Правни оквир

LFPDPPP се налази на врху вишеслојног оквира. Сам закон дефинише основне принципе – законитост, пристанак, информацију, квалитет, сврху, верност, пропорционалност, одговорност – које су мексичке законописке позајмиле из европске традиције заштите података. Испод закона налазе се Прописи уз LFPDPPP, који попуњавају оперативне детаље, и Lineamientos del Aviso de Privacidad (смернице о обавештењу о приватности), које одређују шта мора бити у обавештењу о приватности и на који начин. Заједно, ова три текста чине мексичку еквивалент јединственог кодекса приватности, са практичном снагом обавезујућег прописа.

За онлајн издаваче, најважнији су прописи о пристанку из чланова 8 до 11 закона и захтеви за обавештење о приватности који уређују начин тражења пристанка. Мексички пристанак је степенован: прећутни пристанак је довољан за неку обраду обичних личних података када је дато одговарајуће обавештење, али је изричити пристанак потребан за осетљиве податке и за сваку обраду коју закон посебно захтева. Интерпретативно питање за банере са колачићима је који се од ових режима примењује на бихевиоралне и рекламне колачиће.

Како Мексичко Право Третира Колачиће и Онлајн Идентификаторе

За разлику од ЕУ-ове ePrivacy директиве, LFPDPPP не садржи посебну одредбу о колачићима. Уместо тога, оквир третира онлајн идентификаторе као личне податке када се могу повезати са идентификовљивим појединцем, а обавезе у вези са пристанком произилазе из општег оквира, а не из посебног правила о колачићима. Смернице INAI су разјасниле да:

• Сопствени колачићи строго неопходни за функцију сајта не захтевају претходни пристанак, али њихово присуство мора бити откривено у обавештењу о приватности.
• Аналитички колачићи генерално захтевају обавештени пристанак, при чему је прећутни пристанак прихватљив када је обавештење о приватности јасно доступно пре прикупљања података.
• Рекламни и бихевиорални колачићи захтевају изричити пристанак, посебно када се подаци деле са трећим страним или користе за праћење преко сајтова.
• Колачићи који прикупљају осетљиве податке – здравље, сексуална оријентација, верска уверења, политичко мишљење – захтевају изричити пристанак без обзира на категорију.

Практични ефекат је да усклађени мексички банер са колачићима мора да разликује барем категорије неопходних, аналитичких и рекламних колачића, са афирмативним opt-in потребним за рекламирање и јасним обавештењем за аналитику.

Обавештење о Приватности као Стуб Усклађености

Мексичко право о приватности је усредсређено на обавештења на начин koji се разликује од европске традиције. Обавештење о приватности – aviso de privacidad – није само документ о транспарентности; то је правни инструмент кроз koji се структурише пристанак. Lineamientos del Aviso de Privacidad захтевају да обавештење садржи одређене елементе, а сваки банер са колачићима мора бити у складу са основним обавештењем, а не покушавати да стисне све у искачући прозор банера.

Обавезни елементи обавештења

Обавештење мора да идентификује руководиоца обраде, наведе прикупљене личне податке, опише сврхе обраде, одреди да ли ће подаци бити пренети трећим странама, идентификује права субјекта података (acceso, rectificación, cancelación, oposición – такозвана ARCO права), и опише kako та права могу бити остварена. За онлајн издавача, банер са колачићима треба да делује као слојевита улазна тачка у потпуно обавештење, а не његова замена.

Кратко, поједностављено, интегрално

Прописи признају три формата обавештења: интегрално (пуно), поједностављено и кратко. Банер са колачићима обично представља кратко или поједностављено обавештење са јасним путем до интегралне верзије. Категорије колачића и прекидачи пристанка налазе се унутар ове слојевите структуре.

Реформа INAI и Шта Следи

Крајем 2024. мексичка влада је покренула реформу koja реструктурира федералну функцију заштите података – аутономни INAI се апсорбује у нови институционални аранжман под извршном граном власти. Правни оквир (LFPDPPP, прописи, lineamientos) остаје на снази, али континуитет надзора је отворено питање. За издаваче, конзервативан став је да се претпостави да суштински стандарди остају константни, а интензитет примене је неизвестан у прелазном периоду. Изградња у складу са стандардима које је INAI артикулисао пре реформе – гранулиране категорије, изричити opt-in за рекламирање, потпуна подршка ARCO правима, тачан aviso de privacidad – права је стратегија без обзира на то kako се стабилизује надзорна архитектура.

Практична Листа Провере Усклађености

Шест конкретних питања на koja треба одговорити за сваки банер са колачићима koji обслужује мексичке посетиоце.

1. Категоризација

Да ли банер раздваја колачиће у барем неопходне, аналитичке и рекламне категорије, са афирмативним opt-in за рекламирање? Груписање свих небитних колачића под јединствено „Прихвати све" без гранулираности је најчешћа мана.

2. Повезаност са обавештењем о приватности

Да ли банер упућује на потпуно обавештење о приватности, и да ли то обавештење садржи сваки потребан елемент (руководилац, подаци, сврхе, преноси, ARCO права)? Банер без правилно састављеног основног обавештења је танка површина усклађености.

3. Шпански (мексички) језик

Да ли је банер представљен на шпанском, и да ли користи мексичке шпанске конвенције тамо где се оне разликују од европског шпанског? Исправан лингвистички регистар сигнализира озбиљност и корисницима и надзорницима.

4. Пут повлачења

Да ли постоји трајна контрола која кориснику омогућава да поново посети и измени своју изборну одлуку о пристанку? Право на опозив је део ARCO права „oposición" и банер мора да га подржи.

5. Откривање преноса трећим странама

Да ли обавештење идентификује категорије трећих страна које примају личне податке путем колачића (рекламне мреже, добављачи аналитике, CDP-ови), са довољно детаља да корисник разуме ток података?

6. Евидентирање

Да ли систем бележи сваку одлуку о пристанку са временском ознаком и верзијом банера тако да, у случају притужбе, издавач може да докаже да је одлука донета слободно и уз пуну информисаност?

Како Се Ово Уклапа у Латиноамеричку Слику

Мексико је друго по величини дигитално тржиште у Латинској Америци после Бразила, а његов режим заштите података је један од најутицајнијих у региону. Текућа реформска дебата ће обликовати интерпретативни смер годинама, али суштински стандарди су стабилни: усредсређени на обавештења, засновани на ARCO правима, гранулирани пристанак за рекламирање, потпуно откривање преноса трећим странама. Издавачи који послују широм Латинске Америке имају корист од јединственог изграђивања према вишем стандарду – реформисани оквир Аргентине, бразилски LGPD, реформисани закон Чилеа и предлог закона Колумбије у поступку усвајања сви конвергирају ка сличним основним очекивањима. CMP koji подржава мексички шпански, бележи пристанак на нивоу категорије, чисто се повезује са потпуним aviso de privacidad и бележи одлуке у форми ревизије, обрађује мексичку усклађеност кроз исту инфраструктуру koja обрађује регионалну усклађеност.