Efterlevnadsguide för Colombias lag 1581 från 2012 om cookiesamtycke för utgivare 2026
Colombias lag 1581 från 2012, kompletterad av förordning 1377 från 2013 och konsoliderad i Decree 1074 från 2015, etablerade ett av de tidigaste heltäckande integritetsramverken i Latinamerika. Superintendencia de Industria y Comercio (SIC) är dataskyddsmyndigheten, och Delegatura para la Protección de Datos Personales har varit en ovanligt aktiv tillsynsmyndighet i förhållande till den bredare latinamerikanska normen. Under mer än ett decennium har SIC utfärdat tusentals sanktioner, samlat ett corpus av bindande doktrin genom resolutioner och konceptutlåtanden, och byggt upp ett registreringsregim — Registro Nacional de Bases de Datos (RNBD) — som täcker de flesta annonsfinansierande onlinepublicister. För operatörer som betjänar colombiansk trafik är den operativa standarden närmre europeiska normer än vad 2012 års lag kan antyda, och SIC:s vägledning från 2023 om onlinespårning anpassade uttryckligen förväntningarna på cookiebanners med EDPB-liknande ståndpunkter. Den här guiden går igenom vad Law 1581 kräver, hur SIC har tolkat det för cookies och beteendeannonsering, och hur praktiskt efterlevnadsarbete ser ut 2026.
Law 1581 i Översikt
Law 1581 är strukturerad kring åtta principer i Article 4: laglighet, ändamål, frihet, sanningsenighet, transparens, begränsad tillgång och cirkulation, säkerhet och konfidentialitet. De rättsliga grunderna enligt Article 9 är snävare än GDPR:s — colombiansk lag ger samtycket en mer central roll och behandlar andra grunder (avtal, allmänt intresse, vitala intressen) som undantag snarare än parallella grunder. För onlinespårning är den praktiska konsekvensen att samtycke nästan alltid är den operativa grunden, och SIC har sällan accepterat argumentationen om berättigat intresse för beteendecookies.
Lagen gäller för personuppgiftsansvariga och personuppgiftsbiträden som hanterar personuppgifter om individer i Colombia, med extraterritoriell räckvidd enligt Article 2 som fångar upp offshore-operatörer som riktar sig mot den colombianska marknaden. Registrering i SIC:s RNBD är obligatorisk över definierade tröskelvärden, och SIC har synliggjorts för att ha drivit oregistrerade operatörer sedan 2016.
Hur Law 1581 Behandlar Cookies och Onlinespårning
Law 1581 innehåller ingen cookie-specifik bestämmelse; samtyckes- och informationsskyldigheterna härrör från Articles 4, 9 och 12 i lagen och från SIC:s vägledning från 2023 om onlinespårning. Fyra punkter har störst operativ påverkan.
Uttryckligt förhandssamtycke som standard
SIC:s långvariga ståndpunkt, bekräftad på nytt i 2023 års vägledning, är att icke-nödvändig spårning kräver uttryckligt förhandssamtycke — colombiansk lag använder "expreso e inequívoco" (uttryckligt och otvetydigt) som samtyckesstandard, och SIC har tolkat detta strängt online. Implicit samtycke, scrollning som samtycke och förkryssade rutor har avvisats i publicerade resolutioner.
Granulerade kategorier och proportionalitetsprincipen
Vägledningen förväntar sig att banners ska låta besökaren acceptera och avvisa kategorier oberoende av varandra. SIC tolkar samlat accepterande som ett brott mot proportionalitetsprincipen i Article 4(c) — nödvändigt, användbart och adekvat kan inte bli "allt på en gång" utan att bryta mot proportionaliteten.
Spanska som standardspråk
SIC har uttryckligen klargjort att integritetsmeddelanden och samtyckesbanners för colombiansk publik måste finnas tillgängliga på spanska, och att språket måste återspegla colombiansk spanska konventioner där de skiljer sig från europeiska eller andra latinamerikanska varianter. Banners enbart på engelska har citerats som brister i flera SIC-resolutioner.
Gränsöverskridande överföringar (Article 26)
Article 26 reglerar internationella överföringar och kräver att destinationsjurisdiktionen tillhandahåller en adekvat skyddsnivå. SIC har publicerat en adekvansförteckning — en kortare lista än EU:s — och överföringar till länder som inte finns med kräver uttryckligt samtycke, avtalsmässiga skyddsåtgärder eller ett specifikt tillstånd från SIC. För cookies som skickar data till amerikanska ad-tech-leverantörer är det praktiska förväntningen dokumenterade avtalsmässiga skyddsåtgärder.
SIC:s Tillsynshållning
SIC verkar med en av de mest aktiva tillsynshållningarna i Latinamerika. Tre mönster formar deras tillvägagångssätt.
Stor volym av sanktionsresolutioner
SIC utfärdar hundratals sanktionsresolutioner per år och publicerar de viktigaste. Volymen skapar ett ovanligt rikt corpus av bindande doktrin som operatörer kan använda för att förutsäga regulatoriska förväntningar — men det innebär också att brister snabbt uppdagas när klagomål inkommer.
RNBD-drivna inspektioner
Många SIC-inspektioner börjar med RNBD-registreringen som ingångspunkt. En operatör som inte har registrerats, eller vars registrering inte är aktuell, löper större risk att dra till sig granskning än en korrekt registrerad personuppgiftsansvarig med jämförbar behandling.
Iberoamerikansk samordning
SIC deltar aktivt i Ibero-American Data Protection Network (RIPD) och samordnar med Argentinas AAIP, Mexikos INAI (nu omstrukturerad), Brasiliens ANPD, Uruguays URCDP och Chiles reformerade regim. Gränsöverskridande ärenden som involverar colombiansk och annan iberoamerikansk trafik hanteras alltmer genom samordnade förfaranden.
En Praktisk Efterlevnadschecklista
Sex konkreta frågor att besvara för varje cookiebanner som betjänar colombiansk trafik.
- Är den personuppgiftsansvarige RNBD-registrerad? Om behandlingen överstiger registreringströskeln, bekräfta att registreringen är aktuell. SIC-inspektioner börjar ofta här.
- Är samtycket uttryckligt och föregående? Avvisningssökvägen måste finnas på samma yta som acceptansen; scrollning som samtycke uppfyller inte 2023 års vägledning.
- Är kategorierna granulerade? Nödvändigt, analys och marknadsföring måste vara separat kontrollerbara.
- Är språket colombiansk spanska? Bekräfta att bannern och integritetsmeddelandet använder colombianska spanska konventioner och inte är enbart på engelska.
- Är gränsöverskridande överföringar dokumenterade? För varje icke-colombiansk destination, identifiera om jurisdiktionen finns på SIC:s adekvansförteckning, eller dokumentera den avtalsmässiga skyddsåtgärden som auktoriserar överföringen.
- Är samtyckesloggningen revisionsstandard? SIC-utredningar begär ofta samtyckesregister; tidsstämpel, bannerversion och val måste vara återvinningsbara.
Colombias Plats i ett Flerjurisdiktionellt System
Colombia är ett av de fyra mest operativt betydelsefulla dataskyddsregimerna i Latinamerika, tillsammans med Brasilien, Mexiko och Argentina. 2012 års Law 1581 föregår GDPR men SIC:s aktiva tillsyn och 2023 års vägledning har nära anpassat den operativa standarden till europeiska normer. För utgivare som bygger mot pan-latinamerikanska verksamheter kombineras det colombianska ramverket naturligt med Brasiliens LGPD, Mexikos LFPDPPP och Argentinas reformerade regim — en CMP-arkitektur byggd till europeiska standarder hanterar merparten av arbetet, med tre Colombia-specifika tillägg: RNBD-registrering där trösklarna gäller, stöd för colombiansk spanska och Article 26 mönster för dokumentation av gränsöverskridande överföringar. Den iberoamerikanska konvergensen kring GDPR-anpassade standarder accelererar, och Colombias mogna tillsynserfarenhet gör det till den regionala jurisdiktion där efterlevnadshållning prövas mest direkt.