Utilizar Facebook Pixel de manera legal: Guía

El pixel de Facebook es el instrumento de remarketing más popular y al mismo tiempo altamente sensible desde la perspectiva del derecho a la protección de datos. El artículo muestra cómo utilizar el pixel de Facebook de manera relativamente legal.

Pixel de Facebook y protección de datos

Conocidamente la empresa Facebook (EE.UU.) recopila mucha información de sus usuarios. La plataforma es gratuita en sí misma, el usuario paga con sus datos. Lo que ya era más o menos problemático en el pasado, para ser amable, es desde el 25 de mayo de 2018 con la Regulación General de Protección de Datos altamente explosivo.

El núcleo de la propuesta de solución es una posibilidad de optar por no utilizar el pixel de Facebook, que en combinación con otras medidas ayuda a cumplir lo mejor posible con la normativa de protección de datos. Sin embargo, nadie sabe exactamente qué datos procesa Facebook o Meta para qué fines. Por lo menos hay un fallo sobre el plugin de Facebook (sentencia del Tribunal de Justicia de la Unión Europea del 29.07.2019 – C-40/17 – "Fashion ID"), según el cual existe una responsabilidad compartida. En caso de problemas, tanto el propietario de la página web que incorpora el pixel de FB como Meta están en la misma barca. Sin embargo, se debe suponer que Meta no participará.

Requisitos

Para herramientas de análisis en sitios web deben cumplirse una serie de requisitos para tener una oportunidad de seguridad jurídica. Entre ellos se incluyen:

• Solicitud de consentimiento: El píxel solo puede cargarse después de que el usuario (=visitante del sitio web) haya dado su consentimiento. Esto se deriva, entre otras cosas, del artículo 25 de la TTDSG, del artículo 49 del GDPR, de la sentencia Schrems II del TJCE (sentencia de 16.07.2020 – C-311/18) y del artículo 5, apartado 1, letra c) del GDPR («minimización de datos»).
• Texto ordenado para la política de privacidad: mención de la componente, su propósito, la empresa que la proporciona (dirección), el enlace a la política de privacidad de la empresa hacia la componente, los datos personales recopilados, otros indicadores (como conexión con cuenta de Facebook si el usuario está actualmente conectado)
• Posibilidad de optar por no recopilar datos personales mediante el herramienta de análisis (Darse de baja)
• anonimización de direcciones IP (véase Google Analytics, por ejemplo)
• Minimización de los datos a recopilar hasta un nivel justificable (no sé por qué alguien necesita saber con precisión la edad de sus visitantes web, nadie tiene ese derecho ad hoc)
• Contrato de procesamiento de encargos con el proveedor del herramienta de análisis
• Garantía de que el proveedor del herramienta de análisis se ajuste a las disposiciones de protección de datos vigentes en este país

Quien cree que esto es posible con el pixel de Facebook puede seguir adelante. Algunos puntos no afectan necesariamente a este pixel, ya que no se debe considerar necesariamente como herramienta de análisis.

Preguntar permiso

Paso 1: No cargar píxeles

En ningún caso jugar con el código del pixel de FB y esperar a que una herramienta de consentimiento lo suprima efectivamente hasta que el usuario haya dado su consentimiento. Ver mi investigación sobre herramientas de cookies.

En su lugar, utilice una de las siguientes dos opciones:

1. Cargar código para el pixel de Facebook después de que el usuario haya dado su consentimiento.
2. Ejecutar el código en modo inactivo y activarlo solo después de que el usuario haya dado su consentimiento.

La primera posibilidad puede ser realizada, por ejemplo, con mi herramienta de consentimiento gratuito.

Posibilidad dos utiliza la directiva ya bastante extendida data-src (en lugar de src) en instrucciones de Script. El código para el pixel de FB vería entonces así:

<script data-src="/script/zum/pixel-code"></script>

La condición es que el código para cargar el pixel de Facebook esté en un archivo script. Quien busque sugerencias técnicas para ello, encontrará algunas en mi artículo sobre la herramienta de consentimiento a la que se refiere el enlace. Quizás también sea útil este ejemplo de código.

Instrucción 2: Información sobre protección de datos en la solicitud de consentimiento

En mi lista de comprobación para solicitudes de consentimiento, encontrará las indicaciones que se deben hacer en el a menudo denominado "popup de cookies" llamado popup de consentimiento. Estas son especialmente:

• Nombre del servicio, aquí: Pixel de Facebook (o.a., según el tipo de servicio de FB cargado)
• Descripción breve de la finalidad
• Proporcionar proveedor: Meta con indicación de país (la dirección completa también o al menos en la política de privacidad)
• Señalar que Riesgo según Artículo 44 RGPD debido al traspaso de datos a los EE.UU. existen
• Todos los cookies tienen un nombre. Por cookie
  • Name
  • Descripción del propósito
  • Duración de la vida

Asegúrense de que la opción de aceptación en el "popup de cookies" no se destaque visualmente frente a la opción de rechazo. Rechazar debe ser tan fácil como aceptar.

Opción de exclusión (Opt-Out)

El pixel de Facebook no ofrece la opción de desactivación por defecto. Te propongo la siguiente solución:

Insertar código de JavaScript

Añada el siguiente código en cada página de su sitio web, ajuste la ID de Facebook en el código a ella misma. El código puede insertarse en el área BODY, por ejemplo, al principio:

<!-- Facebook Pixel privacy protection (C) dr-dsgvo.de -->
<script>
var fpProperty = 'mde-service';
var fpdisableStr = 'fp-disable-' + fpProperty;
// Opt-out function
function fpOptout() {
document.cookie = fpdisableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window\[fpdisableStr\] = true;
alert("The Facebook Pixel is deactivated and will no longer be loaded. Please refresh the page");
}
function activatePixelMDE() {
document.cookie = fpdisableStr+'=true; Max-Age=-99999999;path=/';
window\[fpdisableStr\] = false;
alert("Facebook Pixel will be activated at next page load");
window.location=window.location;//Reload of page
}
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
// FB-Pixel is deactivated by user, do nothing
console.log(atob("RmFjZWJvb2sgUGl4ZWwgaXN0IGRlYWt0aXZpZXJ0LiBEYXRlbnNjaHV0ei1NZWNoYW5pc211cyB2b24gaHR0cDovL3d3dy5tZWluZS1kYXRlbnNjaHV0emVya2xhZXJ1bmcuZGU="));
}else {
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f.\_fbq)f.\_fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=\[\];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)\[0\];
s.parentNode.insertBefore(t,s)}(window, document,'script',
'https://connect.facebook.net/en\_US/fbevents.js');
fbq('init', '2051522461760028');//Put your ID in here
fbq('track', 'PageView');
console.log(atob("RGF0ZW5zY2h1dHotTWVjaGFuaXNtdXMgdm9uIGh0dHA6Ly93d3cubWVpbmUtZGF0ZW5zY2h1dHplcmtsYWVydW5nLmRl"));
}
</script>

Verifique que la recarga de la página funcione después de realizar un reembolso.

Paso 2: Complemente su política de privacidad

Sus usuarios deben tener la opción de optar por no participar en el pixel de Facebook. Esto puede lograrse mediante código JavaScript. Copie el siguiente código allí en su política de privacidad, donde el usuario deberá tener la opción de desactivar el pixel de Facebook.

<script>
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
document.write('<div class="text-center" style="margin-top:24px"><a onclick="activatePixelMDE()">Activate FB Pixel</a></div>');
}else {
document.write('<div class="text-center" style="margin-top:24px;margin-bottom:96px"><a onclick="fpOptout()">Deactivate the pixel</a></div>');
}
</script>

Mejor copian este código al final del texto de privacidad para el pixel de Facebook.

Comprobación ampliada

Facebook ofrece la posibilidad de realizar un intercambio de datos ampliado. Esta opción debe desactivarse con urgencia para evitar problemas legales relacionados con protección de datos. Si aún así deseas utilizar el intercambio ampliado, debes obtener explícitamente la autorización de tus usuarios antes de implementar el pixel. Cómo lograr esto te corresponde a ti mismo – según mi conocimiento no existen soluciones adecuadas comprobadas.

Avisos legales

Este artículo no es un asesoramiento jurídico. Si quieres estar completamente seguro, se recomienda lo siguiente, aunque no es muy práctico:

1. Pregunte a su usuario para obtener su consentimiento para el pixel de Facebook y la recopilación de datos asociada
2. Primero después de la aprobación, cargue el código del pixel de Facebook
3. Revoca el usuario su consentimiento, por ejemplo, a través de un mecanismo de opt-out como se ha presentado anteriormente, impida nuevamente la carga del código de Facebook

La solicitud de la aprobación mencionada en el punto 1 puede combinarse con un popup de cookie para solicitar permiso para usar cookies. Puede sonar complicado y no amigable para los usuarios, pero lo es. La regulación general de protección de datos se ocupa del secreto y no de la amabilidad para los usuarios o la proximidad a la práctica. ¡Disfruta!

Verificación de protección de datos para sitios web

Un texto de protección de datos amplio sobre el Pixel de Facebook, así como apoyo para muchos herramientas de análisis, scripts y componentes ofrece el Check de Protección de Datos. Lo que ningún ser humano puede lograr, lo hace mi software: una análisis automatizado de la protección de datos de un sitio web con propuestas de solución para los problemas encontrados.