1. Definition & function of cookies

Cookies are small data files placed on the user's device when accessing a website. They allow recognition of the device across navigation. In this Policy, the term cookie covers HTTP cookies, localStorage, sessionStorage, web beacons, pixels, fingerprinting and similar technologies, in line with the technological-neutral interpretation of Article 22.2 LSSI-CE.

This Policy distinguishes two planes: (a) the public web layer of affiliatracker — for which DataGrowt is the Controller — and (b) the Tenant application environment, where the Tenant assumes the Controller role for any additional technology beyond the strictly necessary ones operated by the platform.

2. Classification of cookies (overview)

Cookies are grouped per the AEPD criteria into four categories. The full tables (provider, purpose, expiry, type, legal basis) are available in the Spanish version. Categories are:

• Strictly necessary / Technical (exempt under Art. 22.2 LSSI-CE) — session, tenant isolation, CSRF protection, load balancing, security perimeter, Cloudflare bot management, consent registry.
• Preferences / Personalization (consent required) — language, time zone, dashboard layout, theme.
• Analytics (consent required) — Google Analytics 4 (with IP anonymisation), internal UX metrics.
• Affiliate Attribution (consent required, technical attribution only — no behavioural profiling) — click ID, publisher reference, campaign ID, conversion pixel.

3. Consent management (overview)

On first access — or after the consent registry expires or a substantial change occurs — affiliatracker displays a cookie banner with three visually equivalent options (Accept all / Reject all / Configure), full reference to this Policy, and no implicit consent. A second-layer granular CMP allows category-by-category activation. Consent can be withdrawn with the same ease, per Article 7.3 GDPR. DataGrowt keeps a consent registry (date, time, truncated IP, Policy version, accepted categories).

4. International transfers & retention (overview)

Some third-party cookies (notably Google Analytics 4) may entail international transfers, mainly to the United States. These are covered by adequacy decisions (EU-US Data Privacy Framework), Standard Contractual Clauses (Decision 2021/914), supplementary technical and organisational measures (TLS 1.3, pseudonymisation, IP anonymisation, Transfer Impact Assessment) or functional exclusion if guarantees are insufficient. Persistent cookies do not exceed 24 months. Consent is re-requested every 24 months or upon substantial changes.

5. Rights & contact (overview)

Users can exercise their GDPR rights (access, rectification, erasure, opposition, restriction, portability) regarding cookie-related personal data by writing to dpo@affiliatracker.com. Users may also lodge a complaint with the Spanish Data Protection Agency (AEPD), C/ Jorge Juan 6, 28001 Madrid, or via www.aepd.es.

6. Effective date & amendments (overview)

This Policy enters into force on the date indicated in the header. DataGrowt reserves the right to amend it unilaterally to align with applicable law, supervisory authority guidelines or platform evolution. Substantial changes are notified to users with reasonable notice and, where applicable, require renewed consent via the CMP. A version history is maintained and available upon request from the DPO.

Preámbulo

La presente Política de Cookies (en adelante, la "Política") constituye el ANEXO VI del Núcleo Legal y de Privacidad de la Plataforma affiliatracker y debe interpretarse de forma integrada con (i) el Aviso Legal y Condiciones Generales de Uso del Sitio Web, (ii) los Términos y Condiciones de Servicio SaaS suscritos por el Cliente-Tenant, (iii) la Política de Privacidad General, (iv) el Acuerdo de Encargo de Tratamiento (DPA — Anexo II) y (v) la Política de Uso Aceptable (Anexo IV).

Esta Política se ha elaborado en cumplimiento estricto de:

• El artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico ("LSSI-CE").
• El Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos ("RGPD").
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
• La Guía sobre el uso de cookies de la Agencia Española de Protección de Datos (AEPD), en su versión vigente (julio 2023 y actualizaciones posteriores), incorporando las Directrices 03/2022 del Comité Europeo de Protección de Datos (EDPB) sobre patrones engañosos (dark patterns) y las Directrices 2/2023 sobre el ámbito técnico del artículo 5(3) de la Directiva ePrivacy.

DataGrowt opera affiliatracker bajo un modelo SaaS multi-tenant en el que la lógica de la inteligencia artificial integrada actúa estrictamente como copiloto de asistencia ("Human-in-the-Loop") bajo el control exclusivo del Tenant. La presente Política regula exclusivamente las cookies y tecnologías de almacenamiento desplegadas por DataGrowt en la capa de presentación pública (sitio web corporativo, área de marketing y área de autenticación) y en el entorno de aplicación administrado por el Prestador. Cualquier cookie, píxel o tecnología similar que el Tenant despliegue voluntariamente a través de los módulos configurables de la Plataforma será responsabilidad exclusiva de dicho Tenant en su condición de Responsable del Tratamiento frente a sus propios usuarios finales, en los términos previstos en el DPA.

1. Definición y función

1.1. Concepto técnico-jurídico

Una cookie es un fichero de pequeño tamaño que un servidor web puede instalar en el equipo terminal (ordenador, smartphone, tablet u otro dispositivo de uso similar) de un usuario al acceder a un sitio web o aplicación. Las cookies permiten almacenar y recuperar información sobre los hábitos de navegación del usuario o de su equipo y, dependiendo de los datos contenidos y de la forma en la que se utilice el equipo, pueden emplearse para reconocer al usuario.

A los efectos de esta Política, y de acuerdo con el criterio amplio de la AEPD y de la EDPB, el término "cookie" comprende tanto las cookies HTTP propiamente dichas como cualquier otra tecnología funcionalmente equivalente que implique el almacenamiento o el acceso a información en el equipo terminal del usuario, incluyendo, con carácter enunciativo y no limitativo:

• Cookies HTTP propias y de terceros (persistentes y de sesión).
• Local Storage y Session Storage (almacenamiento web del navegador conforme a la especificación HTML5).
• IndexedDB y bases de datos del lado del cliente.
• Píxeles de seguimiento (tracking pixels), balizas web (web beacons) y clear GIFs.
• Fingerprinting del dispositivo o del navegador (huellas digitales activas o pasivas).
• Identificadores SDK integrados en aplicaciones móviles, en caso de que se distribuyan.
• Almacenamiento en caché del navegador cuando se utilice instrumentalmente con finalidad de seguimiento o reidentificación.

El despliegue de cualquiera de estas tecnologías, cuando no sea estrictamente necesario para la prestación del servicio expresamente solicitado por el usuario, queda sujeto al deber de información reforzado y al consentimiento previo, libre, específico, informado e inequívoco exigido por el artículo 22.2 LSSI-CE en su redacción vigente, en relación con los artículos 4.11 y 7 RGPD.

1.2. Uso instrumental en un entorno SaaS multi-tenant

affiliatracker es una plataforma SaaS multi-tenant especializada en la inyección, atribución, monitorización y conciliación de leads en el sector de la afiliación digital. Esta arquitectura genera necesidades técnicas específicas que justifican el uso de determinadas tecnologías de almacenamiento local:

(i) Aislamiento lógico entre inquilinos (tenant isolation): la Plataforma requiere identificar de forma persistente, durante toda la sesión autenticada, a qué tenant_id pertenece la solicitud del usuario, garantizando que ningún Tenant pueda acceder a datos, configuraciones o leads de otro Tenant. Esta finalidad es estrictamente técnica y no requiere consentimiento conforme al criterio reiterado de la AEPD.

(ii) Persistencia de la autenticación y seguridad de la sesión: mediante tokens firmados criptográficamente almacenados como cookies con atributos HttpOnly, Secure y SameSite=Strict, así como mecanismos antifraude que detectan reproducción de sesión, secuestro de credenciales y Cross-Site Request Forgery (CSRF).

(iii) Mantenimiento de la integridad funcional del dashboard: preferencias del usuario operador del Tenant (idioma, zona horaria, diseño de los paneles, columnas visibles), almacenadas habitualmente en Local Storage del navegador.

(iv) Atribución técnica de leads en el módulo "Affiliation Cloud": identificadores unívocos que permiten asociar un lead inyectado con el Publisher (afiliado) que originó la conversión, requisito imprescindible para la propia ejecución del contrato de afiliación entre Anunciante y Publisher. La gestión y configuración funcional de estos identificadores corresponde al Tenant que activa el módulo, conforme al principio contractual de delegación operativa establecido en los Términos y Condiciones de Servicio.

(v) Medición agregada de uso del Sitio Web público: estadísticas anonimizadas que permiten al Prestador mejorar la usabilidad, accesibilidad y rendimiento de la capa pública (no del backend del Tenant).

1.3. Distinción entre la "Capa Web Pública" y el "Entorno de Aplicación del Tenant"

A efectos de delimitar responsabilidades, esta Política distingue dos planos:

• Capa Web Pública de affiliatracker (URLs www.affiliatracker.com, affiliatracker.com, páginas de marketing, blog, landing pages comerciales y login): el responsable de las cookies desplegadas en esta capa es DataGrowt Systems, S.L.
• Entorno de Aplicación del Tenant (subdominios *.app.affiliatracker.com u otros configurados por el Tenant): salvo por las cookies estrictamente técnicas necesarias para la operación de la propia Plataforma SaaS (sesión, tenant isolation, seguridad), el Tenant asume la condición de Responsable del Tratamiento respecto de cualquier tecnología adicional que active en sus propias páginas, formularios o landings generadas a través de la Plataforma. El Tenant es responsable de informar a sus usuarios finales y, en su caso, de recabar el consentimiento aplicable.

2. Clasificación

La presente clasificación se ofrece conforme a las categorías de la Guía AEPD: (a) según la entidad que las gestione — propias o de terceros —; (b) según el plazo de tiempo que permanezcan activadas — de sesión o persistentes —; (c) según su finalidad — técnicas, de preferencias o personalización, de análisis o medición, de publicidad comportamental, etc. —.

Nota interpretativa: las cookies marcadas como "Exentas" en la columna Base de Legitimación están comprendidas en la excepción del artículo 22.2 LSSI-CE y de las Directrices EDPB 2/2023, al ser estrictamente necesarias para la prestación del servicio expresamente solicitado por el usuario. No requieren consentimiento previo. El resto de cookies se instala únicamente previo consentimiento expreso, granular y revocable prestado a través del Consent Management Platform (CMP) de la Plataforma.

2.1. Cookies Técnicas y Necesarias (Exentas de consentimiento)

2.2. Cookies de Preferencias / Personalización (Requieren consentimiento)

2.3. Cookies Analíticas (Requieren consentimiento)

2.4. Píxeles y Cookies de Tracking de Afiliación (Módulo "Affiliation Cloud")

Aclaración esencial de transparencia: los identificadores descritos en esta categoría se utilizan única y exclusivamente para la atribución técnica de la conversión dentro del flujo contractual de afiliación entre el Anunciante (Tenant) y el Publisher (afiliado). No se utilizan para crear perfiles publicitarios del usuario navegante ni para mostrar publicidad comportamental dirigida. Su finalidad es asociar de forma unívoca el lead generado con el origen de la campaña, requisito imprescindible para la ejecución del contrato comercial entre Tenant y Publisher. La activación, configuración funcional y obligación de información hacia el usuario final corresponde al Tenant que opera el módulo "Affiliation Cloud", en su condición de Responsable del Tratamiento de los datos del lead, conforme al DPA (Anexo II) y a las Condiciones Generales del Servicio.

Importante: affiliatracker no inserta cookies de publicidad comportamental, retargeting ni advertising IDs de redes publicitarias de terceros (Meta, TikTok, X, LinkedIn) en su propia capa web. Si un Tenant decide integrarlas en sus landing pages a través de los conectores configurables de la Plataforma, será él quien deba informar y recabar el consentimiento de sus usuarios finales.

3. Configuración del consentimiento

3.1. Primera capa informativa — Banner de cookies

En el primer acceso al Sitio Web, así como tras la expiración del registro de consentimiento o tras una modificación sustancial de esta Política, affiliatracker mostrará un banner de información que cumple con los requisitos de la Guía AEPD y de las Directrices 03/2022 EDPB sobre patrones engañosos:

(i) Información clara, concisa y en lenguaje sencillo sobre el uso de cookies, su finalidad y la identidad del responsable.
(ii) Tres opciones equivalentes en visibilidad, tamaño, color y contraste:
- "Aceptar todas" — consiente la instalación de todas las categorías opcionales.
- "Rechazar todas" — rechaza todas las cookies opcionales y permite la navegación con instalación únicamente de las cookies estrictamente necesarias.
- "Configurar" — accede a la segunda capa (panel granular) para una elección categoría por categoría.
(iii) Enlace directo a esta Política de Cookies completa.
(iv) Hasta que el usuario manifieste su decisión, no se instala ninguna cookie distinta de las técnicas exentas.
(v) La continuación de la navegación, el simple scroll o el cierre del banner no se considerará nunca como consentimiento implícito, conforme al criterio reiterado de la AEPD.

3.2. Segunda capa — Panel de configuración granular (CMP)

A través del botón "Configurar" del banner, o en cualquier momento mediante el enlace "Configuración de cookies" disponible permanentemente en el footer del Sitio Web, el usuario accede al Centro de Preferencias de Cookies (Consent Management Platform), donde puede:

• Activar o desactivar individualmente cada categoría (Técnicas — pre-activadas y no desactivables; Preferencias; Analíticas; Atribución de Afiliación).
• Consultar el detalle de cada cookie dentro de cada categoría (proveedor, finalidad, caducidad, tipo).
• Confirmar su selección con un único click en "Guardar preferencias".
• Retirar el consentimiento previamente otorgado con la misma facilidad con la que lo concedió, conforme al artículo 7.3 RGPD.

DataGrowt conserva el registro de consentimiento (fecha, hora, IP truncada, versión de la Política y categorías aceptadas) durante el plazo legalmente exigible para acreditar el cumplimiento del artículo 7 RGPD y la Guía AEPD, sin perjuicio de los plazos de prescripción de acciones administrativas y judiciales.

3.3. Revocación y configuración desde el navegador

Adicionalmente, el usuario puede gestionar la instalación y eliminación de cookies directamente desde la configuración de su navegador. Las instrucciones más actualizadas se encuentran en la documentación oficial de cada proveedor; a título orientativo:

Google Chrome
1. Menú (⋮) → Configuración → Privacidad y seguridad → Cookies y otros datos de sitios.
2. Seleccionar la política de cookies deseada y, si procede, Ver todas las cookies y los datos de sitios para eliminar cookies específicas.
Documentación: https://support.google.com/chrome/answer/95647

Apple Safari (macOS / iOS / iPadOS)
1. Safari → Preferencias (o Ajustes) → pestaña Privacidad.
2. Marcar "Bloquear todas las cookies" o pulsar Gestionar datos de sitios web para eliminar entradas específicas.
Documentación: https://support.apple.com/es-es/guide/safari/sfri11471/mac

Mozilla Firefox
1. Menú (☰) → Ajustes → Privacidad y seguridad → sección Cookies y datos del sitio.
2. Pulsar Limpiar datos o Administrar excepciones.
Documentación: https://support.mozilla.org/es/kb/Borrar%20cookies

Microsoft Edge
1. Menú (…) → Configuración → Cookies y permisos del sitio → Administrar y eliminar cookies y datos del sitio.
Documentación: https://support.microsoft.com/es-es/microsoft-edge

Opera
1. Menú → Configuración → Avanzado → Privacidad y seguridad → Cookies.
Documentación: https://help.opera.com/en/latest/web-preferences/

El usuario debe tener presente que deshabilitar las cookies estrictamente necesarias puede impedir el correcto funcionamiento de la Plataforma, en particular el mantenimiento de la sesión autenticada, el aislamiento entre Tenants y las funciones de seguridad. DataGrowt declina toda responsabilidad por las limitaciones funcionales derivadas de la desactivación de cookies necesarias por parte del usuario.

3.4. Herramientas adicionales de exclusión

• Google Analytics opt-out: https://tools.google.com/dlpage/gaoptout (complemento oficial de inhabilitación para navegadores).
• EDAA — Your Online Choices: https://www.youronlinechoices.eu (para cookies publicitarias de terceros que un Tenant hubiera podido integrar).

4. Transferencias y conservación

4.1. Sincronización con la Política de Privacidad

Determinadas cookies de terceros que actualmente o en el futuro puedan instalarse en la Plataforma — en particular las analíticas de Google LLC (Google Analytics 4) — pueden conllevar transferencias internacionales de datos personales a países situados fuera del Espacio Económico Europeo, principalmente Estados Unidos.

En coherencia con lo establecido en la Sección 6 de la Política de Privacidad General del Núcleo Legal aprobado, DataGrowt garantiza que toda transferencia internacional resultante del uso de cookies o tecnologías equivalentes se encuentra amparada por al menos uno de los siguientes mecanismos previstos en el Capítulo V del RGPD:

(i) Decisión de adecuación de la Comisión Europea (en el caso de Estados Unidos, Data Privacy Framework — DPF, conforme a la Decisión de Ejecución (UE) 2023/1795 — exigiendo que el proveedor concreto se encuentre certificado y vigente en la lista oficial del Departamento de Comercio de EE. UU.).

(ii) Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914, suscritas con el proveedor correspondiente.

(iii) Medidas técnicas y organizativas suplementarias evaluadas conforme a las Recomendaciones 01/2020 EDPB, incluyendo: cifrado en tránsito (TLS 1.3), seudonimización, anonimización de IP, controles contractuales reforzados y, cuando proceda, Transfer Impact Assessment (TIA) documentado por el DPO.

(iv) Exclusión funcional: cuando la evaluación de riesgo de la herramienta determine que las salvaguardas son insuficientes, DataGrowt se reserva el derecho a reemplazar el proveedor por una alternativa con tratamiento exclusivamente en territorio UE/EEE.

El usuario puede consultar la información detallada sobre las transferencias internacionales, los países de destino y las salvaguardas aplicables en la Sección 6 ("Transferencias Internacionales de Datos") de la Política de Privacidad [enlace al Anexo III — Política de Privacidad].

4.2. Plazos de conservación

Los plazos máximos de conservación de las cookies se detallan en la columna "Caducidad" de las tablas del apartado 2 de esta Política. Como criterio general:

• Las cookies de sesión se eliminan automáticamente al cerrar el navegador o al cerrar sesión.
• Las cookies persistentes no superan, en ningún caso, el plazo de 24 meses desde su instalación o desde la última interacción significativa del usuario con la Plataforma, conforme a las recomendaciones de la AEPD.
• El registro de consentimiento se conserva durante el plazo necesario para acreditar el cumplimiento normativo, en línea con los plazos de prescripción de acciones administrativas (hasta 3 años conforme al art. 30 LSSI y los plazos del RGPD).
• Los datos personales asociados a las cookies se eliminan o anonimizan conforme a la política de retención descrita en la Política de Privacidad General.

4.3. Renovación del consentimiento

Conforme al criterio de la AEPD, el consentimiento prestado para cookies no técnicas se solicitará nuevamente al usuario transcurridos 24 meses desde su última manifestación, así como en los siguientes supuestos:

• Modificación sustancial de las finalidades del tratamiento.
• Incorporación de nuevos proveedores o categorías de cookies no informadas previamente.
• Cambios significativos en las transferencias internacionales o en los mecanismos de salvaguarda.

5. Derechos y contacto

El usuario puede ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad previstos en los artículos 15 a 22 RGPD respecto de los datos personales tratados a través de cookies, mediante solicitud dirigida a:

DATAGROWT SYSTEMS, S.L.
Atn. Delegado de Protección de Datos (DPO)
Correo electrónico: dpo@affiliatracker.com
Domicilio postal: [Domicilio social de DataGrowt Systems, S.L.]

Acompañando la solicitud, en su caso, de copia de documento identificativo o medio equivalente que permita verificar la identidad del solicitante.

Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 — Madrid, o a través de su Sede Electrónica en https://www.aepd.es, cuando considere que el tratamiento de sus datos personales infringe la normativa aplicable.

6. Vigencia y modificaciones

La presente Política entrará en vigor en la fecha de publicación indicada en el encabezado. DataGrowt se reserva el derecho a modificarla unilateralmente para adaptarla a la normativa vigente, a las directrices de las autoridades de control o a las evoluciones técnicas y funcionales de la Plataforma.

Toda modificación sustancial será comunicada a los usuarios con la antelación razonable y, cuando proceda, requerirá la renovación del consentimiento a través del CMP. El historial de versiones se conservará y estará disponible mediante solicitud al DPO.

Documento aprobado por:
Delegado de Protección de Datos — DataGrowt Systems, S.L.
Dirección Jurídica — DataGrowt Systems, S.L.

Versión 1.0 — 18 de mayo de 2026

Este Anexo VI forma parte integrante del Núcleo Legal y de Privacidad de affiliatracker. Su lectura y aceptación complementan, pero no sustituyen, la Política de Privacidad General (Anexo III), las Condiciones Generales de Servicio y el Acuerdo de Encargo de Tratamiento (Anexo II).