คู่มือการปฏิบัติตามกฎหมายโคลอมเบีย 1581 ปี 2012 ด้านการยินยอมคุกกี้สำหรับผู้เผยแพร่ในปี 2026
กฎหมายบัญญัติโคลอมเบีย 1581 ปี 2012 ซึ่งเสริมด้วยพระราชกฤษฎีกา 1377 ปี 2013 และรวบรวมใน Decree 1074 ปี 2015 ได้สถาปนากรอบความเป็นส่วนตัวที่ครอบคลุมหนึ่งในกรอบแรกสุดในละตินอเมริกา Superintendencia de Industria y Comercio (SIC) คือหน่วยงานคุ้มครองข้อมูล และ Delegatura para la Protección de Datos Personales เป็นผู้บังคับใช้ที่มีความกระตือรือร้นผิดปกติเมื่อเทียบกับมาตรฐานละตินอเมริกาโดยรวม ตลอดระยะเวลากว่าทศวรรษ SIC ได้ออกคำตัดสินลงโทษหลายพันครั้ง รวบรวมคลังหลักคำสอนที่ผูกมัดผ่านมติและความเห็นด้านแนวคิด และสร้างระบอบการลงทะเบียน — Registro Nacional de Bases de Datos (RNBD) — ที่ครอบคลุมผู้เผยแพร่ออนไลน์ที่รองรับโฆษณาส่วนใหญ่ สำหรับผู้ดำเนินการที่ให้บริการทราฟฟิกโคลอมเบีย มาตรฐานการดำเนินงานใกล้เคียงกับบรรทัดฐานของยุโรปมากกว่าที่ปี 2012 ของกฎหมายอาจบ่งชี้ และแนวทาง SIC ปี 2023 เกี่ยวกับการติดตามออนไลน์ได้จัดตำแหน่งความคาดหวังของแบนเนอร์คุกกี้อย่างชัดเจนกับจุดยืนแบบ EDPB คู่มือนี้อธิบายสิ่งที่ Law 1581 กำหนด วิธีที่ SIC ตีความสำหรับคุกกี้และโฆษณาเชิงพฤติกรรม และการทำงานด้านการปฏิบัติตามกฎปฏิบัติจริงมีลักษณะอย่างไรในปี 2026
Law 1581 โดยสรุป
Law 1581 มีโครงสร้างรอบหลักการแปดประการใน Article 4 ได้แก่ ความชอบด้วยกฎหมาย วัตถุประสงค์ ความอิสระ ความถูกต้อง ความโปร่งใส การเข้าถึงและการหมุนเวียนที่จำกัด ความปลอดภัย และความลับ ฐานทางกฎหมายภายใต้ Article 9 แคบกว่าของ GDPR — กฎหมายโคลอมเบียให้บทบาทที่สำคัญกว่าแก่การยินยอมและถือว่าฐานอื่น (สัญญา ประโยชน์สาธารณะ ผลประโยชน์สำคัญ) เป็นข้อยกเว้นแทนที่จะเป็นเหตุผลที่ขนานกัน สำหรับการติดตามออนไลน์ ผลที่ตามมาในทางปฏิบัติคือการยินยอมมักจะเป็นฐานการดำเนินงานเสมอ และ SIC แทบไม่เคยยอมรับการโต้แย้งแบบผลประโยชน์ที่ชอบธรรมสำหรับคุกกี้เชิงพฤติกรรม
กฎหมายนี้ใช้กับผู้ควบคุมข้อมูลและผู้ประมวลผลที่จัดการข้อมูลส่วนบุคคลของบุคคลในโคลอมเบีย โดยมีขอบเขตนอกอาณาเขตตาม Article 2 ที่ครอบคลุมผู้ดำเนินการนอกชายฝั่งที่มุ่งเป้าตลาดโคลอมเบีย การลงทะเบียนกับ RNBD ของ SIC เป็นข้อบังคับเหนือเกณฑ์ที่กำหนด และ SIC ได้เปิดเผยตัวในการดำเนินคดีกับผู้ดำเนินการที่ไม่ได้ลงทะเบียนตั้งแต่ปี 2016
Law 1581 จัดการกับคุกกี้และการติดตามออนไลน์อย่างไร
Law 1581 ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ข้อผูกพันด้านการยินยอมและการแจ้งข้อมูลมาจาก Articles 4, 9 และ 12 ของกฎหมายและจากแนวทาง SIC ปี 2023 เกี่ยวกับการติดตามออนไลน์ สี่จุดมีผลกระทบด้านการดำเนินงานมากที่สุด
การยินยอมก่อนโดยชัดแจ้งเป็นมาตรฐานเริ่มต้น
จุดยืนที่ SIC ยึดถือมานาน ซึ่งได้รับการยืนยันอีกครั้งในแนวทางปี 2023 คือการติดตามที่ไม่จำเป็นต้องมีการยินยอมก่อนโดยชัดแจ้ง — กฎหมายโคลอมเบียใช้คำว่า "expreso e inequívoco" (ชัดแจ้งและไม่คลุมเครือ) เป็นมาตรฐานการยินยอม และ SIC ได้ตีความสิ่งนี้อย่างเคร่งครัดออนไลน์ การยินยอมโดยนัย การเลื่อนหน้าจอเป็นการยินยอม และกล่องที่ทำเครื่องหมายไว้ล่วงหน้าถูกปฏิเสธในมติที่เผยแพร่
หมวดหมู่โดยละเอียดและหลักความสมส่วน
แนวทางคาดหวังให้แบนเนอร์อนุญาตให้ผู้เยี่ยมชมยอมรับและปฏิเสธหมวดหมู่อย่างอิสระ SIC ตีความการยอมรับแบบรวมกลุ่มว่าเป็นการละเมิดหลักความสมส่วนใน Article 4(c) — ที่จำเป็น มีประโยชน์ และเพียงพอไม่สามารถกลายเป็น "ทุกอย่างพร้อมกัน" โดยไม่ละเมิดความสมส่วน
ภาษาสเปนเป็นค่าเริ่มต้น
SIC ระบุอย่างชัดเจนว่าประกาศความเป็นส่วนตัวและแบนเนอร์การยินยอมสำหรับผู้ชมโคลอมเบียต้องมีให้เป็นภาษาสเปน และภาษาต้องสะท้อนอนุสัญญาภาษาสเปนโคลอมเบียที่แตกต่างจากรูปแบบของยุโรปหรือละตินอเมริกาอื่น แบนเนอร์เฉพาะภาษาอังกฤษถูกอ้างถึงว่าเป็นข้อบกพร่องในมติ SIC หลายฉบับ
การโอนข้ามพรมแดน (Article 26)
Article 26 ควบคุมการโอนระหว่างประเทศและกำหนดให้เขตอำนาจศาลปลายทางต้องมีระดับการคุ้มครองที่เพียงพอ SIC ได้ออกรายการความเพียงพอ — รายการที่เล็กกว่าของ EU — และการโอนไปยังประเทศที่ไม่อยู่ในรายการต้องได้รับความยินยอมอย่างชัดแจ้ง การรับประกันตามสัญญา หรือการอนุญาตเฉพาะจาก SIC สำหรับคุกกี้ที่ส่งข้อมูลไปยังผู้ขายเทคโนโลยีโฆษณาของสหรัฐฯ ความคาดหวังที่ปฏิบัติได้คือการรับประกันตามสัญญาที่มีเอกสาร
จุดยืนการบังคับใช้ของ SIC
SIC ดำเนินงานด้วยหนึ่งในจุดยืนการบังคับใช้ที่กระตือรือร้นที่สุดในละตินอเมริกา สามรูปแบบกำหนดแนวทางของ SIC
แนวปฏิบัติการลงโทษปริมาณสูง
SIC ออกมติการลงโทษหลายร้อยฉบับต่อปีและเผยแพร่ฉบับสำคัญ ปริมาณดังกล่าวสร้างคลังหลักคำสอนที่ผูกมัดที่อุดมสมบูรณ์ผิดปกติที่ผู้ดำเนินการสามารถใช้คาดการณ์ความคาดหวังด้านกฎระเบียบ — แต่ยังหมายความว่าข้อบกพร่องถูกค้นพบรวดเร็วเมื่อมีคำร้องเรียนมาถึง
การตรวจสอบที่ขับเคลื่อนด้วย RNBD
การตรวจสอบ SIC หลายครั้งเริ่มต้นด้วยการลงทะเบียน RNBD เป็นจุดเริ่มต้น ผู้ดำเนินการที่ไม่ได้ลงทะเบียน หรือการลงทะเบียนที่ไม่เป็นปัจจุบัน มีแนวโน้มที่จะดึงดูดการตรวจสอบมากกว่าผู้ควบคุมที่ลงทะเบียนอย่างถูกต้องด้วยการประมวลผลที่เทียบได้
การประสานงาน Iberoamerica
SIC มีส่วนร่วมอย่างแข็งขันใน Ibero-American Data Protection Network (RIPD) และประสานงานกับ AAIP ของอาร์เจนตินา INAI ของเม็กซิโก (ปรับโครงสร้างใหม่) ANPD ของบราซิล URCDP ของอุรุกวัย และระบอบที่ปฏิรูปของชิลี คดีข้ามพรมแดนที่เกี่ยวข้องกับทราฟฟิกโคลอมเบียและ Iberoamerica อื่นๆ ได้รับการจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้น
รายการตรวจสอบการปฏิบัติตามกฎที่ปฏิบัติได้จริง
หกคำถามที่เป็นรูปธรรมที่ต้องตอบสำหรับแบนเนอร์คุกกี้ทุกอันที่ให้บริการทราฟฟิกโคลอมเบีย
- ผู้ควบคุมลงทะเบียนใน RNBD หรือไม่? หากการประมวลผลเกินเกณฑ์การลงทะเบียน ยืนยันว่าการลงทะเบียนเป็นปัจจุบัน การตรวจสอบ SIC มักเริ่มต้นที่นี่
- การยินยอมชัดแจ้งและก่อนหน้าหรือไม่? เส้นทางปฏิเสธต้องอยู่บนพื้นผิวเดียวกับการยอมรับ การเลื่อนหน้าจอเป็นการยินยอมไม่ผ่านแนวทางปี 2023
- หมวดหมู่โดยละเอียดหรือไม่? ที่จำเป็น การวิเคราะห์ และการตลาดต้องควบคุมได้แยกกัน
- ภาษาเป็นภาษาสเปนโคลอมเบียหรือไม่? ยืนยันว่าแบนเนอร์และประกาศความเป็นส่วนตัวใช้อนุสัญญาภาษาสเปนโคลอมเบียและไม่ใช่เฉพาะภาษาอังกฤษ
- การโอนข้ามพรมแดนมีเอกสารหรือไม่? สำหรับจุดหมายปลายทางที่ไม่ใช่โคลอมเบียแต่ละแห่ง ระบุว่าเขตอำนาจศาลอยู่ในรายการความเพียงพอของ SIC หรือไม่ หรือจัดทำเอกสารการรับประกันตามสัญญาที่อนุญาตการโอน
- การบันทึกการยินยอมอยู่ในระดับการตรวจสอบหรือไม่? การสอบสวนของ SIC มักร้องขอบันทึกการยินยอม ต้องสามารถกู้คืนการประทับเวลา เวอร์ชันแบนเนอร์ และตัวเลือกได้
โคลอมเบียอยู่ในตำแหน่งใดในระบบหลายเขตอำนาจ
โคลอมเบียเป็นหนึ่งในสี่ระบอบการคุ้มครองข้อมูลของละตินอเมริกาที่มีผลกระทบด้านการดำเนินงานมากที่สุด ร่วมกับบราซิล เม็กซิโก และอาร์เจนตินา ปี 2012 ของ Law 1581 มาก่อน GDPR แต่การบังคับใช้อย่างเข้มแข็งของ SIC และแนวทางปี 2023 ได้จัดมาตรฐานการดำเนินงานให้ใกล้เคียงกับบรรทัดฐานของยุโรป สำหรับผู้เผยแพร่ที่สร้างสู่การดำเนินงานทั่วละตินอเมริกา กรอบโคลอมเบียจับคู่ตามธรรมชาติกับ LGPD ของบราซิล LFPDPPP ของเม็กซิโก และระบอบที่ปฏิรูปของอาร์เจนตินา — สถาปัตยกรรม CMP ที่สร้างตามมาตรฐานยุโรปจัดการงานส่วนใหญ่ โดยมีสามส่วนเพิ่มเติมเฉพาะสำหรับโคลอมเบีย: การลงทะเบียน RNBD ที่เกณฑ์บังคับใช้ การสนับสนุนภาษาสเปนโคลอมเบีย และรูปแบบเอกสาร Article 26 สำหรับการโอนข้ามพรมแดน การบรรจบกันของ Iberoamerica รอบมาตรฐานที่สอดคล้องกับ GDPR กำลังเร่งขึ้น และประสบการณ์การบังคับใช้ที่เป็นผู้ใหญ่ของโคลอมเบียทำให้เป็นเขตอำนาจศาลในภูมิภาคที่จุดยืนการปฏิบัติตามกฎถูกทดสอบโดยตรง