GDPR: What Mobile Marketers Need to Know
Implications for the Mobile Marketing Industry
GDPR e as implicações para o setor de publicidade móvel
1. O que você precisa saber sobre o GDPR
After years of negotiation, EU institutions agreed on the General Data Protection Regulation (GDPR). It took effect on May 25, 2018, replacing the 1995 Data Protection Directive.
Aqui estão os principais motivos do GDPR:
1. Why GDPR
The 1995 Directive predates today’s internet and smartphones. GDPR modernizes EU privacy law to safeguard personal data in a contemporary, data-driven environment.
2. Data Breaches
Large-scale breaches increased public and regulatory scrutiny of how personal data is handled.
3. Stronger Sanctions
GDPR introduces stricter compliance obligations and materially higher penalties to drive better data protection standards.
GDPR is a game changer across industries, including mobile marketing. All ecosystem participants-marketers, publishers, and technology vendors-must ensure compliance.
Non-compliance penalties: up to €20M or 4% of global annual revenue, whichever is higher.
GDPR
2. What GDPR Means for the Mobile Marketing Industry
A lista a seguir descreve as alterações mais significativas do GDPR:
Definição de dados pessoais
Device identifiers (e.g., AAID, IDFA), cookie IDs, and location data are personal data.
Implication: Treat any information relating to an identifiable person—including hashed values—as personal data.
Implicações para o marketing móvel
Qualquer informação relacionada a uma pessoa física identificada ou identificável torna-se um dado pessoal e deve ser tratada como tal (inclusive valores em hash).
Expanded Data Subject Rights
Access to personal data
Erasure (“right to be forgotten”)
Portability to another provider
Implication: Provide easy opt-out/erasure processes, track consent (and withdrawals), and execute deletions promptly and completely.
Implicações para o marketing móvel
As empresas devem ter processos para que os clientes possam fazer solicitações de cancelamento a qualquer momento e garantir que elas sejam atendidas. Os bancos de dados de consentimento devem rastrear quando o consentimento foi dado e se foi retirado. Os sistemas devem ser habilitados para realizar opt-outs e realizar exclusões de forma rápida e completa.
Privacidade por design
Embed privacy into products and processes from the start; minimize data and retention by default; apply appropriate technical and organizational measures (TOMs).
Implication: Collect only what’s necessary, retain only as long as needed, and use techniques like pseudonymization where appropriate.
Implicações para o marketing móvel
As empresas têm a obrigação legal de minimizar a quantidade de dados; eles devem ser mantidos por um período não superior ao necessário. A pseudonimização deve ser aplicada para reduzir os riscos do processamento de dados.
Gerenciamento de consentimento
Processing requires a lawful basis (e.g., explicit consent or legitimate interests). If using consent:
Use clear, plain language
Specify purposes, data types, and the responsible controllers
Record consent and make it available across the chain
Implication: Maintain verifiable proof of consent and propagate consent signals through controllers/processors.
Reference: IAB Europe Consent Management Solution — advertisingconsent.eu
Implicações para o marketing móvel
Se o consentimento for escolhido como base legal para o processamento de dados, as empresas precisarão provar que o cliente deu consentimento explícito para a coleta de dados. Os opt-ins devem ser escritos em linguagem simples, sem juridiquês, devem ser documentados e estar disponíveis em toda a cadeia de controladores e processadores de dados.
Para documentar e gerenciar melhor o consentimento dos usuários, estão disponíveis soluções especializadas de gerenciamento de consentimento . Essas soluções aliviam a carga dos controladores de dados ao atender aos requisitos do site de opt-ins e opt-outs contínuos, além de fornecer documentação detalhada de casos específicos para usuários individuais.
O IAB Europa iniciou uma solução de gerenciamento de consentimento em todo o setor. Mais informações em http://advertisingconsent.eu/.
3. Compreensão de sua função na cadeia de processamento de dados
Correctly identifying your role—and your partners’—is essential. Under GDPR, both controllers and processors are accountable for safeguarding personal data and reporting breaches. Controllers have broader obligations (e.g., DPIAs, records, opt-outs, and third-party oversight).
Para simplificar, veja a seguir o detalhamento da cadeia de processamento de dados:
Data Subject: The individual whose personal data is processed (e.g., app user).
Data Controller: Determines purposes and means of processing (e.g., app publisher, advertiser, SSP, DMP, DSP).
Data Processor: Processes data on behalf of a controller (may engage sub-processors but does not repurpose data).
All parties must understand data provenance and ensure upstream suppliers have lawful basis and verifiable consent records, with appropriate contractual safeguards.
Dados
Dados da primeira parte
Definição
Os dados são coletados pelo próprio proprietário dos dados (por exemplo, por meio de seu próprio aplicativo ou SDK).
Implicações para o setor de marketing móvel
Os proprietários de dados de terceiros (por exemplo, editores de aplicativos) se beneficiam de seu relacionamento direto com o consumidor e podem obter consentimento explícito.
Dados de terceiros
Os dados são fornecidos por empresas e agregadores terceirizados.
Para empresas terceirizadas que coletam e documentam o consentimento adequado.
Dados de primeira e terceira parte
4. Are you GDPR Compliant?
GDPR introduced the largest overhaul of EU privacy law in decades. If gaps remain, obtain expert support and conduct a preventative assessment now.
As perguntas mais importantes que você precisa fazer a si mesmo incluem:
Diretor de proteção de dados
Diretor de Proteção de Dados (DPO)
Do you process large-scale sensitive data requiring a DPO? Are responsibilities (advice, monitoring, training, audits) defined?
Breach Notification (72h)
Can you detect, assess, and notify authorities within 72 hours of a qualifying breach?
Notificação obrigatória de violação
Privacidade por design
Privacy by Design/Default:
Are privacy requirements built into product and process development by default?
Data Subject Rights
Can you fulfill access, deletion, and portability requests within statutory timelines?
Novos direitos do GDPR
Escopo expandido do GDPR
Territorial Scope & Roles
Do you act as controller or processor? Do you process EU residents’ data (inside or outside the EU)?
Responsabilidade
Can you evidence compliance (policies, RoPA, DPIAs, TOMs, training, vendor diligence) on request?
Responsabilidade do GDPR
5. Lista de verificação para editores móveis
Determine your role (controller/processor)
Review & renegotiate contracts and DPAs
Update Privacy Policy & Terms
Establish lawful basis and purpose limitation
Implement consent management (collect, store, propagate, honor)
Prevent data leakage (tag governance, SDK/vendor controls)
Monitor vendors; maintain RoPA and TOMs
Detect & notify breaches within 72 hours
Lista de verificação para editores móveis
Determine sua função
Conforme discutido acima, há dois tipos diferentes de entidades que lidam com dados: os controladores que determinam como e por que os dados pessoais devem ser processados e os processadores que realizam o processamento real em nome dos controladores. Os editores de aplicativos móveis geralmente são controladores.
Revisar e renegociar contratos
Os editores móveis devem atualizar a maioria de seus contratos com fornecedores terceirizados porque o GDPR traz novos requisitos e considerações que precisam ser codificados, incluindo:
Definições (por exemplo, a nova e mais ampla definição de dados pessoais)
Notificações (os fornecedores devem notificar os controladores sem atraso indevido em caso de violação)
Colaboração (os fornecedores devem permitir que os controladores respeitem os direitos dos titulares dos dados)
Segurança (os fornecedores devem garantir que o processamento seja seguro e esteja em conformidade)
Manutenção de registros (os processadores devem manter registros de qualquer processamento de dados feito na
em nome do controlador)
Atualizar a Política de Privacidade e os Termos de Serviço
Os editores móveis devem se certificar de que esses documentos estejam atualizados e abranjam todos os requisitos legais. Além disso, o GDPR exige que os editores expliquem a política de privacidade em linguagem simples e a tornem facilmente acessível e visível antes de coletar dados pessoais (incluindo cookies ou IDs de publicidade móvel).
Concordar com a base legal para o processamento de dados
Os editores de aplicativos móveis devem ter uma base legal adequada, como consentimento ou interesse legítimo, para coletar, usar e transferir dados pessoais. O consentimento deve ser feito em um formato compreensível e de fácil acesso. Os editores devem ser claros sobre os dados que coletam, o que planejam fazer com eles e listar explicitamente todos os terceiros que usarão os dados.
Gerenciar o consentimento
Os editores de aplicativos móveis devem manter um registro do consentimento e dar ao indivíduo a possibilidade de revogar o consentimento a qualquer momento, além de acessar, corrigir ou apagar completamente todos os dados que os editores têm sobre ele. Os usuários devem poder retirar o consentimento com a mesma facilidade com que o dão.
Evitar o vazamento de dados
O consentimento não tem sentido sem a aplicação da proteção de dados: a menos que os editores móveis impeçam todo o vazamento de dados, um visitante que dá consentimento não pode saber onde seus dados podem parar. Os editores devem conhecer sua tecnologia e os possíveis pontos fracos e evitar o vazamento de dados.
Notificar violações
No caso de violação de um banco de dados, os editores móveis devem notificar as autoridades em até 72 horas após tomarem conhecimento do vazamento.
6. Lista de verificação para anunciantes de celular
Determine role and map data flows
Update contracts/DPAs; vet vendors and sub-processors
Choose lawful basis (consent vs. legitimate interests) per use case
Obtain, store, and propagate consent where required
Honor withdrawals; enable access/erasure/portability
Document LIAs (if relying on legitimate interests)
Update Privacy Policy and notices
Lista de verificação do GDPR
Lista de verificação para anunciantes de celular
Determine sua função
Um controlador é alguém que determina os meios e as finalidades do processamento de dados pessoais, como, por exemplo, quais dados coletar e quais públicos-alvo atingir. Um processador, por sua vez, processa os dados em nome do controlador. Embora alguns cruzamentos sejam possíveis, na maioria dos casos isso significa que os anunciantes são controladores.
Revisão e atualização de contratos
Os profissionais de marketing devem revisar e atualizar os acordos entre empresas e os contratos com processadores de dados. As versões atualizadas dos contratos devem ser alteradas para incluir novas cláusulas relacionadas ao GDPR e para garantir que todos os serviços relevantes estejam em total conformidade.
Conheça seus fornecedores
Os fornecedores desempenham um papel fundamental para determinar se os profissionais de marketing permanecem em conformidade ou correm o risco de violar as regras. Com isso em mente, os profissionais de marketing devem esclarecer com cada fornecedor:
Quais dados pessoais são processados? Como? Por que? Como eles minimizam o uso desses dados?
Eles são um processador ou um controlador?
Com que base legal eles estão processando os dados?
Como eles estão preparados para lidar com o consentimento?
Como eles estão gerenciando os direitos do titular dos dados?
Como eles lidam com a segurança e as transferências internacionais?
Obter consentimento
Para obter o consentimento, os anunciantes precisarão fornecer aos indivíduos uma imagem clara do motivo pelo qual estão coletando os dados, como eles serão usados e quem os usará. Deve ser usada uma linguagem simples e de fácil compreensão sobre a base legal para o processamento de dados. Deve ser oferecido o direito de revogar facilmente o consentimento.
Gerenciar o consentimento
É importante garantir que os sistemas possam registrar o consentimento e as objeções subsequentes vinculadas a finalidades específicas declaradas no momento da coleta do consentimento.
Entenda os interesses legítimos
O GDPR permite o marketing direto como uma atividade de interesse legítimo se determinadas condições e um teste de "equilíbrio de interesses" (que pondera os próprios interesses dos profissionais de marketing em relação aos direitos do titular dos dados) forem atendidos. Se o interesse legítimo for escolhido como base legal para o processamento de dados em vez do consentimento, os profissionais de marketing devem registrar como eles atendem à proteção dos direitos individuais e às expectativas razoáveis.
Atualizar a política de privacidade
O GDPR exige avisos de privacidade mais detalhados, incluindo por quanto tempo os dados pessoais são mantidos, detalhes de qualquer compartilhamento de dados pessoais com terceiros, uma explicação de qualquer atividade de criação de perfil realizada, como os indivíduos podem exercer seus direitos, para onde enviar reclamações e se países fora da UE processarão dados pessoais.
7. Targetoo as a GDPR-Aligned Partner
GDPR does not prevent responsible marketing or data monetization; it strengthens user control and trust. Targetoo operates a neutral, transparent marketplace and has implemented privacy-first practices, including:
Privacy by Design embedded in development
Technical & Organizational Measures (TOMs) defined in DPAs
Pre-bid enrichment approach enabling direct data deletion on DSP/SSP sides (no raw data shared with partners)
Contractual requirements for partners to obtain and prove consent
External Data Protection Officer appointed since 2018
Website-level opt-out to enable data deletion and discontinued distribution
Participation in IAB Europe consent initiatives
A Targetoo assume a função de controlador de dados.
Targetoo acts as a Data Controller for audience segmentation derived from location behavior and for the Targetoo Data Alliance, and complies with GDPR controller obligations.
8. Conclusão
GDPR returns control over personal data to individuals and simplifies cross-border compliance. Beyond meeting legal obligations, ethical data practices build trust and improve data quality. Turning compliance into capability helps both supply- and demand-side businesses stay ahead.
GDPR - Conclusão do Targetoo
Disclaimer: The information on this page is general in nature and not legal advice. For specific interpretations or requirements, consult qualified legal counsel.