El Marco IAB, consentimiento de cookies de acuerdo con la ley y el RGPD
¿Qué es el Marco IAB y cómo aborda los requisitos del RGPD? I
IAB, la Oficina interactiva de publicidad, es una organización de negocios que desarrolla y gobierna los estándares de la industria y las mejores prácticas, realiza estudios y provee ayuda legal para anunciantes online y profesionales de marketing.
Como preparación de la entrada en vigor de la legislación europea en protección de datos y privacidad, el Reglamento general de protección de datos (RGPD) en mayo de 2018, el laboratorio técnico de IAB desarrolló un Marco en colaboración con IAB Europa.
El Marco se llama The IAB Europe Transparency & Consent Framework (El Marco de IAB Europa para la transparencia y el consentimiento).
Se creó con el objetivo de establecer un terreno común de cooperación entre editores, anunciantes y proveedores de gestión de consentimiento, que pueda ayudar a facilitar el proceso de cumplir los requisitos del RGPD.
Este Marco trabaja especialmente como un medio estándar para comunicar el estado de consentimiento del usuario entre las primeras partes (cookies propias) como los editores, las terceras partes, como los anunciantes y el sistema de gestión de consentimientos en el uso de las webs propias.
Si quieres asegurarte de que cumples con los requisitos del RGPD, prueba gratuitamente Cookiebot aquí hoy.
Cookiebot ayuda a las pequeñas webs, lee más sobre Cookiebot aquí.
¿Cuáles son los requisitos del Reglamento general de protección de datos y qué conlleva para los anunciantes?
El Reglamento general de protección de datos establece unos requisitos estrictos de cómo uno puede registrar, almacenar y compartir datos personales.
Con el RGPD, negocios, organizaciones y webs pueden manejar solamente los datos de sus usuarios si tienen un consentimiento específico a tal efecto, o si el propósito se enmarca dentro de las otras categorías en los seis supuestos legales de procesamiento de datos.
El RGPD es extremadamente de gran alcance tanto geográficamente, como en el ámbito de trabajo y rigor.
Geográficamente porque cubre, no sólo todas las organizaciones que operan dentro de los países de la UE, sino también a todas las organizaciones de fuera de la UE que tienen usuarios de la UE como usuarios.
En campo de trabajo, debido a la amplia definición de datos personales:
Datos personales en el RGPD son, no sólo los datos que están relacionados directamente con un individuo, como, por ejemplo, nombre o un número de identificación, si no también datos que pueden ser extraídos o conectados con el propósito de identificar a una persona en concreto.
Por ejemplo, datos de localización combinados con datos de carácter personal o intereses profesionales, o datos relacionados con la identidad individual física, psicológica, genética, mental, económica, cultural o social.
Esta amplia definición se traduce, en la práctica, en que las cookies de marketing y todos los otros tipos de seguimiento que, por ejemplo, registran, almacenan o comparten comportamiento y preferencias de los usuarios están sujetas al RGPD.
Esto afecta prácticamente a toda la industria online de anunciantes y profesionales de marketing, y a todo el mundo implicado en ese ecosistema, incluyendo, en una amplia escala, editores en internet, que hacen uso de las redes de anuncios como una fuente importante de ingresos.
En rigor, porque las multas por no cumplir con la legislación son muy cuantiosas: 4% de los ingresos anuales o 20 M. €, la cantidad que sea mayor.
¿Cuál es el propósito del Marco IAB?
El propósito del Marco IAB es crear una cooperación estandarizada entre los editores online, anunciantes y las compañías tecnológicas que suministran la gestión de consentimientos, cuando se trata de cumplir los requisitos de transparencia y consentimiento del usuario del RGPD.
Dentro de ese Marco, estos tres grupos se denominan editores, vendedores y CMP (proveedores de gestión de consentimientos).
¿Qué son los editores, vendedores y CMP en el Marco de IAB y cuál es la relación entre ellos?
- Los editores en el Marco de IAB son medios digitales que publican contenido en internet. En general, los editores representan a las primeras partes (cookies propias): i.e. la web en la que el usuario ha solicitado el acceso. En la industria de publicidad digital, los editores dependen a menudo de el despliegue de anuncios de terceras partes para monetizar las vistas. Esto normalmente se resuelve utilizando una red de anuncios que direcciona anuncios relevantes a los usuarios que acceden a los contenidos de los editores. En el contexto del Marco de IAB las redes de anuncios y los anunciantes se denominan “vendedores”.
- Los vendedores en el Marco de IAB son anunciantes de terceras partes que el editor ha elegido como socios. Los vendedores muestran contenido de terceras partes en la web de los editores. Son los encargados de establecer las cookies de marketing en el navegador del usuario final, con el propósito de mostrar anuncios relevantes a clientes potenciales.
- Proveedores de gestión de consentimientos (CMP) suministran la tecnología que posibilita el consentimiento del usuario para el procesamiento de datos en la web de los editores. En el Marco de IAB, ellos señalan los ajustes del consentimiento del usuario final a los vendedores que operan en la web actual..
Cómo funciona el Marco de IAB
En la práctica, el Marco IAB funciona como un sistema para comunicar el estado del consentimiento del usuario entre las primeras partes (i.e. editores), terceras partes (i.e. anunciantes) y los proveedores de la gestión de consentimientos en uso por la web de la primera parte.
En el Marco de IAB, los editores seleccionan a sus vendedores de elección de una lista de vendedores que se han unido al Marco.
Esta lista se denomina Global Vendor List (Lista global de vendedores) o “GVL”.
Para participar en este Marco, el vendedor ha estado de acuerdo con un conjunto de condiciones, como…
- Actualizar su código para que así las cookies no se establezcan hasta que no se haya recibido una señal de consentimiento desde CMP o hasta que tengan un supuesto legal para establecer la cookie.
- No procesar datos personales con el propósito que se ampara en el consentimiento hasta que hayan recibido la señal de consentimiento directamente del CMP o cualquier solicitud online aceptada con ese propósito.
Por consiguiente, uno puede considerar la GVL como una especie de registro de vendedores aprobados, lista blanca, que se han adherido a las reglas de este Marco.
Cuando un editor se inscribe en el Marco IAB, selecciona uno o más vendedores de la GVL con los que quiere asociarse.
El estado del consentimiento del usuario se almacena en una cookie propia en el navegador del usuario y se comparte la cadena de información del anuncio en el Marco IAB.
Una vez que el usuario ha realizado su elección, estos vendedores (y no otros) tienen acceso al procesamiento de los datos del usuario para objetivos relevantes.
Merece la pena destacar el hecho de que el Marco de IAB está construido en el principio de voluntariedad. El estado del consentimiento del usuario se señala a los vendedores, pero no hay garantía de que los vendedores respetará de hecho estas elecciones.
No cuesta nada, porque en el caso de incumplimiento, el RGPD considerará responsable a la primera parte cuya web ha sido accedida por el usuario.
Por lo tanto, aunque uno se haya comprometido con el Marco, es una buena idea ser extra exhaustivo cuando se está implementando un software de gestión de consentimientos en su web.
Cookiebot, por ejemplo, bloquea los vendedores no consentidos, por lo que devuelve el control al editor, quien al final del día será considerado responsable por el RGPD por todo el seguimiento efectuado por todas las terceras partes en su web.
¿Cómo consigo un consentimiento de cookies de acuerdo con la ley en el Marco del IAB?
Como editor partícipe en el Marco, primero elije los vendedores con quien quiere colaborar de la lista GVL en IAB.
Después, usted se asocia con un proveedor de gestión de consentimientos (CMP). Esto no es obligatorio: usted también puede operar sin un CMP y administrar los consentimientos usted mismo.
De todos modos, es muy importante asegurarse que la configuración para obtener consentimientos se ciñe al RGPD.
El Marco es un paso hacia un cumplimiento estandarizado, pero por sí mismo no garantiza el cumplimiento.
Como se ha mencionado anteriormente, dentro del Marco de IAB, el estado del consentimiento sólo se señala a los vendedores, pero en realidad, depende de los vendedores si deciden respetarlo o no.
Tenga cuidado cuando elija un CMP en el Marco (o cuando se haga cargo de los consentimientos, si decide hacerlo usted mismo), y asegúrese de que cumple con los requisitos enumerados a continuación.
Requisitos para un consentimiento de acuerdo con el RGPD
Para que su gestión de consentimientos cumpla, el consentimiento tiene que ser…
- Informado: ¿Qué datos se procesan y con qué propósito? Debe estar claro para el usuario qué consentimiento ha sido otorgado.
- Basado en una opción real: el usuario no debe estar obligado a aceptar las cookies.
- Otorgado a través de una acción afirmativa e inequívoca.
- Otorgado antes de que se inicie el procesamiento de datos.
- Revocable: Debe ser tan fácil para el usuario retirar el consentimiento de nuevo como fue otorgarlo en un primer momento.
Además,
- El usuario tiene derecho al olvido. Por petición del usuario, todos sus datos personales deben ser eliminados correctamente.
- Todos los consentimientos otorgados deben ser registrados como documentación de que el consentimiento ha sido dado.
¿Cómo se integra Cookiebot dentro del Marco de IAB?
Cookiebot es una de las pocas soluciones de gestión de consentimientos del mercado que cumple completamente con la legislación.
Como respuesta a las peticiones realizadas por los usuarios y distribuidores de Cookiebot, se ha desarrollado una integración entre Cookiebot y el Marco IAB como un suplemento opcional al Marco central del consentimiento en la solución Cookiebot.
La integración consiste en una señal de “aceptar/rechazar cookies de marketing” que se envía a todos los vendedores relevantes.
Se puede implementar fácilmente mediante un simple cambio en el guión de Cookiebot en la web.
Nosotros recomendamos considerar la integración como un suplemento y no una sustitución para la solución estándar de Cookiebot.
Esto se debe al principio de voluntariedad del Marco de IAB, donde el estado del consentimiento se señala a los vendedores, pero no garantiza que estos respetarán de hecho estas elecciones.
En el caso de incumplimiento, el RGPD considerará responsable, generalmente, a la primera parte, a cuya web ha tenido acceso el usuario, o sea el editor.
Por lo tanto, aunque uno se haya comprometido con el Marco, es una buena idea ser meticuloso cuando se implemente un software de gestión de consentimientos en su web.
También, en la configuración estándar del Marco, al usuario se le presenta una larga lista de potenciales vendedores, de los que puede que o haya oído hablar con anterioridad y decide si quiere compartir sus datos en ellos.
Cuando se implementa Cookiebot como CMP, las cookies no consentidas son bloqueadas, por lo tanto, se restaura el control al propietario de la web, quien es la parte responsable por las cookies que se establecen en el navegador de los usuarios.
Con Cookiebot, todas las cookies y seguimiento en uso en una web entra en pausa hasta que el consentimiento ha sido otorgado.
Esta función se corresponde con el requisito del consentimiento previo.
Todas las cookies y el seguimiento en funcionamiento en la web son detectados por el escáner de Cookiebot y agrupado en cuatro categorías comprensibles. En el caso de un modelo de múltiples niveles como el presentado a continuación, el usuario puede seleccionar y anular dicha selección las categorías directamente en el banner de consentimiento que aparece la primera vez que visita su web.
De esta manera, el usuario obtiene un conocimiento completo y control sin ser desbordado por la información o interrumpido innecesariamente mientras está navegando.
Si un usuario deseara un resumen detallado de las cookies, él o ella puede hacer clic en “Mostrar detalles”, donde todas las cookies se muestras en a versión desplegable del banner, mostrando cada cookie, de donde procede, su propósito y otra información relevante.
Cuando un usuario ha realizado su elección, digamos que ha rechazado las cookies de marketing, este tipo de cookies entrará en pausa y no se activarán nunca, mientras el usuario no cambie su configuración.
De esta manera el propietario de la web tiene completo control sobre el cumplimiento de las cookies establecidas en su web, ya sean éstas bien propias o de terceras partes.
Una vez al mes, Cookiebot ejecuta un escaneo de la web completa y sus subpáginas para buscar cookies y otras tecnologías de seguimiento en uso y manda un informe al propietario de la web.
El informe puede ser publicado como la declaración de cookies en la web, por ejemplo, integrada como parte de la política de privacidad de la web o la política de cookies.
El usuario tiene acceso para cambiar fácilmente la configuración de cookies desde la declaración de cookies en la web.
Una vez al año, el consentimiento se renovará de manera automática.
Todos los consentimientos otorgados son almacenados de manera segura como prueba de que el consentimiento ha sido dado.
Vea toda la funcionabilidad de Cookiebot en nuestra página de funciones y pruebe nuestro escáner gratuito para comprobar que cookies están en funcionamiento en su web.
El escáner gratuito audita cinco páginas de su web y manda un informe de todas las cookies y el seguimiento en uso, así como su cumplimiento con el RGPD y la directiva de ePrivacy, dando así una indicación de si la web se ciñe o no a los requisitos.
Fuentes
Página oficial del Marco IAB (en inglés)
AdExchanger: IAB Europe y IAB Tech Lab Go trabajan según los estándares del RGPD (en inglés)
Digiday.com: Las directrices del Marco IAB de acuerdo con el RGPD (en inglés)
IAB Tech Lab: El marco de transparencia y cnsentimiento del RGPD (en inglés)
MarTech Today: Google se prepara para unirse al Marco de transparencia y consentimiento de IAB Europe (en inglés)
MarTech Today: IAB Tech Lab lanza el Marco de transparencia de datos (en inglés)
Pagefair: Riesgos en el mecanismo de consentimiento proopuesto por IAB Europe (en inglés)