คู่มือการปฏิบัติตามกฎหมาย LFPDPPP ของเม็กซิโกสำหรับความยินยอมในการใช้คุกกี้: สิ่งที่ผู้เผยแพร่ต้องทำในปี 2026
เม็กซิโกมีระบบการป้องกันข้อมูลส่วนบุคคลที่เก่าแก่ที่สุดในละตินอเมริกา Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) ซึ่งเป็นกฎหมายสหพันธ์ที่ควบคุมข้อมูลส่วนบุคคลที่ถือครองโดยบุคคลเอกชน มีผลบังคับใช้ในปี 2010 โดยมีระเบียบข้อบัญญัติโดยละเอียดตามมาในปี 2011 และพารามิเตอร์ที่มีผลผูกพันสำหรับการแจ้งความเป็นส่วนตัวในปี 2013 ตลอดการดำเนินการส่วนใหญ่นั้น กฎหมายได้รับการตีความในลักษณะของกฎหมายบริหารของเม็กซิโก คือ มีบทบัญญัติสำหรับเนื้อหาของการแจ้งความเป็นส่วนตัว แต่มีความยืดหยุ่นมากขึ้นในการนำไปใช้งานด้านเทคนิค ดุลสมดุลนี้กำลังเปลี่ยนแปลง Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — หน่วยงานกำกับดูแลจนถึงการปฏิรูปในปี 2024 — ได้เผยแพร่คำแนะนำที่ชัดเจนมากขึ้นเกี่ยวกับการติดตามข้อมูลดิจิทัล และการโต้เถียงด้านนโยบายเกี่ยวกับการปรับโครงสร้างหน่วยงานการป้องกันข้อมูลได้เพิ่มการตรวจสอบต่อสำนักพิมพ์ออนไลน์โดยเฉพาะ สำหรับบริษัทใดๆ ที่ประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยในเม็กซิ��ก การปฏิบัติตามข้อกำหนดแบนเนอร์คุกกี้เป็นคำถามการบังคับใช้ที่เป็นรูปธรรมแล้ว ไม่ใช่คำถามทางวิชาการ คู่มือนี้เดินผ่านสิ่งที่ LFPDPPP และระเบียบข้อบัญญัติต้องการ โดยที่เส้นแบ่งระหว่างคุกกี้ที่จำเป็นและไม่จำเป็นอยู่ที่ไหน และวิธีการนำแบนเนอร์คุกกี้เข้าเป็นไปตามข้อกำหนดในทางปฏิบัติ
กรอบกฎหมาย
LFPDPPP อยู่ด้านบนของกรอบการทำงานแบบชั้น กฎหมายเองนิยามหลักการสำคัญ — ความชอบด้วยกฎหมาย ความยินยอม ข้อมูล คุณภาพ วัตถุประสงค์ ความจริงใจ สัดส่วน ความรับผิดชอบ — ที่ผู้ร่างกฎหมายเม็กซิ���กยืมมาจากประเพณีการป้องกันข้อมูลของยุโรป ด้านล่างกฎหมายมีระเบียบข้อบัญญัติสำหรับ LFPDPPP ซึ่งเต็มไปด้วยรายละเอียดการปฏิบัติการ และ Lineamientos del Aviso de Privacidad (แนวทางการแจ้งความเป็นส่วนตัว) ซึ่งระบุสิ่งที่ต้องปรากฏในการแจ้งความเป็นส่วนตัวและวิธีการ เมื่อรวมกันแล้ว ข้อความทั้งสามนี้ประกอบเป็นรหัสความเป็นส่วนตัวของเม็กซิโกที่เทียบเท่า โดยมีพลังปฏิบัติของระเบียบข้อบัญญัติที่มีผลผูกพัน
สำหรับสำนักพิมพ์ออนไลน์ บทบัญญัติที่มีความสำคัญมากที่สุดคือกฎเกณฑ์ความยินยอมภายใต้มาตรา 8 ถึง 11 ของกฎ���มายและข้อกำหนดการแจ้งความเป็นส่วนตัวที่ควบคุมวิธีการขอความยินยอม ความยินยอมของเม็กซิโกมีการจัดเกรด ความยินยอมโดยนัยเพียงพอสำหรับการประมวลผลข้อมูลส่วนบุคคลธรรมดาบางส่วนเมื่อมีการแจ้งความเป็นส่วนตัวที่เหมาะสม แต่ต้องมีความยินยอมที่ชัดแจ้งสำหรับข้อมูลที่ละเอียดอ่อนและสำหรับการประมวลผลใดๆ ที่กฎหมายขอโดยเฉพาะ คำถามการตีความสำหรับแบนเนอร์คุกกี้คือ ระบบใดต่อไปนี้ที่ใช้กับคุกกี้พฤติกรรมและโฆษณา
กฎหมายของเม็กซิโกปฏิบัติต่อคุกกี้และตัวระบุออนไลน์อย่างไร
ต่างจากค���สั่งความเป็นส่วนตัวทางอิเล็กทรอนิกส์ของสหภาพยุโรป LFPDPPP ไม่มีบทบัญญัติเฉพาะคุกกี้ แทนที่จะเป็นเช่นนั้น กรอบการทำงานจะถือว่าตัวระบุออนไลน์เป็นข้อมูลส่วนบุคคลเมื่อสามารถเชื่อมโยงกับบุคคลที่สามารถระบุตัวได้ และภาระผูกพันความยินยอมไหลมาจากกรอบการทำงานทั่วไปแทนที่จะมาจากกฎคุกกี้ที่อุทิศให้ INAI ได้ชี้แจงว่า:
- คุกกี้ฝ่ายแรกที่จำเป็นอย่างเคร่งครัดสำหรับการทำงานของไซต์ ไม่ต้องมีความยินยอมล่วงหน้า แต่ต้องเปิดเผยการมีอยู่ของมันในการแจ้งความเป็นส่วนตัว
- คุกกี้การ���ิเคราะห์ โดยทั่วไปต้องมีความยินยอมโดยมีข้อมูล โดยยอมรับความยินยอมโดยนัยเมื่อการแจ้งความเป็นส่วนตัวสามารถเข้าถึงได้อย่างชัดเจนก่อนที่จะมีการรวบรวมข้อมูลใดๆ
- คุกกี้โฆษณาและพฤติกรรม ต้องมีความยินยอมที่ชัดแจ้ง โดยเฉพาะอย่างยิ่งเมื่อข้อมูลถูกแชร์กับบุคคลที่สาม หรือใช้สำหรับการติดตามข้ามไซต์
- คุกกี้ที่จับข้อมูลที่ละเอียดอ่อน — สุขภาพ การวางแนว เพศ ความเชื่อด้านศาสนา ความเห็นทางการเมือง — ต้องมีความยินยอมที่ชัดแจ้งไม่ว่ากรณีใด
ผลในทางปฏิบัติคือแบน��นอร์คุกกี้ที่ปฏิบัติตามข้อกำหนดของเม็กซิโกต้องแยกแยะระหว่างหมวดหมู่ที่จำเป็น การวิเคราะห์ และโฆษณาอย่างน้อย โดยต้องมีการปฏิเสธการยินยอมที่ชัดแจ้งสำหรับโฆษณาและประกาศที่ชัดเจนสำหรับการวิเคราะห์
การแจ้งความเป็นส่วนตัวเป็นจุดยึดการปฏิบัติตามข้อกำหนด
กฎหมายความเป็นส่วนตัวของเม็กซิโกเน้นการแจ้งความเป็นส่วนตัวในลักษณะที่แตกต่างจากประเพณีของยุโรป การแจ้งความเป็นส่วนตัว — aviso de privacidad — ไม่ใช่เพียงเอกสารความโปร่งใส เท่านั้น มันเป็นเครื่องมือทางกฎหมายที่ใช้โครงสร้างความยินยอม Lineamientos del Aviso de Privacidad กำหนดให้การแจ้งความเป็นส่วนตัวต้องมีองค์ประกอบเฉพาะ และแบนเนอร์คุกกี้ใดๆ ต้องสอดคล้องกับการแจ้งความเป็นส่วนตัวพื้นฐาน แทนที่จะพยายามบีบอัดทุกอย่างลงในป๊อปอัพแบนเนอร์
องค์ประกอบการแจ้งความเป็นส่วนตัวที่จำเป็น
การแจ้งความเป็นส่วนตัวต้องระบุผู้ควบคุมข้อมูล แสดงรายการข้อมูลส่วนบุคคลที่กำลังรวบรวม อธิบายวัตถุประสงค์ของการประมวลผล ระบุว่าข้อมูลจะถูกโอนไปยังบุคคลที่สามหรือไม่ ระบุสิทธิของเจ้าของข้อมูล (acceso, rectificación, cancelación, oposición — สิ่งที่เรียกว่า ARCO rights) และอธิบายวิธีการใช้สิทธิเหล่านั้น สำหรับสำนักพิมพ์ออนไลน์ แบนเนอร์คุกกี้ต้องทำหน้าที่เป็นจุดเข้าแบบชั้นไปยังการแจ้งความเป็นส่วนตัวแบบเต็ม ไม่ใช่การแทนที่
สั้น เรียบง่าย อินทิกรัล
ระเบียบข้อบัญญัติยอมรับรูปแบบการแจ้งความเป็นส่วนตัวสามประเภท คือ อินทิกรัล (แบบเต็ม) เรียบง่าย และสั้น แบนเนอร์คุกกี้โดยทั่วไปนำเสนอการแจ้งความเป็นส่วนตัวแบบสั้นหรือเรียบง่ายพร้อมเส้นทางที่ชัดเจนไปยังเวอร์ชันแบบอินทิกรัล หมวดหมู่ของคุกกี้และสลับความยินยอมอยู่ในโครงสร้างแบบชั้นนี้
การป��ิรูป INAI และสิ่งที่จะมาถัดไป
ในช่วงปลายปี 2024 รัฐบาลเม็กซิโกได้เสนอการปฏิรูปที่จัดโครงสร้างใหม่ให้กับการทำงานด้านการป้องกันข้อมูลสหพันธ์ — INAI อิสระกำลังถูกดูดซึมเข้าสู่การจัดการสถาบันใหม่ภายใต้สาขาบริหาร กรอบกฎหมาย (LFPDPPP ระเบียบข้อบัญญัติ lineamientos) ยังคงมีผลบังคับใช้ อย่างไรก็ตาม ความต่อเนื่องของการกำกับดูแลคือคำถามที่เปิดกว้าง สำหรับสำนักพิมพ์ ท่าทีอนุรักษ์นิยมคือการสันนิษฐานว่ามาตรฐานสาระสำคัญยังคงมีค่าคงที่ ขณะที่ความเข้มของการบังคับใช้มีความไม่แน่นอนในช่วงเปลี่ยนผ่าน ก���รสร้างตามมาตรฐานที่ INAI บรรยายไว้ก่อนการปฏิรูป — หมวดหมู่ที่มีข้อมูลโดยละเอียด การปฏิเสธการยินยอมที่ชัดแจ้งสำหรับโฆษณา การสนับสนุนสิทธิ ARCO แบบเต็ม aviso de privacidad ที่ถูกต้อง — เป็นกลยุทธ์ที่ถูกต้องไม่ว่าสถาปัตยกรรมการกำกับดูแลจะเสถียรตัวอย่างไร
รายการตรวจสอบการปฏิบัติตามข้อกำหนดทั่วไป
คำถามหกข้อที่ต้องตอบสำหรับแบนเนอร์คุกกี้ใดๆ ที่ให้บริการสำหรับการจราจรจากเม็กซิโก
1. การจัดหมวดหมู่
แบนเนอร์แยกคุกกี้เป็นหมวดหมู่ที่จำเป็น วิเคราะห์ และโฆษณาอย่างน้อย โดยปฏิเสธการยินยอมท��่ชัดแจ้งสำหรับโฆษณาหรือไม่ การรวมคุกกี้ที่ไม่จำเป็นทั้งหมดภายใต้ "ยอมรับทั้งหมด" เพียงหนึ่งเดียวโดยไม่มีความละเอียดคือข้อบกพร่องที่พบบ่อยที่สุด
2. การเชื่อมโยงการแจ้งความเป็นส่วนตัว
แบนเนอร์เชื่อมโยงไปยังการแจ้งความเป็นส่วนตัวแบบเต็มหรือไม่ และการแจ้งความเป็นส่วนตัวนั้นมีองค์ประกอบที่จำเป็นทั้งหมดหรือไม่ (ผู้ควบคุม ข้อมูล วัตถุประสงค์ การโอน สิทธิ ARCO) แบนเนอร์ที่ไม่มีการแจ้งความเป็นส่วนตัวที่ร่างขึ้นอย่างเหมาะสมในพื้นหลังเป็นพื้นผิวการปฏิบัติตามข้อกำหนดที่บาง
3. ภาษาสเปน (เม็กซิกัน)
แบนเนอร์นำเสนอเป็นภาษาสเปนหรือไม่ และใช้อนุสัญญาภาษาสเปนแบบเม็กซิกันที่ซึ่งหลากหลายจากภาษาสเปนของยุโรป บันทึกทางภาษาศาสตร์ที่ถูกต้องส่งสัญญาณความจริงจังต่อผู้ใช้และผู้กำกับดูแล
4. เส้นทางการถอนการยินยอม
มีการควบคุมอย่างต่อเนื่องที่ให้ผู้ใช้สามารถกลับไปเยี่ยมชมและแก้ไขตัวเลือกความยินยอมของตนเองได้หรือไม่ สิทธิในการเพิกถอนเป็นส่วนหนึ่งของสิทธิ "oposición" ของ ARCO และแบนเนอร์ต้องรองรับสิทธินี้
5. การเปิดเผยการโอนของบุคคลที่สาม
การแจ้งความเป็น��่วนตัวระบุหมวดหมู่ของบุคคลที่สามที่ได้รับข้อมูลส่วนบุคคลผ่านคุกกี้หรือไม่ (เครือข่ายโฆษณา ผู้ให้บริการวิเคราะห์ CDP) โดยมีรายละเอียดเพียงพอสำหรับผู้ใช้ที่จะเข้าใจการไหลของข้อมูล
6. การบันทึก
ระบบบันทึกการตัดสินใจความยินยอมแต่ละครั้งด้วยเวลาประทับและเวอร์ชันแบนเนอร์เพื่อให้ในกรณีที่มีการร้องเรียน สำนักพิมพ์สามารถพิสูจน์ได้ว่าการตัดสินใจได้รับอย่างอิสระและมีข้อมูลดีหรือไม่
สิ่งนี้เข้าหมวดหมู่ของภาพละตินอเมริกาอย่างไร
เม็กซิโกเป็นตลาดดิจิทัลที่ใหญ่เป็นอันดับสองในละตินอเมริกา หลังบราซิล และระบบการป้องกันข้อมูลของเม็กซิโกเป็นหนึ่งในระบบที่มีอิทธิพลมากที่สุดของภูมิภาค การถกเถียงเกี่ยวกับการปฏิรูปที่กำลังดำเนินอยู่จะกำหนดทิศทางการตีความสำหรับปี แต่มาตรฐานสาระสำคัญมีเสถียรภาพ: เน้นการแจ้งความเป็นส่วนตัว ตั้งอยู่บนสิทธิ ARCO ความยินยอมที่มีข้อมูลโดยละเอียดสำหรับโฆษณา การเปิดเผยแบบเต็มของการโอนของบุคคลที่สาม สำนักพิมพ์ที่ดำเนินงานในละตินอเมริกาได้รับประโยชน์จากการสร้างครั้งเดียวตามมาตรฐานที่สูงกว่า — กรอบการสร้างใหม่ของอา��์เจนตินา LGPD ของบราซิล กฎที่ได้รับการสร้างใหม่ของชิลี และบิลที่รอคำพิจารณาของโคลัมเบีย ทั้งหมดมาบรรจบกันในความคาดหวังพื้นฐานที่คล้ายคลึงกัน CMP ที่สนับสนุนสเปนเม็กซิกัน จับความยินยอมระดับหมวดหมู่ เชื่อมโยงอย่างสะอาดไปยัง aviso de privacidad แบบเต็ม และบันทึกการตัดสินใจในรูปแบบระดับการตรวจสอบจัดการการปฏิบัติตามข้อกำหนดของเม็กซิโกผ่านโครงสร้างพื้นฐานเดียวกันที่จัดการการปฏิบัติตามข้อกำหนดของภูมิภาค