Seleccionar página

Hacia el cumplimiento del GDPR con la ayuda de OneTrust

by | 14 noviembre, 2019 | Tecnología

El General Data Protection Regulation (GDPR) fue de aplicación el 25 de mayo de 2018 y se concedieron dos años para que las empresas se adaptaran para su cumplimiento. No obstante, a día de hoy aún podemos encontrar sites que no cumplen con la normativa arriesgándose a importantes penalizaciones de hasta el 4% de la facturación anual.

Sin entrar en detalle en qué es el GDPR, sobre el que existen multitud de publicaciones, como nuestra guía para marketers, sí destacaremos a muy alto nivel que su objetivo es el de proteger a todos los ciudadanos de la UE en relación a los datos que generan con su huella digital en base a los siguientes principios:

  • Transparencia: Cada site debe indicar y describir el uso que da a cada dato que recoja del usuario.
  • Consentimiento: Se requiere el consentimiento inequívoco previo del usuario para recoger datos.

Para facilitar el cumplimiento del GDPR, han surgido varias plataformas, entre ellas, OneTrust. En este artículo te explicaremos qué ofrece y cómo se configura. ¿Te interesa?

Introducción: ¿Qué es OneTrust?

OneTrust es una plataforma de software de administración de privacidad utilizada por las organizaciones para cumplir con las regulaciones de privacidad de datos en todos los sectores y jurisdicciones, incluido el GDPR de la UE y el Privacy Shield. La solución incluye evaluaciones de impacto relativas a la protección de datos, el inventario de datos y la automatización de mapas de recursos, la exploración de sitios web y la gestión de consentimiento, la tramitación de solicitudes de derechos de los sujetos, la creación de informes de incidentes y la gestión de riesgos de proveedores.

Esta herramienta permite a cada sitio web o app publicar un banner de consentimiento de cookies que comprende una política de cookies y un centro de preferencias totalmente personalizable gracias a su sencilla interfaz. Centrándonos en la gestión del consentimiento, el flujo desde el punto de vista del usuario es muy sencillo:

  • Al acceder al site se muestra un Banner de notificación de cookies en el que el usuario puede aceptar todas cookies.

OneTrust

  • El usuario puede acceder al Centro de Preferencia de Privacidad a través del propio banner o, como en este caso, a través del enlace “Ajustar Cookies” del footer.

Centro de Preferencia - OneTrust

  • Desde el Centro de Preferencia de Privacidad el usuario puede configurar el consentimiento para cada uno de los grupos que se definen. Hasta este momento no se dispara ningún tag de seguimiento.
  • En el momento en el que el usuario acepta las cookies en el banner (todas) o guarda la configuración del Centro de Preferencia de Privacidad, se empiezan a disparar los tags de seguimiento en base al consentimiento que se haya seleccionado en cada uno de los grupos.

Paso a paso: ¿Cómo se configura esta solución?

Por desgracia, a nivel de implementación no es tan sencillo como se ve para el usuario, aunque se simplifica a través de un tag manager, aún requiere de mucha configuración. Pero no te preocupes, a continuación te describimos cada uno de los pasos que se deben seguir:

1. Creación de la cuenta: Desde este enlace puedes solicitar una versión de prueba de 14 días. En la misma página puedes acceder a un vídeo demostración o, incluso, solicitarles que te realicen una demostración en vivo. Si tienes la decisión tomada, en la sección de precios puedes consultar los diferentes planes.

2. Escanear el site: Una vez completado el registro es necesario escanear el site indicando simplemente la URL del mismo. Una vez finalizado el escaneo, el cual en ocasiones puede llevar bastante tiempo, sobre todo si el site es grande o no se limita el número de páginas a escanear, se visualizará un dashboard con todos los elementos identificados.

Escaneo con OneTrust

3. Configuración del Banner: Desde la interfaz gráfica, OneTrust ofrece la posibilidad de personalizar el contenido, el estilo, la forma de visualización (como banner o pop-up) y el comportamiento del banner. En cuanto al comportamiento ofrece, entre otras, la posibilidad de aceptar todas las cookies al cerrar el banner, al hacer scroll o al clicar en la página. Cada organización bajo su responsabilidad deberá configurar el comportamiento del banner según su interpretación del GDPR, por lo menos hasta la llegada del ePrivacy que concretará qué se permite y qué no sin dejar lugar a diferentes interpretaciones.

4. Configuración de la Política de Cookies: El siguiente paso será la definición de los diferentes grupos de cookies y del modelo de consentimiento a aplicar (Opt-in, Opt-out, únicamente informativo o personalizado).

Listado de cookies - OneTrust

Aunque los diferentes grupos de cookies se pueden personalizar según las necesidades de cada site, como es el caso de la captura anterior, por defecto OneTrust ofrece una clasificación de cookies basada en cinco grupos:

  • Cookies estrictamente necesarias: Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar. Son esenciales para permitir a los visitantes moverse por el site y utilizar sus funciones, como acceder a áreas privadas.
  • Cookies de rendimiento: Estas cookies recopilan información sobre cómo los visitantes usan un site, por ejemplo, qué páginas se visitan con mayor frecuencia. Toda la información que recopilan estas cookies es agregada y, por lo tanto, anónima. Sólo se usa para mejorar el funcionamiento del site.
  • Cookies Funcionales: Estas cookies permiten que el site recuerde las elecciones que realizan los visitantes (como su nombre de usuario, idioma o región) y ofrecen una mejor experiencia personalizada. La información recopilada puede ser anónima y las cookies no pueden rastrear la actividad de navegación en otros sitios web.
  • Cookies de Targeting: Estas cookies se utilizan para mostrar los anuncios más relevantes a los visitantes del site según sus intereses. También se usan para limitar la cantidad de veces que los visitantes verán un anuncio, así como para ayudar a medir la efectividad de las campañas.
  • Cookies de redes sociales. Estas cookies son establecidas por los servicios de redes sociales que se implementan en el site para permitir a los visitantes compartir contenido.

5. Clasificación de Cookies: En base al escaneo del site, OneTrust autoclasificará gran parte de las cookies pero requerirá que se revise manualmente y se clasifiquen aquellas que no haya podido identificar. Esto se realiza fácilmente desde la interfaz gráfica mediante drag & drop.

6. Configuración del Centro de Preferencia: Como con el banner, OneTrust ofrece la posibilidad de personalizar el contenido, el estilo y el nivel de agregación que se muestra para cada tipo de consentimiento.

7. Script del Banner: Para cada banner OneTrust proporciona un script que se debe integrar en toda la profundidad del site ofreciendo diferentes versiones en función del entorno en el que se publique.

  • Producción –CDN: Velocidad de carga rápida pero los cambios que se realicen sobre el banner pueden tardar hasta 4 horas en mostrarse.
  • Producción –Ubicación única: Los cambios que se publiquen sobre el banner se muestran al momento a cambio de una velocidad de carga menor.
  • Descarga a local: Permite descargarse el js del banner localmente.
  • Almacenamiento Provisional/Prueba: Se puede utilizar en entornos de prueba y refleja los cambios en el banner aunque no se hayan publicado.

Producción - OneTrust

8. Integración del Banner: Aunque la integración se puede realizar directamente en página, se recomienda el uso de un Tag Manager para facilitar su configuración y posterior mantenimiento. La integración más sencilla y descrita a alto nivel requerirá de:

  1. Integrar el script del banner de OneTrust en toda la profundidad del site. OneTrust ofrece en su ayuda un manual para la integración tanto con Google Tag Manager (GTM) como con Adobe Dynamic Tag Manager (DTM).
  2. Definir  la variable “OnetrustActiveGroups” en la que almacenar la configuración que haya realizado el usuario desde la capa de datos definida. Esta variable contiene, separados por comas, todos los ids de los grupos de cookies para los que el usuario ha dado su consentimiento y se establece con la ejecución del banner de OneTrust. A continuación se muestra el valor de esta variable en un DataLayer a modo de ejemplo:

DataLayer - OneTrust

  1. Crear una regla de exclusión/bloqueo para cada grupo de cookies definido, de forma que se evalúe a cierto en el caso de que la variable “OnetrustActiveGroups” no contenga el id del grupo en concreto entre comas. Por ejemplo, para las cookies de personalización de la captura del punto 4 se debería definir como: Bloquea el tag si la variable OnetrustActiveGroups no contiene “,2,”.
  2. Añadir a cada tag definido en el tag manager la regla de exclusión/bloqueo que le corresponda según el grupo de cookies al que pertenezca para impedir que se dispare si el usuario no ha dado su consentimiento previamente.

9. Por último y muy importante, ¡probar todas las casuísticas que se puedan dar en el site!

Como hemos visto, OneTrust es una plataforma sencilla y flexible que te permite adaptarte a los principios del GDPR aunque requiere un esfuerzo importante de configuración. En DBi Data Business Intelligence hemos desarrollado varios proyectos de implementación así que, si tienes dudas, ¡pregúntanos en la sección de comentarios!

Además, para profundizar en el uso de las cookies, puedes revisar la guía de la AEPD.

Alberto Sánchez
Ingeniero Informático de incursión en Marketing Digital. Hace ya más de 5 años comenzó con la gestión y el desarrollo de proyectos de I+D para el marketing omnicanal en tiempo real, desde entonces se ha encargado de ayudar a los clientes a explotar todo lo que ofrece la ad-tech para que puedan alcanzar sus objetivos de Negocio.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *