POLÍTICA DE COOKIES — InboMarket
Última actualización: [FECHA_LAUNCH] Versión: 1.0
Esta Política explica qué son las cookies, cuáles usamos, con qué finalidad, y cómo puede gestionarlas. Complementa la PRIVACY_POLICY_v1.md.
1. ¿Qué son las cookies?
Las cookies son pequeños archivos de texto que se almacenan en su dispositivo cuando visita un sitio web. Permiten que el sitio recuerde sus preferencias, mantenga su sesión y mida el uso.
Tecnologías similares que también usamos y que esta política cubre: localStorage, sessionStorage, IndexedDB, píxeles de seguimiento (tracking pixels), web beacons, fingerprinting técnico mínimo.
2. Tipos de cookies que usamos
2.1 Cookies Estrictamente Necesarias (siempre activas)
No requieren consentimiento (interés legítimo / Art. 6.1.f GDPR + Art. 5.3 ePrivacy excepción técnica).
| Cookie | Finalidad | Duración | Origen |
|---|---|---|---|
inbomarket_session | Sesión autenticada | Sesión | Propia |
csrf_token | Protección CSRF | Sesión | Propia |
tenant_workspace | Aislamiento multi-tenant | Sesión | Propia |
consent_choices | Almacenar sus preferencias de consentimiento | 12 meses | Propia |
cf_clearance | Protección Cloudflare anti-bot | 30 min | Cloudflare |
lang_preference | Idioma seleccionado | 12 meses | Propia |
2.2 Cookies Funcionales (requieren consentimiento)
Mejoran la experiencia pero NO son estrictamente necesarias.
| Cookie | Finalidad | Duración | Origen |
|---|---|---|---|
ui_theme | Tema claro/oscuro | 12 meses | Propia |
recent_searches | Búsquedas recientes Buyer | 30 días | Propia |
last_viewed_listings | Carrusel "visto recientemente" | 30 días | Propia |
favorites_anonymous | Favoritos sin cuenta | 90 días | Propia |
chatbot_session | Estado conversación asistente IA | Sesión | Propia |
2.3 Cookies Analíticas (requieren consentimiento)
Medición de uso del sitio. Sin consentimiento → no se cargan.
| Cookie | Proveedor | Finalidad | Duración |
|---|---|---|---|
_ga, _ga_* | Google Analytics 4 | Identificación visitante (con anonymizeIP) | 13 meses |
_gid | Google Analytics 4 | Distinción usuarios | 24h |
plausible_* | Plausible Analytics | Analítica privacy-friendly (alternativa) | Sesión |
hotjar_* | Hotjar (V1.1+) | Heatmaps + grabaciones anonimizadas | 12 meses |
Notas analítica:
- Google Analytics 4 configurado con IP anonimizada + Google Signals OFF
- Datos retenidos máx 14 meses
- No se usa para perfilado publicitario
2.4 Cookies de Marketing / Publicidad (requieren consentimiento)
Sin consentimiento → no se cargan.
| Cookie | Proveedor | Finalidad | Duración |
|---|---|---|---|
_fbp | Meta (Facebook) Pixel | Retargeting Meta | 90 días |
_gcl_au | Google Ads | Conversión campañas Google | 90 días |
linkedin_* | LinkedIn Insight Tag | Retargeting LinkedIn (B2B Tenants) | 90 días |
InboMarket NO usa:
- Identificadores únicos cross-device sin consentimiento
- Fingerprinting agresivo
- Cookies de "dark patterns" (banners engañosos)
- Cookies de terceros sin contrato
3. Gestión del Consentimiento (Banner)
3.1 Primera visita: banner aparece con 3 opciones equiprobables visualmente:
- ✅ Aceptar todas
- ⚙️ Personalizar (granular por categoría)
- ❌ Rechazar todas (las no necesarias)
3.2 Granularidad: el usuario puede aceptar Analíticas pero rechazar Marketing, etc.
3.3 Cambio de preferencias: link "Cookies" siempre visible en footer.
3.4 Re-prompt: cada 12 meses (CNIL standard) o ante cambios materiales.
3.5 Default: hasta consentimiento explícito → solo cookies necesarias activas. Pre-marcado prohibido (Art. 6 ePrivacy / CJUE Planet49).
3.6 Botón "Rechazar todas" tan visible como "Aceptar todas" (CNIL Sanction Google).
4. Tabla resumen por categoría
| Categoría | ¿Consentimiento? | ¿Bloquea uso del sitio si rechaza? |
|---|---|---|
| Necesarias | NO | N/A — siempre activas |
| Funcionales | SÍ | NO — degrada algunas conveniencias |
| Analíticas | SÍ | NO — solo perdemos visibilidad agregada |
| Marketing | SÍ | NO — ve menos publicidad relevante |
5. Subprocesadores y transferencias internacionales
| Proveedor | País | Salvaguarda |
|---|---|---|
| Google (GA4, Ads) | USA | DPA + SCCs |
| Meta (Pixel) | USA | DPA + SCCs |
| USA | DPA + SCCs | |
| Cloudflare | USA + Global | DPA + SCCs |
| Plausible | UE (Alemania) | GDPR nativo |
| Hotjar | UE (Malta) | GDPR nativo |
Lista actualizada en inbomarket.com/legal/subprocesadores.
6. Cómo gestionar cookies en su navegador
| Navegador | Instrucciones |
|---|---|
| Chrome | Configuración → Privacidad y Seguridad → Cookies |
| Firefox | Opciones → Privacidad y Seguridad |
| Safari | Preferencias → Privacidad |
| Edge | Configuración → Cookies y permisos del sitio |
| Brave / Arc / Vivaldi | Configuración → Escudos / Privacidad |
Recordatorio: bloquear todas las cookies desde el navegador puede impedir uso de la Plataforma (sesión, autenticación).
7. Do Not Track y Global Privacy Control (GPC)
7.1 Reconocemos la señal Global Privacy Control (GPC) como solicitud válida de opt-out bajo CCPA/CPRA.
7.2 La señal Do Not Track (DNT) no tiene estándar legal vinculante actualmente; sin embargo, si está activada, no cargamos cookies de marketing salvo consentimiento explícito posterior.
8. Niños
No mostramos cookies de marketing si detectamos navegación desde perfil de menor (auto-declaración o señal técnica). En general, el servicio no está dirigido a menores.
9. Cambios a esta Política
9.1 Actualizaciones en inbomarket.com/legal/cookies con número de versión y fecha.
9.2 Cambios materiales: re-prompt del banner con resumen de cambios.
10. Contacto
- Privacidad: privacidad@inbomarket.com
- DPO: dpo@inbomarket.com
- Cookies específicas: cookies@inbomarket.com
⚠️ Avisos para implementación técnica
Implementación banner (responsabilidad TINA + frontend):
- Banner con 3 botones equiprobables (NO botón rechazo escondido)
- Hasta consentimiento: NO cargar GA4, NO cargar Meta Pixel, NO cargar LinkedIn
- Almacenar consentimiento en
consent_choicescon timestamp + versión política- Re-prompt cada 12 meses o cambio material
- Honor signal GPC (HTTP header
Sec-GPC: 1)- Provider sugerido: implementación propia (privacy-first) o Cookiebot/OneTrust como fallback empresarial
- Tabla cookies actualizable sin re-deploy (config en BD)
Pendientes legales:
- Confirmar proveedor analítica (GA4 vs Plausible — Plausible más privacy-friendly)
- Si decide Hotjar V1.1: revisar grabaciones con masking de PII
- Validar lista exhaustiva contra implementación real pre-launch
- Versión inglés para mercado USA