Documentación · Privacidad, seguridad y cumplimiento

Notas sobre revDSG

Este documento resume cómo las características del plugin ADP Car Market Hub se relacionan con la Ley Federal Suiza de Protección de Datos revisada (revDSG / nFADP), que se aplica a muchos sitios web de concesionarios de vehículos operados en Suiza o dirigidos a ella. Complementa las Notas sobre GDPR / DSGVO, que cubren el marco de la UE/EEE.

Este documento no es un asesoramiento legal y no garantiza el cumplimiento. La evaluación legal final depende de la configuración del sitio, las características configuradas, la implementación del consentimiento o la transparencia y sus obligaciones específicas bajo la ley suiza. Los operadores del sitio deben revisar su situación con su propio asesor legal.

Cuándo utilizar este documento

Utilice este documento cuando necesite:

Operar un sitio de concesionario de vehículos en Suiza (configuración típica con un dominio .ch y CHF como moneda predeterminada).
Preparar un aviso de privacidad enfocado en Suiza para consultas, alertas de búsqueda y analíticas integradas.
Documentar las actividades de procesamiento de datos para una audiencia suiza.
Confirmar que los controles de privacidad del plugin están alineados con sus directrices internas de protección de datos en Suiza.

Descripción general

Las características del plugin relevantes para la privacidad son las mismas independientemente de la jurisdicción (consulte la Descripción general del almacenamiento de datos y las Notas sobre GDPR / DSGVO). Las diferencias para un sitio suizo se refieren principalmente a:

Denominación y etiquetado: el aviso de administración de analíticas del plugin puede mostrar una etiqueta revDSG suiza.
La base legal para el procesamiento: bajo la revDSG, la divulgación transparente junto con un propósito legítimo suele ser suficiente, pero casos específicos pueden requerir un consentimiento explícito.
La forma en que se estructura el aviso de privacidad (responsable del tratamiento, propósitos, destinatarios, transferencias al extranjero).

El plugin puede detectar una configuración suiza automáticamente y mostrar la etiqueta revDSG en consecuencia.

Cómo detecta el plugin una configuración suiza / revDSG

El módulo de analíticas del plugin incluye un detector de jurisdicción con el siguiente orden de resolución:

La anulación manual almacenada en la opción as24ci_analytics_privacy_jurisdiction, cuando no es auto.
El TLD de la URL base de la API de AutoScout24 configurada. Los hosts que terminan en .ch (o .autoscout24.ch) se resuelven como revdsg.
La moneda predeterminada. CHF se resuelve como revdsg.
De lo contrario, el valor recurre a otras jurisdicciones (gdpr, dsgvo, uk_gdpr) o a generic.

Los operadores siempre pueden forzar el valor estableciendo la opción **Privacy jurisdiction** en revdsg en los ajustes de analíticas. El ajuste es informativo; controla la etiqueta del marco que se muestra en el aviso de administración y no cambia qué datos se recopilan.

Cómo se mapean los temas de revDSG con las características del plugin

El mapeo a continuación describe cómo se relaciona el comportamiento del plugin con los temas comunes de la revDSG. Es informativo y no reemplaza una evaluación específica del proyecto.

Deber de información (transparencia)

El formulario de contacto admite una etiqueta de consentimiento configurable y una Privacy page URL, que puede enlazar al aviso de privacidad suizo del sitio.
El correo electrónico de confirmación de suscripción a la alerta de búsqueda y el correo electrónico de notificación contienen enlaces que el suscriptor puede usar (confirmar, cancelar suscripción).
El aviso de administración de analíticas del plugin muestra una etiqueta revDSG cuando se detecta una configuración suiza.

Limitación de la finalidad y proporcionalidad

Los datos de la consulta se recopilan con el propósito de responder a una consulta sobre un vehículo o a una solicitud de prueba de conducción.
Los datos de las alertas de búsqueda se recopilan con el propósito de enviar correos electrónicos de notificación sobre vehículos coincidentes recién importados.
Los eventos de analíticas, cuando están habilitados, son registros de eventos agregados utilizados para las analíticas internas del sitio.

Minimización de datos

Los campos opcionales del formulario de contacto (Teléfono, Mensaje) se pueden ocultar para que solo se requieran el Nombre y el Correo electrónico.
La dirección IP del remitente no se almacena con los leads. Se utiliza un hash SHA-256 con sal de la IP únicamente para la limitación de tasa de corta duración a través de un transitorio de WordPress (5 envíos por IP cada 5 minutos).
La tabla de analíticas almacena solo el tipo de evento, la carga útil minimizada opcional, el ID del vehículo y la marca de tiempo. No se almacenan direcciones IP, identificadores de usuario ni cookies en el servidor.
La opción Filter data minimization elimina las claves de búsqueda de texto libre (s, search, q) de la carga útil de búsqueda de filtros de analíticas.
Los criterios de las alertas de búsqueda están restringidos a una lista fija de claves permitidas.

Seguridad del procesamiento

Las acciones de administración están protegidas por la capacidad manage_as24_imports del plugin y nonces de WordPress.
El formulario de contacto requiere un nonce e incluye un campo honeypot oculto.
El registrador enmascara los fragmentos de token=…, client_secret=… y Authorization: Bearer … antes de escribir.
Consulte las Recomendaciones de seguridad para conocer los pasos de endurecimiento recomendados.

Transferencias transfronterizas de datos

El plugin se conecta a la API de AutoScout24 Hub para importar datos de vehículos. Los datos que fluyen a esa API son datos operativos del concesionario (credenciales, referencias de anuncios), no datos personales de los visitantes del sitio web.
El correo electrónico se envía a través de wp_mail. La ruta de entrega real depende del transporte de correo del sitio (por ejemplo, un servicio SMTP o un proveedor de hosting). Si ese transporte se encuentra fuera de Suiza, la transferencia asociada debe ser evaluada en su aviso de privacidad.
La función opcional de AI Assistant, cuando está habilitada, envía prompts al endpoint gestionado de Google Gemini configurado en ADP Car Market Hub. No se requiere selección de proveedor, selección de modelo ni introducción de clave API en el backend de WordPress; el aprovisionamiento de IA específico del cliente es completado por AD Promotion después de la instalación. El endpoint de Gemini suele estar alojado fuera de Suiza, por lo que la transferencia asociada debe ser evaluada en su aviso de privacidad. Desactive la función si no desea tales transferencias. Revise el procesamiento de datos aplicable y los términos contractuales para la configuración de IA gestionada antes de habilitar las funciones de IA en producción.

Derechos de los interesados

La pestaña de administración Leads del plugin admite la búsqueda, el filtrado por estado, la exportación a CSV y la eliminación de leads individuales.
La pestaña de administración Search Alerts del plugin admite la edición, el cambio de estado (active, inactive, paused) y la eliminación de suscripciones.
El plugin no registra un gancho de exportación o eliminación de datos personales de WordPress; las solicitudes de derechos se gestionan manualmente con las herramientas anteriores. Verifique este comportamiento en la versión actual del plugin antes de publicar documentación de procesos que dependa de él.

Registros de procesamiento

Consulte la Descripción general del almacenamiento de datos para obtener un inventario de las categorías de datos almacenados que pueden alimentar los registros internos del concesionario.

Referencia de configuración

Los ajustes más relevantes para una configuración suiza son:

Ajuste	Valor	Efecto
Privacy jurisdiction	`revdsg` (o `auto` con una configuración suiza)	Muestra la etiqueta revDSG en el aviso de administración de analíticas.
Consent checkbox enabled	Activado / Desactivado	Muestra u oculta la casilla de verificación de consentimiento en el formulario de consulta.
Consent checkbox label	Texto libre	Etiqueta escrita por el operador, idealmente haciendo referencia al aviso de privacidad suizo.
Privacy page URL	URL	Enlace al aviso de privacidad suizo.
Analytics enabled	Activado / Desactivado	Interruptor principal para las analíticas integradas; desactivado por defecto.
Require consent	Activado / Desactivado	Cuando está activado, restringe las analíticas a través del filtro `as24ci_analytics_consent_check`.
Analytics retention (days)	Entero (por defecto 180, mínimo 7)	Ventana de retención para los eventos de analíticas.
Filter data minimization	Activado (por defecto)	Elimina las claves de búsqueda de texto libre de la carga útil de analíticas.

Notas operativas

El marco revDSG admite una combinación diferente de bases legales que el GDPR. Si su caso de uso específico de seguimiento o marketing requiere consentimiento explícito, exclusión voluntaria (opt-out) o un enfoque exclusivo de transparencia debe ser revisado con su asesor legal.
Si ofrece el sitio web a visitantes tanto en Suiza como en la UE, el GDPR también puede aplicarse. En la práctica, los operadores suelen alinear su aviso y la interfaz de usuario de consentimiento con el marco más estricto.
El selector de jurisdicción de privacidad es solo una etiqueta. Cambiarlo a revdsg no cambia qué datos se recopilan. Los controles operativos (analíticas activadas/desactivadas, retención, consentimiento) siguen siendo las palancas relevantes.

Paso a paso: alinear el plugin con una configuración suiza / revDSG

Identifique si el sitio está destinado a Suiza (típico: dominio .ch, moneda CHF).
En los ajustes de analíticas, deje Privacy jurisdiction en auto (se resolverá como revdsg) o establézcalo explícitamente en revdsg.
Actualice el aviso de privacidad del sitio para describir la gestión de consultas, las alertas de búsqueda y (si están habilitadas) las analíticas en la terminología adecuada para Suiza.
En los ajustes del formulario de contacto, establezca la Privacy page URL en el aviso de privacidad suizo y configure la etiqueta de consentimiento en consecuencia.
Decida si desea habilitar las analíticas. Si las habilita, elija entre: - Operación solo de transparencia (analíticas activadas, requisito de consentimiento desactivado, documentado en el aviso de privacidad), o - Operación restringida por consentimiento (analíticas activadas, Require consent activado, conectado a un plugin de gestión de consentimiento a través del filtro as24ci_analytics_consent_check).
Establezca la ventana de retención de analíticas según su revisión de privacidad.
Documente un flujo de trabajo manual para gestionar las solicitudes de acceso y eliminación utilizando las pestañas de administración de Leads y Search Alerts.

Resolución de problemas

La jurisdicción detectada es incorrecta: cambie Privacy jurisdiction de auto a revdsg en los ajustes de analíticas.
Un visitante en Suiza solicita ser eliminado: localice el lead en la pestaña de administración de Leads y elimínelo; indique al visitante que utilice el enlace de cancelación de suscripción para las notificaciones de alertas de búsqueda, o elimine su suscripción desde la pestaña de administración de Search Alerts.
El transporte de correo electrónico se encuentra fuera de Suiza: actualice el aviso de privacidad para revelar la ruta de transferencia; considere alternativas SMTP locales si su revisión de privacidad lo requiere.