Política de privacidad de marketing y cookies

La Política de privacidad de marketing y cookies define requisitos obligatorios de privacidad para marketing, cookies, tecnologías de seguimiento, analítica, tecnología publicitaria, segmentación de audiencias, marketing directo, gestión de preferencias, exclusión, etiquetas de terceros, revisión de campañas y tratamiento de datos personales relacionado. Su finalidad declarada es asegurar que estas actividades se gobiernen mediante registros claros de finalidad del tratamiento, aviso transparente, controles adecuados de consentimiento o preferencias, gestión de exclusión y retirada del consentimiento, supervisión de terceros y evidencias preparadas para auditorías. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, con obligaciones de responsable del tratamiento cuando la organización determina las finalidades y los medios de marketing, y obligaciones de encargado del tratamiento cuando los datos personales relacionados con marketing, analítica, seguimiento o campañas se tratan conforme a instrucciones documentadas del cliente o de un encargado del tratamiento ascendente. Un requisito central es que las finalidades de marketing y seguimiento deben registrarse antes de que comience el tratamiento. Para actividades de responsable del tratamiento, el propietario de procesos o el propietario de la empresa debe registrar cada campaña de marketing, canal, finalidad del tratamiento, categoría de datos personales, fuente de audiencia, vinculación con la base jurídica, categoría de tecnología de seguimiento, dependencia de proveedor o etiqueta, vinculación con el aviso, dependencia de consentimiento o preferencias, vinculación con el calendario de conservación e indicador de transferencia en REG02 antes de que comience la campaña o la actividad de seguimiento. El responsable de privacidad / responsable del PIMS debe confirmar la vinculación vigente con el aviso en REG07 y la vinculación de consentimiento o preferencias en REG05 antes del lanzamiento de la campaña. Cuando exista marketing conjunto, audiencias compartidas, campaña de marca compartida o actividad de seguimiento compartida, la asignación de responsabilidades de corresponsable del tratamiento debe registrarse en REG08 antes del lanzamiento. La política establece requisitos operativos detallados para consentimiento, preferencias, cookies y controles de seguimiento. Exige que la organización identifique si se requiere consentimiento, preferencia, objeción, instrucción contractual u otra base aprobada para cada canal de marketing, y que registre la decisión en REG02 y REG05 antes de la recogida o del uso en campaña. Las cookies no esenciales, etiquetas, píxeles, SDK y tecnologías de seguimiento similares deben permanecer inactivos hasta que el estado de consentimiento o preferencias requerido esté disponible en REG05. Las señales de consentimiento o preferencias no deben sobrescribirse, eludirse ni ignorarse durante cambios en sitios web, aplicaciones, campañas o gestores de etiquetas, y las evidencias de validación deben registrarse antes de la liberación. Las evidencias de consentimiento, preferencias, retirada del consentimiento, exclusión y versión deben registrarse en REG05 en el plazo de un día hábil tras la captura, el cambio o la retirada del consentimiento. La transparencia y la gobernanza de terceros también son temas centrales. El responsable de privacidad / responsable del PIMS debe crear o actualizar el registro del aviso de privacidad de marketing o del aviso de cookies en REG07 antes de lanzar un nuevo canal de marketing, tecnología de seguimiento, configuración de analítica o cambio material de campaña. El contenido del aviso debe alinearse con las finalidades de marketing de REG02, las categorías de datos personales, categorías de destinatarios, categorías de proveedores, categorías de tecnologías de seguimiento, opciones de preferencias e indicadores de transferencia antes de la publicación. Los proveedores de marketing, proveedores de analítica, plataformas publicitarias, etiquetas, píxeles, SDK y socios de intercambio de datos deben registrarse en REG08 antes del uso en producción, con la clasificación de encargado del tratamiento, corresponsable del tratamiento o responsable independiente confirmada antes de la incorporación o renovación. Los proveedores internacionales, etiquetas, proveedores de analítica, plataformas publicitarias, transferencias de audiencias o transferencias de intercambio de datos deben enrutarse a REG09 antes de la entrada en producción cuando corresponda. La política también establece requisitos de revisión de campañas, exclusión, enrutamiento de bajas voluntarias, aplicación y supervisión continua. La fuente de audiencia, los criterios de segmentación, las categorías de datos personales, las exclusiones por supresión, las restricciones de preferencias y la vinculación con avisos deben verificarse antes del lanzamiento de la campaña, y las personas con estado de retirada del consentimiento, objeción, no contactar o exclusión deben excluirse antes de la activación. Las objeciones de marketing, bajas voluntarias, solicitudes de retirada del consentimiento, fallos de cancelación de suscripción y reclamaciones de marketing directo deben enrutarse a REG06 en un plazo de dos días hábiles, y el estado de exclusión o preferencias debe actualizarse en el plazo de un día hábil tras la validación. Los controles de gobernanza incluyen la revisión trimestral del estado de los controles de privacidad de marketing en REG12, la revisión anual de proveedores de marketing activos en REG08, métricas trimestrales sobre vinculaciones faltantes de consentimiento o avisos, excepciones de rastreadores y estados de consentimiento, elementos de cumplimiento vencidos, y hallazgos de auditoría o acciones correctivas registrados en REG12.