GDPR:
Las implicaciones para la industria del marketing móvil
GDPR y las implicaciones para el sector de la publicidad móvil
1. Lo que debe saber sobre el GDPR
La protección de datos ha entrado en una era de cambios sin precedentes. En diciembre de 2015, tras más de tres años de duras negociaciones y múltiples borradores, tres importantes instituciones de la UE -el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea- acordaron el texto del Reglamento General de Protección de Datos (RGPD).
El reglamento entra en vigor el 25 de mayo de 2018 y sustituye a la Directiva de Protección de Datos, que ha sido la base de la protección de datos europea durante más de dos décadas.
Estas son las principales razones del GDPR:
1. Un cambio revolucionario en la forma de utilizar y compartir la información
La Directiva de Protección de Datos se adoptó en 1995, cuando internet no estaba muy extendido y la gente apenas tenía teléfonos móviles. Dado que la Directiva ya no se ajusta a su finalidad, el RGPD se ha diseñado para garantizar la seguridad de los datos personales en nuestro mundo moderno y tecnológico.
2. Aumento del número de violaciones de datos de gran repercusión.
Después de que empresas tecnológicas como Uber y Yahoo sufrieran filtraciones de datos a gran escala que afectaron a más de 3.000 millones de cuentas de usuarios, los consumidores y los reguladores están cada vez más preocupados por la gestión de los datos personales.
3. Necesidad clara de sanciones más importantes
Los famosos casos en los que poderosos gigantes tecnológicos infringieron la ley (por ejemplo, Facebook utilizó un opt-in genérico para fusionar datos de Whatsapp) pusieron de manifiesto la insignificancia de las multas existentes por infringir la normativa sobre privacidad, lo que respalda aún más la necesidad de una nueva legislación.
Al introducir requisitos más estrictos para el cumplimiento de la protección de datos, el GDPR supone un cambio de juego para las empresas de múltiples sectores industriales. No es de extrañar que la nueva normativa también tenga un impacto fundamental en el sector del marketing móvil. Los profesionales del marketing móvil, los editores y las empresas tecnológicas que los respaldan -todas las empresas que operan en el sector- deben garantizar el cumplimiento del RGPD cuando entre en vigor en mayo de este año.
El incumplimiento tiene un precio: las multas pueden alcanzar los 20 millones de euros o el 4% de los ingresos brutos anuales, la cantidad que sea mayor.
El tiempo corre y, a falta de pocas semanas, las empresas deberían haber completado ya una evaluación del impacto de la protección de datos y estar en camino de subsanar cualquier deficiencia. Si su empresa opera en el ámbito del marketing móvil, esta guía está diseñada para ayudarle a actuar ahora, tanto si acaba de empezar sus preparativos como si ya está marcando las últimas casillas de su lista de verificación.
GDPR
2. Qué significa el GDPR
para el sector del marketing móvil
Aunque el GDPR plantea algunos retos para la comunidad móvil, también aporta cambios positivos al armonizar la ley en los 28 Estados miembros de la UE y facilitar la navegación por el complejo panorama de la protección de datos. Y lo que es más importante, aclara la ley de protección de datos eliminando las "zonas grises" que prevalecían antes del GDPR.
La siguiente lista resume los cambios más significativos del GDPR:
Definición de datos personales
La definición es mucho más amplia en el marco del GDPR e incluye tipos de datos que antes no se clasificaban como datos personales. El RGPD define claramente que todos los identificadores de dispositivos, incluidos el AAID (Android Advertising ID), el IDFA (Apple ID for Advertising), así como los ID de cookies y los datos de localización, se consideran datos personales.
Implicaciones para el marketing móvil
Cualquier información relativa a una persona física identificada o identificable se convierte en datos personales y debe tratarse como tal (incluidos los valores hash).
Nuevos derechos
El RGPD introduce nuevos derechos para los consumidores. El derecho a la supresión permite a las personas solicitar a los responsables del tratamiento que supriman todos los datos personales sin dilaciones indebidas. El derecho a la portabilidad de los datos permite a las personas solicitar que sus datos sean "transferidos" de una empresa a otra. El derecho de acceso permite a los usuarios acceder a sus datos personales para verificar la legalidad del tratamiento.
Implicaciones para el marketing móvil
Las empresas deben disponer de procesos para que los clientes puedan solicitar la exclusión voluntaria en cualquier momento y garantizar que se actúe en consecuencia. Las bases de datos de consentimiento deben registrar cuándo se dio el consentimiento y si se ha retirado. Los sistemas deben estar preparados para llevar a cabo las cancelaciones y supresiones de forma rápida y completa.
Privacidad desde el diseño
Los datos deben controlarse y procesarse con medidas de seguridad claramente definidas. La privacidad debe incorporarse a los nuevos productos y funciones desde el principio, incluyendo las medidas técnicas y organizativas adecuadas para cumplir todos los requisitos del RGPD.
Implicaciones para el marketing móvil
Las empresas tienen la obligación legal de minimizar la cantidad de datos; no deben conservarse más tiempo del necesario. Debe aplicarse la seudonimización para reducir los riesgos del tratamiento de datos.
Gestión de consentimientos
El tratamiento de datos personales requiere un fundamento jurídico sólido con arreglo al RGPD, por ejemplo, el consentimiento explícito de un usuario o, en algunos casos, el interés legítimo del tratamiento de datos. Pedir el consentimiento significa poner a los consumidores en control y darles una opción real. El consentimiento del usuario debe redactarse en un lenguaje sencillo y proporcionar detalles como los fines del tratamiento, los tipos de datos que se tratarán y los responsables del tratamiento que tratarán los datos.
Implicaciones para el marketing móvil
Si se elige el consentimiento como base jurídica para el tratamiento de datos, las empresas necesitan pruebas de que un cliente ha dado su consentimiento explícito para la recogida de datos. Los consentimientos deben estar redactados en un lenguaje sencillo, sin tecnicismos jurídicos, y deben estar documentados y disponibles en toda la cadena de responsables y encargados del tratamiento de datos.
Para documentar y gestionar mejor el consentimiento de los usuarios, existen soluciones especializadas de gestión del consentimiento . Estas soluciones alivian la carga de los responsables del tratamiento de datos al cumplir los requisitos de de inclusión y exclusión voluntarias sin fisuras, además de proporcionar documentación detallada de casos concretos de usuarios individuales.
IAB Europe ha puesto en marcha una solución de gestión del consentimiento para todo el sector. Más información en http://advertisingconsent.eu/.
3. Comprender su papel en la cadena de procesamiento de datos
Ser capaz de identificar correctamente su papel -y el de sus socios- en la cadena de tratamiento de datos tiene un
Con arreglo al RGPD, tanto los responsables como los encargados del tratamiento son responsables de la gestión segura de los datos personales y de la notificación de las violaciones de datos. Los responsables del tratamiento, sin embargo, tienen más opciones para trabajar con los datos y, en consecuencia, tienen más responsabilidades en relación con la documentación de los procesos internos, la evaluación del impacto sobre la privacidad, las exclusiones voluntarias y las auditorías de terceros.
Con tantos actores e intermediarios en el complejo y siempre cambiante espacio del marketing móvil, a veces puede resultar difícil asignar a las empresas las funciones adecuadas.
Para simplificar las cosas, he aquí el desglose de la cadena de procesamiento de datos:
Titular de los datos: La persona física objeto de los datos personales.
Ejemplo del sector del marketing móvil: Usuario de una aplicación.
Responsable del tratamiento: La empresa que determina los fines y la forma en que se procesan los datos personales. El responsable del tratamiento puede facilitar datos a otros responsables del tratamiento, así como a encargados del tratamiento.
Ejemplo del sector del marketing móvil: Editor de aplicaciones, anunciante, SSP, DMP, DSP.
Encargado del tratamiento: La empresa que procesa datos en nombre de un responsable del tratamiento. El encargado del tratamiento solo puede proporcionar datos a subencargados del tratamiento, nunca de vuelta a los responsables del tratamiento.
Ejemplo del sector del marketing móvil: Empresa de análisis que actúa estrictamente en nombre de un responsable del tratamiento de datos.
Tanto los responsables como los encargados del tratamiento de los datos a lo largo de la cadena deben comprender el origen de los datos que se utilizan y asegurarse de que sus proveedores disponen de mecanismos de consentimiento adecuados y conservan el registro del consentimiento.
Datos
Datos de la 1ª parte
Definición
Los datos son recopilados por el propio propietario de los datos (por ejemplo, a través de su propia aplicación o SDK).
Implicaciones para el sector del marketing móvil
Los propietarios de los datos de la primera parte (por ejemplo, los editores de aplicaciones) se benefician de su relación directa con el consumidor y pueden obtener el consentimiento explícito.
Datos de terceros
Los datos proceden de empresas y agregadores de terceros.
Para empresas de terceros que recopilan y documentan el consentimiento adecuado.
Datos de terceros
4. ¿Está preparada su organización para el GDPR?
Dado que el GDPR supone el mayor cambio en la protección de datos europea en décadas, existen muchos marcos que ofrecen pasos detallados a seguir para prepararse plenamente para él. Es de esperar que su organización ya haya tomado medidas contundentes para cumplir el nuevo reglamento. Sin embargo, si está empezando a prepararse en este momento, el mejor plan es obtener apoyo profesional lo antes posible.
Independientemente de la fase de preparación en la que se encuentre actualmente su organización, es una buena idea realizar una evaluación preventiva de su estado.
Las preguntas más importantes que debe hacerse son las siguientes:
Responsable de protección de datos
Responsable de Protección de Datos (RPD)
¿Procesa datos de clientes a gran escala y necesita una persona dedicada a supervisar su programa de cumplimiento del GDPR?
El RGPD exige el nombramiento de un RPD para las organizaciones que procesan grandes cantidades de datos personales sensibles. Las principales tareas del RPD incluyen la consulta, la supervisión del cumplimiento, la formación del personal y las auditorías internas.
Notificación obligatoria de infracciones
En caso de violación de datos, ¿podría notificarlo a las autoridades de protección de datos en un plazo de 72 horas?
Una violación se define como un fallo de seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales. Las violaciones deben notificarse a las autoridades en un plazo de 72 horas.
Notificación obligatoria de infracciones
Privacidad desde el diseño
Privacidad desde el diseño
¿Incorpora los requisitos de protección de datos al desarrollo de sus procesos empresariales y nuevos productos?
La privacidad debe integrarse en los nuevos sistemas, productos y funciones desde el principio. Por defecto, la configuración de privacidad debe ser de alto nivel.
Nuevos derechos
¿Está preparado para cumplir los nuevos derechos de los consumidores a acceder, borrar y transferir sus datos personales?
El RGPD permite a las personas acceder a sus datos para verificar la legalidad del tratamiento, obtener, reutilizar o suprimir sus datos personales, y hacer que se interrumpa la distribución de sus datos.
Nuevos derechos GDPR
Alcance ampliado del RGPD
Ámbito ampliado
¿Conoce su papel como responsable o encargado del tratamiento de datos? ¿Trata datos de ciudadanos de la UE?
El RGPD se aplica a todos los responsables y encargados del tratamiento de datos establecidos en la UE, así como a todas las organizaciones de fuera de la UE que tengan como clientes a ciudadanos de la UE. La legislación afecta a cualquier empresa que pueda entrar en contacto con un ciudadano europeo, incluidas las empresas con sede en Estados Unidos.
Rendición de cuentas
¿Está preparado para demostrar que su organización cumple los requisitos del GDPR?
A petición de las autoridades de protección de datos, las empresas deben facilitar documentación sobre sus políticas, procedimientos y operaciones de tratamiento de datos.
Responsabilidad GDPR
5. Lista de control para editores móviles
Uno de los principales objetivos del RGPD es dar a las personas la posibilidad de controlar mejor sus datos. Gracias a su acceso directo a los consumidores, los editores móviles son especialmente responsables de proporcionar ese control. Entre otras responsabilidades, los editores deben informar claramente a las personas sobre qué datos se recopilan exactamente y qué ocurrirá con ellos desde el momento en que se envíen.
El RGPD trae consigo normativas estrictas y los editores deben tomar medidas para evaluar de forma crítica tanto sus propias prácticas de tratamiento de datos como las de sus socios, y actuar en consecuencia.
Si usted está en el lado de la oferta del ecosistema de marketing móvil y está monetizando sus datos, aquí tiene una lista de tareas relacionadas con el GDPR que debe completar para demostrar el pleno cumplimiento:
Determine su papel
Revisar y renegociar contratos
Actualizar la política de privacidad y las condiciones del servicio
Acordar la base jurídica del tratamiento de datos
Gestionar el consentimiento
Evitar la fuga de datos
Notificar infracciones
A pesar de que hay mucho trabajo preliminar, el RGPD es un avance positivo para los editores móviles que están en buena posición para obtener el consentimiento. El Reglamento obliga a los editores a recuperar el control de lo que ocurre en sus aplicaciones y sitios web para móviles y, al mismo tiempo, aumenta el respeto por su audiencia. A su vez, estos avances conducen a un aumento de la confianza entre usuarios y editores, lo que mejora aún más la calidad de los datos que se recopilan.
Lista de control para editores móviles
Determine su papel
Como ya se ha dicho, hay dos tipos diferentes de entidades que tratan datos: los responsables del tratamiento, que determinan cómo y por qué deben tratarse los datos personales, y los encargados del tratamiento, que realizan el tratamiento real en nombre de los responsables del tratamiento. Los editores de móviles suelen ser responsables del tratamiento.
Revisar y renegociar contratos
Los editores móviles deben actualizar la mayoría de sus acuerdos con proveedores externos, ya que el GDPR conlleva nuevos requisitos y consideraciones que deben codificarse, entre ellos:
Definiciones (por ejemplo, la nueva definición más amplia de datos personales)
Notificaciones (los vendedores deben notificar a los responsables del tratamiento sin demora indebida en caso de infracción)
Colaboración (los proveedores deben permitir a los responsables del tratamiento respetar los derechos de los interesados)
Seguridad (los proveedores deben garantizar que el tratamiento es seguro y conforme)
Mantenimiento de registros (los encargados del tratamiento deben mantener registros de cualquier tratamiento de datos realizado en el
en nombre del controlador)
Actualizar la política de privacidad y las condiciones del servicio
Los editores móviles deben asegurarse de que estos documentos estén actualizados y cubran todos sus requisitos legales. Asimismo, el RGPD exige a los editores que expliquen la política de privacidad en un lenguaje sencillo y que la hagan fácilmente accesible y visible antes de recopilar datos personales (incluidas las cookies o los identificadores de publicidad móvil).
Acordar la base jurídica del tratamiento de datos
Los editores móviles deben tener una base jurídica adecuada, como el consentimiento o el interés legítimo, para recoger, utilizar y transferir datos personales. El consentimiento debe darse de forma comprensible y fácilmente accesible. Los editores deben ser claros sobre los datos que recogen, lo que planean hacer con ellos y enumerar explícitamente todas las terceras partes que utilizarán los datos.
Gestionar el consentimiento
Los editores de móviles deben mantener un registro del consentimiento y dar a la persona la posibilidad de revocarlo en cualquier momento, así como de acceder, corregir o borrar por completo todos los datos que los editores tengan sobre ella. Los usuarios deben poder retirar su consentimiento con la misma facilidad con la que lo dan.
Evitar la fuga de datos
El consentimiento carece de sentido si no se aplica la protección de datos: a menos que los editores de móviles impidan toda fuga de datos, un visitante que da su consentimiento no puede saber dónde pueden acabar sus datos. Los editores deben conocer su tecnología y sus posibles puntos débiles, y evitar la fuga de datos.
Notificar infracciones
En caso de violación de una base de datos, los editores de móviles deben notificarlo a las autoridades en un plazo de 72 horas desde que tengan conocimiento de la filtración.
6. Lista de control para anunciantes móviles
Nuevos derechos para los consumidores, nuevas limitaciones temporales para muchas solicitudes, nuevo alcance de las responsabilidades: no cabe duda de que el RGPD plantea retos a los anunciantes móviles, tanto a los que pertenecen a sectores ya muy regulados como a los que no.
Los anunciantes deben tomar medidas para evaluar de forma crítica sus propias prácticas de tratamiento de datos y las de sus socios, y actuar en consecuencia. Si usted está en el lado de la demanda del ecosistema de marketing móvil, aquí tiene una lista de tareas relacionadas con el GDPR que debe completar para demostrar el pleno cumplimiento:
Determine su papel
Revisión y actualización de contratos
Conozca a sus proveedores
Obtener el consentimiento
Gestionar el consentimiento
Comprender los intereses legítimos
Actualizar la política de privacidad
Aunque los preparativos para el GDPR pueden ser un reto, esta nueva legislación no debe considerarse un revés para los profesionales del marketing. De hecho, es una buena oportunidad para crear campañas de marketing móvil dirigidas a las personas que están comprometidas con su marca.
Gracias al consentimiento explícito, el RGPD aumentará la calidad de los datos. Los expertos en marketing deben aprovechar esta oportunidad para profundizar en las necesidades de sus clientes potenciales y clientes, sustituyendo el enfoque tradicional de "talla única" del marketing móvil.
Lista de control del GDPR
Lista de control para anunciantes móviles
Determine su papel
Un responsable del tratamiento es alguien que determina los medios y fines del tratamiento de datos personales, como qué datos recopilar y a qué público dirigirse. Un encargado del tratamiento, a su vez, procesa los datos en nombre del responsable del tratamiento. Aunque son posibles algunos cruces, en la mayoría de los casos esto significa que los anunciantes son responsables del tratamiento.
Revisión y actualización de contratos
Los profesionales del marketing deben revisar y actualizar los acuerdos entre empresas y los contratos con los encargados del tratamiento de datos. Las versiones actualizadas de los contratos deben modificarse para incluir las nuevas cláusulas relacionadas con el RGPD y garantizar que todos los servicios pertinentes cumplen plenamente la normativa.
Conozca a sus proveedores
Los proveedores desempeñan un papel crucial a la hora de determinar si los profesionales del marketing siguen cumpliendo las normas o corren el riesgo de incumplirlas. Teniendo esto en cuenta, los profesionales del marketing deben aclararlo con cada proveedor:
¿Qué datos personales tratan? ¿Cómo? ¿Por qué? ¿Cómo minimizan su uso?
¿Son un procesador o un controlador?
¿Con qué fundamento jurídico tratan los datos?
¿Cómo están preparados para gestionar el consentimiento?
¿Cómo gestionan los derechos de los interesados?
¿Cómo gestionan la seguridad y las transferencias internacionales?
Obtener el consentimiento
Para obtener el consentimiento, los anunciantes tendrán que proporcionar a las personas una imagen clara de por qué están recopilando los datos, cómo se utilizarán y quién los utilizará. Deberá utilizarse un lenguaje sencillo y fácil de entender sobre la base legal para el tratamiento de los datos. Debe ofrecerse el derecho a revocar fácilmente el consentimiento.
Gestionar el consentimiento
Es importante garantizar que los sistemas puedan registrar el consentimiento y las objeciones posteriores vinculadas a los fines específicos indicados en el momento de la recogida del consentimiento.
Comprender los intereses legítimos
El RGPD permite el marketing directo como actividad de interés legítimo si se cumplen determinadas condiciones y una prueba de "equilibrio de intereses" (que pondera los propios intereses de los profesionales del marketing frente a los derechos del interesado). Si se elige el interés legítimo como base jurídica para el tratamiento de datos en lugar del consentimiento, los profesionales del marketing deben dejar constancia de cómo cumplen la protección de los derechos y las expectativas razonables de las personas.
Actualizar la política de privacidad
El RGPD exige avisos de privacidad más detallados, que incluyan cuánto tiempo se conservan los datos personales, detalles de cualquier intercambio de datos personales con terceros, una explicación de cualquier actividad de elaboración de perfiles realizada, cómo pueden ejercer sus derechos las personas, dónde enviar las reclamaciones y si los países no pertenecientes a la UE tratarán datos personales.
7. Targetoo es su socio de confianza en el ámbito del marketing móvil
El RGPD no está diseñado para impedir que los profesionales del marketing se comuniquen con sus clientes, ni que los editores continúen con sus negocios de monetización de datos. El objetivo es dar más control a los usuarios, lo que puede transformarse en una ventaja competitiva cuando se trabaja con socios creíbles y cuidadosamente seleccionados.
En Targetoo, creamos un mercado neutral y transparente para permitir a las empresas tomar mejores decisiones de marketing. Fundada y con sede en Alemania, Targetoo estuvo expuesta a normativas de privacidad muy estrictas desde los primeros días de su creación, y tuvo que cumplirlas. Por lo tanto, ya cumplimos la mayoría de los requisitos del GDPR:
Objetivooo...
...ha incorporado el concepto de "privacidad desde el diseño" en su desarrollo desde el primer día ...ha definido "medidas técnicas y organizativas" como parte de los acuerdos estándar de tratamiento de datos
...desarrollado un método de integración con socios (Pre-bid Enrichment) que permite la eliminación directa de datos en el lado DSP y SSP (no se envían datos brutos a los socios).
...exige contractualmente a todos los socios de datos que obtengan y acrediten el consentimiento de todos los usuarios
...cuenta con un responsable externo de privacidad de datos nombrado desde 2018
...ofrece a los usuarios una opción de exclusión en su sitio web para permitir la eliminación de datos y la interrupción de su distribución.
...participa activamente en la iniciativa de la IAB para una solución de gestión de consentimientos que permita normas para todo el sector y una lista transparente de proveedores.
Targetoo asume el papel de Responsable del Tratamiento .
Además de ofrecer una plataforma de gestión de audiencias de autoservicio que permite a los propietarios de datos monetizar sus datos y a los compradores de datos dirigirse a las audiencias adecuadas en sus campañas, Targetoo también recopila y procesa datos para segmentos de audiencia derivados del comportamiento de localización, así como para la Targetoo Data Alliance.
Como controlador de datos, Targetoo cumple con todos los requisitos del GDPR y sirve como socio de confianza para la segmentación de audiencias, así como para la monetización de datos.
8. Conclusión
Aunque la proximidad de la fecha límite para cumplir con el GDPR mantiene ocupado al sector del marketing móvil, es importante dar un paso atrás y reconocer el valor que aporta el nuevo reglamento. El Reglamento General de Protección de Datos pretende devolver el control sobre los datos personales a los ciudadanos europeos y simplificar el entorno normativo en el que se desarrollan los negocios internacionales.
Para seguir cumpliendo la normativa, las empresas ya deberían haber avanzado bastante en la reparación de las lagunas detectadas durante sus evaluaciones internas de la privacidad de los datos y las revisiones de los contratos. Sin embargo, la reparación de estas lagunas debe considerarse algo más que una mera responsabilidad de cumplimiento. El uso ético de los datos genera confianza entre las empresas y los consumidores, lo que refuerza aún más nuestra economía basada en los datos. Las empresas inteligentes, tanto del lado de la oferta como de la demanda del ecosistema del marketing móvil, deberían convertir las actividades de cumplimiento en una oportunidad para adelantarse a la competencia y reforzar sus relaciones con los clientes.
GDPR - Conclusión de Targetoo
Descargo de responsabilidad: La información y las recomendaciones contenidas en este libro blanco son de carácter general y no representan asesoramiento jurídico. Consulte a sus propios profesionales del Derecho si desea obtener asesoramiento sobre interpretaciones y requisitos específicos del RGPD.
