Guia de Conformidade com Consentimento de Cookies da Lei 1581 de 2012 da Colômbia para Editores em 2026
A Lei Estatutária 1581 de 2012 da Colômbia, complementada pelo Decree 1377 de 2013 e consolidada no Decree 1074 de 2015, estabeleceu um dos primeiros marcos regulatórios abrangentes de privacidade na América Latina. A Superintendencia de Industria y Comercio (SIC) é a autoridade de proteção de dados, e sua Delegatura para la Protección de Datos Personales tem sido uma aplicadora incomumente ativa em relação à linha de base mais ampla da América Latina. Ao longo de mais de uma década, a SIC emitiu milhares de sanções, acumulou um corpo de doutrina vinculante por meio de resoluções e pareceres conceituais, e construiu um regime de registro — o Registro Nacional de Bases de Datos (RNBD) — que abrange a maioria dos editores online financiados por publicidade. Para operadores que atendem tráfego colombiano, o padrão operacional está mais próximo das normas europeias do que a versão de 2012 da lei poderia sugerir, e a 2023 SIC Guidance sobre Rastreamento Online alinhou as expectativas de banner de cookies explicitamente com posições no estilo EDPB. Este guia percorre o que o Law 1581 exige, como a SIC o interpretou para cookies e publicidade comportamental, e como o trabalho prático de conformidade se parece em 2026.
O Law 1581 em Resumo
O Law 1581 é estruturado em torno de oito princípios no Article 4: legalidade, finalidade, liberdade, veracidade, transparência, acesso e circulação restritos, segurança e confidencialidade. As bases legais sob o Article 9 são mais estreitas do que as do GDPR — o direito colombiano confere ao consentimento um papel mais central e trata outras bases (contrato, interesse público, interesses vitais) como exceções, e não como bases paralelas. Para o rastreamento online, a consequência prática é que o consentimento é quase sempre a base operacional, e a SIC raramente aceitou argumentos no estilo de interesse legítimo para cookies comportamentais.
A lei aplica-se a controladores e processadores de dados que tratam dados pessoais de indivíduos localizados na Colômbia, com alcance extraterritorial sob o Article 2 abrangendo operadores offshore que visam o mercado colombiano. O registro no RNBD da SIC é obrigatório acima de limites definidos, e a SIC tem sido visível na perseguição de operadores não registrados desde 2016.
Como o Law 1581 Trata Cookies e Rastreamento Online
O Law 1581 não contém uma disposição específica sobre cookies; as obrigações de consentimento e informação decorrem dos Articles 4, 9 e 12 da lei e da 2023 SIC Guidance sobre Rastreamento Online. Quatro pontos têm o maior impacto operacional.
Consentimento prévio expresso como padrão
A posição de longa data da SIC, reafirmada na 2023 Guidance, é que o rastreamento não essencial requer consentimento prévio expresso — o direito colombiano usa “expreso e inequívoco” (expresso e inequívoco) como padrão de consentimento, e a SIC interpretou isso estritamente online. Consentimento implícito, rolar-como-consentimento e caixas pré-marcadas foram rejeitados em resoluções publicadas.
Categorias granulares e o princípio da proporcionalidade
A Orientação espera que os banners permitam ao visitante aceitar e rejeitar categorias independentemente. A SIC enquadra o aceitar-tudo agrupado como uma violação do princípio da proporcionalidade no Article 4(c) — necessário, útil e adequado não pode se tornar “tudo de uma vez” sem violar a proporcionalidade.
Língua espanhola como padrão
A SIC foi explícita ao dizer que os avisos de privacidade e os banners de consentimento para o público colombiano devem estar disponíveis em espanhol, e que o idioma deve refletir as convenções do espanhol colombiano onde diferem das variantes europeias ou de outras da América Latina. Banners apenas em inglês foram citados como defeitos em várias resoluções da SIC.
Transferência transfronteiriça (Article 26)
O Article 26 regula as transferências internacionais e exige que a jurisdição de destino forneça um nível adequado de proteção. A SIC emitiu uma lista de adequação — uma lista menor do que a da UE — e as transferências para países não listados requerem consentimento explícito, salvaguardas contratuais ou uma autorização específica da SIC. Para cookies que encaminham dados a fornecedores de ad-tech dos EUA, a expectativa prática é a documentação das salvaguardas contratuais.
A Postura de Aplicação da SIC
A SIC opera com uma das posturas de aplicação mais ativas na América Latina. Três padrões moldam sua abordagem.
Prática de sanções em alto volume
A SIC emite centenas de resoluções sancionatórias por ano e publica as principais. O volume cria um corpus excepcionalmente rico de doutrina vinculante que os operadores podem usar para prever as expectativas regulatórias — mas também significa que os defeitos surgem rapidamente quando chegam as reclamações.
Inspeções orientadas pelo RNBD
Muitas inspeções da SIC começam com o registro no RNBD como ponto de entrada. Um operador que não se registrou, ou cujo registro não está atualizado, é mais propenso a atrair escrutínio do que um controlador devidamente registrado com processamento comparável.
Coordenação ibero-americana
A SIC participa ativamente na Ibero-American Data Protection Network (RIPD) e coordena com a AAIP da Argentina, o INAI do México (agora reestruturado), o ANPD do Brasil, o URCDP do Uruguai e o regime reformado do Chile. Casos transfronteiriços envolvendo tráfego colombiano e de outros países ibero-americanos são cada vez mais tratados por meio de procedimentos coordenados.
Uma Lista de Verificação Prática de Conformidade
Seis perguntas concretas a responder para qualquer banner de cookies que atenda tráfego colombiano.
- O controlador está registrado no RNBD? Se o processamento ultrapassar o limite de registro, confirme que o registro está atualizado. As inspeções da SIC frequentemente começam aqui.
- O consentimento é expresso e prévio? O caminho de rejeição deve estar na mesma superfície que a aceitação; rolar-como-consentimento falha na 2023 Guidance.
- As categorias são granulares? Necessário, analítico e marketing devem ser controláveis separadamente.
- O idioma é o espanhol colombiano? Confirme que o banner e o aviso de privacidade usam as convenções do espanhol colombiano e não são apenas em inglês.
- As transferências transfronteiriças estão documentadas? Para cada destino não colombiano, identifique se a jurisdição está na lista de adequação da SIC ou documente a salvaguarda contratual que autoriza a transferência.
- O registro de consentimento é de nível de auditoria? As investigações da SIC frequentemente solicitam registros de consentimento; o registro de data e hora, a versão do banner e a escolha devem ser recuperáveis.
Onde a Colômbia se Encaixa numa Pilha de Múltiplas Jurisdições
A Colômbia é um dos quatro regimes de proteção de dados da América Latina com maior consequência operacional, ao lado do Brasil, México e Argentina. A versão de 2012 do Law 1581 antecede o GDPR, mas a aplicação ativa da SIC e a 2023 Guidance alinharam o padrão operacional de perto com as normas europeias. Para editores que constroem operações pan-latino-americanas, o marco colombiano se combina naturalmente com o LGPD do Brasil, o LFPDPPP do México e o regime reformado da Argentina — uma arquitetura CMP construída com base nos padrões europeus lida com a maior parte do trabalho, com três adições específicas da Colômbia: registro no RNBD onde os limites se aplicam, suporte ao idioma espanhol colombiano e o padrão de documentação transfronteiriça do Article 26. A convergência ibero-americana em torno dos padrões alinhados ao GDPR está se acelerando, e a experiência madura de aplicação da Colômbia a torna a jurisdição regional onde a postura de conformidade é mais diretamente testada.