Kaliforniako pribatutasun-esparrua ulertzea

Kalifornia izan da Estatu Batuetan kontsumitzaileen pribatutasunari buruzko legerian aitzindaria, eta bere legeek mundu osoko webguneei eragiten diete. California Consumer Privacy Act (CCPA) legea, 2023ko urtarriletik aurrera indarrean dagoen California Privacy Rights Act (CPRA) legeak nabarmen aldatu duena, Kaliforniako biztanleen informazio pertsonala biltzen duen edozein enpresari ezartzen dizkio betebeharrak — enpresa hori fisikoki non dagoen kontuan hartu gabe.

Webguneen jabeentzat, ondorio praktikoak cookieetan, jarraipen-teknologietan eta erabiltzaileen datuak hirugarrenen eskura nola jartzen diren oinarritzen dira. Kaliforniako eredua Europako GDPRtik funtsean desberdina bada ere, oraindik ere arreta handiz kudeatu behar dira baimen-mekanismoak eta erabiltzaileen eskubideak.

CCPA/CPRA: Nori aplikatzen zaio?

Legea irabazi-asmoko enpresei aplikatzen zaie, baldin eta hauek atalase hauetako edozein betetzen badute:

• Urteko diru-sarrera gordinek 25 milioi $ gainditzen dituzte.
• Urtero 100.000 kaliforniar edo gehiago (biztanleak, etxeak edo gailuak) informazio pertsonala erosten, saltzen edo partekatzen dute.
• Urteko diru-sarreren %50 edo gehiago Kaliforniako biztanleen informazio pertsonala saltzetik edo partekatzetik eratorria da.

Bigarren atalasea bereziki garrantzitsua da publizitatea duten webguneentzat. Zure guneak publizitate zuzendua egiteko hirugarrenen cookieak erabiltzen baditu eta Kaliforniatik trafiko esanguratsua jasotzen badu, baliteke urtean 100.000 kaliforniar erabiltzaile baino gehiagoren datuak prozesatzen aritzea cookie horien bidez bakarrik.

Opt‑out vs opt‑in: GDPRrekiko oinarrizko desberdintasuna

Hau da webguneen arduradunek ondo ulertu behar duten bereizketa nagusia. GDPRren arabera, lehenetsitako eredua opt‑in da: ezin dituzu funtsezkoak ez diren cookieak ezarri erabiltzaileak aktiboki baimena eman arte. CCPA/CPRAren arabera, berriz, lehenetsitako eredua opt‑out da: informazio pertsonala prozesatu dezakezu (cookieen bidez barne) erabiltzaileak gelditzeko esaten dizun arte.

Horrek esan nahi du Kaliforniako bisitarientzako baimen-esperientzia funtsean desberdina dela:

• GDPR ikuspegia: Blokeatu funtsezkoak ez diren cookie guztiak. Erakutsi banner bat. Itxaron baimen esplizitua eman arte. Orduan bakarrik ezarri cookieak.
• CCPA/CPRA ikuspegia: Cookieak lehenespenez ezar daitezke. Eman ikusgai eta argi dagoen "Do Not Sell or Share My Personal Information" esteka bat. Erabiltzaileak eskubide hori baliatzen duenean, utzi bere datuak hirugarrenekin partekatzea.

Hala ere, badaude salbuespen garrantzitsuak. 16 urtetik beherako adingabeentzat, CCPA/CPRAk opt‑in eredura aldatzen du — informazio pertsonala saldu edo partekatu aurretik baimen esplizitua lortu behar duzu. 13 urtetik beherako haurren kasuan, guraso edo tutore batek eman behar du baimen hori.

"Do Not Sell or Share" betekizuna

CPRAk jatorrizko CCPAren "Do Not Sell" eskubidea zabaldu zuen "sharing" kontzeptua barne hartzeko — bereziki hirugarrenen publizitate-cookieen bidez gertatzen den datu-truke mota helburu duena. Erabiltzaile batek zure gunea bisitatzen duenean eta zure cookieek bere nabigazio-datuak publizitate-sareetara bidaltzen dituztenean, hori sharing da CPRAren arabera, nahiz eta diru-trukerik zuzenean egon ez.

Zure betebeharren artean daude:

• Hasiera-orrian eta pribatutasun-politikan "Do Not Sell or Share My Personal Information" izenburua duen esteka argi bat jartzea.
• Erabiltzaileek eskubide hori erraz baliatu ahal izateko mekanismo bat eskaintzea, konturik sortu behar izan gabe.
• Eskaera 15 laneguneko epean errespetatzea.
• Eskubide hori baliatzen duten erabiltzaileei ez diskriminatzea (adibidez, haien esperientzia okertuz).

Global Privacy Control (GPC)

Global Privacy Control erabiltzaileek nabigatzailean aktiba dezaketen seinale bat da, bisitatzen duten webgune guztiei beren opt‑out lehentasuna automatikoki jakinarazteko. Firefox eta Brave bezalako nabigatzaile nagusiek GPC modu naturalean onartzen dute, eta nabigatzaile-hedapenek Chrome eta beste batzuetara zabaltzen dute euskarria.

CPRAren araudiaren arabera, enpresek GPC seinaleak errespetatu behar dituzte opt‑out eskaera baliodun gisa. Honek ondorio praktiko esanguratsuak ditu:

• Zure webguneak Sec-GPC: 1 HTTP goiburua edo navigator.globalPrivacyControl JavaScript propietatea detektatzeko gai izan behar du.
• Detektatzen denean, erabiltzaileak "Do Not Sell or Share" sakatu balu bezala tratatu behar duzu.
• Publizitaterako erabiltzen diren hirugarrenen cookieak ezabatu edo ezarri gabe utzi behar dira erabiltzaile horientzat.

GPCren adopzioa etengabe hazten ari da. Kalkuluen arabera, web-trafikoaren %5 eta %10 artean dago GPC seinalea daramana, eta ehuneko hori handiagoa da Kalifornian pribatutasunaz kezkatuta dauden erabiltzaileen artean.

Noiz behar duzu benetan cookie-banner bat Kalifornian?

Hemen sortzen da enpresa askoren nahasmena. Zorrotz esanda, CCPA/CPRAk ez du derrigorrezko egiten Europako estiloko cookie-baimen banner bat, opt‑out eredua dagoelako. Hala ere, behar dituzu:

• Erraz eskuragarri dagoen "Do Not Sell or Share" esteka bat.
• Erabiltzaile batek opt‑out egiten duenean edo GPC seinale bat bidaltzen duenean hirugarrenen datu-partekatzea eteteko mekanismo bat.
• Biltzen diren informazio pertsonalaren kategoriak, helburuak eta datuak norekin partekatzen diren azaltzen duen pribatutasun-politika bat.
• Bisitarien artean europarrak ere badituzten guneentzat, CCPAren opt‑out mekanismoarekin batera bizi daitekeen GDPRra egokitutako baimen-banner bat.

Praktikan, Europako eta Kaliforniako publikoari zerbitzua ematen dieten webgune gehienek baimen-interfaze bateratu bat ezartzen dute, bisitariaren kokapenaren arabera bere portaera moldatzen duena. Horrela, ez da beharrezkoa bi baimen-sistema guztiz bereizi mantentzea.

Inplementazio praktikoari buruzko gogoetak

CCPA/CPRA eta GDPR batera betetzea bi moduko erronka bihurtzen da. Zure baimen-kudeaketa plataformak honako hauek egin behar ditu:

1. Bisitaria non dagoen detektatzea zehaztasunez, IPan oinarritutako geolokalizazioa erabiliz.
2. Lege-esparru egokia aplikatzea — opt‑in EEE/Erresuma Batuko bisitarientzat, opt‑out Kaliforniako bisitarientzat, eta baliteke beste eskualde batzuetako bisitarientzat betekizunik ez egotea.
3. "Do Not Sell or Share" esteka kudeatzea Kaliforniako bisitarientzat, banner barruan edo orriko elementu independente gisa.
4. GPC seinaleak detektatu eta errespetatzea hirugarrenen cookieak ezarri aurretik.
5. Cookieen portaera horren arabera kontrolatzea — opt‑out egin duten erabiltzaileentzat hirugarrenen publizitate-cookieak blokeatuz, baina lehenengo alderdiaren analitika jarraitzen uztea.

Inplementazio teknikoak, gainera, kontuan hartu behar du lehenengo alderdiaren analitika-cookieen (oro har CCPA/CPRAren arabera "negozio-helburu" gisa onargarriak) eta hirugarrenen publizitate-cookieen (sharing dira eta opt‑out eskubidearen menpe daude) arteko bereizketa.

FlexyConsent-en geo‑helbideratzea Kaliforniako bisitarientzat

FlexyConsent-ek bi moduko erronka hori konpontzen du geo‑helbideratze automatikoaren bidez. Kaliforniako bisitari bat zure gunera iristen denean, FlexyConsent-ek bere portaera doitzen du CCPA/CPRAren betekizunetara egokitzeko:

• Opt‑out modua aktibatzea: Cookie guztiak hasieratik blokeatu beharrean, FlexyConsent-ek "Do Not Sell or Share My Personal Information" aukera behar bezala nabarmentzen du.
• GPC seinalearen detekzioa: FlexyConsent-ek automatikoki egiaztatzen du Global Privacy Control seinalea dagoen ala ez, eta badagoenean, hirugarrenen datu-partekatzea eteten du erabiltzailearen inolako ekintzarik gabe.
• Kategoriaz jabetutako blokeoa: Kaliforniako erabiltzaile batek opt‑out egiten duenean, FlexyConsent-ek selektiboki blokeatzen ditu publizitate- eta gune arteko jarraipen-cookieak, baina mantendu egiten du negozio-helburu salbuespenaren barruan sartzen den lehenengo alderdiaren analitika.
• GDPRrekin bateragarritasun leuna: FlexyConsent instalazio berak kudeatzen ditu bi esparruak. Europako bisitariek kategoria-mailako kontrol zehatzak dituen GDPRra egokitutako opt‑in banner bat ikusten dute. Kaliforniako bisitariek dagokien opt‑out mekanismoa ikusten dute. Araudirik gabeko eskualdeetako bisitariek ohar minimo bat edo batere bannerik ez jasotzen dute, zure konfigurazioaren arabera.

Google-certified CMP gisa, IAB TCF 2.3 eta Consent Mode V2 onartzen dituena, FlexyConsent-ek ziurtatzen du baimen-seinaleak behar bezala komunikatzen zaizkiela Google zerbitzuei, aplikatzen den lege-esparrua edozein dela ere. Horrek esan nahi du zure Google Analytics eta Google Ads konfigurazioek behar bezala funtzionatzen dutela bai Europan opt‑in egin duten erabiltzaileentzat, bai Kalifornian opt‑out egin ez dutenentzat.

Ondorio nagusia: Kaliforniako opt‑out eredua GDPRren opt‑in ikuspegia baino murriztaileagoa ez dirudien arren, eskakizun praktikoek — bereziki GPC seinaleei eta "sharing" kontzeptu zabalari dagokienez — esan nahi dute publizitatean oinarritutako webgune gehienek baimen-kudeaketa irtenbide sofistikatu bat behar dutela. Bi esparruetara egokitzen den geo‑helbideratutako baimena ezartzea askoz ere fidagarriagoa da ikuspegi bakarra mundu osoan aplikatzen saiatzea baino.