¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
BlokID es una solución de identidad y consentimiento publicitario orientada a la privacidad, presentada como segura para inventarios dirigidos a menores. Combina resolución de identidad determinista y probabilística con señales IAB TCF 2.2 y controles compatibles con COPPA, lo que permite a editores y anunciantes ejecutar campañas direccionables o contextuales cumpliendo con el RGPD, la directiva ePrivacy y las normas estadounidenses de protección de menores. La integración habitual es del lado del servidor o mediante un wrapper prebid.js, por lo que el servicio procesa direcciones IP, correos electrónicos hash y cadenas de consentimiento por cuenta del editor.
BlokID es una capa de identidad y consentimiento diseñada para la cadena programática de publicidad. En el lado del editor, el servicio resuelve a un visitante en un identificador hash estable (preferentemente a partir del correo electrónico de un usuario autenticado, o bien mediante una señal probabilística que combina IP, user agent y cookies first party). En el lado del anunciante, el identificador se expone a través de prebid.js, adaptadores de header bidding del lado del servidor y algunas integraciones DSP, junto con la cadena de consentimiento IAB TCF 2.2. El proveedor lo posiciona como compatible con inventarios infantiles y adolescentes gracias a un modo degradado que limita el identificador a un token estrictamente contextual cuando el contenido se dirige a menores.
Desde la óptica de protección de datos, el editor es responsable de tratamiento, BlokID actúa como encargado conforme al art. 28 del RGPD, y los DSP descendentes son responsables independientes o corresponsables según contrato. La sentencia TJUE IAB Europe (C 604/22, marzo de 2024) confirma que la cadena TCF es dato personal, por lo que cada eslabón requiere una base jurídica válida.
Un despliegue típico escribe una cookie first party en el dominio del editor (habitualmente bk_id o bkuid) con el identificador hash, una cookie TCF que refleja la cadena euconsent v2 y una cookie de sincronización de corta duración para emparejar el identificador BlokID con los de los socios. En modo cookieless el identificador se almacena en localStorage, pero las categorías de datos son equivalentes. El art. 5.3 de la directiva ePrivacy, traspuesto en España por el art. 22.2 LSSI, exige consentimiento previo en todos los casos, con independencia del carácter personal del dato, dado que el detonante es el acceso al equipo terminal.
La única base jurídica viable para BlokID en un sitio o app dirigido al público general es el consentimiento (art. 6.1 a del RGPD), recabado por una CMP compatible con IAB TCF 2.2. El interés legítimo queda descartado para publicidad personalizada según las directrices del CEPD y la decisión de la APD belga sobre IAB Europe. Si el usuario es menor de la edad de consentimiento digital (14 años en España conforme al art. 7 LOPDGDD, 16 en Alemania y Países Bajos, 15 en Francia, 13 en Reino Unido y bajo COPPA en EE. UU.), debe obtenerse el consentimiento verificable de quien ostente la patria potestad o tutela conforme al art. 8 del RGPD.
Rechazar debe ser tan sencillo como aceptar (guía AEPD sobre uso de cookies de 2023; directrices CEPD 03/2022 sobre patrones oscuros) y el consentimiento debe ser granular por finalidad. BlokID no recaba consentimiento por sí mismo, sino que consume la señal generada por la CMP del editor.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
BlokID opera regiones UE (Irlanda) y EE. UU. (Virginia). Cuando el editor activa el endpoint estadounidense, el identificador hash, la IP y la cadena de consentimiento salen del EEE. La transferencia se cubre con la decisión de adecuación del Data Privacy Framework UE EE. UU. de 10 de julio de 2023 para la entidad estadounidense certificada, complementada con las CCT módulo 2 y una evaluación de impacto de la transferencia para cualquier subtratamiento ulterior. El editor debe conservar prueba de la certificación DPF activa (consultable en dataprivacyframework.gov) y actualizar la TIA al menos anualmente, dado el contencioso pendiente contra el DPF.
Firmar el contrato de encargo con BlokID y su anexo TCF; listar BlokID y a todos los proveedores en la política de privacidad; realizar una EIPD conforme al art. 35; configurar la CMP para bloquear BlokID antes del consentimiento y honrar Global Privacy Control y las señales opt out de CPRA; verificar que la etiqueta BlokID nunca se dispara en páginas dirigidas a menores sin consentimiento parental verificable; documentar los plazos de conservación (90 días para el identificador, 13 meses para los registros TCF según la recomendación de la CNIL); probar de extremo a extremo la retirada del consentimiento, incluida la supresión en el grafo de identidad BlokID en un plazo de 30 días conforme al art. 17 RGPD.
Si BlokID no puede desplegarse de manera conforme, el editor puede recurrir a soluciones estrictamente contextuales (Seedtag, Weborama Contextual, GumGum Verity), explotar un grafo de identidad first party limitado a usuarios autenticados con consentimiento, o activar audiencias mediante clean rooms manteniendo los identificadores brutos en el lado editor. Al dar de baja BlokID, debe exigirse al encargado una confirmación escrita de la supresión de identificadores y registros de consentimiento, y retirar el vendor id de BlokID de la GVL del CMP en el siguiente ciclo de publicación.
Websites using BlokID must obtain user consent under GDPR regulations.
DPIA considerations
Se recomienda firmemente realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al art. 35 del RGPD antes de desplegar BlokID. La combinación de resolución de identidad a gran escala, publicidad comportamental y posicionamiento explícito hacia inventarios infantiles activa los criterios 1 (evaluación/scoring), 3 (vigilancia sistemática), 4 (datos sensibles o altamente personales, incluidos los de menores), 7 (sujetos vulnerables) y 8 (uso innovador de tecnología) de las directrices del CEPD. La EIPD debe describir el grafo de identidad y el flujo de señales TCF, evaluar el riesgo de reidentificación de los identificadores hash, justificar el uso del EU US Data Privacy Framework y definir los flujos de consentimiento parental, conservación y supresión. Cuando el editor se dirija a menores, la EIPD debe referenciar la guía de la AEPD sobre menores en internet, la Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia, así como el Code AADC británico. La consulta previa a la autoridad bajo el art. 36 puede ser necesaria si subsiste un riesgo residual elevado.
Sample consent text
Utilizamos BlokID, un servicio de identidad y consentimiento publicitario, para reconocer su dispositivo, compartir un identificador hash con nuestros socios publicitarios y personalizar los anuncios mostrados en este sitio. BlokID también transmite sus preferencias IAB TCF 2.2 a dichos socios. Si es menor de la edad de consentimiento digital (14 años en España según la LOPDGDD, 13 años en Estados Unidos bajo COPPA), BlokID solo se activará con la autorización verificable de la persona titular de la patria potestad. Sus datos, incluido un correo electrónico hash si está conectado y su dirección IP, pueden ser tratados en la Unión Europea y en Estados Unidos sobre la base de las Cláusulas Contractuales Tipo y del Data Privacy Framework. Puede aceptar, rechazar o retirar su consentimiento en cualquier momento desde nuestro panel de preferencias de cookies.
Third-party domains contacted
blokid.comcdn.blokid.comid.blokid.comsync.blokid.comeu.blokid.comus.blokid.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| bk_id | http_cookie | 90 days | First party cookie set on the publisher domain. Stores the hashed BlokID identifier used to recognise the visitor across sessions and to expose the id to prebid.js bidders and downstream DSPs. |
| bkuid | http_cookie | 90 days | Alternative first party identifier name used by some publisher integrations. Same purpose as bk_id, kept for backward compatibility with older prebid wrappers. |
| bk_consent | http_cookie | 13 months | First party cookie that mirrors the IAB TCF 2.2 euconsent v2 string so BlokID can verify on each request that the user has granted purposes 1, 3, 4 and 7. |
| bk_sync | http_cookie | 24 hours | Third party cookie set on blokid.com during cookie sync operations. Used to pair the BlokID identifier with partner SSP and DSP identifiers. |
| bk_optout | http_cookie | 5 years | Opt out cookie set on blokid.com when the user refuses or withdraws consent. Prevents the BlokID tag from setting any other identifier on subsequent visits. |
| bk_id_ls | local_storage | 90 days | localStorage key written when the publisher activates the cookieless mode. Stores the same hashed identifier as bk_id and is governed by the same consent requirement under ePrivacy art. 5(3). |
| bk_child_flag | http_cookie | 30 days | Internal flag indicating that the current page or audience has been declared child directed. Forces BlokID into contextual only mode and disables identity resolution. |
| bk_session | http_cookie | session | Short lived session cookie used for request signing and replay protection on the BlokID identity API. Expires when the browser tab is closed. |
BlokID instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.
Un despliegue estándar escribe una cookie first party en el dominio del editor, habitualmente bk_id o bkuid, con un identificador hash con una duración de hasta 90 días. Una segunda cookie first party refleja la cadena de consentimiento IAB TCF 2.2 (euconsent v2). Cuando se activa la sincronización de cookies, BlokID coloca brevemente una cookie de terceros en el dominio blokid.com (a menudo bk_sync) para emparejar identificadores con socios. En modo cookieless, el identificador se traslada a localStorage. El art. 5.3 de la directiva ePrivacy, traspuesto en España por el art. 22.2 LSSI, exige consentimiento previo en todas estas operaciones, también para localStorage.
Sí. BlokID trata identificadores para personalización publicitaria, lo que conforme al art. 6.1 a del RGPD y a las directrices del CEPD así como a la decisión de la APD belga sobre IAB Europe solo puede ampararse en el consentimiento. La etiqueta debe permanecer bloqueada por la CMP hasta que el usuario otorgue un opt in libre, específico, informado e inequívoco, y rechazar ha de ser tan sencillo como aceptar (guía AEPD sobre cookies de 2023 y directrices CEPD 03/2022). El consentimiento debe renovarse cada 13 meses o cuando cambien sustancialmente las finalidades o la lista de proveedores.
El consentimiento del art. 6.1 a del RGPD es la única base viable para personalización publicitaria basada en identidad. Si el usuario es menor de la edad de consentimiento digital (14 años en España conforme al art. 7 LOPDGDD, 16 en Alemania y Países Bajos, 15 en Francia, 13 en Reino Unido), debe recabarse el consentimiento verificable de quien ejerza la patria potestad o tutela conforme al art. 8 del RGPD. Para menores de 13 años en EE. UU. se aplica COPPA, y el editor debe usar un método admitido por la FTC (formulario firmado, tarjeta de crédito, autenticación basada en conocimiento, verificación por vídeo). El modo child directed de BlokID desactiva la resolución de identidad y mantiene solo señales contextuales, pero no sustituye al consentimiento parental cuando se pretende publicidad comportamental.
Sí cuando el editor integra el endpoint estadounidense. Los identificadores hash, las direcciones IP y la cadena TCF se transfieren a la infraestructura de BlokID en Estados Unidos (región Virginia). La transferencia se basa en la decisión de adecuación del Data Privacy Framework UE EE. UU. de 10 de julio de 2023 para la entidad estadounidense certificada, complementada con las CCT módulo 2 y una evaluación de impacto de la transferencia para todo subencargado. La certificación debe verificarse en dataprivacyframework.gov y la TIA actualizarse anualmente. Los editores que operan solo con tráfico europeo deben fijar la integración en el endpoint UE y documentarlo en el registro de actividades de tratamiento.
En la mayoría de casos sí. BlokID activa al menos cinco de los nueve criterios del CEPD que obligan a realizar una EIPD: evaluación/scoring, vigilancia sistemática, datos sensibles o altamente personales (menores), interesados vulnerables y tecnología innovadora. La lista de la AEPD de tratamientos sujetos a EIPD incluye expresamente la elaboración de perfiles con fines publicitarios. La EIPD debe abordar el grafo de identidad, el flujo TCF, los plazos de conservación, la retirada, la supresión, la verificación del consentimiento parental y la transferencia UE EE. UU. Si subsiste un riesgo residual elevado, debe consultarse previamente a la AEPD conforme al art. 36 del RGPD antes de la puesta en producción.
Existen tres patrones habituales. Primero, un wrapper prebid.js del lado del cliente carga el módulo userId de BlokID, que lee o escribe la cookie bk_id y expone el identificador a los bidders. Segundo, una integración server to server invoca la API de identidad de BlokID desde el edge del editor, lo que mejora el rendimiento y mantiene el identificador fuera del navegador. Tercero, una plantilla del tag manager dispara el pixel de BlokID solo cuando la CMP concede las finalidades TCF 1, 3, 4 y 7. En los tres casos, el editor debe cablear el gating del consentimiento en el tag manager o en el módulo consentManagement de prebid para evitar cualquier llamada de red antes del opt in.
Para inventarios infantiles, las soluciones estrictamente contextuales son la opción más segura (Seedtag, Weborama Contextual, GumGum Verity, Illuma). Para audiencias autenticadas, un grafo de identidad first party activado mediante clean room (LiveRamp ATS, InfoSum, Habu) mantiene los identificadores brutos en el lado editor. En el mercado estadounidense puede considerarse Universal ID 2.0 con flujos de opt in estrictos. Ninguna de estas alternativas exime de disponer de una CMP ni de una EIPD, pero reducen la transferencia transfronteriza y la exposición de menores que definen el perfil de riesgo de BlokID.
Mencionar a BlokID nominalmente en la sección de cookies, describir bk_id, bk_sync y la cookie TCF con sus duraciones (90 días para bk_id, sesión para bk_sync, 13 meses para el registro de consentimiento TCF) y remitir a las finalidades IAB TCF 2.2 números 1, 3, 4 y 7. Actualizar la tabla de destinatarios para incluir la entidad estadounidense de BlokID y añadir el enlace al EU US Data Privacy Framework. En la CMP, registrar el vendor id de BlokID en la Global Vendor List, activar el proveedor solo tras opt in explícito y enlazar la política de privacidad de BlokID. Republicar la política de cookies con fecha de versión para que conste el historial de cambios exigido por las directrices del CEPD sobre transparencia.