Правовая база

LFPDPPP находится на вершине многослойной базы. Сам закон определяет основные принципы — законность, согласие, информация, качество, цель, точность, пропорциональность, подотчётность — которые мексиканские составители заимствовали из европейской традиции защиты данных. Под законом находятся Регуляции к LFPDPPP, которые заполняют операционные детали, и Lineamientos del Aviso de Privacidad (рекомендации по уведомлению о конфиденциальности), которые определяют, что должно появляться в уведомлении о конфиденциальности и как. Вместе эти три текста создают мексиканский эквивалент единого кодекса конфиденциальности с практической силой обязательной регуляции.

Для онлайн-издателей самые значимые положения — это правила согласия по Статьям 8-11 закона и требования уведомления о конфиденциальности, которые регулируют, как запрашивается согласие. Мексиканское согласие градуированное: молчаливое согласие достаточно для некоторой обработки обычных персональных данных, когда дано надлежащее уведомление, но явное согласие требуется для чувствительных данных и для любой обработки, где закон специально этого требует. Интерпретационный вопрос для баннеров cookie — какой из этих режимов применяется к поведенческим и рекламным cookie.

Как мексиканский закон относится к cookie и онлайн-идентификаторам

В отличие от Директивы ePrivacy ЕС, LFPDPPP не содержит cookie-специфичного положения. Вместо этого база относится к онлайн-идентификаторам как к персональным данным, когда они могут быть связаны с идентифицированным индивидуумом, и обязательства согласия вытекают из общей базы, а не из посвящённого правила cookie. Рекомендации INAI уточнили, что:

• Cookie первой стороны, строго необходимые для функции сайта, не требуют предварительного согласия, но их присутствие должно быть раскрыто в уведомлении о конфиденциальности.
• Аналитические cookie обычно требуют информированного согласия, с молчаливым согласием, приемлемым, когда уведомление о конфиденциальности ясно доступно до сбора любых данных.
• Рекламные и поведенческие cookie требуют явного согласия, особенно где данные разделяются с третьими сторонами или используются для межсайтового отслеживания.
• Cookie, захватывающие чувствительные данные — здоровье, сексуальная ориентация, религиозные убеждения, политические мнения — требуют явного согласия независимо от категории.

Практический эффект в том, что соответствующий мексиканский баннер cookie должен различать как минимум между необходимыми, аналитическими и рекламными категориями, с подтверждающим opt-in, требуемым для рекламы, и ясным уведомлением для аналитики.

Уведомление о конфиденциальности как якорь соответствия

Мексиканский закон о конфиденциальности ориентирован на уведомление способом, отличающимся от европейской традиции. Уведомление о конфиденциальности — aviso de privacidad — это не просто документ прозрачности; это правовой инструмент, через который структурируется согласие. Lineamientos del Aviso de Privacidad требуют, чтобы уведомление содержало конкретные элементы, и любой баннер cookie должен быть согласован с основным уведомлением, а не пытаться сжать всё во всплывающее окно баннера.

Необходимые элементы уведомления

Уведомление должно идентифицировать контроллера данных, перечислить собираемые персональные данные, описать цели обработки, указать, будут ли данные переданы третьим сторонам, идентифицировать права субъекта данных (acceso, rectificación, cancelación, oposición — так называемые права ARCO), и описать, как эти права могут быть реализованы. Для онлайн-издателя баннер cookie должен действовать как слоистая точка входа в полное уведомление, а не замена его.

Короткое, упрощённое, целостное

Регуляции признают три формата уведомления: целостное (полное), упрощённое и короткое. Баннер cookie обычно представляет короткое или упрощённое уведомление с ясным путём к целостной версии. Категории cookie и переключатели согласия живут внутри этой слоистой структуры.

Реформа INAI и что будет дальше

В конце 2024 года мексиканское правительство продвинуло реформу, которая реструктурирует федеральную функцию защиты данных — автономный INAI поглощается в новую институциональную договорённость под исполнительной ветвью. Правовая база (LFPDPPP, регуляции, lineamientos) остаётся в силе, но континуитет надзора — открытый вопрос. Для издателей консервативная позиция — предполагать, что содержательные стандарты остаются постоянными, в то время как интенсивность правоприменения неопределённа в переходный период. Построение к стандартам, которые INAI сформулировал до реформы — гранулярные категории, явный opt-in для рекламы, полная поддержка прав ARCO, точный aviso de privacidad — это правильная стратегия независимо от того, как стабилизируется надзорная архитектура.

Практический чек-лист соответствия

Шесть конкретных вопросов, на которые нужно ответить для любого баннера cookie, обслуживающего мексиканский трафик.

1. Категоризация

Разделяет ли баннер cookie на необходимые, аналитические и рекламные категории как минимум, с подтверждающим opt-in для рекламы? Объединение всех неосновных cookie под единым «Принять всё» без гранулярности — это самый распространённый дефект.

2. Связь с уведомлением о конфиденциальности

Ссылается ли баннер на полное уведомление о конфиденциальности, и содержит ли это уведомление каждый требуемый элемент (контроллер, данные, цели, передачи, права ARCO)? Баннер без надлежаще составленного поддерживающего уведомления — это тонкая поверхность соответствия.

3. Испанский (мексиканский) язык

Представлен ли баннер на испанском, и использует ли он мексиканские испанские конвенции там, где они расходятся с европейским испанским? Правильный лингвистический регистр сигнализирует серьёзность как пользователям, так и надзорным органам.

4. Путь отзыва

Есть ли постоянный элемент управления, который позволяет пользователю пересмотреть и изменить свой выбор согласия? Право на отзыв является частью права «oposición» ARCO, и баннер должен его обеспечить.

5. Раскрытие передачи третьим сторонам

Идентифицирует ли уведомление категории третьих сторон, которые получают персональные данные через cookie (рекламные сети, поставщики аналитики, CDP), с достаточной детализацией для пользователя, чтобы понять поток данных?

6. Логирование

Записывает ли система каждое решение о согласии с временной меткой и версией баннера, чтобы в случае жалобы издатель мог доказать, что решение было дано свободно и информировано?

Как это вписывается в латиноамериканскую картину

Мексика — второй по величине цифровой рынок Латинской Америки после Бразилии, и её режим защиты данных один из самых влиятельных в регионе. Дебаты о реформе, которые сейчас ведутся, сформируют интерпретационное направление на годы, но содержательные стандарты стабильны: ориентированные на уведомление, основанные на правах ARCO, гранулярное согласие для рекламы, полное раскрытие передач третьим сторонам. Издатели, работающие по всей Латинской Америке, выигрывают от построения один раз к более высокому стандарту — реформированная база Аргентины, LGPD Бразилии, реформированный закон Чили и ожидающий законопроект Колумбии все сходятся на похожих базовых ожиданиях. CMP, которая поддерживает мексиканский испанский, захватывает согласие на уровне категории, ясно ссылается на полный aviso de privacidad и логирует решения в аудит-качественной форме, обрабатывает мексиканское соответствие через ту же инфраструктуру, которая обрабатывает региональное соответствие.