Leyes como el RGPD, la Ley de Cookies y la CCPA han hecho que las plataformas de gestión del consentimiento (CMP) sean necesarias para las empresas que operan en la UE y EE. UU., incluidos los editores. Esta guía desglosa qué es una plataforma de gestión del consentimiento, por qué los editores la necesitan y cómo puedes habilitar el Marco de Transparencia y Consentimiento, un estándar de la industria, en Privacy Controls and Cookie Solution.
CMP es la abreviatura de Plataforma de Gestión del Consentimiento (del inglés: Consent Management Platform) o, con menos frecuencia, Proveedor de Gestión del Consentimiento. Las CMP también son responsables de la transferencia del consentimiento a lo largo del Marco de Transparencia y Consentimiento (TCF) y, por lo tanto, deben registrarse y alinearse con los estándares y políticas del TCF.
En pocas palabras, una CMP te ayuda a ofrecer transparencia a los usuarios con respecto al acceso y almacenamiento de su información personal (a través de las cookies y otros rastreadores) de manera conforme con las principales leyes de privacidad de datos como el RGPD, la Directiva ePrivacy, la CCPA y muchas más.
Más específicamente, las CMP te ayudan a recopilar, almacenar y utilizar las preferencias de los usuarios para recoger y tratar su información personal para fines específicos (por ejemplo, estadísticas, publicidad y estrategias de retargeting).
Como CMP certificada, iubenda te permite gestionar las preferencias de consentimiento para la Directiva ePrivacy, el RGPD y la CCPA.
Respuesta breve: sí, probablemente necesites una.
A) El RGPD/la Directiva ePrivacy o el RGPD/PECR del Reino Unido te afecta (¿no estás seguro? Responde nuestro quiz de 1 minuto) y tu sitio web/app (o cualquier servicio de terceros administrados por tu web/app) utiliza cookies u otros rastreadores para tratar información personal.
Porque de acuerdo con la Directiva ePrivacy (así como el PECR, su transposición en el Reino Unido), debes informar de manera clara y visible a los usuarios sobre el uso de cualquier cookie (o rastreador) en tu web o aplicación y recopilar el consentimiento activo antes de ejecutar scripts relacionados con cookies no exentas/rastreadores.
Por ejemplo, consideremos los editores que operan en Europa. Las cookies y los rastreadores son su pan de cada día, ya que les ayudan a monetizar su sitio web/app a través de terceros anunciantes. El uso de rastreadores para fines como publicidad comportamental, remarketing y personalización de contenido requiere obtener el consentimiento informado de los usuarios antes de instalar dichos rastreadores.
En general, un editor es cualquier operador de sitios web/apps que monetiza su contenido a través de terceros anunciantes. Los blogs y los periódicos online que muestran anuncios en su web o app son ejemplos de editores.
B) La Ley de Privacidad de los Consumidores de California (CCPA, por sus siglas en inglés) te afecta (¿no estás seguro? Responde nuestro quiz de 1 minuto) y compartes datos de los usuarios (por ejemplo, la dirección IP) con terceros, lo que te obliga legalmente a:
En general, dada la rápida aparición de leyes de privacidad en todo el mundo, es difícil imaginar un sitio web o una aplicación que no necesite una plataforma de gestión del consentimiento.
Como CMP registrada, hemos integrado el marco de cumplimiento de la CCPA y el TCF, el estándar de la industria de IAB Europe, con Privacy Controls and Cookie Solution para ayudar a los editores a respetar la ley mientras cumplen con los requisitos de la industria y maximizan los ingresos publicitarios.
La Marco de Transparencia y Consentimiento (TCF) de IAB es una iniciativa de publicidad digital que ayuda a los editores, proveedores de tecnología, agencias y anunciantes a cumplir con los requisitos de transparencia, consentimiento y elección del RGPD y la Directiva ePrivacy al tratar datos personales o acceder y/o almacenar información sobre los dispositivos de los usuarios (como cookies, identificadores de publicidad, identificadores de dispositivos y otras tecnologías de seguimiento).
El TCF de IAB proporciona un proceso estándar para obtener el consentimiento del usuario de manera conforme al RGPD y señalar dichas preferencias en toda la cadena de suministro de publicidad (puedes leer las políticas del marco aquí).
Actualmente, los requisitos del Reglamento General de Protección de Datos del Reino Unido (el RGPD del Reino Unido) y del Reglamento de Privacidad y Comunicaciones Electrónicas del Reino Unido son idénticos a los de sus homólogos de la UE (el RGPD y la Directiva ePrivacy). Por lo tanto, el Marco TCF también ayuda a las empresas a cumplir con los requisitos actuales de ambos reglamentos del Reino Unido.
El TCF proporciona un sistema (una API de JavaScript estándar) que permite que los diferentes jugadores del ecosistema publicitario hablen el mismo idioma y se comuniquen las preferencias del usuario entre ellos. Los principales actores de este sistema son editores, proveedores (terceros anunciantes que recopilan datos de los usuarios finales del sitio web/app del editor mediante el uso de cookies u otros rastreadores, en relación con la presentación del contenido a los usuarios finales del editor) y CMP como iubenda.
Los editores, proveedores y CMP que decidan participar en el TCF de IAB están obligados a adherirse al protocolo y las políticas del marco estándar. También se solicita a los proveedores que se registren en la Lista Global de Proveedores (GVL, por sus siglas en inglés), una lista dinámica y centralizada de los proveedores, sus finalidades, la duración máxima de almacenamiento y acceso, y las URL de la política de privacidad. Dentro del TCF y la GVL, las finalidades del tratamiento de datos también están estandarizadas y cada finalidad y cada proveedor tienen una identificación única. Este ID de proveedor único permite a los proveedores recuperar e interpretar las preferencias de consentimiento del usuario con respecto a sus servicios y los de otros proveedores.
Las opciones de los usuarios y las señales de los proveedores recopiladas a través de la interfaz de usuario de la CMP se representan mediante valores binarios, se comprimen en una estructura de datos lo más pequeña posible (Base64) y se transmiten a todo el ecosistema de publicidad online a través de Daisy Chain.
Los scripts de los proveedores que forman parte de la GVL se bloquean automáticamente antes de recibir las elecciones del usuario. Cada proveedor puede verificar su estado al hacer primero un ping a la CMP y esperar a que le devuelvan la llamada, de este modo se obtiene el ID que le deben pasar, lo que les permitirá saber si pueden tratar los datos personales.
A pesar de ser una iniciativa relativamente nueva, el TCF 2.0 de IAB se está convirtiendo rápidamente en el estándar de la industria, con proveedores como Google, Adobe y AdRoll involucrados en su implementación.
Si bien no es estrictamente obligatorio, habilitar el TCF 2.0 ofrece muchas ventajas a los editores y los usuarios, ya que maximiza los ingresos publicitarios y permite a los editores recopilar y transmitir sin problemas las preferencias de los usuarios a los proveedores de publicidad externos con los que trabajan, a la vez que ejercen un control más estricto sobre el tratamiento de los datos de los usuarios.
La elección de ofrecer transparencia y ayudar a establecer una base jurídica dentro del marco para una gran cantidad de proveedores puede reducir la capacidad de los usuarios para tomar decisiones informadas y aumentar el riesgo legal del editor y el proveedor. Por lo tanto, puede dar lugar a que los proveedores se nieguen a trabajar con los editores y divulguen demasiados proveedores, lo que afectará negativamente a los ingresos publicitarios de los editores.
La APD belga en una decisión sobre IAB Europe y el TCF ha declarado explícitamente que ofrecer transparencia a un gran número de proveedores requeriría una cantidad de tiempo desproporcionada para que el usuario leyera esta información y resultaría incompatible con la condición de un consentimiento suficientemente informado, tal y como lo exige el RGPD.
Para restringir la cantidad de proveedores, selecciona “Permitir solamente a los proveedores que figuran en tu política de privacidad y cookies” en la configuración del TCF de Privacy Controls and Cookie Solution.
Una base jurídica es un motivo legal bajo el cual se tratan los datos personales. De acuerdo con el RGPD, hay seis bases jurídicas posibles. En el sector de la publicidad se suelen utilizar dos bases jurídicas:
El TCF admite ambos, pero algunas APD nacionales, como Italia y Bélgica, han excluido el uso del interés legítimo como base jurídica válida, por eso es importante restringirla a “Solo consentimiento” si operas en esos países (puedes obtener más información sobre los requisitos específicos de cada país en nuestra guía RGPD y consentimiento de cookies: tabla de resumen).
Google es totalmente compatible con el TCF 2.0 (y versiones posteriores). Google ahora forma parte de la lista global de proveedores del TCF: esto significa que, si utilizas Adsense, AdMob o Ad Manager, ya no se necesitan configuraciones de personalización de anuncios de Google separadas (puedes leer el comunicado de Google sobre la integración de editores con el TCF 2.0 de IAB aquí).
¿Qué sucede con los proveedores de anuncios que aún no forman parte del TCF?
Si bien el marco comprende una lista cada vez mayor de proveedores de anuncios, algunos anunciantes aún no forman parte del TCF. Ese es el caso de algunos de los socios de Google. Para sortear este problema, Google ha definido una especificación técnica temporal denominada Additional Consent Mode, destinada únicamente a utilizarse junto con el TCF 2.0 para servir como puente para los proveedores de tecnología publicitaria de Google que aún no están registrados en la Lista global de proveedores del TCF 2.0.
📌 La CMP de iubenda es totalmente compatible con los requisitos de integración del TCF establecidos por Google, incluido el Additional Consent Mode.
Nuestro administrador de consentimientos de cookies para la Directiva ePrivacy, el RGPD y la CCPA te permite mostrar un banner de cookies totalmente personalizable, recopilar el consentimiento de cookies e implementar el bloqueo previo.
Además, como plataforma de gestión del consentimiento registrada (número de identificación 123), Privacy Controls and Cookie Solution de iubenda permite a los usuarios establecer sus preferencias de publicidad y es compatible con el Marco de Transparencia y Consentimiento de IAB, que es conforme al RGPD. Esta función permite a los usuarios alternar las preferencias publicitarias de los anunciantes en la extensa lista global de proveedores de IAB.
Para habilitar el TCF 2.0+ en Privacy Controls and Cookie Solution, dirígete a tu dashboard y haz clic en el sitio web/app que quieras actualizar. A continuación, haz clic en el botón Editar en el área de Privacy Controls and Cookie Solution (si aún no has activado Privacy Controls and Cookie Solution, aquí encontrarás un tutorial para empezar).
Además, tendrás la oportunidad de habilitar la opción Additional Consent Mode de Google, una función que te permite obtener el consentimiento de los socios publicitarios de Google que aún no forman parte del Marco de Transparencia y Consentimiento, pero que se encuentran en la lista de proveedores de tecnología publicitaria (ATP) de Google.
Ten en cuenta que cualquier cambio anterior en el texto del banner se anulará cuando se habilite el TCF. Por lo tanto, si has editado previamente el HTML o el texto del banner, vuelve a probar con el texto por defecto y los botones activados.
Si deseas editar el HTML, debes incluir necesariamente nuestro texto por defecto, incluyendo el shortcode %{banner_content} en la entrada, un elemento con el atributo class="iubenda-cs-accept-btn" y un elemento con el atributo class="iubenda-cs-customize-btn".
Al habilitar el TCF, el texto del banner solo se podrá editar bajo petición. Si deseas editar el texto del banner de cookies, asegúrate de verificar los requisitos de IAB y ponte en contacto con nosotros por chat o correo electrónico para aprobar las modificaciones.
Una vez habilitada, el código de integración de Privacy Controls and Cookie Solution pasará de esto:
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>A esto (ten en cuenta el script stub-v2.js, "enableTcf": true y otras opciones del TCF):
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"enableTcf": true,
"googleAdditionalConsentMode": true,
"tcfPurposes": {
"1": true,
"2": "consent_only",
"3": "consent_only",
"4": "consent_only",
"5": "consent_only",
"6": "consent_only",
"7": "consent_only",
"8": "consent_only",
"9": "consent_only",
"10": "consent_only"
},
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/tcf/stub-v2.js"></script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>Ahora que has pegado el código de Privacy Controls and Cookie Solution dentro del body de tus páginas, hablemos sobre el bloqueo previo de los scripts de los proveedores.
La CMP de iubenda proporciona la función __tcfapi para que los proveedores lean el consentimiento correctamente.
Utilizamos un script safe-tcf-v2.js) que tiene la única misión de leer la cookie del TCF y liberar la función __tcfapi y no bloquear directamente los scripts de los proveedores. Es un activador síncrono que se ejecuta al comienzo de la página, lo que garantiza que el consentimiento se lea dentro de los 500 ms desde que se ejecutan los scripts de los proveedores.
Este es el comportamiento por defecto al habilitar las opciones del TCF de IAB de nuestro configurador.
Funciona desde la segunda página vista (cuando el consentimiento ya está presente en la página) y permite lograr un alto rendimiento en términos de velocidad de carga.
Sin embargo, puede dar lugar a algunas incompatibilidades con Google Ad Manager, AdSense y AdMob. Si quieres bloquear directamente los scripts de los proveedores, puedes verlo a continuación.
Los proveedores tienen un tiempo máximo (generalmente 500 ms, que normalmente no es configurable) para esperar el consentimiento de la CMP.
En los casos en los que la CMP no responde dentro de un máximo de 500 ms, la plataforma Sell-Side de los proveedores utiliza el estado de autoexclusión del usuario, lo que significa que en tales casos, tus usuarios finales recibirán anuncios no personalizados.
Esto podría suceder si utilizas los servicios de publicidad de Google, como Ad Manager, AdSense y AdMob.
Para evitar estos problemas, puedes bloquear directamente los scripts de los proveedores utilizando uno de los métodos de bloqueo previo de Privacy Controls and Cookie Solution y luego ejecutarlos solo después de que se haya obtenido el consentimiento.
Puedes usar este sistema con el objetivo de tener un control más directo para garantizar el cumplimiento y publicar anuncios personalizados desde la primera página vista, cuando aún no se ha obtenido el consentimiento. También te permite evitar el error 2.1a (para usuarios de Google Ad Manager, AdSense y AdMob).
Privacy Controls and Cookie Solution ofrece diversas herramientas para el bloqueo previo de scripts que puedan instalar cookies. Puedes obtener más información en nuestra introducción al bloqueo previo de scripts. Para bloquear los scripts de Google, puedes consultar directamente los ejemplos de Google AdSense y Google Publisher Tag.
Ten en cuenta que si has habilitado la función de consentimiento por categoría de Privacy Controls and Cookie Solution, deberás etiquetar los scripts del TCF como “finalidad 1” (Necesarios).
El stub-v2.js y safe-tcf-v2.js también se pueden integrar inline o autoalojarse, si es necesario. Consulta esta guía para obtener más consejos de optimización.
Para leer el consentimiento de la función __tcfapi, puedes abrir la consola del navegador y ejecutar estos comandos:
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) });
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) }, [1,2]);
window.__tcfapi('ping', 2, function(result) { console.log(result) });Por último, tal y como exige IAB, tienes que proporcionar un enlace o botón (por ejemplo, en el pie de página) que permita a tus visitantes actualizar sus preferencias de seguimiento publicitario incluso después de cerrar el banner de cookies.
Veamos cómo hacerlo.
Para implementarlo, simplemente agrega la clase iubenda-advertising-preferences-link a un enlace o botón personalizado:
<a href="#" class="iubenda-advertising-preferences-link">
Update your advertising tracking preferences
</a>Colócalo en cualquier parte de tu web (generalmente se agrega al pie de página). Una vez se haga clic, el enlace de arriba activará la apertura del modal de configuración de seguimiento publicitario:
Para cumplir con los requisitos de IAB, ten en cuenta que si no implementas la clase iubenda-advertising-preferences-link, se mostrará automáticamente un pequeño widget en tus páginas:
Dentro de la sección TCF de IAB, encontrarás estas opciones mejoradas para editores:
Dentro de la sección TCF de IAB, encontrarás estas opciones mejoradas para editores:
Para hacerlo, selecciona “Permitir solamente a los proveedores que figuran en tu política de privacidad y cookies” en la sección “Restricciones” de tus ajustes del TCF.
Al habilitar esta opción, solo los proveedores que se encuentren en tu política de privacidad y cookies de iubenda se mostrarán dentro del panel TCF. Recuerda que, para que esta opción funcione, al menos un proveedor del TCF tendrá que estar añadido a tu política de privacidad y cookies. Puedes añadir proveedores fácilmente desde nuestro Generador de Políticas de Privacidad y Cookies: haz clic en “Añadir servicio”, selecciona la sección “Publicidad” y añade todos los servicios publicitarios con los que trabajes.
Te sugerimos que optes por esta opción, aunque prefieras utilizar tu propia documentación sobre políticas de privacidad y cookies. Si este es el caso, puedes seguir generando una política de privacidad y cookies con iubenda y beneficiarte técnicamente de esta funcionalidad sin necesidad de enlazarla necesariamente dentro del banner o en tu sitio web o app. Sin embargo, ten en cuenta que, independientemente de la documentación de política de privacidad y cookies que elijas utilizar, debe reflejar lo que se declara dentro del banner de cookies.
De acuerdo con las especificaciones del TCF, “para los proveedores que se registren solo para Finalidades Especiales (y ninguna otra finalidad) y los haya mostrado la CMP, el valor debe ser 1”. El objetivo es simplemente señalar que esos proveedores han sido visualizados y que, en consecuencia, pueden perseguir esas finalidades especiales (que son de naturaleza técnica) en virtud de un interés legítimo.
Las finalidades especiales, a diferencia de las normales, no pueden restringirse. Sin embargo, la opción “Permitir solamente a los proveedores que figuran en tu política de privacidad y cookies” te permitirá seleccionar los proveedores que deseas mostrar dentro de Privacy Controls and Cookie Solution. Al hacerlo, puedes excluir a los proveedores que se registren únicamente para Finalidades Especiales y, por consiguiente, el valor para ellos se establecerá en 0.
Los proveedores pronto deberán proporcionar información adicional dentro de la Lista global de proveedores (GVL), lo que facilitará a los editores decidir con qué proveedores trabajar.
Para ello, selecciona la opción “Restringir finalidades”, decide qué finalidades deseas habilitar y, por último, selecciona la base jurídica bajo la cual se pueden tratar los datos personales para dichas finalidades activas.
Nota: si no estás seguro acerca de este aspecto, considera que “Solo consentimiento” suele ser la opción más segura y definitivamente la mejor práctica para fines relacionados con la elaboración de perfiles.
Ya mencionamos la importancia de restringir la cantidad de proveedores con los que deseas trabajar. Otra ventaja de proporcionar transparencia para un número limitado de proveedores, es la posibilidad de eliminar el problema de tener que solicitar un nuevo consentimiento cuando se actualiza la lista global de proveedores. De hecho, la lista de proveedores de IAB se actualiza casi todas las semanas.
Sin embargo, si decides no limitar la cantidad de proveedores con los que trabajar, puedes elegir cómo manejar las nuevas solicitudes de consentimiento, evitando mostrar el banner de cookies a los usuarios que ya han prestado su consentimiento unos días o semanas antes.
Dentro del área TCF de IAB, encontrarás una sección llamada Solicitar un nuevo consentimiento para actualizar la lista de proveedores, donde puedes elegir entre tres valores diferentes:
Ten en cuenta que esta función no está disponible cuando se apunta directamente a una versión específica de Privacy Controls and Cookie Solution (por ejemplo, cdn.iubenda.com/cs/versions/iubenda_cs-1.7.0.js), sino solo a través de los puntos finales oficiales Current/Beta.
Algunos proveedores pueden pedirte que proporciones explícitamente los parámetros gdpr y gdpr_consent en su solicitud. Aquí puedes encontrar un fragmento de código para cumplir con este requisito:
<script type="text/javascript">
__tcfapi('addEventListener', 2, function(tcData) {
if (tcData.eventStatus !== 'useractioncomplete' && tcData.eventStatus !== 'tcloaded') {
return;
}
var gdpr = tcData.gdprApplies ? 1 : 0;
var gdpr_consent = tcData.tcString;
console.log({ gdpr: gdpr, gdpr_consent: gdpr_consent });
// Remove event listener to avoid invoking the ads multiple times
__tcfapi('removeEventListener', 2, function(success) {
console.log('event listener removed', success);
}, tcData.listenerId);
});
</script>Una vez reemplazada la línea console.log con la solicitud al proveedor mediante las variables gdpr y gdpr_consent, añade este fragmento de código debajo del script iubenda_cs.js y automáticamente invocará el script del proveedor con los datos de consentimiento correctos.
Ahora, cuando tus usuarios hagan clic en el botón Saber más y personalizar (o en el enlace del panel de preferencias publicitarias) en tu banner de cookies para gestionar sus preferencias, verán las siguientes opciones:
Nota: cuando el usuario indica que desea gestionar sus preferencias abriendo la ventana de preferencias, todas las cookies se “desactivan” por defecto, ya que la ley exige una acción afirmativa para que el consentimiento sea válido.
