GDPR, ePrivacy y Awin
35 minutos de lectura
El GDPR fue una oportunidad única en una generación para repensar las leyes de protección de datos en toda Europa.
Para las empresas que trabajan en las industrias digitales, es fundamental que comprendan las complejidades del GDPR y ePrivacy. En este libro blanco intentamos explicar las implicaciones para el marketing de afiliados y ofrecer orientación práctica para afiliados y anunciantes.
Awin & el GDPR
El Reglamento General de Protección de Datos (GDPR) entró en vigor el 25 de mayo de 2018. Representó un cambio significativo en la forma en que se regula la información personal en la UE, reemplazando un marco legal existente que no preveía el rápido aumento del uso de datos personales por parte de las empresas que se ha vuelto común en los últimos 20 años o más.
El GDPR representó un cambio significativo en la forma en que se regula la información personal en la UE
En la preparación para la entrada en vigor del GDPR, cada red de marketing de afiliados y plataforma SaaS realizó su propia diligencia debida y buscó asesoramiento legal sobre su posición legal para el procesamiento de datos y cómo creen que encajan dentro del ecosistema de anunciante/afiliado.
En la preparación para la entrada en vigor del GDPR, cada red de marketing de afiliados y plataforma SaaS realizó su propia diligencia debida y buscó asesoramiento legal sobre su posición legal para el procesamiento de datos y cómo creen que encajan dentro del ecosistema de anunciante/afiliado
1. El GDPR en pocas palabras
El GDPR, incluyendo el GDPR del Reino Unido, está diseñado para empoderar a los consumidores de la UE/Reino Unido y consagrar sus derechos en cuanto al uso de sus datos. Para las industrias digitales, esto adquiere una importancia mayor porque la definición de lo que se considera datos personales se ha ampliado para incluir cualquier cosa que pueda identificar a un individuo, pero que no necesariamente sea identificable personalmente de manera explícita. Por lo tanto, mientras que una dirección de correo electrónico es obviamente un dato personal, el alcance también incluye identificadores seudónimos como una dirección IP o un ID de pedido.
Para procesar estos datos, las empresas deben elegir una base legal, de las cuales hay seis. Para algunas actividades es obvio, pero para muchas empresas de marketing digital, normalmente eligen entre 'consentimiento' o 'interés legítimo'. Hablaremos más de estos más adelante.
La privacidad por diseño exige que las empresas reconsideren fundamentalmente cómo desarrollan nuevas herramientas y tecnología, garantizando que la privacidad y los controles de datos formen parte del ADN de las actualizaciones y lanzamientos.
La minimización de datos requiere que las empresas solo rastreen los datos que necesitan para realizar la función de procesamiento descrita.
Además, la formación de los empleados y la designación de personas dedicadas a la aplicación son dos consideraciones importantes.
Aparte de la base legal, también hay algunos principios fundamentales consagrados en el GDPR.
El incumplimiento de las reglas podría resultar en la sanción máxima; multas significativas.
Por lo tanto, el GDPR tiene un alcance amplio y abarca todo. Pero más allá de esta legislación, también se deben considerar en profundidad las normas existentes sobre marketing digital, consagradas en las leyes de los estados miembros que implementan la Directiva de ePrivacidad.
2. La imagen completa con ePrivacy
La Directiva ePrivacy (o ePrivacy, para abreviar), otorga a las personas derechos de privacidad específicos en relación con las comunicaciones electrónicas, siendo el uso de cookies y tecnologías similares el área más significativa para el marketing de afiliados. En el Reino Unido, estas normas se establecen en PECR, las Regulaciones de Privacidad y Comunicaciones Electrónicas. Aquí, nos referiremos a la Directiva ePrivacy para mantener la consistencia.
La Directiva ePrivacy complementa las leyes generales de protección de datos y establece derechos de privacidad más específicos sobre las comunicaciones electrónicas. Existe una complejidad en entender qué significa ePrivacy para Awin y cualquier empresa que opera en la UE, que proviene de la naturaleza de la ley.
Mientras que el GDPR, como su nombre indica, es un reglamento y como tal se aplica directamente tal cual, ePrivacy en su forma actual es simplemente una directiva, dejando la implementación a los estados miembros. El texto final de la ley ePrivacy ha sido determinado por los estados miembros individuales y como resultado, los requisitos en torno a las cookies (y tecnologías similares) están sujetos a diferentes requisitos en toda Europa.
Por lo tanto, aunque el GDPR se adopta universalmente, ePrivacy está sujeto a interpretación local.
Esta incertidumbre legal se resolverá una vez que entre en vigor el tan esperado Reglamento ePrivacy. Sin embargo, hasta entonces, las empresas que operan en múltiples jurisdicciones deben considerar buscar orientación local para garantizar el cumplimiento.
Para añadir un nivel adicional de confusión, el GDPR y el ePrivacy no pueden interpretarse de forma aislada.
En algunas jurisdicciones, el ePrivacy puede requerir el consentimiento a nivel de GDPR para las cookies (independientemente de si se recopilan o no datos personales a través de esa cookie). Hemos intentado establecer una distinción clara entre los dos al abordar el consentimiento de datos y el consentimiento de cookies a continuación.
Por lo tanto, aunque esta guía está destinada a abordar el impacto del GDPR en el marketing de afiliados, también haremos referencias a ePrivacy para abordar la regulación de datos en su totalidad.
3. ¿Cómo afecta el GDPR a la industria del marketing de afiliados?
El aumento del alcance y la aplicación del GDPR a tipos de datos personales significó que, dependiendo del contexto, ciertos tipos de datos que antes podían no estar regulados por las leyes de privacidad, pasaron a estar sujetos a regulación. Esto incluye los ID de dispositivos, el ID de miembro de reembolso, los números de referencia del cliente y otros identificadores técnicos. Además, el GDPR establece requisitos más estrictos para obtener el consentimiento del usuario para el procesamiento de datos personales.
Es importante destacar que, en su forma más pura y en relación con los servicios específicos de Awin, la naturaleza de los datos personales procesados para el marketing de afiliación no es sensible y en gran medida técnica.
Compara el canal con otros que utilizan datos personales para construir perfiles de consumidores a los que dirigirte a través de anuncios; normalmente, el marketing de afiliados no interactúa con técnicas de remarketing o programáticas.
Sin embargo, algunas marcas trabajarán con afiliados que realizan este tipo de actividad en una base CPA a través del canal de afiliados y en algunos casos, la publicidad comportamental y otras formas de marketing basado en el rendimiento, que dependen en gran medida del perfilado de usuarios para el envío de publicidad dirigida, están sujetas a mayores obligaciones regulatorias.
Algunas otras redes de afiliados utilizan datos generados por los afiliados para construir perfiles para servicios de personalización y remarketing. Por lo tanto, pueden sentir que necesitan una base legal distinta al interés legítimo para hacerlo, lo que a su vez conlleva diferentes obligaciones regulatorias a las que los afiliados deben adherirse.
Por lo tanto, los afiliados inevitablemente se encontrarán en una posición donde las obligaciones de una red son diferentes a las de otra. Cuando el GDPR entró en vigor por primera vez en marzo de 2018, las redes de afiliados, lideradas por Awin, intentaron crear un consenso en la industria al reunirse para acordar un enfoque consistente. Aunque esto no fue posible, todos los asistentes acordaron poner su nombre en una declaración de la industria.
La recomendación de Awin para los afiliados es que se pongan en contacto con todas las redes con las que están trabajando y tengan claro cuáles son los requisitos de privacidad de esas redes y por qué.
4. La preparación de Awin para el GDPR
Uno de los principales impactos del GDPR fue que todas las empresas se vieron obligadas a examinar sus usos de datos personales en el contexto del alcance, los principios y los derechos proporcionados por el GDPR. Awin llevó a cabo esta evaluación en el transcurso de una detallada Evaluación de Impacto de Privacidad (EIP). La EIP de Awin tiene múltiples objetivos, entre otros:
- Crea un resumen detallado de todos los datos recopilados en el curso de las actividades de seguimiento de Awin
- Evalúa si Awin actúa como controlador o procesador en relación con esos datos
- Evalúa el propósito y la base legal de cada actividad de procesamiento
- Realiza una 'prueba de equilibrio' cuando se ha identificado el interés legítimo como la base legal del procesamiento.*
- Identifica las medidas de seguridad necesarias para proteger los datos
- Minimiza el uso de datos personales siempre que sea posible
*Esta prueba se utiliza para evaluar si las suposiciones de Awin al elegir un interés legítimo son válidas.
Al interpretar la posición de Awin bajo el GDPR, es importante entender cómo Awin procesa los datos personales y qué impacto tiene eso en la privacidad de las personas.
5. Uso de datos personales
En el curso regular de sus negocios, Awin procesa datos de las siguientes categorías de individuos:
- Personal de Awin Publisher, anunciante y proveedor
- Afiliados donde el afiliado es un individuo
- Consumidores cuyas compras son rastreadas por Awin
For the purposes of this paper, we will only be detailing the tracking activity through which personal data is processed in respect of consumers. This is because all other processing activities are merely carried out for administering business and, pursuant to regulatory guidelines, such data is considered unlikely to result in a high risk to individuals.
6. Datos del consumidor
Awin utiliza principalmente los datos del consumidor para el seguimiento. El seguimiento permite a Awin entender el recorrido en línea de un consumidor a través de sitios web específicos después de ver o hacer clic en un anuncio. El propósito del seguimiento es atribuir las ventas y el esfuerzo de marketing de un afiliado a una transacción en particular, para permitir a los anunciantes recompensar a los afiliados por cada transacción. El seguimiento también permite a Awin proporcionar a los afiliados y anunciantes informes relacionados.
El seguimiento entre dispositivos permite a Awin entender el recorrido del consumidor cuando comienza en un dispositivo y se completa la transacción en otro.
Para realizar el seguimiento, Awin utiliza cookies de dominio de seguimiento, etiquetas de recorrido y huellas digitales de dispositivos. Aquí tienes una breve explicación de cómo funcionan estas tecnologías:
- Cookies de seguimiento de dominio: Cookies servidas por el dominio de Awin cuando un consumidor hace clic en un anuncio mostrado en un servicio de afiliado.
- Etiquetas de viaje: Código JavaScript integrado en el sitio web del anunciante, para permitir a Awin recibir información de las transacciones.
- Huella digital del dispositivo: Método por el cual Awin puede identificar de manera única un dispositivo considerando ciertos atributos (incl. tamaño/resolución de pantalla y configuraciones de usuario).
El seguimiento entre dispositivos hace uso de las cookies del dominio de seguimiento y la etiqueta de recorrido, de la misma manera y para los mismos propósitos que el seguimiento. Además, el seguimiento entre dispositivos desarrolla perfiles de consumidores seudónimos, que luego se utilizan para asociar varios dispositivos a un solo consumidor.
Todos los datos que Awin utiliza para el seguimiento son seudónimos, no sensibles, en gran medida técnicos y no relacionados con el comportamiento, ni con predicciones o evaluaciones del interés del consumidor o personalidades.
7. ¿Controlador o procesador de datos?
Toda empresa que maneja datos debe decidir qué papel juegan en el procesamiento de esos datos.
Esta es una consideración importante porque hay diferentes implicaciones basadas en el papel que se desempeña. Decidir si eres un 'controlador' o un 'procesador' de datos está lógicamente vinculado a lo que haces con los datos rastreados y las decisiones que tomas al respecto.
Serás un controlador si determinas:
- ¿Por qué los datos deben ser procesados; y/o
- Cómo debería procesarse para lograr el propósito previsto.
Los procesadores, por otro lado, nunca deciden por qué procesar datos, dejan esto al controlador que les ha instruido. Los procesadores pueden tomar decisiones limitadas sobre cómo llevar a cabo el procesamiento de datos para los fines determinados por el controlador, pero estas solo pueden ser decisiones 'no esenciales'.
Esto significa que las decisiones esenciales siempre deben ser tomadas por el controlador, incluyendo decisiones sobre qué datos procesar para alcanzar el propósito del controlador o el modelo económico del propósito perseguido.
Lo principal que hay que tener en cuenta es que los roles se asignan en base a hechos.
No es posible establecer un contrato que diga, por ejemplo, "X será el controlador, Y será el procesador", si, de hecho, Y ha estado tomando decisiones sobre qué datos procesar para los propósitos de X; en este caso, Y terminará en el papel de controlador conjunto junto a X. Si Y decide procesar datos para sus propios fines, será un controlador único para ese nuevo propósito.
En el marketing de afiliados, el anunciante siempre es un controlador porque solo el anunciante puede decidir 'por qué' procesar datos; solo el anunciante puede decidir, por ejemplo "Hagamos algo de marketing en línea y paguemos comisiones en base a CPA".
8.¿Pero qué pasa con las redes y los afiliados? ¿Son procesadores o controladores conjuntos con el anunciante?
La posición de Awin es que Awin es un controlador conjunto con el anunciante, junto con los afiliados. De hecho, existe una relación de control conjunto entre las tres partes.
Esto se debe a que Awin ha decidido el modelo económico, y tanto Awin como los afiliados deciden qué datos procesar para llevar a cabo la campaña de marketing de afiliación del anunciante.
Esto se debe a la forma en que se rastrean, consultan e informan las transacciones.
Creamos que esta conclusión es la única que refleja con precisión cómo funcionan las cosas en la práctica.
Si, digamos, Awin o los afiliados intentaran trabajar dentro de las limitaciones de un rol de procesador de datos, necesitarían que cada anunciante respectivo aprobara cualquier nuevo procesamiento de datos con antelación cada vez. No pueden tomar estas decisiones por sí mismos; esto parece tanto impráctico como inviable.
9. ¿Cómo se diferencia esto de las posiciones de otras redes?
Algunas redes han optado por una posición de procesador de datos, lo que significa que no tienen que determinar una base legal para el procesamiento de datos y, por lo tanto, no pueden determinar una base legal para sus afiliados.
Pueden optar por garantizar que los anunciantes se involucren directamente con los afiliados para asegurarse de que no sean responsables de ninguna posible violación de datos por parte de un afiliado, eliminándose directamente de la relación entre el afiliado y el anunciante.
Uno de los desafíos adicionales de ser un procesador de datos es el posible impacto en tu capacidad para tomar decisiones sobre el desarrollo futuro de tus servicios y tecnología.
Por ejemplo, Awin tendría que informar a los anunciantes si entramos en un acuerdo con ellos como procesador de datos, que no podrían hacer uso de las correcciones de errores, actualizaciones, mejoras o características adicionales de los productos o servicios de Awin hasta que el anunciante instruya por escrito a Awin para hacerlo.
Es importante recordar que la interpretación de Awin sobre la posición de procesador/controlador difiere de otras redes. Habiendo buscado asesoramiento legal, estamos seguros de que nuestra posición refleja el estado correcto.
Esencialmente, creemos que las siguientes declaraciones resumen nuestra posición de controlador:
- Los anunciantes no deciden qué rastrear. Eligen una red, pero la red decide cómo funciona su tecnología y qué datos se utilizan. Sin este estado, una red nunca podría implementar ninguna tecnología nueva sin obtener un nuevo acuerdo de procesador de cada afiliado.
- Las redes determinan el modelo económico.
- Las redes instruyen a los anunciantes, como decirles que mantengan el seguimiento activo y en funcionamiento.
El marketing directo se puede realizar con un solo dato (como una dirección de correo electrónico). Esto lo hace viable para que un controlador le diga al procesador/negocio de marketing directo, "envía correos electrónicos a esta lista de direcciones de correo electrónico". El marketing de afiliados es más complejo, lo que hace que garantizar que el anunciante dé todas las instrucciones a todos sus afiliados, sea inviable.
10. ¿Qué acuerdos de privacidad tiene Awin?
Como co-controladores, las partes respectivas están obligadas a entrar en un acuerdo en el que se definen los roles y responsabilidades de todos los jugadores. A diferencia de los acuerdos de procesamiento de datos donde una parte actúa como controlador y la otra parte como procesador, las partes tienen más libertad para determinar la forma y el contenido del acuerdo y no están obligadas a incluir las obligaciones de nivel GDPR de un procesador.
Para los anunciantes, Awin proporciona un anexo de procesamiento de datos de controlador conjunto al acuerdo del anunciante que aborda específicamente el procesamiento de datos requerido para los servicios de Awin.
Para los afiliados, los términos de procesamiento de datos se encuentran en los anexos de nuestro acuerdo estándar de afiliados para que estemos claros sobre qué parte es responsable de qué. Estos términos cubren, por ejemplo, cómo Awin y los afiliados manejarán las consultas de los consumidores sobre los datos, o cómo tratarán con una violación de datos en caso de que esto ocurra.
Al dejar claras estas responsabilidades, se ayuda a prevenir que los anunciantes, afiliados y Awin sean responsables de las infracciones de cada uno al GDPR.
Esto también significa que, como controladores, los afiliados tendrán que cumplir con más obligaciones del GDPR. Sin embargo, todas las partes involucradas ya necesitan hacer esto al procesar datos para sus propios fines. La consecuencia es que ahora también tendrán que aplicar estas obligaciones a los datos procesados al atraer clientes para un anunciante.
La principal ventaja es que en la red de Awin, si se hace de acuerdo con el GDPR y los acuerdos o términos relevantes, las partes pueden decidir por sí mismas cómo procesar los datos. Creemos firmemente que este es el caso de todos modos y las autoridades nos considerarían controladores conjuntos. Al crear una obligación contractual que coincide con la realidad factual, todos deberían tener claro qué obligaciones deben asumir bajo el GDPR.
Finalmente, al decidir nuestra posición, consideramos cómo es probable que las autoridades de datos categoricen a Awin y a sus anunciantes y afiliados.
11. Interés legítimo y prueba de equilibrio
Como controlador, Awin está obligado a justificar el procesamiento de datos personales antes de que se considere legal. Existen seis bases legales bajo las cuales se puede hacer esto:
- Consientimento
- Contrato
- Obligación legal
- Interés vital
- Público tarea
- Interés legitimo
Al evaluar el interés legítimo de Awin, se tuvieron en cuenta los intereses de todo el ecosistema de afiliados.
Luego se realizó una prueba de equilibrio en la que se confirmó que el seguimiento conlleva un riesgo muy bajo de impacto negativo indebido en los intereses o derechos y libertades fundamentales de los sujetos de los datos.
Esto significa que Awin no dependerá del consentimiento individual como base legal para el procesamiento de datos personales bajo el GDPR, como parte de sus servicios de seguimiento.
12. ¿Por qué no dar consentimiento?
Es inicialmente importante afirmar que sigue habiendo una gran confusión en torno al consentimiento.
Esto se debe en parte a que no hay un consenso en la industria sobre el tema, pero principalmente porque, junto con el consentimiento del GDPR, también existe un consentimiento relacionado con la Directiva de ePrivacidad existente.
Estas leyes son independientes pero también coexisten. En el contexto de la privacidad de datos, piensa en el GDPR como algo amplio y que abarca todos los aspectos de la regulación de datos personales. Por el contrario, ePrivacy se preocupa específicamente por el marketing directo y las funciones de seguimiento en línea, como el uso de cookies o tecnologías similares.
Inevitablemente, existe cierta superposición que surge porque las cookies a menudo contienen datos personales, pero es un error asumir que las cookies y los datos personales son lo mismo.
Bajo el GDPR, existen muchas formas de procesar legalmente los datos personales sin depender del consentimiento de datos y de hecho, es justo decir que el consentimiento de datos es la base legal menos conveniente y más gravosa para el procesamiento de datos.
Bajo la Directiva de ePrivacy, siempre se requiere el consentimiento para las cookies siempre es necesario para establecer cookies, a menos que las cookies sean estrictamente necesarias para entregar un servicio solicitado por el individuo. Por lo tanto, por ejemplo, los afiliados de reembolso y recompensas pueden no necesitar el consentimiento para las cookies de afiliados porque las cookies de afiliados son necesarias para que funcione un servicio basado en reembolsos o recompensas.
Obtener el consentimiento de los datos no está exento de desafíos. Al hacerlo, la experiencia del usuario en el sitio puede verse negativamente afectada y la persona puede negarse a dar su consentimiento de todos modos.
Cuando se procesan datos personales basados en el consentimiento de datos, se otorgan mayores derechos de datos al individuo, los cuales deberán ser respetados en el futuro. Además, el consentimiento de datos debe ser gestionado y registrado con un nivel de detalle particular. Adicionalmente, no se puede negar un servicio o contenido a los consumidores y usuarios porque hayan rechazado dar su consentimiento de datos, a menos que el servicio dependa de dicho consentimiento.
Quizás lo más importante, para obtener un consentimiento de datos válido, se debe proporcionar al individuo suficiente información para tomar una decisión informada.
Debido a que Awin es una red de afiliados, utilizamos datos personales limitados para rastrear las referencias a los sitios web de los anunciantes, las transacciones resultantes y nuestros informes, pero nunca reutilizamos estos datos para crear perfiles de usuario comportamentales o para otros fines de marketing. Tampoco recopilamos ningún otro dato para:
- Construyendo perfiles de comportamiento de usuarios
- Dirigiéndote comportamentalmente
- Marketing para cualquier otro propósito
Para llevarse a cabo de manera legal, esos tipos de procesamiento suelen requerir un consentimiento de datos porque se perciben como que tienen un mayor impacto en la privacidad de las personas. Al evitar este tipo de procesamiento, Awin puede basarse en el interés legítimo para justificar su procesamiento y evitar la necesidad de consentimiento de datos por parte de los afiliados o anunciantes para rastrear transacciones de manera legal.
Esto se aplica al procesamiento de datos personales a medida que los individuos viajan desde el sitio web del afiliado hasta los sitios web de los anunciantes, a través de nuestros dominios, rastreando la confirmación de la transacción y el informe posterior disponible en la interfaz de usuario.
13. Respetando el consentimiento
Es importante considerar que si un controlador elige el consentimiento como base legal, puede que no pueda usar otra base legal si resulta problemático obtener el consentimiento.
Es importante considerar que si un controlador elige el consentimiento como base legal, puede que no pueda usar otra base legal si resulta problemático obtener el consentimiento:
Si se elige el consentimiento como base legal para cualquier parte del procesamiento, el controlador debe respetarlo y detener esa parte del procesamiento si un individuo retira su consentimiento.
Añade: "Enviar el mensaje de que los datos se procesarán en base al consentimiento, mientras que en realidad se confía en otra base legal, sería fundamentalmente injusto para las personas. En otras palabras, el controlador no puede cambiar del consentimiento a otras bases legales. Por ejemplo, no está permitido utilizar retrospectivamente la base del interés legítimo para justificar el procesamiento, donde se han encontrado problemas con la validez del consentimiento."
Debido a la necesidad de revelar previamente una base legal, un controlador debe decidir con anticipación cuál de las seis bases se adoptará.
14. La Directiva ePrivacy
Desde que la Directiva ePrivacy se implementó en las leyes nacionales de toda la UE, se requiere obtener el consentimiento para las cookies cuando se configuran.
Awin ha requerido que los afiliados obtengan el consentimiento para las cookies bajo nuestros términos con los afiliados desde 2012. Esto es para asegurarte de que los afiliados cumplan con estas reglas, pero también para obtener el consentimiento para las cookies de Awin, en nombre de Awin. Esto es típico de redes como la nuestra, que no tienen una oportunidad natural o conveniente para interactuar con las personas y obtener el consentimiento para las cookies.
15. ¿Entonces, por qué estamos hablando de nuevo sobre el consentimiento de cookies?
El consentimiento de las cookies ha vuelto a estar en discusión en los últimos años porque, en la mayoría de los estados miembros de la UE, las leyes que implementan la Directiva de ePrivacidad se basan en la definición de consentimiento en las leyes locales de datos para la definición de consentimiento de cookies.
Por lo tanto, cuando el GDPR reemplazó las leyes locales de datos, la definición utilizada para el consentimiento de cookies también fue reemplazada.
Es significativo porque el estándar de consentimiento necesario para el GDPR es más alto que bajo algunas leyes de datos locales preexistentes y esto ha sido aclarado aún más bajo la jurisprudencia y en la orientación emitida desde que el GDPR entró en vigor.
16. H¿Cómo afecta el GDPR al consentimiento de cookies?
La conclusión es que obtener el consentimiento para las cookies ahora es más complicado. La diferencia específica es que, dado que el consentimiento para las cookies debe ser inequívoco, el enfoque común de usar el consentimiento implícito no es suficiente. También se debe dar el consentimiento para las cookies antes de que se establezcan.
Para obtener un consentimiento de cookies válido bajo la nueva definición de consentimiento, el individuo debe hacer algo activo para indicar su acuerdo. Seguramente estás familiarizado con las herramientas de consentimiento universales o las plataformas de gestión de consentimiento (CMPs); tecnología que muestra un mensaje cuando un usuario llega a un sitio web y solicita permiso para rastrear la actividad del consumidor en el sitio.
La mayoría de los operadores de sitios web, incluyendo afiliados y anunciantes, utilizan estas herramientas de consentimiento para obtener el consentimiento para las cookies que se sirven en su sitio web, incluyendo las cookies de Awin cuando trabajan en la plataforma de Awin.
17. ¿En qué se diferencian el Consentimiento de Cookies y el Consentimiento de Datos?
Porque las cookies son inherentemente menos complicadas que todas las cosas que se podrían hacer con los datos personales, cumplir con los estándares de consentimiento aumentados es mucho más fácil al obtener el consentimiento de las cookies que al obtener el consentimiento de los datos.
Esto se debe a que hay menos que explicar al individuo, menos obligaciones de registro y menos derechos adicionales que ofrecer al individuo.
El riesgo de cumplimiento también es menor, porque las enormes multas impuestas por el GDPR no se aplican al consentimiento de cookies, a diferencia de los consentimientos de datos utilizados para las cookies.
Aunque las leyes que implementan la Directiva de ePrivacy se basan en el GDPR para la definición de consentimiento, aún tienen sus propias multas y sanciones por incumplimiento.
18. ¿Cómo afecta esto a la forma en que los afiliados y anunciantes trabajan con Awin?
La obtención del consentimiento de cookies sigue siendo necesaria por parte de Awin para sus afiliados y anunciantes, tanto para obtener el consentimiento de cookies para ellos mismos como para las cookies de Awin.
También revisamos el cumplimiento de estos requisitos por parte de los afiliados y anunciantes, y les pedimos que obtengan correctamente el consentimiento para las cookies si nos parece que no lo están haciendo.
Sin embargo, Awin no exige cómo se debe obtener el consentimiento para las cookies.
Awin ofrece una herramienta de consentimiento que puede ser utilizada para el consentimiento de cookies, pero también estamos contentos de que los afiliados y anunciantes utilicen otras herramientas de consentimiento, o que obtengan un consentimiento válido de otras maneras.
Reconocemos que el GDPR no es sencillo, especialmente para los afiliados o anunciantes más pequeños, y tratamos de minimizar las cargas de cumplimiento para nuestros afiliados de todas las formas posibles.
Una forma es justificar nuestro procesamiento de datos basándonos en un interés legítimo, por lo que no necesitamos pedir a los afiliados o anunciantes que obtengan ningún consentimiento de datos para nosotros. Esta no es una opción para el consentimiento de cookies; si un operador de un sitio web no necesita establecer la cookie para ofrecer un servicio solicitado por un individuo, no se puede evitar el consentimiento de cookies.
19 La posición de Awin en resumen
Awin es un controlador conjunto con anunciantes y la mayoría de los afiliados.
Esto elimina la necesidad de firmar acuerdos de procesamiento de datos.
Le da a la red la flexibilidad para desarrollar nueva tecnología y decidir la base para futuras actualizaciones y lanzamientos de tecnología.
Awin está utilizando el interés legítimo como base legal para el procesamiento de datos.
Awin no requiere que sus afiliados busquen consentimiento para el GDPR.
Awin requiere que todos los anunciantes y afiliados busquen un consentimiento válido de cookies en cumplimiento con las leyes de datos aplicables.
Los afiliados y anunciantes tienen total libertad para obtener el consentimiento de la manera que consideren más adecuada, sin embargo, Awin ofrece una herramienta de consentimiento fácil de instalar.
20. ¿Qué significa todo esto si soy un anunciante o afiliado trabajando con Awin?
Como empresa que opera bajo el GDPR, tienes ciertas obligaciones como controlador. Además, cuando trabajas con Awin tienes algunas tareas para asegurar que el seguimiento de afiliados se realiza legalmente en tu sitio web. Hemos creado una lista de verificación con las cosas más importantes a considerar:
- Verifica si debes registrarte en tu autoridad local de protección de datos;
- Actualiza tus términos y condiciones y política de privacidad si es necesario;
- Entra en acuerdos o arreglos con todas las terceras partes con las que procesas datos;
- Asegúrate de tener datos de contacto donde las personas puedan contactarte con consultas relacionadas con la privacidad;
- Asegúrate de tener una base legal para todas las actividades de procesamiento;
- Obtén el consentimiento para las cookies donde la ePrivacidad te lo exija y asegúrate de que tu mecanismo de consentimiento cubre todas tus actividades.
21. ¿Dónde puedo obtener más información?
Awin tiene un centro de GDPR, que se encuentra aquí.
Preguntas frecuentes de Awin sobre protección de datos y seguridad
A lo largo de los últimos años, hemos observado un aumento constante en el número de consultas que recibimos sobre nuestras actividades de procesamiento de datos. Las preguntas varían desde el cumplimiento del GDPR hasta consultas más técnicas sobre seguridad de datos. A continuación, hemos enumerado las preguntas más frecuentes tanto de anunciantes como de afiliados.
¿Cumple Awin con el GDPR?
Como empresa con sede y operaciones en Europa y que maneja datos personales a diario, el cumplimiento del GDPR es fundamental para el negocio de Awin. Awin ha realizado una Evaluación de Impacto de Privacidad para garantizar el cumplimiento del GDPR y ha implementado una serie de salvaguardas para asegurar el cumplimiento continuo. Awin está monitoreando continuamente las orientaciones y decisiones legales y está comprometido a garantizar que todas sus operaciones permanezcan en cumplimiento a la luz de cualquier desarrollo.
Tienes nombrado a un oficial de protección de datos? ¿Cómo podemos contactar con él?
Sí, Awin ha nombrado a un oficial de protección de datos. Puedes contactar al DPO en global-privacy@awin.com.
¿Qué datos personales capturas, almacenas o procesas en el curso del seguimiento?
Los datos que Awin utiliza para el seguimiento son seudónimos, no sensibles, en gran medida técnicos y no están relacionados con el comportamiento, ni con predicciones o evaluaciones de interés del consumidor o personalidades.
Una cookie de seguimiento, por ejemplo, recogería los siguientes datos:
- Fecha de la cookie
- Fecha de caducidad de la cookie
- Dirección IP (truncada)
- IP Hash
- GeoIP
- ID del anunciante
- ID del afiliado
- ID del banner
- ID de grupo
- ID del producto
- Referencia de Click/Red
- Referente
-
ID de afiliado de sobrescrito
- Platforma
¿Awin recopila algún dato personal sensible?
No, Awin no recopila ningún dato sensible durante el seguimiento o administración de tu negocio con anunciantes, afiliados y proveedores. Awin puede recopilar datos sensibles de tus empleados cuando la ley lo requiera.
¿Cuál es el flujo de datos que Awin rastrea?
¿Dónde almacenas físicamente estos datos?
Dentro de la UE/Reino Unido.
¿Para alojar la aplicación y los datos, utilizas los servicios de un anfitrión o un proveedor de nube?
Sí, Equinix (Londres/Slough) que son nuestros centros de datos co-localizados. Proveedores de la nube: AWS
(Irlanda y Frankfurt, Alemania) y Azure (Ámsterdam).
¿Durante cuánto tiempo almacenas los datos? ¿Tienes procesos establecidos para eliminar automáticamente los datos?
Awin retiene los datos de acuerdo con su política de retención. A menos que se especifique lo contrario en la política (y la ley lo permita), los datos personales se eliminan después de 36 meses. Hemos implementado rutinas de eliminación automatizadas para asegurar que los datos se borren al vencimiento del período de retención aplicable.
¿Estás certificado en ISO 27001?
En febrero de 2022, superamos con éxito la auditoría de la Fase 2 para la certificación de evaluación ISO 27001 en los sistemas y servicios dentro del alcance, realizada por auditores independientes de BSI, y en marzo se obtuvo la certificación ISO 27001. Se realizarán auditorías de vigilancia anuales y auditorías de recertificación.
Describe el proceso para el monitoreo regular, la revisión y la auditoría del servicio proporcionado por tus proveedores de terceros.
Los proveedores están sujetos a la gestión de riesgos del vendedor, que incluye la diligencia debida del vendedor al incorporarse y revisiones regulares a partir de entonces.
¿Separas los datos de los clientes?
Separamos lógicamente los datos. Las ACL se utilizan dentro de la Interfaz de Usuario de Awin para asegurar que los datos estén segregados lógicamente y que no puedan ser accedidos o corrompidos por otros clientes.
¿Realizas pruebas de penetración?
Sí, las pruebas de penetración son realizadas por una tercera parte de buena reputación anualmente. También tenemos un Programa de Recompensas por Errores en funcionamiento.
¿Tienes controles establecidos para restringir y supervisar la instalación de software no autorizado en tus sistemas?
Todo el software necesita ser incorporado a través del proceso de revisión de seguridad de la información del proveedor.
A los usuarios se les proporciona una biblioteca en la tienda de Microsoft de aplicaciones permitidas. Cualquier otro software es instalado por el departamento de IT interno después de tu aprobación.
¿Utilizas alguna organización de terceros como subprocesadores de los datos personales?
Sí, Awin utiliza una serie de procesadores; se puede compartir una lista completa de procesadores a petición.
Estos proveedores de servicios han pasado revisiones de privacidad y seguridad de la información y se ha establecido un acuerdo de procesamiento de datos cuando es necesario.
¿Transfieres alguno de los datos fuera de la UE?
Awin realiza transferencias fuera de la UE solo cuando existen las garantías adecuadas para hacerlo.
Por favor, describe las medidas técnicas y organizativas que tienes implementadas para proteger los datos.
Las medidas técnicas y organizativas (TOMs) de Awin incluyen:
- Pseudonimizando y anonimizando los datos siempre que sea posible (se ha implementado la truncación de direcciones IP, las direcciones de correo electrónico se cifran cuando se utilizan, la información de identificación del cliente se pseudonimiza)
- Medidas de seguridad física (protección de tarjetas, acceso restringido para invitados)
- El uso de derechos de acceso basados en credenciales, donde los derechos se otorgan según la necesidad de saber. El derecho a acceder a los datos se concede cuando existe un caso de negocio para que esa persona tenga acceso.
- Un programa de formación obligatorio para los empleados sobre protección de datos y seguridad de datos.
Políticas actualizadas sobre seguridad de datos, incluyendo el Plan de Continuidad de Negocios de Awin, Política de Informe de Incidentes, Política de Manejo de Información, etc.
¿Pruebas/evalúas/actualizas regularmente los TOMs?
Sí, los TOMs se revisan anualmente y en el improbable caso de cualquier violación de seguridad o de datos.
¿Encripta, anonimiza o pseudonimiza los datos personales para asegurar que no puedan ser leídos por partes no deseadas?
Los datos recogidos durante el seguimiento son seudónimos (las direcciones IP se truncan, las direcciones de correo electrónico utilizadas para el seguimiento entre dispositivos se cifran por defecto). Todos los datos en tránsito se cifran al atravesar redes públicas (utilizando cifrado TLS o IPSec basado en los estándares actuales de la industria). Los dispositivos extraíbles, portátiles y dispositivos móviles tienen habilitado el cifrado completo de disco.
Por favor, describe la seguridad física de tus edificios.
El acceso a todos los sitios (oficinas y centro de datos) está controlado por acceso con tarjeta. No se permite a los invitados acceder a estos sitios sin estar acompañados por un miembro del personal. El acceso a las ubicaciones del Centro de Datos está limitado al personal preaprobado dentro de los equipos de TI. Todo el acceso a estas ubicaciones se registra y cuenta con controles de seguridad física líderes en la industria.
¿Tenéis protección de firewall integrada en vuestros sistemas?
Todos los servicios internos de Awin están conectados a Internet mediante cortafuegos, que protegen los servicios contra ataques externos, internamente los cortafuegos segregan y protegen aún más nuestros servicios. Nuestro equipo de operaciones realiza escaneos de vulnerabilidad en nuestros sistemas externos cada semana.
¿Qué medidas tienen para limitar el acceso a los datos?
Como parte de nuestra preparación para el GDPR, hemos revisado nuestra política de control de acceso y hemos reforzado compromisos como:
- Se siguen los procedimientos de control de acceso para restringir el acceso a las instalaciones de Awin, aplicaciones empresariales, sistemas de información, redes y dispositivos informáticos.
- Se siguen los procedimientos de control de acceso para restringir el acceso a las instalaciones de Awin, aplicaciones empresariales, sistemas de información, redes y dispositivos informáticos.
- Se debe seguir el principio de privilegio mínimo.
- Se debería considerar la separación de funciones.
- El acceso a las instalaciones de Awin debe ser estrictamente controlado, otorgándose de manera individual a personal autenticado y autorizado mediante controles de seguridad física apropiados.
- No se pueden otorgar derechos de acceso de manera colectiva o compartidos dentro de un grupo.
- En general, el acceso a los sistemas de información que contienen información personal o confidencial debe requerir autenticación de dos factores.
¿Tienes notificaciones de brechas de seguridad establecidas?
Las violaciones se gestionan e informan de acuerdo con nuestro plan de respuesta a incidentes. En caso de una violación de datos personales (o una divulgación ilegal de información confidencial), se realizan notificaciones a las partes afectadas y/o a la autoridad relevante de acuerdo con las obligaciones legales.
¿Cómo garantizas que la autoridad de protección de datos sea notificada dentro de las 72 horas en caso de una violación de datos?
Cualquier violación debe ser reportada inmediatamente al DPO de Awin. Este es un elemento crítico para asegurar que se cumpla el plazo de 72 horas y, por lo tanto, se enfatiza en todas las capacitaciones, materiales informativos y políticas para los empleados. Una vez que la información ha llegado al DPO, el DPO se encargará de la notificación a la autoridad de protección de datos, según sea necesario.
¿Cómo garantizas los derechos de las personas?
Awin tiene procesos para garantizar el cumplimiento de los derechos de las personas tal como se establece en el GDPR. Todas las solicitudes deben dirigirse a global-privacy@awin.com donde se atenderá la solicitud de acuerdo con el proceso relevante.
¿Todo tu personal involucrado en el procesamiento de datos de clientes ha recibido formación sobre Protección de Datos e Información de Seguridad?
Sí, proporcionamos formación obligatoria tanto en Privacidad como en Seguridad de la Información al incorporar empleados. Además, implementamos cursos de reciclaje anuales. Ten en cuenta que nuestra formación se concluye con un examen al final, para asegurar un conocimiento suficiente.
Por favor, proporciona un enlace a tu política de privacidad.
https://www.awin.com/es/privacidad
¿Puedes proporcionar un ejemplo de cómo referirse a Awin en nuestras políticas de privacidad?
Puedes utilizar cualquier redacción de nuestra política para los propósitos de tus divulgaciones.
¿Podemos firmar un acuerdo de procesamiento de datos como anuncian?
Sí, esto ya forma parte automáticamente de tu acuerdo de anunciante de marketing de afiliados con Awin.
¿Podemos firmar un acuerdo de procesamiento de datos como afiliado?
Esto no es necesario ya que todas las disposiciones relevantes ya están incluidas en los términos del afiliado, como anexos a esos términos. Por favor, revisa estos términos.
¿A quién puedo acudir si tengo más preguntas?
Nuestros account managers podrán responder a consultas generales sobre protección de datos. En caso de que desees hablar directamente con nuestro DPO, puedes enviar un correo electrónico a global-privacy@awin.com