Recientemente, IAB Spain presentó ‘Buenas prácticas de privacidad y soluciones para anunciantes en la era cookieless’, elaborado por la Comisión de Data de IAB Spain. El documento explora aspectos básicos en la actividad publicitaria como las normativas aplicables, los requisitos y la necesidad de transparencia, la diferencia entre el consentimiento y el interés legítimo, y las funciones de un Delegado de Protección de Datos. Pero, en la práctica, ¿de qué manera ayuda a las empresas a tomar decisiones?
“La progresiva desaparición de las cookies de tercera parte nos exige evolución como industria, con la transparencia como clave para ganar la confianza del usuario. Sin confianza no hay personalización, medición ni valor para la industria. En los últimos años, han surgido distintas iniciativas de addressabilty y no resulta fácil mantenerse actualizado de los cambios vertiginosos a los que nos somete el mercado. Por este motivo, hemos querido a través del documento de buenas prácticas y la herramienta ‘Identity Use Case Builder’ acercar este conocimiento a los marketer”, sostuvo entonces José Ramón Mencías, Presidente de la Comisión de Data de IAB Spain y Data Solutions Lead Ibera de Publicis Groupe.
Con él conversamos para dar respuesta a la inquietud de los lectores de PRNoticias sobre la utilidad de este documento a la hora de tomar decisiones. También abordamos a Henry Velásquez, Responsable del Área de Data Privacy para el Sur de Europa y LATAM – Publicis Groupe, y a Daniel Gozlan, Country Director, Spain – Ogury, para tener una visión más amplia y un análisis desde varias perspectivas.
Navegar el nuevo ecosistema digital sin cookies de terceros
Para José Ramón Mencías y Henry Velásquez, el objetivo del documento presentado por IAB Spain es proporcionar a las marcas una guía clara, accesible y actualizada para navegar el nuevo ecosistema digital sin cookies de terceros. “A medida que la privacidad y la regulación evolucionan, este recurso ayuda a los anunciantes a comprender las mejores prácticas y adoptar estrategias alineadas con el cumplimiento normativo sin comprometer la efectividad de sus campañas”, señalan los expertos.
Destacan que su enfoque práctico y didáctico permite a las empresas tomar decisiones data driven sobre soluciones de addressability, garantizando un equilibrio entre personalización, medición y respeto a la privacidad del usuario.
“Es importante resaltar que cualquier proyecto de addressability debe comenzar con una correcta recogida de consentimientos. NO CONSENT, NO PARTY. Sin la confianza y autorización del usuario, no hay personalización, medición ni valor para la industria. Por ello, este documento no solo orienta sobre soluciones disponibles, sino que refuerza la importancia de la transparencia y el respeto a la privacidad como pilares fundamentales para el futuro de la publicidad digital”, explican Mencías y Velásquez.
Por su parte, Daniel Gozlan cree que la privacidad no es solo una tendencia, sino un requisito crucial que se espera que la industria respete. A pesar de que todavía se subestima, puede representar una ventaja competitiva increíble para los vendedores -argumenta.
“Cumplir con las regulaciones europeas y ofrecer a los consumidores el control total sobre su información personal desbloquea varias oportunidades, como la eficiencia en la segmentación, la precisión y una relación de confianza duradera con los consumidores. Este documento resalta la importancia de la privacidad y el impulso de la transparencia en el ecosistema digital actual para prosperar en un mundo centrado en la privacidad”, asegura Gozlan.
Las normativas que están marcando la pauta en la industria
El Reglamento General de Protección de Datos (GDPR) sigue siendo la referencia clave en materia de protección de datos personales. Su impacto ha trascendido Europa, sirviendo de inspiración para otras legislaciones en distintas partes del mundo, que han adoptado sus principios y obligaciones. Así lo explican José Ramón Mencías y Henry Velásquez.
Sin embargo, señalan que en el entorno digital han surgido nuevas normativas europeas que complementan y refuerzan el GDPR. Citan como ejemplo la Digital Markets Act (DMA) y la Digital Services Act (DSA), que buscan mejorar la transparencia en la recopilación y el uso de datos, garantizar un consentimiento informado sin trampas (patrones oscuros), proteger la privacidad de los menores y fortalecer los derechos individuales. En conjunto, estas leyes otorgan mayor control a los usuarios sobre su información personal.
“El Reglamento de Inteligencia Artificial (AI Act) también juega un papel clave, asegurando que los sistemas de IA cumplan con principios esenciales del GDPR, como la licitud en el tratamiento de datos, la transparencia, la minimización de datos y la privacidad desde el diseño y por defecto. Por otro lado, normas como la Data Governance Act (DGA) y la Data Act establecen un marco seguro para el intercambio de datos dentro de la UE, sin comprometer la privacidad de las personas”, agregan los expertos.
Además, organismos como el Comité Europeo de Protección de Datos (EDPB) emiten directrices y recomendaciones que pueden generar nuevas obligaciones para las empresas que tratan datos personales en el ámbito digital. Apuntan Mencías y Velásquez, que la regulación en protección de datos sigue evolucionando para fortalecer la privacidad y el control de los usuarios en un mundo cada vez más digitalizado.
La diferencia entre el consentimiento y el interés legítimo
Para Henry Velásquez, el consentimiento y el interés legítimo son bases legitimadoras reconocidas en el Reglamento General de Protección de datos (GDPR), sobre las que se puede justificar un tratamiento de datos.
“El consentimiento significa que una persona acepta, de forma libre, expresa e inequívoca, que sus datos sean utilizados para una finalidad específica. Para que esto sea válido, la persona debe haber sido informada de manera clara y sencilla sobre el uso que se hará de sus datos. Además, dado que el consentimiento debe ser libre, también puede revocarse en cualquier momento”, explica.
Sobre el interés legítimo, en cambio, señala que este permite tratar datos sin necesidad de consentimiento, siempre que dicho interés (generalmente el de la empresa) sea claro, necesario y no perjudique los derechos y libertades de los individuos. Para justificarlo, se debe realizar un test de ponderación, un análisis que demuestre que el beneficio comercial no afecta negativamente a las personas. Además, los usuarios tienen derecho a oponerse a este tratamiento en cualquier momento (opt out).
Dice Velasquez que en el contexto de la publicidad digital personalizada, basada en soluciones de identificadores (cookieless), el consentimiento es la opción que aporta mayor transparencia y seguridad jurídica, y es, además, la opción avalada por las autoridades europeas para el tratamiento de datos con fines de publicidad personalizada.
“Los reguladores han señalado que, en la mayoría de los casos, el interés legítimo no es suficiente, ya que los intereses comerciales no suelen prevalecer sobre los derechos de los usuarios. Consecuentemente, en nuestra industria, amparar tratamientos de datos en el interés legítimo, sólo cabría en escenarios muy reducidos como podría ser para la medición de campañas sin identificar a los usuarios, para prevención del fraude, análisis de datos agregados (insights), o en algunos escenarios de publicidad contextual, no personalizada, cuya viabilidad habría que analizar caso a caso”, agrega el experto.
En resumen, señala Velasquez que el consentimiento es la opción más segura y alineada con las exigencias regulatorias en publicidad digital, mientras que el interés legítimo tiene un uso más restringido y requiere una justificación sólida.
La función del Delegado de Protección de Datos
El Delegado de Protección de Datos o DPO es el encargado de garantizar que una empresa u organización cumpla con la normativa sobre protección de datos personales. Velásquez explica que su labor va más allá de la supervisión: asesora sobre cuestiones legales, identifica riesgos en el tratamiento de datos, realiza auditorías internas y evalúa nuevas tecnologías antes de su implementación. Todo esto con un objetivo claro: que la privacidad esté integrada desde el diseño y por defecto en cada proceso.
“Creo que quienes ostentan el rol de DPOs, o responsables de privacidad y protección de datos en las empresas, no solo son garantes del cumplimiento normativo, sino que también contribuyen a impulsar soluciones innovadoras y éticas. Su papel es clave para equilibrar la sostenibilidad y el crecimiento del negocio con el cumplimiento normativo y respeto a la privacidad de los usuarios, permitiendo que las empresas operen dentro del marco legal mientras construyen una ventaja competitiva basada en la confianza”, afirma Henry Velásquez.
La alternativa al uso de herramientas del consentimiento
Técnicamente, el consentimiento debe ser siempre informado, explícito y revocable. El Responsable del Área de Data Privacy para el Sur de Europa y LATAM – Publicis Groupe dice que, para ello, lo ideal es que se otorgue a través de un mecanismo que permita al usuario gestionar y registrar sus preferencias de privacidad. Además, es fundamental que dicho sistema pueda demostrar, en caso de duda o controversia, que el consentimiento fue otorgado de acuerdo con la normativa vigente.
En este contexto, las plataformas de gestión del consentimiento, conocidas como Consent Management Platforms (CMPs), se presentan como una solución eficaz, explica y recuerda que existen diversas opciones en el mercado, adaptadas a las necesidades del ecosistema digital y a los objetivos de cada empresa.
“Sin embargo, al elegir un CMP, es clave considerar ciertos aspectos. Uno de los más importantes es su configuración: una mala implementación puede invalidar el consentimiento” dice Velasquez y cita como ejemplo, el uso de dark patterns o patrones oscuros —como botones premarcados o el diseño que favorece la opción de “aceptar” sobre la de “rechazar” o “configurar”— puede manipular la decisión del usuario y comprometer el cumplimiento legal.
“Para garantizar una mayor transparencia y seguridad jurídica, es recomendable optar por CMPs que cuenten con certificaciones reconocidas, como la adhesión al Transparency and Consent Framework (TCF) de la IAB o a códigos de conducta y estándares similares. Esto no solo refuerza la confianza del usuario, sino que también minimiza riesgos legales para las empresas”, puntualiza el experto.
El papel de la confianza del usuario en el proceso
El papel de la confianza del usuario en el proceso es el primer paso. Así lo considera Daniel Gozlan y expone que al comprometerse con prácticas éticas de manejo de datos, las empresas pueden ofrecer experiencias más relevantes y atractivas, todo mientras recogen datos precisos y significativos con el consentimiento explícito de los consumidores.
“La industria ya considera al usuario como el punto de partida para rediseñar estrategias y planes”, finaliza el Country Director, Spain – Ogury.
Seguiremos Informando…
