Zergatik du bat-batean garrantzia baimen-erregistroek

Arautzaileen froga-itxaropenak 2024 eta 2025ean zehar goraka joan dira argitaratzaile askori harritu dien eran. Hiru joera zehatzek azaltzen dute aldaketa.

Diseinu-azterketatik froga-azterketarako aldaketa

Hasierako GDPR betearazpena (gutxi gorabehera 2018-2022) banner-diseinuan zentratu zen gehienbat: bannerrak Onartu eta Errefusatu aukerak berdintasun-nabarmentasunarekin eskaintzen ditu, pribatutasun-oharra egokia da, xedeak nahikoa zehatzak dira. 2023-2025eko fasea froga-azterketarantz nabarmen aldatu zen: jurisdikzio jakin baterako egun jakin batean jaso zenuen baimen-seinaleen lagin bat erakutsi dezakezu, sarbide-eskaera aurkeztu zuen erabiltzaile zehatz baten baimen-erregistroa sor dezakezu, baimen-egoera azpiko saltzaileei behar bezala jario ziela frogatu dezakezu.

EDPBren 2024ko gida

EDPBren 2024ko gidak erantzukizunari eta erregistro-mantentzeari buruzkoak argitu zuen kontrolatzaileek eskaeraren arabera betetzea frogatzeko nahikoa froga mantendu behar dutela. Baimenean oinarritutako prozesamenduaren kasuan, horrek esan nahi du prozesamendu-jarduera bakoitzerako baliozko baimena lortu zela frogatzeko nahikoa froga. Gidak baimen-erregistroa eragiketa-gaitasun gustuko-izatetik arautzaile-itxaropen esplizitu batera igo zuen.

Datu-subjektuen eskubideen bolumenaren igoera

Datu-subjektuen sarbide-eskaerak eta ezabatze-eskaerak nabarmen hazi dira 2024 eta 2025ean zehar. Halako eskaera-bolumen handiak jasotzen dituzten argitaratzaileek erabiltzaile-identifikatzailearen, data-tartearen eta prozesamendu-xedearen arabera kontsulta daitezkeen baimen-erregistroak behar dituzte, eta kontsulta-errendimenduak 30 eguneko erantzun-leihoari eutsi behar dio.

Arautzaile batek benetan zer eskatzen duen

Ikerketa batean arautzaileek zer eskatzen duten ulertzea da erregistroak zer eduki behar duen ulertzeko modurik garbiena.

Froga-eskaera estandarra

Ikerketa batean ohiko froga-eskaera batek, besteak beste, honako hauek eskatuko ditu:

• Zehaztutako data-tarte bat estaltzen duten baimen-erregistroen lagin bat, normalean 30-90 egun
• Data-tarte horretan indarrean zegoen pribatutasun-oharraren testua
• Data-tarte horretan indarrean zegoen CMP konfigurazioa, saltzaile-zerrenda, xede-zerrenda eta banner-diseinua barne
• Baimen-egoeratik azpiko saltzaile-etiketen aktibaziorako mapaketa
• Sarbide- edo kexa-eskaerak aurkeztu zituzten erabiltzaile zehatzen baimen-erregistroak
• Baimen-tasen banaketa jurisdikzioaren, gailu-motaren eta xedearen arabera
• Baimena kentzeko gertaerak azpiko prozesatzaileei hedatu zirela frogatzen duten frogak

Sakontasun forentsikoaren eskaeraAreagotutako ikerketetan, arautzaileek maila forentsikoko xehetasuna eskatzen dute, besteak beste: inpresio zehatzen TCF kate gordina, une horretako saltzaile-zerrenda osoa, CMP konfigurazio-aldaketen auditoretza-erregistroa, denbora-marka zehatzetarako azpiko etiketa-aktibazio erregistroak, eta datu-fluxu zehatzetarako mugaz gaindiko transferentzia-erregistroak. Xehetasun-maila hau onartzen ez duen erregistroa duten argitaratzaileei zaila egiten zaie sinesgarri erantzutea.

Denbora-presioa

Froga-eskaerek normalean erantzun-leiho laburrak dituzte: 14-30 egun tipikoak dira hasierako erantzunetarako, jarraipen-eskaerak sarritan leiho laburragoetan. Eskatutako froga sortzeko ingeniaritza pertsonalizatua behar duen erregistro-arkitektura bat desabantaila nabarmenean dago kronograma horren aurrean.

Zer eduki behar duen erregistroak

2026ko mailako baimen-erregistro batek datu-kategoria zehatz batzuk ditu, bakoitzak arautzaile-galdera desberdin bati erantzuten diona.

Erabiltzaile bakoitzeko baimen-erregistroa

Baimen-bannerarekin elkarreragin duen erabiltzaile bakoitzeko, erregistroak honako hauek jaso behar ditu: sarbide-eskaera batekin lotu daitekeen erabiltzaile-identifikatzaile anonimizatua, baimen-erabakiaren denbora-marka, elkarreraginean detektatutako jurisdikzioa, bannerean emandako hizkuntza, onartutako eta errefusatutako xede zehatzak, indarrean zegoen saltzaile-zerrenda, indarrean zegoen pribatutasun-oharraren bertsioa, indarrean zegoen CMP bertsioa, eta ondoriozko TCF edo GPP katea aplikagarria denean.

Konfigurazio-historia

Erabiltzaile bakoitzeko erregistroekin batera, erregistroak konfigurazio-testuingurua jaso behar du: zein banner-diseinu zegoen aktibo une bakoitzean, zein saltzaile-zerrenda, zein xede-zerrenda, zein pribatutasun-oharraren bertsioa. Horrek ikertzaileei baimen zehatz bat konfigurazio zehatz baten arabera jaso zela egiaztatzen uzten die, kanpoko iturrietatik konfigurazioa berreraiki beharrean.

Azpiko hedapen-erregistroa

Erregistroak baimen-egoera bakoitza azpiko saltzaileei arrakastaz hedatu zaiela erregistratu behar du, TCF transmisioaren, zerbitzari-aldeko baimen-API deien edo baliokideko mekanismoen bidez. Hedapenean dauden hutsuneak dira ikerketetan aurkitzen diren aurkikuntzarik ohikoenetakoak.

Baimena kentzeko erregistroa

Baimena kentzeko gertaerek baimen-jasotzeak bezalako zorroztasunarekin erregistratu behar dira: denbora-marka, erabiltzaile-identifikatzailea, aurreko baimen-egoera eta azpiko saltzaileei hedapena. Baimena kentzeko gertaerak dira kexetan oinarritutako ikerketen fokua sarritan.

Mugaz gaindiko transferentzia-erregistroa

Datu pertsonalak erabiltzailearen jatorrizko jurisdikziotik kanpoko jurisdikzioetara igarotzen direnean, erregistroak indarrean dagoen transferentzia-mekanismoa (SCCak, egokitasuna, BCRak, baimenean oinarritutako salbuespena), kontrako aldea eta xedea jaso behar ditu.

Erregistro-sistema diseinatzea

Baimen-erregistro sistema bera datu pertsonalen prozesamendu-jarduera bat da, eta arkitekturak froga-eskakizunak eta pribatutasun-inplikazioak biak landu behar ditu.

Erabiltzaile-identifikatzaile seudonimizatua

Erabiltzaile bakoitzeko erregistro-sarrerek identifikatzaile seudonimizatua erabili behar dute, identifikatzaile pertsonal gordina baino. Seudonimotik benetako identifikatzailerako mapaketa taula bereizi batean mantentzen da, sarbide-kontrol estuarekin, eta datu-subjektuaren eskaera zehatz batek eskatzen duenean bakarrik lotzen da.

Soilik-gehitu erregistroa

Baimen-erregistroaren sarrerek biltegiratze-geruzan soilik-gehitu motakoak izan behar dute, osotasuna bermatzeko. Aldaketak edo ezabaketak gertaera berri gisa erregistratu behar dira, lehendik dauden erregistroen mutazio gisa baino. Horrek ondorengo manipulazioa galarazten du eta erregistroaren froga-pisua mantentzen du.

Atxikipen-tentsioa

Baimen-erregistroek ikerketak laguntzeko nahikoa luze (normalean gutxienez 2-3 urte, preskripzio-epeak luzeagoak direnean atxikipen luzeagoekin) mantendu behar dira, baina ez hain luze atxikipena bera datuen babeseko kezka bihurtzen den arte. 2026ko eredu pragmatikoa lehen urte batean edo bitan erregistro osoa gordetzea da, eta gero pixkanaka gehiago seudonimizatzea eta agregatzea erregistroak zaharkitu ahala.

Esportatze- eta kontsulta-gaitasuna

Erregistroak formatu egituratuetan (normalean JSON, CSV edo Parquet) esportatzea onartu behar du, eta dimentsio ohikoen arabera kontsultatzea, erabiltzaile-identifikatzailea, data-tartea, jurisdikzioa eta xedea barne. Ingeniaritza pertsonalizatuaren bidez soilik kontsulta daitezkeen erregistroak desabantaila nabarmenean daude ikerketa batean.

Sarbide-kontrolaren jarrera

Baimen-erregistroaren sarbidea bera sentikorra da. Baimendutako langileek soilik izan beharko lukete erregistroa kontsultatzeko gaitasuna, kontsulta guztiak bera erregistratu behar dira, eta sarbidea erregistratu eta erregularki auditatu behar da.

Ohiko huts-moduak

Baimen-erregistroaren hutsegiteek eredu aurresangarriei jarraitzen diete.

• Konfigurazio-testuingurua falta — erabiltzaile bakoitzeko erregistroak existitzen dira, baina une hartan indarrean zegoen pribatutasun-oharra eta banner-konfigurazioa ezin dira modu fidagarrian berreraiki
• Granulartasun desegokia — erregistroek baimena eman balio boolear bat jasotzen dute xede-mailako banaketa edo saltzaile-zerrenda gabe
• Azpiko hedapenaren frogarik ez — baimena jaso zen baina ez dago behar bezala azpiko saltzaileetara iritsi zen ala ez erregistrorik
• CMP migrazioetan hutsuneak — CMP saltzailea aldatu zenean, erregistro historikoa ez zen behar bezala eraman, aurreko aldian froga-hutsuneak utziz
• Datu-subjektuaren eskaeretarako iraul ezin den seudonimizazioa — erregistroa behar bezala seudonimizatuta dago baina benetako identifikatzaileetarako mapaketa ez da mantentzen, beraz, sarbide-eskaerak ezin dira erregistrotik erantzun
• Atxikipena laburregia — erregistroak 90 egunez edo gutxiagoz mantentzen dira, argitaratzailea lehenago gertatutako baimenari buruzko galderei erantzun ezinik utziz
• Atxikipena luzeegia minimizaziorik gabe — xehetasun osoko erregistroak urteetan mantentzen dira seudonimizaziorik edo minimizaziorik gabe, datuen babeseko kezka sortuz bere kasa
• Kentzea ez da erregistratzen — baimen-jasotzea erregistratzen da baina baimen-kentzea ez, beraz, auditoretza-arrastoa osatu gabe dago

CMP integrazioaren galdera

Argitaratzaile gehienek beren CMP hornitzailearengan oinarritzen dira baimen-erregistroan, eta CMPren erregistroaren kalitatea da sarritan froga-prestakuntzaren faktore erabakigarria.

CMP batean zer bilatu

2026ko itxaropenak betetzen dituen CMP batek honako hauek eskaintzen ditu: erabiltzaile bakoitzeko baimen-erregistroak xede-mailako xehetasun osoarekin, konfigurazio-historia denbora-markatutako bertsionamenduarekin, azpiko hedapenaren baieztapena, formatu estandarretan esportatzea, erabiltzaile-identifikatzailearen araberako kontsulta-laguntza, eta arautzaileen itxaropenekin lerrokatutako atxikipen-politikak.

Eramangarritasunaren galdera

CMP hornitzaileak aldatzen badituzu, baimen-erregistro historikoa zure CMP berriak irents dezakeen formatuan esporta dezakezu, edo gutxienez modu independentean artxiba dezakezun formatuan? Erregistro-formatuak beren plataformara lotzen zaituen CMP bat arriskua da ikerketa batean, hornitzailearekiko harremana gatazkatsua bihurtzen bada.

Googleren ziurtagiritzaren gainjartzea

Googleren CMP ziurtagiritze-prozesuak erregistro-eskakizun batzuk lantzen ditu, baina ez guztiak. Ziurtagiritzak CMPk baliozko TCF kateak sortzen dituela eta Google Consent Mode v2-rekin integratzen dela bermatzen du, baina baimen-erregistroaren atxikipenaren sakontasuna, esportatze-formatuaren laguntza eta azpiko hedapenaren baieztapena ziurtatutako CMPen artean aldakorrak dira.

Datu-subjektuaren eskaera-integrazioa

Baimen-erregistroak datu-subjektuen eskubideen lan-fluxuetarako funtsezko sarrera dira. Sarbide-eskaerek baimen-historia itzuli behar dute, ezabatze-eskaerek baimen-erregistroak kendu behar dituzte (ezabatzearen froga-erregistroa bera mantenduz), eta eramangarritasun-eskaerek baimen-datuak formatu egituratuan esportatu behar dituzte.

Atxikipenaren paradoxa

Tentsio errepikari bat dago: ezabatze-eskaera batek datu pertsonalak kentzea eskatzen du, baina baimen-erabakiaren froga-erregistroa bera datu pertsonalak dira. 2026ko lan-eredua erregistro seudonimizatu ebidentziatzailea mantentzea da (baimena egon zela eta gero kendu zela frogatzen duena) jadanik beharrezkoak ez diren identifikazio-xehetasunak kenduta.

30 eguneko leihoa

Datu-subjektuen eskaerek normalean 30 eguneko epean erantzun behar dute, eta baimen-erregistroak leiho horren barruan eskatutako froga sortzen duten kontsultak onartu behar ditu. Egunetan eskuzko ingeniaritza eskatzen duten erregistroak eragiketa aldetik desegokiak dira heldutasun-mailako programa baterako.

2026ko auditoretza-zerrenda

• Erabiltzaile bakoitzeko baimen-erregistroek erabiltzaile-identifikatzailea, denbora-marka, jurisdikzioa, hizkuntza, onartutako eta errefusatutako xedeak, saltzaile-zerrenda, pribatutasun-oharraren bertsioa eta CMP bertsioa jasotzen dituzte
• Konfigurazio-historia mantentzen da banner-diseinuaren, saltzaile-zerrendaren, xede-zerrendaren eta pribatutasun-oharraren denbora-markatutako bertsionamenduarekin
• Saltzaileetara azpiko hedapena baieztatuta eta erregistratuta dago baimen-erabaki bakoitzerako
• Baimena kentzeko gertaerak baimen-jasotzeak bezalako zorroztasunarekin erregistratzen dira
• Mugaz gaindiko transferentzia-mekanismoak datu-fluxuen erregistroekin batera erregistratzen dira
• Erregistroak soilik-gehitu motakoak dira manipulazio-ebidentziatzaileko biltegiratzearekin
• Erabiltzaile-identifikatzaile seudonimizatuak erabiltzen dira mapaketa irauli bereizi eta estuki kontrolatuarekin
• Atxikipen-politikak ikerketa-laguntzaren eskakizunak eta datu-minimizazioaren itxaropenak orekatzen ditu
• Formatu egituratuetan (JSON, CSV, Parquet) esportatzea onartzen da
• Erabiltzaile-identifikatzailearen araberako kontsultak datu-subjektuen eskubideen lan-fluxuak onartzen ditu 30 eguneko leihoaren barruan
• Baimen-erregistroaren sarbidea bera erregistratzen eta auditatzen da
• CMP hornitzaileak erregistroaren sakontasuna, atxikipena eta esportatze-eskakizunak onartzen ditu, eta eramangarritasuna dokumentatuta dago hornitzaile-aldaketetarako

2026ko ikuspegia

Baimen-erregistroak eragiketa-xehetasunetik froga erabakigarrirantz igaro dira 2026ko betearazpen-paisaian. 2024 eta 2025ean zehar erregistro zorrotzetan inbertitu duten argitaratzaileak nabarmen hobeto kokatuta daude baimen-bannera betetze-artefaktu bakartzat hartu dutenak baino. Erregistro-arkitektura ez da garestia behar bezala eraikitzea, eta gaitasunean inbertitu duten CMP hornitzaileek lana are tratagarriagoa egiten dute. Nabarmen garestiagoa dena hutsegite izan den ikerketa baten ondoren datorren konponketa-lana da: konfigurazio-historia ondoren berreraikitzea, erregistroko hutsuneak azaltzea eta eszeptikoa den arautzaile baten aurrean hedapen-froga desegokiak defendatzea. 2026ko diziplina da baimen-erregistroa lehen mailako betetze-artefaktu gisa tratatzea, ez CMPren eragiketa-azpiproduktu gisa. Arautzaileek azpiproduktuaren markoa onartzeari utzi diote, eta goiz egokitu ziren argitaratzaileek 2026ko betearazpen-zikloa nabarmen gogorragoa dela ikusiko dute oraindik aurreratzen ari direnak baino.