GDPR:
As implicações para o setor de marketing móvel
1. O que você precisa saber sobre o GDPR
A proteção de dados entrou em uma era de mudanças sem precedentes. Em dezembro de 2015, após mais de três anos de negociações difíceis e várias versões preliminares, três grandes instituições da UE - o Parlamento Europeu, o Conselho da União Europeia e a Comissão Europeia - concordaram com o texto do Regulamento Geral de Proteção de Dados (GDPR).
A regulamentação entrará em vigor em 25 de maio de 2018 e substituirá a Diretiva de Proteção de Dados, que tem sido a base da proteção de dados europeia por mais de duas décadas.
Aqui estão os principais motivos do GDPR:
1. Mudança revolucionária na forma como usamos e compartilhamos informações
A Diretiva de Proteção de Dados foi adotada em 1995, quando a Internet não estava amplamente disponível e as pessoas mal tinham telefones celulares. Como a Diretiva não se adequa mais ao propósito, o GDPR foi criado para garantir a segurança dos dados pessoais em nosso mundo moderno e tecnológico.
2. Aumento do número de violações de dados de alto perfil
Depois que empresas de tecnologia, como Uber e Yahoo, sofreram violações de dados em grande escala que afetaram mais de 3 bilhões de contas de usuários, os consumidores e os órgãos reguladores ficaram cada vez mais preocupados com o gerenciamento de dados pessoais.
3. Necessidade clara de sanções mais significativas
Os casos famosos em que poderosos gigantes da tecnologia violaram a lei (por exemplo, o Facebook usou um opt-in genérico para mesclar dados do Whatsapp) destacaram a insignificância das multas existentes por violação das normas de privacidade, apoiando ainda mais a necessidade de uma nova legislação.
Ao introduzir requisitos mais rigorosos de conformidade com a proteção de dados, o GDPR é um divisor de águas para empresas de vários setores da indústria. Não é nenhuma surpresa que a nova regulamentação também tenha um impacto crítico no setor de marketing móvel. Os profissionais de marketing móvel, os editores e as empresas de tecnologia por trás deles - todas as empresas que operam no setor - precisam garantir a conformidade com o GDPR quando ele entrar em vigor em maio deste ano.
O não cumprimento tem um preço - as multas podem chegar a 20 milhões de euros ou 4% da receita bruta anual, o que for maior.
O tempo está passando e, faltando apenas algumas semanas, as empresas já deveriam ter concluído uma avaliação do impacto da proteção de dados e estar no caminho certo para reparar quaisquer lacunas. Se a sua empresa opera na área de marketing móvel, este guia foi elaborado para ajudá-lo a agir agora, independentemente de estar apenas começando os preparativos ou já estar marcando os últimos itens da sua lista de verificação.
2. O que o GDPR significa
para o setor de marketing móvel
Embora o GDPR represente alguns desafios para a comunidade móvel, ele também traz mudanças positivas ao harmonizar a lei nos 28 Estados-Membros da UE e facilitar a navegação no complexo cenário de proteção de dados. Mais importante ainda, ele esclarece a lei de proteção de dados, eliminando as "áreas cinzentas" que prevaleciam antes do GDPR.
A lista a seguir descreve as alterações mais significativas do GDPR:
Definição de dados pessoais
A definição é muito mais ampla de acordo com o GDPR e inclui tipos de dados que não eram classificados anteriormente como dados pessoais. O GDPR define claramente que todos os identificadores de dispositivos, incluindo AAID (Android Advertising ID), IDFA (Apple ID for Advertising), bem como IDs de cookies e dados de localização, são considerados dados pessoais.
Implicações para o marketing móvel
Qualquer informação relacionada a uma pessoa física identificada ou identificável torna-se um dado pessoal e deve ser tratada como tal (inclusive valores em hash).
Novos direitos
O GDPR introduz novos direitos para os consumidores. O direito de exclusão permite que os indivíduos solicitem aos controladores de dados que apaguem todos os dados pessoais sem atrasos indevidos. O direito à portabilidade de dados permite que os indivíduos solicitem que seus dados sejam "portados" de uma empresa para outra. O direito de acesso permite que os usuários acessem seus dados pessoais para verificar a legalidade do processamento.
Implicações para o marketing móvel
As empresas devem ter processos para que os clientes possam fazer solicitações de cancelamento a qualquer momento e garantir que elas sejam atendidas. Os bancos de dados de consentimento devem rastrear quando o consentimento foi dado e se foi retirado. Os sistemas devem ser habilitados para realizar opt-outs e realizar exclusões de forma rápida e completa.
Privacidade por design
Os dados precisam ser controlados e processados com medidas de segurança claramente definidas. A privacidade deve ser incorporada aos novos produtos e recursos desde o início, incluindo medidas técnicas e organizacionais adequadas para atender a todos os requisitos do GDPR.
Implicações para o marketing móvel
As empresas têm a obrigação legal de minimizar a quantidade de dados; eles devem ser mantidos por um período não superior ao necessário. A pseudonimização deve ser aplicada para reduzir os riscos do processamento de dados.
Gerenciamento de consentimento
O processamento de dados pessoais requer uma base legal sólida de acordo com o GDPR, por exemplo, o consentimento explícito de um usuário ou, em alguns casos, o interesse legítimo do processamento de dados. Pedir consentimento significa colocar os consumidores no controle e dar a eles uma escolha real. O consentimento do usuário deve ser escrito em linguagem simples e fornecer detalhes como as finalidades do processamento, os tipos de dados que serão processados e os controladores de dados responsáveis que processarão os dados.
Implicações para o marketing móvel
Se o consentimento for escolhido como base legal para o processamento de dados, as empresas precisarão provar que o cliente deu consentimento explícito para a coleta de dados. Os opt-ins devem ser escritos em linguagem simples, sem juridiquês, devem ser documentados e estar disponíveis em toda a cadeia de controladores e processadores de dados.
Para documentar e gerenciar melhor o consentimento dos usuários, estão disponíveis soluções especializadas de gerenciamento de consentimento . Essas soluções aliviam a carga dos controladores de dados ao atender aos requisitos do site de opt-ins e opt-outs contínuos, além de fornecer documentação detalhada de casos específicos para usuários individuais.
O IAB Europa iniciou uma solução de gerenciamento de consentimento em todo o setor. Mais informações em http://advertisingconsent.eu/.
3. Compreensão de sua função na cadeia de processamento de dados
Ser capaz de identificar corretamente sua função - e a de seus parceiros - na cadeia de processamento de dados tem um impacto significativo sobre a qualidade dos dados.
De acordo com o GDPR, tanto os controladores de dados quanto os processadores de dados são responsáveis pelo gerenciamento seguro dos dados pessoais e pela comunicação de violações de dados. Os controladores de dados, no entanto, têm mais opções para trabalhar com dados e, portanto, têm mais responsabilidades em relação à documentação de processos internos, avaliação de impacto na privacidade, opt-outs e auditorias de terceiros.
Com tantos participantes e intermediários no espaço complexo e em constante mudança do marketing móvel, às vezes pode ser um desafio designar as empresas para as funções certas.
Para simplificar, veja a seguir o detalhamento da cadeia de processamento de dados:
Titular dos dados: O indivíduo que é o sujeito dos dados pessoais.
Exemplo do setor de marketing móvel: Usuário do aplicativo.
Controlador de dados: A empresa que determina as finalidades e a maneira pela qual os dados pessoais são processados. O controlador pode fornecer dados a outros controladores, bem como a processadores.
Exemplo do setor de marketing móvel: Editor de aplicativos, anunciante, SSP, DMP, DSP.
Processador de dados: A empresa que processa dados em nome de um controlador de dados. O processador só pode fornecer dados a subprocessadores, nunca de volta aos controladores.
Exemplo do setor de marketing móvel: Empresa de análise que atua estritamente em nome de um controlador de dados.
Tanto os controladores de dados quanto os processadores de dados em toda a cadeia precisam entender a origem dos dados que estão sendo usados e garantir que seus fornecedores tenham mecanismos de consentimento adequados e mantenham o registro do consentimento.
Dados
Dados da primeira parte
Definição
Os dados são coletados pelo próprio proprietário dos dados (por exemplo, por meio de seu próprio aplicativo ou SDK).
Implicações para o setor de marketing móvel
Os proprietários de dados de terceiros (por exemplo, editores de aplicativos) se beneficiam de seu relacionamento direto com o consumidor e podem obter consentimento explícito.
Dados de terceiros
Os dados são fornecidos por empresas e agregadores terceirizados.
Para empresas terceirizadas que coletam e documentam o consentimento adequado.
4. Sua organização está pronta para o GDPR?
Como o GDPR traz a maior mudança na proteção de dados na Europa em décadas, existem muitas estruturas que fornecem etapas detalhadas a serem seguidas para se preparar totalmente para ele. Esperamos que sua organização já tenha tomado medidas firmes para estar em conformidade com a nova regulamentação. No entanto, se estiver apenas começando a se preparar neste estágio, o melhor plano é obter suporte profissional o mais rápido possível.
Independentemente da fase de preparação em que sua organização se encontra atualmente, é uma boa ideia fazer uma avaliação preventiva de seu status.
As perguntas mais importantes que você precisa fazer a si mesmo incluem:
Diretor de Proteção de Dados (DPO)
Você processa dados de clientes em grande escala e precisa de uma pessoa dedicada para monitorar seu programa de conformidade com o GDPR?
O GDPR exige a nomeação de um DPO para organizações que processam grandes quantidades de dados pessoais confidenciais. As principais tarefas do DPO incluem consulta, monitoramento da conformidade, treinamento da equipe e auditorias internas.
Notificação obrigatória de violação
Em caso de violação de dados, você seria capaz de notificar as autoridades de proteção de dados dentro de 72 horas?
Uma violação é definida como uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais. As violações devem ser informadas às autoridades em até 72 horas.
Privacidade por design
Você inclui requisitos de proteção de dados no desenvolvimento de seus processos de negócios e novos produtos?
A privacidade deve ser incorporada aos novos sistemas, produtos e recursos desde o início. Por padrão, as configurações de privacidade devem ser definidas em um nível alto.
Novos direitos
Você está preparado para cumprir os novos direitos dos consumidores de acessar, apagar e transferir seus dados pessoais?
O GDPR permite que os indivíduos acessem seus dados para verificar a legalidade do processamento, para obter, reutilizar ou excluir seus dados pessoais e para interromper a distribuição de seus dados.
Escopo expandido
Você entende sua função como processador ou controlador de dados? Você processa os dados de cidadãos da UE?
O GDPR se aplica a todos os controladores e processadores de dados estabelecidos na UE, bem como a todas as organizações fora da UE que tenham cidadãos da UE como clientes. A legislação afeta qualquer empresa que possa entrar em contato com um cidadão europeu, inclusive empresas sediadas nos EUA.
Responsabilidade
Você está preparado para comprovar a conformidade da sua organização com os requisitos do GDPR?
Mediante solicitação das autoridades de proteção de dados, as empresas devem fornecer documentação sobre suas políticas, procedimentos e operações de processamento de dados.
5. Lista de verificação para editores móveis
Um dos principais objetivos do GDPR é capacitar os indivíduos a controlar melhor seus dados. Graças ao seu acesso direto aos consumidores, os editores móveis são particularmente responsáveis por fornecer esse controle. Entre suas outras responsabilidades, os editores devem informar claramente as pessoas sobre exatamente quais dados são coletados e o que acontecerá com esses dados a partir do momento em que forem enviados.
O GDPR traz regulamentações rigorosas e os editores devem tomar medidas para avaliar criticamente suas próprias práticas de processamento de dados e as de seus parceiros - e agir de acordo com elas.
Se você estiver no lado da oferta do ecossistema de marketing móvel e estiver monetizando seus dados, aqui está uma lista de verificação das tarefas relacionadas ao GDPR que você deve concluir para demonstrar total conformidade:
Determine sua função
Revisar e renegociar contratos
Atualizar a Política de Privacidade e os Termos de Serviço
Concordar com a base legal para o processamento de dados
Gerenciar o consentimento
Evitar o vazamento de dados
Notificar violações
Apesar de haver muito trabalho de base envolvido, o GDPR é um desenvolvimento positivo para os editores móveis que estão em uma boa posição para obter o consentimento. A regulamentação força os editores a retomar o controle do que acontece em seus aplicativos e sites móveis e, ao mesmo tempo, aumenta o respeito pelo seu público. Por sua vez, esses desenvolvimentos levam a um aumento na confiança entre usuários e editores, melhorando ainda mais a qualidade dos dados coletados.
Lista de verificação para editores móveis
Determine sua função
Conforme discutido acima, há dois tipos diferentes de entidades que lidam com dados: os controladores que determinam como e por que os dados pessoais devem ser processados e os processadores que realizam o processamento real em nome dos controladores. Os editores de aplicativos móveis geralmente são controladores.
Revisar e renegociar contratos
Os editores móveis devem atualizar a maioria de seus contratos com fornecedores terceirizados porque o GDPR traz novos requisitos e considerações que precisam ser codificados, incluindo:
Definições (por exemplo, a nova e mais ampla definição de dados pessoais)
Notificações (os fornecedores devem notificar os controladores sem atraso indevido em caso de violação)
Colaboração (os fornecedores devem permitir que os controladores respeitem os direitos dos titulares dos dados)
Segurança (os fornecedores devem garantir que o processamento seja seguro e esteja em conformidade)
Manutenção de registros (os processadores devem manter registros de qualquer processamento de dados feito na
em nome do controlador)
Atualizar a Política de Privacidade e os Termos de Serviço
Os editores móveis devem se certificar de que esses documentos estejam atualizados e abranjam todos os requisitos legais. Além disso, o GDPR exige que os editores expliquem a política de privacidade em linguagem simples e a tornem facilmente acessível e visível antes de coletar dados pessoais (incluindo cookies ou IDs de publicidade móvel).
Concordar com a base legal para o processamento de dados
Os editores de aplicativos móveis devem ter uma base legal adequada, como consentimento ou interesse legítimo, para coletar, usar e transferir dados pessoais. O consentimento deve ser feito em um formato compreensível e de fácil acesso. Os editores devem ser claros sobre os dados que coletam, o que planejam fazer com eles e listar explicitamente todos os terceiros que usarão os dados.
Gerenciar o consentimento
Os editores de aplicativos móveis devem manter um registro do consentimento e dar ao indivíduo a possibilidade de revogar o consentimento a qualquer momento, além de acessar, corrigir ou apagar completamente todos os dados que os editores têm sobre ele. Os usuários devem poder retirar o consentimento com a mesma facilidade com que o dão.
Evitar o vazamento de dados
O consentimento não tem sentido sem a aplicação da proteção de dados: a menos que os editores móveis impeçam todo o vazamento de dados, um visitante que dá consentimento não pode saber onde seus dados podem parar. Os editores devem conhecer sua tecnologia e os possíveis pontos fracos e evitar o vazamento de dados.
Notificar violações
No caso de violação de um banco de dados, os editores móveis devem notificar as autoridades em até 72 horas após tomarem conhecimento do vazamento.
6. Lista de verificação para anunciantes de celular
Novos direitos para os consumidores, novas limitações de tempo para muitas solicitações, novo escopo de responsabilidades - não há dúvida de que o GDPR traz desafios para os anunciantes móveis, tanto para aqueles que já estão em setores altamente regulamentados quanto para aqueles que não estão.
Os anunciantes devem tomar medidas para avaliar criticamente suas próprias práticas de processamento de dados e as de seus parceiros - e agir de acordo com elas. Se você estiver no lado da demanda do ecossistema de marketing móvel, aqui está uma lista de verificação das tarefas relacionadas ao GDPR que você deve concluir para demonstrar total conformidade:
Determine sua função
Revisão e atualização de contratos
Conheça seus fornecedores
Obter consentimento
Gerenciar o consentimento
Entenda os interesses legítimos
Atualizar a política de privacidade
Embora os preparativos para o GDPR possam ser desafiadores, essa nova legislação não deve ser vista como um retrocesso para os profissionais de marketing. Na verdade, é uma boa oportunidade para criar campanhas de marketing móvel direcionadas, atingindo as pessoas que estão engajadas com sua marca.
Graças ao consentimento explícito, o GDPR levará a um aumento na qualidade dos dados. Os profissionais de marketing experientes devem usar isso como uma oportunidade para se aprofundar nas necessidades de seus clientes potenciais e clientes, substituindo a abordagem tradicional de "tamanho único" para o marketing móvel.
Lista de verificação para anunciantes de celular
Determine sua função
Um controlador é alguém que determina os meios e as finalidades do processamento de dados pessoais, como, por exemplo, quais dados coletar e quais públicos-alvo atingir. Um processador, por sua vez, processa os dados em nome do controlador. Embora alguns cruzamentos sejam possíveis, na maioria dos casos isso significa que os anunciantes são controladores.
Revisão e atualização de contratos
Os profissionais de marketing devem revisar e atualizar os acordos entre empresas e os contratos com processadores de dados. As versões atualizadas dos contratos devem ser alteradas para incluir novas cláusulas relacionadas ao GDPR e para garantir que todos os serviços relevantes estejam em total conformidade.
Conheça seus fornecedores
Os fornecedores desempenham um papel fundamental para determinar se os profissionais de marketing permanecem em conformidade ou correm o risco de violar as regras. Com isso em mente, os profissionais de marketing devem esclarecer com cada fornecedor:
Quais dados pessoais são processados? Como? Por que? Como eles minimizam o uso desses dados?
Eles são um processador ou um controlador?
Com que base legal eles estão processando os dados?
Como eles estão preparados para lidar com o consentimento?
Como eles estão gerenciando os direitos do titular dos dados?
Como eles lidam com a segurança e as transferências internacionais?
Obter consentimento
Para obter o consentimento, os anunciantes precisarão fornecer aos indivíduos uma imagem clara do motivo pelo qual estão coletando os dados, como eles serão usados e quem os usará. Deve ser usada uma linguagem simples e de fácil compreensão sobre a base legal para o processamento de dados. Deve ser oferecido o direito de revogar facilmente o consentimento.
Gerenciar o consentimento
É importante garantir que os sistemas possam registrar o consentimento e as objeções subsequentes vinculadas a finalidades específicas declaradas no momento da coleta do consentimento.
Entenda os interesses legítimos
O GDPR permite o marketing direto como uma atividade de interesse legítimo se determinadas condições e um teste de "equilíbrio de interesses" (que pondera os próprios interesses dos profissionais de marketing em relação aos direitos do titular dos dados) forem atendidos. Se o interesse legítimo for escolhido como base legal para o processamento de dados em vez do consentimento, os profissionais de marketing devem registrar como eles atendem à proteção dos direitos individuais e às expectativas razoáveis.
Atualizar a política de privacidade
O GDPR exige avisos de privacidade mais detalhados, incluindo por quanto tempo os dados pessoais são mantidos, detalhes de qualquer compartilhamento de dados pessoais com terceiros, uma explicação de qualquer atividade de criação de perfil realizada, como os indivíduos podem exercer seus direitos, para onde enviar reclamações e se países fora da UE processarão dados pessoais.
7. Targetoo é seu parceiro de confiança no espaço de marketing móvel
O GDPR não foi projetado para impedir que os profissionais de marketing se comuniquem com seus clientes, nem impede que os editores continuem com seus negócios de monetização de dados. O objetivo é dar mais controle aos usuários, o que pode ser transformado em uma vantagem competitiva quando se trabalha com parceiros confiáveis e cuidadosamente selecionados.
Na Targetoo, criamos um mercado neutro e transparente para permitir que as empresas tomem melhores decisões de marketing. Fundada e sediada na Alemanha, a Targetoo foi exposta a normas de privacidade muito rigorosas desde os primeiros dias de estabelecimento, e teve que cumpri-las. Portanto, já marcamos as caixas para a maioria dos requisitos do GDPR:
Alvo...
...tem o conceito de "Privacy by Design" incorporado em seu desenvolvimento desde o primeiro dia ...definiu "Medidas Técnicas e Organizacionais" como parte dos contratos padrão de processamento de dados
...desenvolveu um método de integração com parceiros (Pre-bid Enrichment) que permite a exclusão direta de dados no lado da DSP e da SSP (nenhum dado bruto é enviado aos parceiros)
...exige contratualmente que todos os parceiros de dados obtenham e forneçam prova de consentimento para todos os usuários
...tem um Diretor de Privacidade de Dados externo nomeado desde 2018
...oferece aos usuários uma opção de exclusão em seu site para permitir a exclusão de dados e a distribuição descontinuada
...está ativamente envolvida na iniciativa do IAB para a solução de gerenciamento de consentimento para permitir padrões em todo o setor e uma lista transparente de fornecedores
A Targetoo assume a função de controlador de dados.
Além de oferecer uma plataforma de gerenciamento de público-alvo de autoatendimento que permite que os proprietários de dados monetizem seus dados e que os compradores de dados direcionem os públicos-alvo certos em suas campanhas, a Targetoo também coleta e processa dados para segmentos de público-alvo derivados do comportamento de localização, bem como para a Targetoo Data Alliance.
Como controlador de dados, a Targetoo está em conformidade com todos os requisitos do GDPR e atua como um parceiro confiável para a segmentação de público-alvo, bem como para a monetização de dados.
8. Conclusão
Embora a aproximação do prazo para estar em conformidade com o GDPR mantenha o setor de marketing móvel ocupado, é importante dar um passo atrás e reconhecer o valor que a nova regulamentação traz. O Regulamento Geral de Proteção de Dados tem como objetivo devolver o controle sobre os dados pessoais aos cidadãos europeus e simplificar o ambiente regulatório no qual os negócios internacionais são realizados.
Para manter a conformidade, as empresas já devem estar bem adiantadas no reparo de quaisquer lacunas identificadas durante suas avaliações internas de privacidade de dados e revisões de contratos. O reparo dessas lacunas, no entanto, deve ser visto como mais do que apenas uma responsabilidade de conformidade. O uso ético dos dados estabelece a confiança entre empresas e consumidores, fortalecendo ainda mais nossa economia orientada por dados. As empresas inteligentes, tanto do lado da oferta quanto da demanda do ecossistema de marketing móvel, devem transformar as atividades de conformidade em uma oportunidade de se manter à frente da concorrência e de fortalecer o relacionamento com os clientes.
Isenção de responsabilidade: As informações e recomendações contidas neste white paper são de natureza geral e não representam aconselhamento jurídico. Consulte seus próprios profissionais da área jurídica se precisar de orientação sobre interpretações e requisitos específicos do GDPR.