Правова база

LFPDPPP знаходиться на вершині багаторівневої основи. Сам закон визначає основні принципи — законність, згода, інформація, якість, мета, вірні��ть, пропорційність, підзвітність — які мексиканські розробники запозичили з європейської традиції захисту даних. Під законом знаходяться Положення до LFPDPPP, які заповнюють операційні деталі, та Lineamientos del Aviso de Privacidad (рекомендації щодо повідомлення про конфіденційність), які визначають, що повинно з'являтися в повідомленні про конфіденційність та як. Разом ці три текстові документи складають мексиканський еквівалент уніфікованого кодексу конфіденційності з практичною силою обов'язкового положення.

Для онлайн-видавців найбільш важливими положеннями є правила дозволу за статтями 8–11 закону та вимоги щодо повідомлення про конфіденційність, які регулюють, як запитується дозвіл. Мексиканський дозвіл диференційований: неявна згода до��татня для деякої обробки звичайних персональних даних при умові надання належного повідомлення, але явна згода необхідна для конфіденційних даних та для будь-якої обробки, де закон спеціально це вимагає. Питання для інтерпретації для банерів cookie полягає в тому, який з цих режимів застосовується до поведінкових та рекламних файлів cookie.

Як мексиканське право ставиться до файлів cookie та онлайн-ідентифікаторів

На відміну від Директиви ePrivacy ЄС, LFPDPPP не містить положення, спеціально про файли cookie. Замість цього основа розглядає онлайн-ідентифікатори як персональні дані, коли їх можна пов'язати з ідентифікованою особою, а зобов'язання щодо згоди випливають з загальної основи, а не з спеціального правила про файли cookie. Рекомендації INAI уточнили, що:

• Файли cookie першої сторони, строго необхідні для функціонування сайту, не потребують попередньої згоди, але їх наявність повинна бути розкрита в повідомленні про конфіденційність.
• Файли cookie аналітики зазвичай вимагають інформованої згоди, при цьому неявна згода прийнята, коли повідомлення про конфіденційність явно доступне перед збором будь-яких даних.
• Файли cookie реклами та поведінки вимагають явної згоди, особливо коли дані передаються третім сторонам або використовуються для міжсайтового відстеження.
• Файли cookie, які захоплюють конфіденційні дані — здоров'я, сексуальна орієнтація, релігійні переконання, політична думка — вимагають явної згоди незалежно від категорії.

Практичний результат полягає в тому, що відповідний мексиканський банер cookie повинен розрізняти мінімум необхідні, аналітичні та рекламні категорії, з обов'язковою явною згодою для реклами та чітким повідомленням для аналітики.

Повідомлення про конфіденційність як якір відповідності

Мексиканське право конфіденційності орієнтоване на повідомлення способом, який відрізняється від європейської традиції. Повідомлення про конфіденційність — aviso de privacidad — це не просто документ прозорості; це правовий інструмент, через який структурується дозвіл. Lineamientos del Aviso de Privacidad вимагають, щоб повідомлення містило специфічні елементи, і будь-який банер cookie повинен відповідати базовому повідомленню, а не намагатися стиснути все в спливаючий банер.

Обов'язкові елементи повідомлення

Повідомлення повинно визначати контролера даних, перелічувати персональні дані, що збираються, описувати цілі обробки, вказувати, чи будуть дані передані третім сторонам, визначати права суб'єкта даних (acceso, rectificación, cancelación, oposición — так звані права ARCO), та описувати, як ці права можуть бути здійснені. Для онлайн-видавця банер cookie повинен служити багаторівневою точкою входу в повне повідомлення, а не заміною для нього.

Коротке, спрощене, комплексне

Положення визнають три формати повідомлення: комплексне (повне), спрощене та коротке. Банер cookie зазвичай подає коротке або спрощене повідомлення з чітким шляхом до комплексної версії. Категорії файлів cookie та перемикачі дозволу знаходяться в межах цієї багаторівневої структури.

Реформа INAI і що д��лі

Наприкінці 2024 року мексиканський уряд просунув реформу, яка реструктурує федеральну функцію захисту даних — автономна INAI поглинається новою інституціональною структурою під контролем виконавчої гілки. Правова основа (LFPDPPP, положення, lineamientos) залишається чинною, але безперервність нагляду є відкритим питанням. Для видавців консервативна позиція полягає в тому, щоб припустити, що матеріальні стандарти залишаються незмінними, а інтенсивність забезпечення невизначена в період переходу. Побудова відповідно до стандартів, які INAI формулювала до реформи — гранульовані категорії, явна дозвіл для реклами, повна підтримка прав ARCO, точна aviso de privacidad — правильна стратегія незалежно від того, як стабілізується архітектура нагляду.

Практичний контрольний список відповідності

Шість конкретних питань, на які потрібно дати відповідь для будь-якого банера cookie, що обслуговує мексиканський трафік.

1. Категоризація

Чи розділяє банер файли cookie на необхідні, аналітичні та рекламні категорії мінімум, з обов'язковою явною згодою для реклами? Об'єднання всіх необов'язкових файлів cookie під одним «Прийняти все» без деталізації — найпоширеніша помилка.

2. Посилання на повідомлення про конфіденційність

Чи посилається банер на повне повідомлення про конфіденційність, і чи містить це повідомлення кожний обов'язковий елемент (контролер, дані, цілі, передачі, права ARCO)? Банер без належно розробленого підтримуючого повідомлення — це тонка поверхня відповідності.

3. Іспанська (мексиканська) мова

Чи представлений банер іспанською мовою, і чи використовує він мексиканські іспанські конвенції, коли вони відрізняються від європейської іспанської мови? Правильний лінгвістичний регістр сигналізує про серйозність як користувачам, так і наглядачам.

4. Шлях відкликання

Чи є постійний елемент керування, який дозволяє користувачу переглянути та змінити свій вибір дозволу? Право на відкликання є частиною права ARCO «oposición», і банер повинен його враховувати.

5. Розкриття передачі третій стороні

Чи визначає повідомлення категорії третіх сторін, які отримують персональні дані через файли cookie (рекламні мережі, провайдери аналітики, CDPs), з достатньою деталізацією, щоб користувач розумів потік даних?

6. Логування

Чи записує система кожне рішення про дозв��л з часовою міткою та версією банера, щоб у разі скарги видавець міг довести, що рішення було дано вільно та обізнано?

Як це вписується у картину Латинської Америки

Мексика є другим за величиною цифровим ринком в Латинській Америці після Бразилії, а її режим захисту даних є одним з найбільш впливових у регіоні. Дебати щодо реформи, які розгортаються зараз, будуть формувати напрямок інтерпретації на роки, але матеріальні стандарти стабільні: орієнтовані на повідомлення, засновані на правах ARCO, гранульована згода для реклами, повне розкриття передачі третій стороні. Видавці, які працюють по всій Латинській Америці, отримують переваги від побудови один раз за вищим стандартом — реформована система Аргентини, LGPD Бразилії, реформована мексиканське право, та законопроект Колумбії, що розглядається, — все це збігається на аналогічних базових очікуваннях. CMP, який підтримує мексиканську іспанську мову, захоплює дозвіл на рівні категорій, чисто посилається на повне aviso de privacidad та записує рішення в формі, придатній для аудиту, дозволяє вирішити мексиканський дотримання через ту саму інфраструктуру, яка обробляє регіональну відповідність.