Právne pozadie

Ley 25.326 bola napísaná pred tým, než behaviorálna reklama existovala vo veľkom meradle. Jej štandard súhlasu vyžadoval predchádzajúce, výslovné a informované povolenie, ale praktická interpretácia zo strany AAIP bola historicky menej predpisujúca, než akú uplatňovali európski dozorcovia. Súbory cookie, sledovacie pixely a nástroje na budovanie publika pôsobili v Argentíne v relatívne permisívnom interpretačnom režime, pričom presadzovanie sa zameriavalo na flagrantné prípady, nie na systematický dizajn bannerov.

Reforma mení prevádzkové prostredie tromi štrukturálnymi spôsobmi. Po prvé, sprísňuje definíciu súhlasu, aby odrážala jazyk GDPR Article 4(11) — slobodne udelený, konkrétny, informovaný a jednoznačný. Po druhé, prijíma explicitný princíp zodpovednosti, ktorý vyžaduje, aby správcovia údajov boli schopní preukázať súlad, nielen ho tvrdiť. Po tretie, zvyšuje maximálnu správnu pokutu na úroveň úmernú príjmom organizácie, čo materiálne mení výpočet presadzovania pre medzinárodné platformy.

Čo sa považuje za súhlas podľa reformovaného štandardu

Reformovaný text, vo verzii naposledy predloženej Kongresu, zrkadlí európske chápanie súhlasu v dôležitých aspektoch. Vopred začiarknuté políčka nepredstavujú súhlas. Ďalšie používanie webovej stránky nepredstavuje súhlas. Zlučovanie súhlasov pre nesúvisiace účely — napríklad zaobchádzanie s prijatím podmienok služby ako s povolením pre behaviorálnu reklamu — nepredstavuje súhlas. AAIP naznačila v workshopoch a konzultáciách, že plánuje interpretovať reformovaný štandard s odkazom na súbor pokynov EDPB, čo znamená, že argentínski vydavatelia by mali očakávať, že presadzovanie bannerov cookies bude konvergovať k rovnakým šiestim spôsobom zlyhania, ktoré EDPB Cookie Banner Taskforce zdokumentovala: chýbajúce tlačidlá odmietnutia, klamlivý dizajn odkazov, vopred začiarknuté kategórie, nesprávne označené cookies, chýbajúce mechanizmy odvolania a temné vzory dizajnu pod tlakom.

Praktická implikácia pre banery cookies v Argentíne je, že dizajn, ktorý prejde preskúmaním EÚ, prejde aj argentínskym preskúmaním v rámci reformy. Naopak, baner, ktorý pôsobil v Argentíne na základe starej, miernejšej interpretácie, môže vyžadovať podstatný redizajn pred nadobudnutím účinnosti reformovaného zákona.

Cezhraničné prenosy údajov

Jednou z najvýznamnejších zmien v reforme je zaobchádzanie s medzinárodnými prenosmi údajov. Podľa Ley 25.326 v pôvodne prijatom znení si prenosy do krajín bez primeranej ochrany vyžadovali buď konkrétny súhlas alebo zmluvnú záruky, ale pravidlá boli útržkovité a AAIP mala obmedzenú kapacitu presadzovania. Reforma zavádza vrstvený rámec, ktorý je parallelou s Kapitolou V GDPR: prenosy sú povolené do krajín, ktoré AAIP označí za primerané; v neprítomnosti primeranosti si prenosy vyžadujú schválené nástroje, ako sú záväzné podnikové pravidlá, štandardné zmluvné doložky schválené AAIP alebo konkrétne výnimky.

Pre vydavateľov, ktorí smerujú argentínsku prevádzku cez dodávateľov reklamných technológií z USA, EÚ alebo Ázie, je praktickým dôsledkom to, že záznam o súhlase s cookies musí teraz tiež podporovať povinnosť zodpovednosti za prenosy. CMP musí byť schopný preukázať pre akéhokoľvek konkrétneho návštevníka, ktoré kategórie dodávateľov dostali ich osobné údaje a na základe akého prenosového nástroja. Toto je rovnaká architektúra zodpovednosti, ktorú európski vydavatelia budujú pre GDPR, aplikovaná na argentínsku prevádzku.

Úloha AAIP

Agencia de Acceso a la Información Pública je argentínsky orgán na ochranu osobných údajov. Vytvorená v roku 2017 Decreto 746/2017, konsoliduje dohľad nad režimom ochrany osobných údajov aj slobody informácií. Podľa súčasného práva sú jej možnosti presadzovania skromné; reforma ich podstatne posilňuje.

Vyšetrovacie právomoci

Reforma udeľuje AAIP rozšírené právomoci na vynútenie predloženia dokumentov, vykonávanie inšpekcií a ukladanie predbežných opatrení počas vyšetrovaní. Pre online vydavateľov sa to s najväčšou pravdepodobnosťou prejaví ako žiadosti o protokoly súhlasov, zoznamy dodávateľov a snímky kódu bannerov pokrývajúce konkrétne časové rozsahy.

Sankčný režim

Maximálne správne pokuty podľa reformovaného textu sú viazané na percento ročných príjmov, s hornou hranicou pri vysokom absolútnom strope. Toto je výrazná zmena oproti súčasnému režimu s pevnou sumou a stavia Argentínu do súladu s vrstvovou štruktúrou pokút GDPR.

Koordinácia s latinskoamerickými partnermi

AAIP je aktívnym účastníkom Iberoamerickej siete ochrany osobných údajov. Od reformovaných argentínskych usmernení sa očakáva, že budú ovplyvňovať — a budú ovplyvňované — brazílskym ANPD, mexickým INAI, reformovaným režimom Čile a uruguajským URCDP. Vydavatelia pôsobiaci v celom regióne by mali očakávať konvergenciu štandardov súhlasu v horizonte 24 až 36 mesiacov.

Čo by vydavatelia mali urobiť teraz

Reforma je v legislatívnom pohybe, zatiaľ ešte nie je v platnosti. Konzervatívnym postojom je budovať podľa vyššieho štandardu teraz, za predpokladu, že nadobudnutie účinnosti nastane do 12 až 18 mesiacov. Päť prevádzkových krokov robí prechod zvládnuteľným.

• Auditujte súčasný baner podľa kritérií pracovnej skupiny EDPB. Ak nesplní niektorý zo šiestich bežných spôsobov zlyhania, rovnaký baner zlyhá aj podľa reformovaného argentínskeho štandardu po jeho nadobudnutí účinnosti. Náprava teraz zabráni prepracovaniu neskôr.
• Pridajte španielsky banner a verzie politík. Argentínska španielčina (es-AR) je primárny jazyk smerovaný k používateľom; zabezpečte, aby CMP ho podporoval natívne, nielen vo všeobecnej španielčine.
• Namapujte zoznam dodávateľov na prenosové nástroje. Pre každého dodávateľa reklamných technológií, analytiky alebo marketingu, ktorý prijíma argentínske osobné údaje, zdokumentujte prenosový nástroj: primeranosť, štandardné zmluvné doložky, záväzné podnikové pravidlá alebo výnimku.
• Nakonfigurujte zaznamenávanie súhlasov s regionálnou granularitou. Protokoly súhlasov by mali zaznamenávať krajinu pôvodu návštevníka (odvodenú z IP adresy v čase zobrazenia bannera), aby sa na vyšetrovanie AAIP dalo odpovedať dôkazmi filtrovanými podľa krajiny.
• Určite kontaktné miesto pre korešpondenciu s AAIP. Mnohí medzinárodní vydavatelia pôsobia v Argentíne bez formálneho miestneho zástupcu; reforma robí z určenia kontaktného miesta pre dozorný orgán praktickú nevyhnutnosť.

Za rámcom bannerov cookies

Argentínska reforma je širšia ako súhlas s cookies. Prehodnocuje časové rámce oznamovania porušení, zavádza konkrétne ochrany pre kategórie citlivých údajov a vytvára nové povinnosti v oblasti automatizovaného rozhodovania. Pre vydavateľov je banner cookies najviditeľnejším povrchom súladu, ale nie je to jediný. Tá istá infraštruktúra CMP, ktorá zaznamenáva súhlas s cookies, je dobre pripravená zaznamenávať aj iné rozhodnutia o súhlase — súhlas s komunikáciou, súhlas so zdieľaním údajov s maloobchodnými mediálnymi partnermi, súhlas s funkciami personalizácie — a požiadavka zodpovednosti AAIP sa vzťahuje na všetky tieto prípady.

Reforma odráža širší vzorec: Latinská Amerika sa pohybuje smerom k štandardom zosúladeným s GDPR, s národnými implementáciami prispôsobenými miestnym právnym tradíciám. Vydavatelia, ktorí teraz budujú regionálne agnostický zásobník súhlasov — taký, ktorý zaznamenáva granulárny súhlas špecifický pre účel, podporuje viaceré jazyky a formáty dátumov, zaznamenáva rozhodnutia vo formáte na úrovni auditu a integruje sa s dokumentáciou prenosov — zvládajú argentínsky, brazílsky, mexický a čilský súlad prostredníctvom rovnakého prevádzkového potrubia. Náklady na budovanie pre jednu jurisdikciu a potom na prispôsobenie pre ďalšiu boli historicky vyššie než náklady na budovanie pre regionálny štandard od samého začiatku.