Reforma da proteção de dados na Argentina: um guia de conformidade de consentimento de cookies para editores
A Argentina possui um dos regimes de proteção de dados mais antigos da América Latina. A Ley 25.326, a Lei de Proteção de Dados Pessoais do país, foi adotada em 2000 e concedeu à Argentina a decisão de adequação da Comissão Europeia em 2003 — um status que moldou duas décadas de legislação de privacidade latino-americana. Esse regime está agora sendo modernizado. Um projeto de reforma, desenvolvido pela Agencia de Acceso a la Información Pública (AAIP) e debatido no Congresso desde 2023, alinharia a Ley 25.326 muito mais ao GDPR: padrões explícitos de consentimento, regras mais rígidas sobre transferências transfronteiriças, obrigações dedicadas para operadores e multas administrativas significativas. Para editores que operam na Argentina ou processam dados pessoais de residentes argentinos, a reforma remodela como o consentimento de cookies deve ser obtido, registrado e demonstrado. Este guia resume o que está mudando e o que fazer a respeito.
O contexto jurídico
A Ley 25.326 foi escrita antes de a publicidade comportamental existir em escala. Seu padrão de consentimento exigia autorização prévia, expressa e informada, mas a interpretação prática pela AAIP foi historicamente menos prescritiva do que a aplicada pelos supervisores europeus. Cookies, pixels de rastreamento e ferramentas de construção de audiências operaram na Argentina sob um regime interpretativo relativamente permissivo, com a fiscalização focada em casos flagrantes e não no design sistemático de banners.
A reforma muda o ambiente operacional de três maneiras estruturais. Primeiro, restringe a definição de consentimento para seguir a linguagem do GDPR Article 4(11) — dado livremente, específico, informado e inequívoco. Segundo, adota um princípio explícito de responsabilidade que exige que os controladores de dados sejam capazes de demonstrar a conformidade, não apenas afirmá-la. Terceiro, eleva a multa administrativa máxima a um nível proporcional à receita organizacional, o que altera materialmente o cálculo de fiscalização para plataformas internacionais.
O que conta como consentimento sob o padrão reformado
O texto reformado, na versão mais recentemente apresentada ao Congresso, espelha o entendimento europeu de consentimento em aspectos importantes. Caixas pré-marcadas não constituem consentimento. O uso continuado de um site não constitui consentimento. Agrupar consentimentos para propósitos não relacionados — por exemplo, tratar a aceitação dos termos de serviço como autorização para publicidade comportamental — não constitui consentimento. A AAIP sinalizou em workshops e consultas que pretende interpretar o padrão reformado com referência ao corpo de orientações do EDPB, o que significa que os editores argentinos devem esperar que a fiscalização de banners de cookies convirja nos mesmos seis modos de falha que o EDPB Cookie Banner Taskforce documentou: botões de rejeição ausentes, design enganoso de links, categorias pré-marcadas, cookies mal rotulados, mecanismos de retirada ausentes e padrões escuros de design sob pressão.
A implicação prática para banners de cookies na Argentina é que o design que passa no escrutínio da UE passará no escrutínio argentino sob a reforma. Por outro lado, um banner que tem operado na Argentina sob a antiga interpretação mais branda pode precisar de redesign substancial antes que a lei reformada entre em vigor.
Transferências transfronteiriças de dados
Uma das mudanças mais consequentes da reforma é o tratamento das transferências internacionais de dados. Sob a Ley 25.326 como originalmente promulgada, as transferências para países sem proteção adequada exigiam consentimento específico ou uma salvaguarda contratual, mas as regras eram esparsas e a AAIP tinha capacidade de fiscalização limitada. A reforma introduz um quadro em camadas que é paralelo ao Capítulo V do GDPR: as transferências são permitidas para países que a AAIP designa como adequados; na ausência de adequação, as transferências exigem instrumentos aprovados, como regras corporativas vinculativas, cláusulas contratuais padrão aprovadas pela AAIP ou derrogações específicas.
Para editores que encaminham o tráfego argentino por fornecedores de tecnologia de publicidade dos EUA, UE ou da Ásia, a consequência prática é que o registro de consentimento de cookies agora também precisa suportar uma obrigação de prestação de contas de transferência. O CMP deve ser capaz de mostrar, para qualquer visitante, quais categorias de fornecedores receberam seus dados pessoais e sob qual instrumento de transferência. Esta é a mesma arquitetura de responsabilidade que os editores europeus têm construído para o GDPR, aplicada ao tráfego argentino.
O papel da AAIP
A Agencia de Acceso a la Información Pública é a autoridade de proteção de dados argentina. Criada em 2017 pelo Decreto 746/2017, consolida a supervisão tanto dos regimes de proteção de dados como de liberdade de informação. Sob a lei atual, seus poderes de fiscalização são modestos; a reforma os fortalece substancialmente.
Poderes de investigação
A reforma concede à AAIP poderes aprimorados para exigir a produção de documentos, realizar inspeções e impor medidas provisórias durante investigações. Para editores online, isso provavelmente se manifestará como solicitações de logs de consentimento, listas de fornecedores e capturas do código de banner cobrindo intervalos de datas específicos.
Regime de sanções
As multas administrativas máximas sob o texto reformado estão vinculadas a uma porcentagem da receita anual, com um teto absoluto elevado. Isso representa uma mudança significativa em relação ao regime de valor fixo atual e coloca a Argentina em conformidade com a estrutura de multas graduadas do GDPR.
Coordenação com parceiros latino-americanos
A AAIP é participante ativa na Rede Ibero-Americana de Proteção de Dados. Espera-se que as orientações argentinas reformadas influenciem — e sejam influenciadas por — a ANPD do Brasil, o INAI do México, o regime reformado do Chile e o URCDP do Uruguai. Editores que operam em toda a região devem esperar convergência nos padrões de consentimento dentro de 24 a 36 meses.
O que os editores devem fazer agora
A reforma está em processo legislativo, ainda não está em vigor. A postura conservadora é construir para o padrão mais elevado agora, com a premissa de que a promulgação ocorrerá dentro de 12 a 18 meses. Cinco etapas operacionais tornam a transição gerenciável.
- Audite o banner atual em relação aos critérios da força-tarefa do EDPB. Se ele falhar em qualquer um dos seis modos de falha comuns, o mesmo banner falhará sob o padrão argentino reformado quando entrar em vigor. A correção agora evita retrabalho depois.
- Adicione versões do banner e da política em espanhol. O espanhol argentino (es-AR) é o idioma principal voltado para o usuário; certifique-se de que o CMP o suporte nativamente, não apenas o espanhol genérico.
- Mapeie a lista de fornecedores para os instrumentos de transferência. Para cada fornecedor de tecnologia de publicidade, análise ou marketing que receba dados pessoais argentinos, documente o instrumento de transferência: adequação, cláusulas contratuais padrão, regras corporativas vinculativas ou derrogação.
- Configure o registro de consentimento com granularidade regional. Os logs de consentimento devem registrar o país de origem do visitante (derivado do IP no momento da exibição do banner) para que uma investigação da AAIP possa ser respondida com evidências filtradas por país.
- Designe um ponto de contato para a correspondência com a AAIP. Muitos editores internacionais operam na Argentina sem um representante local formal; a reforma torna a designação de um contato para a autoridade supervisora uma necessidade prática.
Além dos banners de cookies
A reforma argentina é mais ampla do que o consentimento de cookies. Ela revisa os prazos de notificação de violações, introduz proteções específicas para categorias de dados sensíveis e cria novas obrigações em torno da tomada de decisões automatizadas. Para os editores, o banner de cookies é a superfície de conformidade mais visível, mas não é a única. A mesma infraestrutura de CMP que registra o consentimento de cookies está bem posicionada para registrar outras decisões de consentimento — consentimento de comunicações, consentimento de compartilhamento de dados com parceiros de mídia varejista, consentimento para recursos de personalização — e o requisito de responsabilidade da AAIP se aplica a todos eles.
A reforma reflete um padrão mais amplo: a América Latina está se movendo em direção a padrões alinhados ao GDPR, com implementações nacionais adaptadas às tradições jurídicas locais. Editores que constroem agora uma pilha de consentimento agnóstica à região — uma que registra consentimento granular específico por finalidade, suporta vários idiomas e formatos de data, registra decisões em formato de auditoria e integra com documentação de transferência — tratam da conformidade argentina, brasileira, mexicana e chilena por meio do mesmo pipeline operacional. O custo de construir para uma única jurisdição e depois adaptar para a próxima tem sido historicamente mais alto do que o custo de construir para o padrão regional desde o início.