjny jest bliższy normom europejskim, niż mogłaby sugerować data z 2012 roku, a wytyczne SIC z 2023 roku dotyczące śledzenia online wyraźnie dostosowały oczekiwania dotyczące banerów plików cookie do stanowisk w stylu EDPB. Niniejszy przewodnik omawia wymagania ustawy Law 1581, sposób jej interpretacji przez SIC w odniesieniu do plików cookie i reklamy behawioralnej oraz jak wygląda praktyczna praca związana ze zgodnością w 2026 roku.

Ustawa Law 1581 w Zarysie

Ustawa Law 1581 jest skonstruowana wokół ośmiu zasad zawartych w Article 4: legalność, cel, wolność, prawdziwość, przejrzystość, ograniczony dostęp i obieg, bezpieczeństwo i poufność. Podstawy prawne na mocy Article 9 są węższe niż w GDPR — prawo kolumbijskie przyznaje zgodzie bardziej centralną rolę i traktuje inne podstawy (umowę, interes publiczny, żywotne interesy) jako wyjątki, a nie podstawy równoległe. W przypadku śledzenia online praktyczna konsekwencja jest taka, że zgoda jest prawie zawsze operacyjną podstawą, a SIC rzadko akceptowała argumenty w stylu uzasadnionego interesu dla behawioralnych plików cookie.

Ustawa ma zastosowanie do administratorów i podmiotów przetwarzających dane, które obsługują dane osobowe osób przebywających w Kolumbii, z zasięgiem eksterytorialnym na mocy Article 2 obejmującym operatorów zagranicznych, którzy kierują się do rynku kolumbijskiego. Rejestracja w RNBD SIC jest obowiązkowa powyżej określonych progów, a SIC jest widoczna w ściganiu niezarejestrowanych operatorów od 2016 roku.

Jak Ustawa Law 1581 Traktuje Pliki Cookie i Śledzenie Online

Ustawa Law 1581 nie zawiera przepisu specyficznego dla plików cookie; obowiązki dotyczące zgody i informacji wynikają z Articles 4, 9 i 12 ustawy oraz z wytycznych SIC z 2023 roku dotyczących śledzenia online. Cztery punkty mają największy wpływ operacyjny.

Wyraźna uprzednia zgoda jako wartość domyślna

Utrwalone stanowisko SIC, potwierdzone w wytycznych z 2023 roku, jest takie, że nieistotne śledzenie wymaga wyraźnej uprzedniej zgody — prawo kolumbijskie używa “expreso e inequívoco” (wyraźnej i jednoznacznej) jako standardu zgody, a SIC interpretowała to rygorystycznie online. Dorozumiana zgoda, przewijanie-jako-zgoda i wstępnie zaznaczone pola zostały odrzucone w opublikowanych rezolucjach.

Szczegółowe kategorie i zasada proporcjonalności

Wytyczne oczekują, że banery pozwolą odwiedzającemu niezależnie akceptować i odrzucać kategorie. SIC definiuje zbundlowane zaakceptuj-wszystko jako naruszenie zasady proporcjonalności w Article 4(c) — niezbędne, użyteczne i adekwatne nie może stać się “wszystkim naraz” bez naruszenia proporcjonalności.

Język hiszpański jako wartość domyślna

SIC wyraźnie stwierdziła, że informacje o prywatności i banery zgody dla odbiorców kolumbijskich muszą być dostępne w języku hiszpańskim i że język musi odzwierciedlać konwencje kolumbijskiego języka hiszpańskiego tam, gdzie różnią się one od wariantów europejskich lub innych latynoamerykańskich. Banery tylko w języku angielskim były wskazywane jako wady w kilku rezolucjach SIC.

Transfer transgraniczny (Article 26)

Article 26 reguluje transfery międzynarodowe i wymaga, aby docelowa jurysdykcja zapewniała odpowiedni poziom ochrony. SIC wydała listę adekwatności — mniejszą listę niż lista UE — a transfery do krajów nieumieszczonych na liście wymagają wyraźnej zgody, zabezpieczeń umownych lub szczegółowego zezwolenia SIC. W przypadku plików cookie przekierowujących dane do dostawców ad-tech w USA, praktycznym oczekiwaniem jest udokumentowanie zabezpieczeń umownych.

Stanowisko SIC w Zakresie Egzekwowania Przepisów

SIC działa z jednym z najbardziej aktywnych stanowisk egzekwowania przepisów w Ameryce Łacińskiej. Trzy wzorce kształtują jej podejście.

Praktyka sankcji o wysokim wolumenie

SIC wydaje setki rezolucji sankcyjnych rocznie i publikuje najważniejsze z nich. Wolumen tworzy wyjątkowo bogaty korpus wiążącej doktryny, który operatorzy mogą wykorzystać do przewidywania oczekiwań regulacyjnych — ale oznacza to również, że wady wychodzą na jaw szybko, gdy napływają skargi.

Kontrole prowadzone przez RNBD

Wiele kontroli SIC rozpoczyna się od rejestracji w RNBD jako punktu wejścia. Operator, który się nie zarejestrował lub którego rejestracja jest nieaktualna, jest bardziej narażony na kontrolę niż prawidłowo zarejestrowany administrator z porównywalnym przetwarzaniem.

Koordynacja iberoamerykańska

SIC aktywnie uczestniczy w Ibero-American Data Protection Network (RIPD) i koordynuje działania z argentyńską AAIP, meksykańskim INAI (obecnie restrukturyzowanym), brazylijską ANPD, urugwajską URCDP i zreformowanym reżimem Chile. Sprawy transgraniczne dotyczące ruchu kolumbijskiego i innego iberoamerykańskiego są coraz częściej prowadzone w ramach skoordynowanych procedur.

Praktyczna Lista Kontrolna Zgodności

Sześć konkretnych pytań, na które należy odpowiedzieć w przypadku każdego banera plików cookie obsługującego ruch kolumbijski.

Miejsce Kolumbii w Wielojurysdykcyjnym Stosie

Kolumbia jest jednym z czterech najbardziej operacyjnie istotnych latynoamerykańskich reżimów ochrony danych, obok Brazylii, Meksyku i Argentyny. Wersja z 2012 roku ustawy Law 1581 poprzedza GDPR, ale aktywne egzekwowanie SIC i wytyczne z 2023 roku ściśle dostosowały standard operacyjny do norm europejskich. Dla wydawców budujących pan-latynoamerykańskie operacje, ramy kolumbijskie naturalnie łączą się z brazylijską LGPD, meksykańską LFPDPPP i zreformowanym reżimem Argentyny — architektura CMP zbudowana zgodnie ze standardami europejskimi obsługuje większość pracy, z trzema dodatkami specyficznymi dla Kolumbii: rejestracją RNBD tam, gdzie mają zastosowanie progi, obsługą kolumbijskiego języka hiszpańskiego i wzorcem dokumentacji transgranicznej Article 26. Iberoamerykańska konwergencja wokół standardów zgodnych z GDPR przyspiesza, a dojrzałe doświadczenie SIC w egzekwowaniu przepisów sprawia, że Kolumbia jest jurysdykcją regionalną, w której stanowisko zgodności jest najbardziej bezpośrednio testowane.

← Blog Czytaj wszystko →