Requisitos de un banner de consentimiento conforme con el TCFv2

Normas y reglamento que definen a un banner que cumple con el RGPD y que garantizan la validez del consentimiento

El banner de consentimiento es la primera y la principal interfaz de consentimiento con la que interactúa un usuario en un sitio web o aplicación. Es a través de este aviso que la mayoría de los usuarios obtienen información sobre las finalidades y los proveedores que recogen el consentimiento y sobre cómo los usuarios pueden elegir si otorgan o rechazan su consentimiento. 

Por ello, el contenido de un banner de consentimiento es esencial para garantizar la conformidad con el RGPD, las recomendaciones locales de las autoridades de protección de datos y el marco TCF de la IAB.

Ten en cuenta que Didomi proporciona textos estándar para los banners de consentimiento que se encuentran dentro del marco TCF v2. Sin embargo, si quieres cambiar estos textos, puedes consultar los pasos aquí

El presente artículo explica cuáles son los requisitos mínimos que tienen que cumplir tus banners de consentimiento para poder utilizar nuestra integración TCFv2. No es necesario implementarlos si no vas a utilizar la integración TCFv2, pero puede servirte de guía para cumplir con lo establecido en el RGPD. 

Esta lista de exigencias no es exhaustiva y seguir todas las recomendaciones de este artículo no garantiza el total cumplimiento del reglamento.

1- Responsabilidad de las partes

A- Didomi

El papel de Didomi consiste en proporcionar una serie de herramientas y consejos generales para cumplir con los distintos reglamentos  (RGPD, CCPA, etc.) y estándares (IAB TCF, IAB CCPA, etc.) que se aplican a las empresas que usan nuestra CMP. 
Didomi ofrece ejemplos de configuración y de textos que cumplen las normas de los distintos reglamentos y marcos IAB. 

Didomi es una CMP aprobada por la IAB y es nuestra responsabilidad velar por que todos nuestros banners para sitios web y para aplicaciones cumplan con los marcos establecidos. IAB Europa realiza auditorías de las webs y aplicaciones de nuestros clientes de forma frecuente para asegurarse de que las CMP de Didomi mantienen su conformidad. 

Didomi está aquí para ayudarte, pero no estamos autorizados legalmente para aconsejar sobre temas jurídicos y no nos hacemos responsables si una CMP no cumple con la normativa por estar mal configurada.  

B- Tu empresa

Todas las empresas son diferentes y, por ello, tienes que personalizar la CMP para asegurarte de que cumple con el reglamento y de que la información sobre el usuario está completa, añadiendo información suplementaria sobre el tratamiento de datos que lleva a cabo tu empresa. En Didomi te damos el control y te permitimos personalizar el contenido de tu banner de consentimiento. 

Recomendamos que trabajes en cooperación con nosotros, con tu departamento jurídico y con IAB Europa para garantizar que la configuración de tu CMP Didomi cumple con las regulaciones a las que esté sujeta tu empresa y con el marco TCF de la IAB.

Cuando publiques un banner de consentimiento, tienes que asegurarte de que los textos cumplen con las regulaciones y con el marco TCF.

Si el banner de tu página web o aplicación móvil no cumple con lo establecido, esto puede afectar al posicionamiento de Didomi como CMP aprobada por la IAB para todos nuestros clientes. Por ello, Didomi examinará tus banners de manera proactiva para verificar su conformidad y te ayudará a cumplir con todos los requisitos. 

En casos aislados y si no se consigue el cumplimiento con el reglamento tras un periodo de diálogo entre Didomi y tu empresa, Didomi podrá desactivar temporalmente los banners de consentimiento o la integración TCF si el banner no está configurado en conformidad con el reglamento de la IAB.   

2- Requisitos

Según el RGPD, el consentimiento debe ser informado, otorgado por voluntad libre, específico e inequívoco. 

Los requisitos expuestos más adelante sirven de guía para asegurarse de que tu banner de consentimiento está configurada de manera que respete la definición del consentimiento válido.  
Los requisitos y los textos incluidos en este artículo a modo de ejemplo constituyen las exigencias mínimas de un banner válido en la CMP de Didomi. No garantizan el cumplimiento total de la regulación y tendrás que personalizar tu banner para adecuarte a las prácticas de tratamiento de datos de tu empresa. 

Los requisitos incluyen aquellos establecidos por el RGPD validos en todos los países y aquellos establecidos por el marco TCF de la IAB. También tenemos artículos disponibles sobre los requisitos específicos de algunos países. 

El siguiente texto es un ejemplo de un banner que cumple con todos los requisitos que se enumeran más adelante (excepto la lista completa de tratamientos de datos y bases legales, que dependerá de tu empresa): 

Nosotros y nuestros socios colocamos cookies, accedemos y usamos información no sensible de su dispositivo y procesamos datos personales como la dirección IP o los identificadores de las cookies, para el procesamiento de datos para la personalización de anuncios, la medición de las preferencias del usuario, etc.

Puede realizar una elección y modificar sus preferencias en cualquier momento en nuestra Política de privacidad en este sitio web. 

Algunos de nuestros socios no se basan en el consentimiento para el tratamiento de datos y utilizan el interés legítimo. Puedes oponerte a este tratamiento de datos haciendo clic en "Más información". 

 

Requisito 1 - Mostrar una lista completa del tratamiento de datos y las bases legales que utilizan tu empresa y sus socios 

Para que el usuario esté totalmente informado, tiene que poder consultar la lista completa de todos los procesos de tratamiento de datos que realizan tanto tu empresa como sus socios, así como las bases legales de ese tratamiento.  
Esta lista incluye las finalidades y sus bases legales, así como los elementos específicos del TCF de la IAB (funciones, funciones especiales, finalidades especiales).

Didomi ofrece una manera sencilla de mostrar una lista automatizada del tratamiento de datos y las bases legales en función de la configuración de tu CMP:  

Aunque puedes enumerar la lista de tratamiento de datos y las bases legales en tu propio texto personalizado, te recomendamos que utilices la lista automatizada para que siempre esté actualizada y coordinada con la configuración de tu banner.    

Requisito 2 - Indicar que tu empresa y terceros almacenan los datos y acceden a ellos desde el dispositivo del usuario 

Tu banner debe incluir información sobre el almacenamiento y el acceso a los datos desde el dispositivo del usuario (por ejemplo, el uso de cookies, la identificación del dispositivo u otros datos sobre el dispositivo) por parte de tu empresa y de terceros. Informar al usuario únicamente sobre tu empresa no es suficiente.  

Aunque esta información está incluida parcialmente cuando se informa al usuario sobre el tratamiento de datos relacionado con las cookies dentro de la lista de tratamiento de datos, debe aparecer detallada más explícitamente para que el usuario esté totalmente informado. 

Ejemplo: Nosotros y nuestros socios  accedemos y usamos información no sensible de su dispositivo... 

Requisito 3 - Indicar que tanto tu empresa como terceros llevan a cabo un tratamiento de los datos del usuario 

Normalmente, el usuario tiene una relación directa con tu empresa, pero tiene un conocimiento limitado sobre las terceras partes con las que trabajas y cómo realizan el tratamiento de datos personales. Es importante que el usuario esté informado de que hay terceros que también están tratando sus datos personales desde tu página web o aplicación.  

Ejemplo para la web: Nosotros y nuestros socios usamos cookies o tecnologías similares para almacenar, acceder y procesar datos personales... 


Ejemplo para aplicación móvil: Nosotros y nuestros socios usamos identificadores de dispositivo o tecnologías similares para almacenar, acceder y procesar datos personales... 

Requisito 4 - Indicar ejemplos de tratamiento de datos personales 

El usuario debe poder entender qué datos personales son recogidos y tratados. El texto debe incluir ejemplos de estos datos, como "cookies" (para la web), "identificador de dispositivo" (para aplicación móvil), datos de navegación, información sobre tus intereses, etc.  

Ejemplo para la web: Nosotros y nuestros socios colocamos cookies, accedemos y usamos información no sensible de su dispositivo y procesamos datos personales como la dirección IP o los identificadores de las cookies  

Ejemplo para aplicación móvil: Nosotros y nuestros socios accedemos y usamos información no sensible de su dispositivo, como identificadores de dispositivo, y procesamos datos personales como la dirección IP o los identificadores de las cookies...  

Requisito 5 - Indicar el enlace a la lista de terceros que realizan un tratamiento de datos personales 

Tu banner debe incluir un enlace para que el usuario acceda a la lista completa de terceros que pueden tratar sus datos personales. 

Didomi añade automáticamente un enlace "Ver nuestros socios" a todos los banners. El enlace de Didomi se ocultará automáticamente si incluyes tu propio enlace en Didomi.preferences.show() en el texto de tu banner.

Requisito 6 - Las consecuencias de otorgar o no el consentimiento 

La decisión sobre el consentimiento debe hacerse libremente, por lo que el usuario tiene que estar informado de  las consecuencias de otorgar su consentimiento y de no hacerlo.  

Ten en cuenta que no otorgar el consentimiento no debe conllevar consecuencias negativas para el usuario. Por ejemplo, no puedes impedir que los usuarios accedan a tu sitio web o a tu aplicación si no dan su consentimiento al tratamiento de sus datos personales.  

Requisito 7 - El derecho a modificar las elecciones sobre el consentimiento

Los usuarios tienen el derecho a modificar sus elecciones sobre el consentimiento en cualquier momento y deben estar informados de ese derecho y de cómo ejercerlo.  Las instrucciones sobre cómo modificar su elección tienen que ser claras y específicas. 

Ejemplo para la web: Puede modificar sus preferencias en cualquier momento en nuestra Política de privacidad en este sitio web. 


Ejemplo para una aplicación móvil: Puede modificar sus preferencias en cualquier momento desde el menú de la aplicación. 

Requisito 8 - Modificar las elecciones sobre el consentimiento

Además del requisito 7 (el derecho a modificar las elecciones sobre el consentimiento), debes añadir un enlace a tu página web o aplicación móvil que permita al usuario acceder a las preferencias y actualizar o retirar sus elecciones sobre el consentimiento. 
Este enlace debe añadirse, preferiblemente, a todas las páginas de tu sitio web o vistas de tu  aplicación, o a tu política de privacidad.  

Añade un enlace a  javascript: Didomi.preferences.show() para que el usuario pueda acceder a la ventana de preferencias.

Requisito 9 - El interés legítimo 

Tu empresa y otras terceras partes pueden usar el interés legítimo como base legal para algún tipo de tratamiento de datos. En este caso, el usuario debe estar informado de que es así y de que tiene el derecho de oponerse a ese tratamiento de datos. 

Por ejemplo: Algunos de nuestros socios no se basan en el consentimiento para el tratamiento de datos y utilizan el interés legítimo. Puedes oponerte a este tratamiento de datos haciendo clic en "Más información". 

Importante: este requisito no se aplica a la TCF v1.1. Solo se aplica a la TCFv2.  

Requisito 10 - Las distintas opciones deben tener el mismo aspecto visual 

Las opciones que se ofrecen al usuario  (Aceptar / Rechazar, Más información, etc.) deben destacar por igual a nivel visual, para que no haya ninguna connotación de que una de las opciones es mejor que la otra.  
Esto quiere decir que los componentes visuales que se utilizan para representar las opciones tienen que ser de la misma naturaleza. No puedes mostrar una opción en forma de botón y otra opción en forma de enlace.

Por ejemplo, si las dos opciones disponibles son Aceptar y Más Información, ambas deben ser o botones o enlaces. No puedes mostrar un botón Aceptar y un enlace Más Información:   

La IAB Europa detalla las reglas a seguir y proporciona ejemplos en su documentación