A lista de verificación de 15 pasos

1. Instala unha CMP certificada

A túa plataforma de xestión de consentimentos debe estar certificada por Google e rexistrada en IAB Europe. Isto garante o cumprimento tanto con Consent Mode V2 como con TCF 2.3.

2. Audita todas as cookies e rastreadores

Escanea o teu sitio para identificar cada cookie, píxel, SDK e elemento de almacenamento local. Clasifica cada un como estritamente necesario, analítica ou publicidade. Elimina todo o que non poidas xustificar.

3. Configura o teu banner de consentimento

Asegúrate de que os botóns Aceptar/Rexeitar sexan equivalentes, que o idioma sexa claro na lingua nativa do visitante e que non haxa caixas pre-marcadas. O banner debe aparecer antes de que se active calquera rastrexo non esencial.

4. Establece o consentimento predeterminado en denegado

Para os visitantes do EEE, todas as categorías de consentimento non esenciais deben estar denegadas por defecto. Só as cookies estritamente necesarias poden activarse sen consentimento.

5. Publica unha política de privacidade

A túa política de privacidade debe explicar que datos recolles, por que, a base legal, quen os recibe, os períodos de retención e como os usuarios poden exercer os seus dereitos.

6. Publica unha política de cookies

Lista cada cookie, o seu propósito, duración e se é de primeira ou terceira parte. Enlaza isto desde o teu banner de consentimento.

7. Activa Google Consent Mode V2

Configura o modo Advanced para que as etiquetas de Google se activen en modo restrinxido antes do consentimento e logo cambien ao rastrexo completo despois do consentimento.

8. Activa IAB TCF 2.3

Se execucias publicidade programática, a túa CMP debe xerar TC Strings válidos. Verifícao coa ferramenta de validación TCF de IAB.

9. Asina acordos de tratamento de datos

Cada terceiro que recibe datos persoais do teu sitio necesita un DPA. Google, Meta, provedores de analítica, plataformas de correo electrónico — todos eles.

10. Mantén un rexistro das actividades de tratamento

Documenta cada operación de tratamento de datos: que datos, que propósito, que base legal, que destinatarios, que período de retención.

11. Implementa os dereitos dos interesados

Establece procesos para solicitudes de acceso, solicitudes de supresión, portabilidade de datos e obxeccións. Responde nun prazo de 30 días.

12. Configura a retención de datos

Non conserves datos persoais máis tempo do necesario. Establece períodos de retención en Google Analytics, o teu CRM, plataforma de correo electrónico e bases de datos.

13. Protexe os teus datos

HTTPS en todo o sitio, bases de datos cifradas, controis de acceso, auditorías de seguridade regulares. As violacións de datos deben notificarse á túa autoridade supervisora nun prazo de 72 horas.

14. Forma o teu equipo

Todas as persoas que tratan datos persoais necesitan formación en GDPR — marketing, vendas, atención ao cliente, enxeñaría. Documenta a formación.

15. Programa auditorías regulares

Revisa o teu cumprimento trimestralmente. Aparecen novas cookies cando engades ferramentas. As políticas necesitan actualización. As taxas de consentimento necesitan supervisión.

O custo do incumprimento

FlexyConsent cobre os pasos 1–8 automaticamente