Guía para afiliados sobre GDPR y consentimiento
Escrito por Cristina Sánchez el 9 minutos de lectura
Con un mes por delante para que la GDPR entre en vigor, es importante que los afiliados tengan sus obligaciones legales claras.
Uno de los conceptos de la GDPR que se ha discutido ampliamente, y puede sonar bastante familiar es el ‘’consentimiento’’ y si es totalmente necesario obtenerlo de los usuarios para mantener la actividad del marketing de afiliación.
A falta de un mes para que la GDPR entre en vigor es muy importante que los afiliados tengan claras sus obligaciones legales.
Uno de los conceptos de la GDPR que se ha discutido ampliamente, y puede sonar bastante familiar es el ‘’consentimiento’’ y si es totalmente necesario obtenerlo de los consumidores para mantener la actividad del marketing de afiliación.
Aquí vamos a darte un tour rápido sobre cómo funciona el consentimiento y cuál es la postura de Awin. También esbozaremos los pasos que pueden dar los afiliados para llegar a cumplir las nuevas leyes de privacidad.
Definiciones de consentimiento
Es importante que inicialmente se asuma que existe una gran confusión alrededor del consentimiento. Esto es, en parte, porque no hay consenso en la industria sobre el tema, pero principalmente es porque, además del consentimiento de la GDPR, existe el consentimiento relacionado con la Directiva ePrivacy (comúnmente conocida como la Directiva Cookie)
Estas leyes están separadas, pero también coexisten. Si la privacidad de datos se considera una sola cosa, hay que pensar en la GDPR como algo que engloba todo el amplio mundo de los datos. ePrivacy, por el contrario, está específicamente centrada con el Marketing Directo y las funciones del tracking online.
Inevitablemente se produce algo de solapamiento que surge porque las cookies normalmente contienen algo de datos personales, pero es un error asumir que las cookies y la información privada son una sola cosa.
En este artículo nos referiremos a:
- Consentimiento para el uso de cookies bajo la ePrivacy como Cookie Consent
- Consentimiento para procesar los datos personales bajo el GDPR como Data Consent
Mientras que hay dos tipos de consentimiento, no es necesario ni más sencillo conseguir los dos al mismo tiempo.
Bajo la GDPR, hay muchos modos de procesar los datos personales legalmente sin relacionarlo con el Data Consent.
De hecho, es justo decir que el Data Consent es la base legal menos conveniente y más engorrosa para el procesamiento de datos.
Puedes leer más sobre las seis bases legales para el procesamiento de datos personales aquí.
Bajo la Directiva ePrivacy de 2012, el consentimiento de Cookies es obligatorio siempre para establecer cualquier cookie, a menos que las cookies sean estrictamente necesarias para dar un servicio requerido por el individuo. Por tanto, los afiliados de cashback y rewards, pueden no necesitar un Cookie Consent para las cookies de afiliación, ya que las cookies de los afiliados son necesarias para el cashback o rewards, basándonos en el tipo de servicio.
Consentimiento de Data bajo la GDPR
Obtener el Consentimiento de Data no es algo que se pueda hacer sin sus propios retos. Si lo hacemos, la experiencia presencial del usuario puede ser negativamente impactada y el individuo puede rechazar el consentimiento de todas maneras.
Cuando los datos personales son procesados basándonos en el Data Consent, se le da al individuo una gran cantidad de derechos que serán respetados necesariamente en el futuro. Además, el Data Consent debe ser gestionado y grabado con un nivel de detalle particular. Adicionalmente, no puede no darse un servicio o contenido por el hecho de que el cliente haya rechazado dar su Data Consent, a menos que el servicio dependa de ese Data Consent.
Quizá lo más importante, para obtener un consentimiento de datos válido, es que debe dar suficiente información para poder tomar una decisión informada.
Esto es por lo que Awin utiliza diferentes bases legales para procesar los datos personales bajo el GDPR, conocido cómo interés legítimo y Awin no requiere Data Consent de los afiliados o anunciantes para el flujo legal de las transacciones.
Esto se aplica al procesamiento de datos personales cuando los usuarios viajan desde la web del afiliado hasta la del anunciante, por medio de nuestros dominios, rastreando la confirmación de la transacción y el subsecuente informe disponible en la interfaz del usuario.
Awin puede dar este paso porque somos una red de afiliación “pureplay”
Awin utiliza datos personales para rastrear reemisiones a las webs de los anunciantes, las transacciones resultantes y nuestros informes, pero nunca reutilizamos estos datos para:
- Construir perfiles de comportamiento de usuario
- Perfiles de comportamiento
- Mercado para ningún otro propósito
Para estar completamente cubiertos por la ley, esos tipos de procesamiento, requieren un Data Consent porque están considerados como procesamientos que pueden producir un gran impacto en la privacidad del individuo.
Evitando este tipo de procesamiento, Awin puede referirse a un interés legítimo para justificar su procesamiento y evitar los requisitos del Data Consent.
La definición de ICO de legitimación del consentimiento está disponible aquí.
Cookie Consent bajo el ePrivacy
Desde que la ePrivacy Directiva fue implementada en las diferentes leyes nacionales en la Unión Europea, todo el mundo está obligado a obtener el Cookie Consent cuando se instalan cookies
Actualmente, se hace de manera frecuente en bases ya implementadas; el usuario le muestran un aviso que explica que las cookies están siendo implementadas, pero no tiene por qué seguir los pasos para dar su Cookie Consent, (que normalmente se hace optando por él). La naturaleza de esta Directiva es que su interpretación legal puede variar de un país a otro.
En algunas jurisdicciones de la UE, un consentimiento individual ya implementado no se acepta. Esto lleva siendo así todos los años que han estado pidiendo la ratificación del Cookie Consent, pero estas jurisdicciones están en minoría.
Awin ha pedido a sus afiliados que obtengan el Cookie Consent bajo nuestros términos acordados con los afiliados en 2012. Esto es para asegurarnos de que los afiliados cumplen con estas normas, pero que, además, obtienen Cookie Consent para las cookies de Awin, en lugar de Awin. Esto es algo típico de redes como la nuestra, en las cuales no existe una oportunidad natural o conveniente para conseguir de los usuarios el Cookie Consent.
¿Por qué estamos hablando de nuevo sobre el Cookie Consent?
El Cookie Consent se están discutiendo de nuevo porque, en la mayoría de países miembros de la UE, las leyes implementan la Directiva ePrivacy, ligada a la definición de consentimiento en las leyes locales sobre datos, para la definición de Cookie Consent.
Así que, cuando la GDPR remplace a las leyes de datos locales, la definición de Cookie Consent será reemplazada también.
Esto es importante porque el estándar de consentimiento necesario para la GDPR es más alto que el de las leyes locales existentes, la diferencia principal es hacer que ese consentimiento no sea ambiguo.
¿Cómo impacta la GDPR en el Cookie Consent?
El gran cambio es que la obtención del Cookie Consent ya no está implícito. La diferencia específica es esta, puesto que el Cookie Consent no puede, de ninguna manera, ser ambiguo, el comportamiento común de usar un consentimiento ya aplicado, ya no es suficiente. El Cookie Consent debe darse también antes de que las cookies estén instaladas.
Para obtener un Cookie Consent válido bajo la nueva definición de consentimiento, el usuario debe hacer algo para indicar su acuerdo. Puede que te sea familiar trabajar con una enorme variedad de herramientas de consentimiento, una herramienta tecnológica que da un mensaje cuando un usuario llega a una web y busca permiso para rastrear la actividad del consumidor en la propia web.
Por tanto, los afiliados han de elegir usar herramientas de consentimiento, pero el consentimiento también se puede obtener, por ejemplo, si continúan su navegación en una web haciendo clic en links internos o externos (teniendo en cuenta que las cookies no se hayan instalado antes de este punto).
Entonces, ¿en qué se diferencian el Cookie Consent y el Data Consent?
Dado que las cookies son inherentemente menos complicadas que el resto de cosas que se pueden hacer con los datos personales, cumplir con los estándares de consentimiento aumentados es mucho más fácil cuando se obtiene el Cookie Consent que cuando se obtiene el Data Consent.
Hay menos que explicar para el usuario, menos obligaciones y menos derechos adicionales para ofrecerle
El riesgo es también mucho menor, ya que las enormes multas contempladas en la por la GDPR no se aplican al Cookie Consent, a diferencia d su aplicación al Data Consent.
Aunque las leyes que implementan la directiva ePrivacy se refieren al GDPR para la definición de consentimiento, todavía tienen sus propias multas y sanciones para los casos de incumplimiento.
¿Cómo cambia esto la manera en la que trabajo con Awin?
Reconocemos que, debido a este cambio en la definición de consentimiento, cumplir con las obligaciones existentes se puede convertir en algo más duro. A menos que, por supuesto, que operes en una jurisdicción como Países bajos, donde ya se requiere a los individuos que den su consentimiento explícito a las cookies.
El Cookie Consent continuará siendo requerido por Awin a sus afiliados, para obtener el Cookie Consent para ellos mismos y para las cookies que se instalen desde el dominio de Awin.
También continuaremos revisando el cumplimiento de los afiliados con estos requisitos y pidiéndoles que obtengan el Cookie Consent adecuadamente, si nos aparece que todavía no lo ha hecho.
De todas maneras, Awin no ordena cómo se ha de obtener el Cookie Consent.
Awin ofrecerá una herramienta de consentimiento que puede ser usada para el Cookie Consent, pero también nos parece bien si se utilizan otras herramientas, o si se obtiene el consentimiento por otros métodos válidos. Por ejemplo, sería suficiente en la mayoría de los casos, cambiar el aviso de que hay cookies por una explicación de que el usuario estaría dando su consentimiento a una cookie de rastreo de afiliación si hace clic en un link externo sin cambiar sus ajustes de cookies.
Reconocemos que la GDPR no es sencilla, especialmente para los afiliados pequeños, y estamos tratando de minimizar los embrollos de cumplimiento para nuestros afiliados de todas las maneras posibles.
Una manera es justificar nuestro procesamiento de datos en base al interés legítimo, para que no tengamos que pedir a los afiliados que obtengan el Data Consent por nosotros. Esto no es una opción para el Cookie Consent, si un negocio no necesita instalar la cookie para dar un servicio pedido por un usuario, el Cookie Consent no puede ser evitado. De todas maneras, como el Cookie Consent es más sencillo que el Data Consent para las cookies, podemos, al menos, ser flexibles en los métodos de recogida del Cookie Consent que sean aceptables para nosotros.
Continuaremos con la guía sobre este tema para dar soporte tanto a afiliados como anunciantes antes del 25 de mayo de 2018, incluyendo detalles de nuestra herramienta de consentimiento.
Esperamos que entiendan que no podemos ofrecer consejo legal.