Mexikos LFPDPPP-guide för cookie-samtycke: Vad utgivare måste göra 2026
Mexiko har en av de äldre dataskyddsregimerna i Latinamerika. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), den federala lagen som reglerar personuppgifter i privata aktörers ägo, trädde i kraft 2010, med detaljerade föreskrifter 2011 och bindande parametrar för integritetsmeddelandet 2013. Under större delen av sin existens har lagen tolkats i en mexikansk förvaltningsrättslig stil: föreskrivande om meddelandets innehåll, mer flexibel om teknisk implementering. Den balansen håller på att förskjutas. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — regulatorn fram till reformen 2024 — publicerade alltmer direkt vägledning om digital spårning, och den politiska debatten kring omstrukturering av dataskyddsmyndigheten har skärpt granskningen särskilt mot online-utgivare. För varje företag som behandlar personuppgifter om mexikanska invånare är efterlevnad av cookie-banners nu en konkret tillsynsfråga, inte en akademisk. Denna guide går igenom vad LFPDPPP och dess föreskrifter kräver, var gränsen mellan nödvändiga och icke-väsentliga cookies går, och hur en cookie-banner kan föras till efterlevnad i praktiken.
Den Rättsliga Ramen
LFPDPPP sitter i toppen av ett skiktat ramverk. Lagen själv definierar grundläggande principer — laglighet, samtycke, information, kvalitet, ändamål, trohet, proportionalitet, ansvarsskyldighet — som de mexikanska upphovsmännen lånade från europeisk dataskyddstradition. Under lagen sitter Föreskrifterna till LFPDPPP, som fyller i operativa detaljer, och Lineamientos del Aviso de Privacidad (riktlinjerna för integritetsmeddelandet), som specificerar vad som måste finnas i ett integritetsmeddelande och hur. Tillsammans utgör dessa tre texter den mexikanska motsvarigheten till en enhetlig integritetskod, med den praktiska kraften av bindande föreskrifter.
För online-utgivare är de mest konsekvensbringande bestämmelserna samtyckesreglerna under artiklarna 8 till 11 i lagen och kraven i integritetsmeddelandet som styr hur samtycke begärs. Mexikanskt samtycke är graderat: implicit samtycke räcker för viss behandling av vanliga personuppgifter när korrekt meddelande har lämnats, men uttryckligt samtycke krävs för känsliga uppgifter och för varje behandling där lagen specifikt kräver det. Den tolkningsfråga för cookie-banners är vilken av dessa regimer som tillämpas på beteende- och annonscookies.
Hur Mexikansk Lag Behandlar Cookies och Online-identifierare
Till skillnad från EU:s ePrivacy-direktiv innehåller LFPDPPP ingen cookie-specifik bestämmelse. I stället behandlar ramverket online-identifierare som personuppgifter när de kan kopplas till en identifierbar individ, och samtyckesskyldigheterna flyter ur det allmänna ramverket snarare än ur en dedikerad cookie-regel. INAI:s vägledning har förtydligat att:
- Förstapartscookies som är strikt nödvändiga för webbplatsens funktion inte kräver förhandssamtycke, men deras närvaro måste avslöjas i integritetsmeddelandet.
- Analytiska cookies i allmänhet kräver informerat samtycke, med implicit samtycke acceptabelt när integritetsmeddelandet är tydligt tillgängligt innan några data samlas in.
- Annons- och beteendecookies kräver uttryckligt samtycke, särskilt när data delas med tredje parter eller används för spårning mellan webbplatser.
- Cookies som fångar känsliga data — hälsa, sexuell läggning, religiös övertygelse, politisk åsikt — kräver uttryckligt samtycke oavsett kategori.
Den praktiska effekten är att en efterlevande mexikansk cookie-banner som ett minimum måste skilja mellan kategorier av nödvändiga, analytiska och annons-, med bekräftande opt-in krävd för annonsering och tydligt meddelande för analytik.
Integritetsmeddelandet som Efterlevnadsankare
Den mexikanska integritetslagen är meddelandecentrerad på ett sätt som skiljer sig från europeisk tradition. Integritetsmeddelandet — aviso de privacidad — är inte bara ett transparensdokument; det är det juridiska instrument genom vilket samtycke struktureras. Lineamientos del Aviso de Privacidad kräver att meddelandet innehåller specifika element, och varje cookie-banner måste vara förenlig med det underliggande meddelandet snarare än att försöka pressa in allt i en banner-popup.
Obligatoriska meddelandeelement
Meddelandet måste identifiera personuppgiftsansvarig, lista de personuppgifter som samlas in, beskriva ändamålen med behandlingen, specificera om data kommer att överföras till tredje parter, identifiera den registrerades rättigheter (acceso, rectificación, cancelación, oposición — de så kallade ARCO-rättigheterna) och beskriva hur dessa rättigheter kan utövas. För en online-utgivare måste cookie-bannern fungera som en skiktad ingångspunkt till det fullständiga meddelandet, inte en ersättning för det.
Kort, förenklad, integral
Föreskrifterna erkänner tre meddelandeformat: integralt (fullständigt), förenklat och kort. En cookie-banner presenterar vanligtvis det korta eller förenklade meddelandet med en tydlig väg till den integrala versionen. Kategorierna av cookies och samtyckesväxlarna lever inom denna skiktade struktur.
INAI-reformen och Vad Som Kommer Härnäst
I slutet av 2024 drev den mexikanska regeringen igenom en reform som omstrukturerar den federala dataskyddsfunktionen — det autonoma INAI absorberas i ett nytt institutionellt arrangemang under den verkställande makten. Det rättsliga ramverket (LFPDPPP, föreskrifter, lineamientos) förblir i kraft, men tillsynskontinuitet är den öppna frågan. För utgivare är den försiktiga hållningen att anta att de materiella standarderna förblir konstanta medan tillsynsintensiteten är osäker under övergångsperioden. Att bygga till de standarder INAI artikulerade före reformen — granulära kategorier, uttrycklig opt-in för annonsering, fullt ARCO-rättigheter-stöd, korrekt aviso de privacidad — är rätt strategi oavsett hur tillsynsarkitekturen stabiliseras.
En Praktisk Efterlevnadschecklista
Sex konkreta frågor att besvara för varje cookie-banner som betjänar mexikansk trafik.
1. Kategorisering
Delar bannern cookies i kategorier av nödvändiga, analytiska och annons- som ett minimum, med bekräftande opt-in för annonsering? Att bunta alla icke-väsentliga cookies under en enda "Acceptera alla"-knapp utan granularitet är den vanligaste bristen.
2. Koppling till integritetsmeddelande
Länkar bannern till det fullständiga integritetsmeddelandet, och innehåller det meddelandet varje obligatoriskt element (personuppgiftsansvarig, data, ändamål, överföringar, ARCO-rättigheter)? En banner utan ett korrekt utformat underliggande meddelande är en tunn efterlevnadsyta.
3. Spanska (mexikanska) språk
Presenteras bannern på spanska, och använder den mexikansk-spanska konventioner där dessa avviker från europeisk spanska? Rätt språkligt register signalerar allvar till både användare och tillsyn.
4. Tillbakadragandeväg
Finns en beständig kontroll som låter användaren återbesöka och ändra sitt samtyckesval? Rätten att återkalla är en del av ARCO:s "oposición"-rätt och bannern måste rymma den.
5. Tredjepartsöverföring-disclosure
Identifierar meddelandet kategorierna av tredje parter som tar emot personuppgifter via cookies (annonsnätverk, analysleverantörer, CDP:er), med tillräcklig detalj för att användaren ska förstå dataflödet?
6. Loggning
Registrerar systemet varje samtyckesbeslut med tidsstämpel och bannerversion så att utgivaren, i händelse av ett klagomål, kan bevisa att beslutet gavs fritt och informerat?
Hur Detta Passar Den Latinamerikanska Bilden
Mexiko är den näst största digitala marknaden i Latinamerika efter Brasilien, och dess dataskyddsregim är en av regionens mest inflytelserika. Den pågående reformdebatten kommer att forma den tolkande riktningen i åratal, men de materiella standarderna är stabila: meddelandecentrerade, ARCO-rättigheter-grundade, granulärt samtycke för annonsering, fullständig avslöjande av tredjepartsöverföringar. Utgivare som verkar i hela Latinamerika gynnas av att bygga en gång till den högre standarden — Argentinas reformerade ramverk, Brasiliens LGPD, Chiles reformerade lag och Colombias väntande lagförslag konvergerar alla mot liknande grundförväntningar. En CMP som stöder mexikansk spanska, fångar samtycke på kategorinivå, kopplar rent till en fullständig aviso de privacidad och loggar beslut i audit-grade-form, hanterar mexikansk efterlevnad genom samma infrastruktur som hanterar regional efterlevnad.