การปฏิรูปการคุ้มครองข้อมูลของอาร์เจนตินา: คู่มือการปฏิบัติตามความยินยอมคุกกี้สำหรับผู้เผยแพร่
อาร์เจนตินามีระบบการคุ้มครองข้อมูลที่เก่าแก่ที่สุดแห่งหนึ่งในละตินอเมริกา Ley 25.326 หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศ ได้รับการประกาศใช้ในปี 2543 และทำให้อาร์เจนตินาได้รับ การตัดสินความเพียงพอจากคณะกรรมาธิการยุโรปในปี 2546 ซึ่งเป็นสถานะที่ได้หล่อหลอมกฎหมายความเป็นส่วนตัวของละตินอเมริกา มาสองทศวรรษ ระบบดังกล่าวกำลังได้รับการปรับปรุงในขณะนี้ ร่างกฎหมายปฏิรูปที่นำเสนอโดย Agencia de Acceso a la Información Pública (AAIP) และอยู่ระหว่างการพิจารณาของรัฐสภาตั้งแต่ปี 2566 จะปรับ Ley 25.326 ให้สอดคล้องกับ GDPR มากขึ้น ได้แก่ มาตรฐานการยินยอมที่ชัดเจน กฎเกณฑ์ที่เข้มงวดขึ้น เกี่ยวกับการถ่ายโอนข้ามพรมแดน ภาระหน้าที่เฉพาะสำหรับผู้ประมวลผล และค่าปรับทางปกครองที่มีนัยสำคัญ สำหรับผู้เผยแพร่ที่ดำเนินงานในอาร์เจนตินาหรือประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยในอาร์เจนตินา การปฏิรูปจะเปลี่ยนรูปแบบวิธีที่ต้องได้รับ บันทึก และแสดงความยินยอมสำหรับคุกกี้ คู่มือนี้สรุปสิ่งที่กำลังเปลี่ยนแปลงและสิ่งที่ควรดำเนินการ
บริบทกฎหมาย
Ley 25.326 ถูกเขียนขึ้นก่อนที่การโฆษณาเชิงพฤติกรรมจะมีอยู่ในวงกว้าง มาตรฐานความยินยอมกำหนดให้มีการอนุญาต ล่วงหน้า ชัดเจน และได้รับข้อมูล แต่การตีความในทางปฏิบัติโดย AAIP โดยประวัติศาสตร์นั้นมีความเข้มงวดน้อยกว่า ที่หน่วยงานกำกับดูแลยุโรปได้บังคับใช้ คุกกี้ พิกเซลติดตาม และเครื่องมือสร้างผู้ชมดำเนินงานในอาร์เจนตินา ภายใต้ระบอบการตีความที่ค่อนข้างผ่อนปรน โดยการบังคับใช้มุ่งเน้นที่กรณีที่ร้ายแรงมากกว่าการออกแบบแบนเนอร์ อย่างเป็นระบบ
การปฏิรูปเปลี่ยนแปลงสภาพแวดล้อมการดำเนินงานในสามด้านโครงสร้าง ประการแรก ทำให้คำจำกัดความของความยินยอม เข้มงวดขึ้นตามภาษาของ GDPR Article 4(11) ได้แก่ ให้โดยเสรี เจาะจง มีข้อมูล และไม่คลุมเครือ ประการที่สอง นำหลักการรับผิดชอบที่ชัดเจนมาใช้ ซึ่งกำหนดให้ผู้ควบคุมข้อมูลสามารถแสดงให้เห็นถึงการปฏิบัติตาม ไม่ใช่แค่ยืนยัน ประการที่สาม ยกระดับค่าปรับทางปกครองสูงสุดให้สูงถึงระดับที่สัดส่วนกับรายได้ขององค์กร ซึ่งเปลี่ยนแปลงการคำนวณการบังคับใช้อย่างมีนัยสำคัญสำหรับแพลตฟอร์มระหว่างประเทศ
สิ่งที่ถือว่าเป็นความยินยอมภายใต้มาตรฐานที่ปฏิรูปแล้ว
ข้อความที่ปฏิรูปแล้ว ในเวอร์ชันที่ล่าสุดต่อหน้ารัฐสภา สะท้อนความเข้าใจของยุโรปเกี่ยวกับความยินยอมในด้านสำคัญ กล่องที่ทำเครื่องหมายล่วงหน้าไม่ถือเป็นความยินยอม การใช้เว็บไซต์ต่อเนื่องไม่ถือเป็นความยินยอม การรวมความยินยอมเพื่อวัตถุประสงค์ที่ไม่เกี่ยวข้อง เช่น การถือว่าการยอมรับข้อกำหนดการให้บริการเป็นการอนุญาต สำหรับการโฆษณาเชิงพฤติกรรม ไม่ถือเป็นความยินยอม AAIP ได้ส่งสัญญาณในการประชุมเชิงปฏิบัติการและการปรึกษาหารือ ว่าตั้งใจจะตีความมาตรฐานที่ปฏิรูปแล้วโดยอ้างอิงแนวทางของ EDPB ซึ่งหมายความว่าผู้เผยแพร่ในอาร์เจนตินาควรคาดหวังว่า การบังคับใช้แบนเนอร์คุกกี้จะลู่เข้าสู่รูปแบบความล้มเหลวหกแบบเดียวกันที่ EDPB Cookie Banner Taskforce ได้บันทึกไว้ ได้แก่ ปุ่มปฏิเสธที่ขาดหายไป การออกแบบลิงก์ที่หลอกลวง หมวดหมู่ที่ทำเครื่องหมายล่วงหน้า คุกกี้ที่มีป้ายกำกับผิด กลไกการถอนตัวที่ขาดหายไป และรูปแบบมืดที่สร้างแรงกดดัน
ผลกระทบในทางปฏิบัติสำหรับแบนเนอร์คุกกี้ในอาร์เจนตินาคือการออกแบบที่ผ่านการตรวจสอบของ EU จะผ่านการตรวจสอบ ของอาร์เจนตินาภายใต้การปฏิรูปด้วย ในทางกลับกัน แบนเนอร์ที่ดำเนินงานในอาร์เจนตินาภายใต้การตีความแบบเก่าที่ ผ่อนปรนกว่าอาจต้องมีการออกแบบใหม่อย่างมากก่อนที่กฎหมายที่ปฏิรูปแล้วจะมีผลบังคับใช้
การถ่ายโอนข้อมูลข้ามพรมแดน
หนึ่งในการเปลี่ยนแปลงที่สำคัญที่สุดในการปฏิรูปคือการปฏิบัติต่อการถ่ายโอนข้อมูลระหว่างประเทศ ภายใต้ Ley 25.326 ตามที่ประกาศใช้ในตอนแรก การถ่ายโอนไปยังประเทศที่ไม่มีการคุ้มครองที่เพียงพอ ต้องการความยินยอมเฉพาะเจาะจงหรือการรับประกันตามสัญญา แต่กฎเกณฑ์มีน้อยและ AAIP มีขีดความสามารถในการบังคับใช้ จำกัด การปฏิรูปนำเสนอกรอบงานแบบชั้นที่ขนานกับ Chapter V ของ GDPR การถ่ายโอนได้รับอนุญาตไปยังประเทศที่ AAIP กำหนดให้เพียงพอ หากไม่มีความเพียงพอ การถ่ายโอนต้องการเครื่องมือที่ได้รับอนุมัติ เช่น กฎเกณฑ์ขององค์กรที่มีผลผูกพัน ข้อกำหนดสัญญามาตรฐานที่ได้รับการอนุมัติจาก AAIP หรือการยกเว้นเฉพาะ
สำหรับผู้เผยแพร่ที่ส่งทราฟฟิกของอาร์เจนตินาผ่านผู้ขายเทคโนโลยีโฆษณาของสหรัฐอเมริกา EU หรือเอเชีย ผลกระทบในทางปฏิบัติคือบันทึกความยินยอมสำหรับคุกกี้ต้องรองรับภาระหน้าที่ความรับผิดชอบในการถ่ายโอนด้วย CMP ต้องสามารถแสดงให้เห็นสำหรับผู้เยี่ยมชมแต่ละรายว่าหมวดหมู่ของผู้ขายใดได้รับข้อมูลส่วนบุคคลของพวกเขา และภายใต้เครื่องมือการถ่ายโอนใด นี่คือสถาปัตยกรรมความรับผิดชอบเดียวกันที่ผู้เผยแพร่ยุโรปสร้างขึ้นสำหรับ GDPR ที่นำมาใช้กับทราฟฟิกของอาร์เจนตินา
บทบาทของ AAIP
Agencia de Acceso a la Información Pública คือหน่วยงานคุ้มครองข้อมูลของอาร์เจนตินา ก่อตั้งขึ้นในปี 2560 โดย Decreto 746/2017 รวมการกำกับดูแลทั้งระบบการคุ้มครองข้อมูลและเสรีภาพในการเข้าถึงข้อมูล ภายใต้กฎหมายปัจจุบัน อำนาจบังคับใช้มีจำกัด การปฏิรูปจะเสริมความเข้มแข็งอย่างมีนัยสำคัญ
อำนาจการสืบสวน
การปฏิรูปมอบอำนาจที่เพิ่มขึ้นแก่ AAIP ในการบังคับให้ผลิตเอกสาร ดำเนินการตรวจสอบ และออกมาตรการชั่วคราว ระหว่างการสืบสวน สำหรับผู้เผยแพร่ออนไลน์ สิ่งนี้มีแนวโน้มที่จะแสดงออกมาในรูปแบบของการขอบันทึกความยินยอม รายชื่อผู้ขาย และภาพรหัสแบนเนอร์ที่ครอบคลุมช่วงวันที่เฉพาะ
ระบอบการลงโทษ
ค่าปรับทางปกครองสูงสุดภายใต้ข้อความที่ปฏิรูปแล้วผูกกับเปอร์เซ็นต์ของรายได้ประจำปี โดยมีเพดานสัมบูรณ์สูง นี่เป็นการเปลี่ยนแปลงที่มีนัยสำคัญจากระบอบจำนวนคงที่ในปัจจุบัน และนำอาร์เจนตินาให้สอดคล้องกับโครงสร้าง ค่าปรับแบบชั้นของ GDPR
การประสานงานกับเพื่อนในละตินอเมริกา
AAIP เป็นผู้เข้าร่วมที่กระตือรือร้นในเครือข่ายคุ้มครองข้อมูลไอบีเรีย-อเมริกา แนวทางของอาร์เจนตินาที่ปฏิรูปแล้วคาดว่าจะมีอิทธิพล และได้รับอิทธิพลจาก ANPD ของบราซิล INAI ของเม็กซิโก ระบอบที่ปฏิรูปแล้วของชิลี และ URCDP ของอุรุกวัย ผู้เผยแพร่ที่ดำเนินงานทั่วภูมิภาคควรคาดหวังการบรรจบกัน ของมาตรฐานความยินยอมภายใน 24 ถึง 36 เดือน
สิ่งที่ผู้เผยแพร่ควรทำในตอนนี้
การปฏิรูปอยู่ระหว่างกระบวนการนิติบัญญัติ ยังไม่มีผลบังคับใช้ จุดยืนที่อนุรักษ์นิยมคือการสร้างตามมาตรฐาน ที่สูงกว่าในตอนนี้ โดยสมมติว่าการประกาศใช้จะเกิดขึ้นภายใน 12 ถึง 18 เดือน ห้าขั้นตอนปฏิบัติการทำให้ การเปลี่ยนผ่านสามารถจัดการได้
- ตรวจสอบแบนเนอร์ปัจจุบันตามเกณฑ์ของคณะทำงาน EDPB หากล้มเหลวในรูปแบบความล้มเหลวทั่วไปหกแบบใดแบบหนึ่ง แบนเนอร์เดียวกันจะล้มเหลวภายใต้มาตรฐานอาร์เจนตินาที่ปฏิรูปแล้วเมื่อมีผลบังคับใช้ การแก้ไขในตอนนี้จะหลีกเลี่ยงการทำงานซ้ำในภายหลัง
- เพิ่มเวอร์ชันแบนเนอร์และนโยบายภาษาสเปน ภาษาสเปนของอาร์เจนตินา (es-AR) คือภาษาหลักของผู้ใช้ ตรวจสอบให้แน่ใจว่า CMP รองรับภาษานั้นโดยกำเนิด ไม่ใช่แค่ภาษาสเปนทั่วไป
- จับคู่รายชื่อผู้ขายกับเครื่องมือการถ่ายโอน สำหรับผู้ขายเทคโนโลยีโฆษณา การวิเคราะห์ หรือการตลาดแต่ละรายที่รับข้อมูลส่วนบุคคลของอาร์เจนตินา ให้บันทึกเครื่องมือการถ่ายโอน ได้แก่ ความเพียงพอ ข้อกำหนดสัญญามาตรฐาน กฎเกณฑ์ขององค์กรที่มีผลผูกพัน หรือการยกเว้น
- กำหนดค่าการบันทึกความยินยอมด้วยความละเอียดระดับภูมิภาค บันทึกความยินยอมควรบันทึกประเทศต้นทาง ของผู้เยี่ยมชม (ที่ได้มาจาก IP ณ เวลาที่แสดงแบนเนอร์) เพื่อให้การสืบสวนของ AAIP สามารถตอบสนองได้ ด้วยหลักฐานที่กรองตามประเทศ
- กำหนดจุดติดต่อสำหรับการติดต่อกับ AAIP ผู้เผยแพร่ระหว่างประเทศจำนวนมากดำเนินงานในอาร์เจนตินา โดยไม่มีตัวแทนท้องถิ่นอย่างเป็นทางการ การปฏิรูปทำให้การกำหนดจุดติดต่อสำหรับหน่วยงานกำกับดูแลกลายเป็น ความจำเป็นในทางปฏิบัติ
นอกเหนือจากแบนเนอร์คุกกี้
การปฏิรูปของอาร์เจนตินามีขอบเขตกว้างกว่าความยินยอมสำหรับคุกกี้ ครอบคลุมการปรับปรุงกำหนดเวลาการแจ้งเตือน การละเมิด การนำเสนอการคุ้มครองเฉพาะสำหรับหมวดหมู่ข้อมูลที่ละเอียดอ่อน และการสร้างภาระหน้าที่ใหม่เกี่ยวกับ การตัดสินใจโดยอัตโนมัติ สำหรับผู้เผยแพร่ แบนเนอร์คุกกี้เป็นพื้นผิวการปฏิบัติตามที่มองเห็นได้มากที่สุด แต่ไม่ใช่พื้นผิวเดียว โครงสร้างพื้นฐาน CMP เดียวกันที่บันทึกความยินยอมสำหรับคุกกี้อยู่ในตำแหน่งที่ดีที่จะ บันทึกการตัดสินใจเกี่ยวกับความยินยอมอื่นๆ ด้วย เช่น ความยินยอมด้านการสื่อสาร ความยินยอมในการแบ่งปันข้อมูล กับพันธมิตรสื่อค้าปลีก ความยินยอมสำหรับคุณสมบัติการปรับแต่งส่วนบุคคล และข้อกำหนดความรับผิดชอบของ AAIP ใช้กับทั้งหมด
การปฏิรูปสะท้อนรูปแบบที่กว้างขึ้น ละตินอเมริกากำลังมุ่งสู่มาตรฐานที่สอดคล้องกับ GDPR โดยมีการนำไปใช้ ระดับชาติที่ปรับให้เหมาะกับประเพณีทางกฎหมายท้องถิ่น ผู้เผยแพร่ที่สร้างชุดความยินยอมที่ไม่ขึ้นกับภูมิภาคในตอนนี้ ซึ่งบันทึกความยินยอมเฉพาะวัตถุประสงค์ที่ละเอียด รองรับหลายภาษาและรูปแบบวันที่ บันทึกการตัดสินใจในรูปแบบ ที่เหมาะสำหรับการตรวจสอบ และรวมเข้ากับเอกสารการถ่ายโอน จะจัดการการปฏิบัติตามของอาร์เจนตินา บราซิล เม็กซิโก และชิลีผ่านไปป์ไลน์ปฏิบัติการเดียวกัน ต้นทุนในการสร้างสำหรับเขตอำนาจศาลเดียวแล้วปรับแต่งสำหรับเขตอำนาจศาลถัดไป มีประวัติว่าสูงกว่าต้นทุนในการสร้างตามมาตรฐานภูมิภาคตั้งแต่เริ่มต้น