Permisos & Consentimiento

Los permisos contextuales, activados por la acción del usuario, logran tasas de opt-in del 70-85%. Los permisos solicitados al primer arranque promedian 40-60%. Las apps que piden ATT inmediatamente al descargar vieron tasas de opt-in colapsar a 13.85% en Q2 2024. Retrasa cada permiso no critico hasta el momento exacto en que el usuario inicia la función que lo requiere.

Una pantalla de "soft-ask" personalizada antes del dialogo del SO aumenta las tasas de opt-in ATT de un 25-35% base hasta ~65% (datos Adjust 2024). El primer debe ser distinto al dialogo del sistema: explica el beneficio específico, muestra una vista previa de lo que el acceso habilita, y ofrece un CTA primario ("Continuar") y una salida secundaria ("Ahora no"). El dialogo del sistema solo se activa después de que el usuario toca Continuar.

CNIL y el Cookie Banner Taskforce del EDPB (2023) requieren explicitamente que ambos botones de acción tengan la misma prominencia visual: mismo tamaño de fuente, mismas dimensiones, misma saturación de color. Un botón "Aceptar" de color primario junto a un enlace "Rechazar" en texto simple constituye un patrón engañoso y ha resultado en multas superiores a €475M en acciones de la UE. La igualdad de prominencia debe ser medible: compara propiedades CSS computadas.

El Considerando 32 del GDPR requiere "un acto afirmativo claro" para constituir consentimiento valido. Desde 2022, los reguladores de la UE han declarado que el scroll, hacer clic en otra parte de la página, o cerrar el banner sin un clic explicito en un botón de acción no cumple con este estandar. Cada cookie no esencial debe permanecer bloqueada hasta que el usuario haga clic explicito en una acción de aceptación, no solo descarte la interfaz.

El Articulo 7(3) del GDPR establece que "retirar el consentimiento debe ser tan fácil como otorgarlo." Si el consentimiento se obtuvo con un solo clic en un banner, revocarlo debe requerir también un solo clic desde la misma superficie, no enterrado en Configuración > Privacidad > Preferencias de Cookies > Avanzado > Analytics. El EDPB y la DPA polaca han sancionado empresas por agregar pasos adicionales o requerir una razón declarada para la retirada.

El modelo de ubicación en dos pasos de Apple (iOS 13+) requiere que las apps primero soliciten acceso "Mientras se usa la app" y luego pidan separadamente "Permitir siempre" solo después de que el usuario haya experimentado el valor de la ubicación en segundo plano. Saltar directamente a "Permitir siempre" sin uso previo de "Mientras se usa" resulta en menores tasas de concesión y riesgo de rechazo en App Store. Las apps que difieren las solicitudes de ubicación precisa hasta después del onboarding ven tasas de concesión hasta 28% más altas.

Presentar multiples dialogos de permiso del SO en secuencia al arranque (una "rafaga de permisos") es senalado explicitamente tanto por Apple HIG como por Android como un antipatron. Los usuarios que encuentran 3 o más solicitudes secuenciales antes de ver la UI principal del app niegan todas las solicitudes subsiguientes a una tasa ~3x mayor. Limita los permisos totales solicitados antes de la primera interacción significativa a 2.

La CCPA (enmendada por CPRA) requiere que las empresas reconozcan una solicitud de Derecho de Eliminación del consumidor dentro de 10 días habiles y la cumplan o denieguen dentro de 45 días calendario. Una extensión única de 45 días adicionales es permitida cuando sea razonablemente necesario, pero el consumidor debe ser notificado dentro de la ventana original de 45 días con el motivo de la extensión. Las empresas deben proporcionar un mínimo de 2 métodos para enviar solicitudes de eliminación.

El Articulo 7 del GDPR y las directrices del EDPB requieren "consentimiento específico": el consentimiento debe obtenerse por separado para cada proposito de procesamiento distinto. Un único toggle "Aceptar Analytics y Marketing" agrupa propositos distintos y es invalido. Los centros de preferencias conformes deben mostrar al menos 4 categorías separadas: Estrictamente Necesarias (siempre activas, sin toggle), Analitica/Rendimiento, Funcionales/Preferencias y Marketing/Publicidad, cada una con su propio toggle independiente.

Las solicitudes de notificación en frio al primer arranque logran tasas de opt-in del 40-60%; los soft-asks contextuales después de la primera acción significativa del usuario logran 70-85% (benchmarks Pushwoosh/MoEngage 2024). El modal in-app previo al permiso debe nombrar el tipo exacto de mensajes que recibira el usuario (no genérico "nos gustaria enviarte notificaciones") y activarse solo después de que el usuario haya experimentado un momento de valor claro. iOS y Android 13+ requieren opt-in explicito; activarlas por defecto no es posible.

Los banners de consentimiento que se retrasan o cargan asincronicamente después de que el contenido de la página ya se renderizo crean riesgo de consentimiento implicito: los tags de analytics pueden dispararse antes de que aparezca el banner. Los banners deben inicializarse antes de que se ejecuten scripts no esenciales. Por separado, los "cookie walls" donde el sitio es completamente inaccesible hasta que el usuario acepta cookies, están explicitamente prohibidos por la ICO del Reino Unido, la CNIL francesa, el EDPB y las DPAs nordicas.

Los reguladores (GDPR Articulo 12, CCPA Sección 1798.100) requieren que los controles de privacidad sean "fácilmente accesibles." NOYB y grupos de defensa de la privacidad definen "fácilmente accesible" operacionalmente como no más de 2 interacciones del usuario desde el punto de entrada de la cuenta autenticada o configuración. Un panel de privacidad debe consolidar: estados de consentimiento activos, solicitud de descarga de datos, solicitud de eliminación de datos, y aplicaciones de terceros conectadas, en una sola pantalla.