Pe 22 februarie, IAB Romania a organizat o prima editie a dezbaterilor deschise – IAB Digital Talk, pe tema reglementarilor europene in privinta datelor cu caracter personal: GDPR (care va intra in vigoare pe 25 mai 2018) si EPrivacy Regulation (aflat inca in dezbatere si asteptat a fi pus in vigoare incepand cu 2019).
Invitatii acestei editii au fost Cristiana Deca (Decalex), Valentina Pavel (APTI) si Chris Hartsuiker (IAB Europe). Participantii au putut sa isi clarifice o serie de aspecte legate de implementarea GDPR in companiile din mediul online precum si ceea ce regulamentul de EPrivacy aduce in plus ca obligatii legale pentru companiile care activeaza in domeniul marketingului digital.
Printre ideile discutate la intalnire amintim:
Un punct crucial in implementarea GDPR – Obtinerea consimtamantului LIBER (fara constrangeri) si INFORMAT
- Advertisingconsent.eu – ofera un model de mecanism de obtinere a consimtamantului si a conformitatii cu principiile de transparenta solicitate de GDPR si de Eprivacy Regulation.
- Pentru obtinerea consimtamantului sub GDPR au fost recomandate “Consent Console” si “Abordarea in etape” (Layered Approach). Acestea pot fi sub forma de informatii scrise, dar si video sau livrate in alt mod creativ prin care utilizatorul sa poata accesa informatiile (sa se poata informa) referitoare la colectarea datelor sale in mod clar, concis si usor de inteles. “Abordarea in etape” presupune informarea initiala a utilizatorului in cel mai succint mod despre datele colectate (pentru ce scop sunt colectate datele) astfel incat sa isi poata exprima optiunea (Acord/Dezacord) daca doreste in acel moment si apoi, o etapa suplimentara (Ex: more info) in care i se ofera posibilitatea de a afla mai multe informatii (ce tip de date sunt colectate, in ce scop, cat timp sunt pastrate aceste date, cine are acces la ele, cine le proceseaza, cum le pot solicita sau verifica, pe cine sa contacteze in cazul unei suspiciuni de incalcare a legii etc) si apoi sa isi exprime acordul/dezacordul.
- Participantii si-au manifestat ingrijorarea ca sporirea etapelor de informare a utilizatorului creeaza o intrerupere in actiunea de navigare/accesare a continutului sau serviciilor ceea ce duce la frustrare si dezinteres. De aceea recomandarile invitatilor s-au indreptat catre Consent Console, Layered Approach si modelul Single Sign In (pentru companiile care detin mai multe site-uri), acceptand in acelasi timp ca aceasta este o noua provocare pentru companiile digitale – de a gasi solutii pentru a face utilizatorii sa fie interesati, implicati si informati.
- Lipsa Click-ului/absenta raspunsului nu sunt considerate acord tacit pentru procesare de date.
Responsabilitatea obtinerii consimtamantului – companiile care colecteaza date
- In GDPR se specifica 2 tipuri de companii – Cele care colecteaza datele si cele care proceseaza datele. Responsabilitatea obtinerii consimtamantului este la compania care colecteaza datele, insa toate celelalte companii din lant trebuie sa verifice existenta acordului utilizatorului. Cu alte cuvinte, publisherul/website-ul trebuie sa obtina acordul, dar toate celelalte companii care utilizeaza datele preluate prin intermediul site-ului trebuie sa verifice ca exista un acord liber consimtit.
- Publisherii trebuie sa fie foarte atenti cu datele pe care le colecteaza si unde ajung aceste date. Sa se asigure ca nu ajung la alti procesatori sau companii de care utilizatorul nu stie.
- Daca datele sunt folosite in alt scop decat cel pentru care i s-a cerut acordul initial utilizatorului, trebuie obtinut din nou acord pentru acest nou scop de procesare.
- In functie de obiectivul procesarii datelor o companie poate sa fie controler sau procesator. Daca toate companiile dintr-un anumit circuit au acelasi obiectiv de business (Ex: livrare de publicitate online) atunci toate sunt controleri. In cazul unui DMP – daca este autonom, proceseaza datele si apoi le vinde mai departe – este controler si trebuie sa obtina consimtamantul utilizatorului. Daca foloseste datele in interes propriu si intern – este doar procesator.
Data mapping/ Data assessment – un prim pas in conformitatea cu GDPR
- Procesul de analiza a datelor care sunt colectate intr-o companie este un prim pas in a asigura conformitatea cu prevederile GDPR – acest proces nu este doar o obligatie legala dar si un mod de a obtine un avantaj competitiv prin transparenta si controlul mai bun al datelor la nivelul utilizatorului.
- Evaluarea scopului procesarii de date – definirea obiectivului de business si al tipului de date necesar pentru indeplinirea acestui obiectiv.
- Prea multe date colectate inseamna un liability si compania este expusa in fata legii (date care nu fac neaparat obiectul de business sau nu ajuta in mod direct la derularea activitatii – nu sunt in interes legitim)
Data minimization – un concept de avut in vedere de catre companii
- Colectarea a cat mai putine date si acelea doar strictul necesar pentru indeplinirea obiectivului de business
Comunicarea directa cu utilizatorul – trebuie sa inceapa cat mai din timp
- Utilizatorul trebuie informat despre ce urmeaza si care este procedura prin care poate avea acces la datele sale – care sunt, unde si cum le poate cere/accesa.
- In cazul unei solicitari de acces la date este foarte important un raspuns prompt! Chiar daca nu va simtiti pregatiti raspundeti-i utilizatorului. In caz contrar, poate atrage atentia legislatorului (in acest caz ANSPDCP – dataprotection.ro). O abordare utila poate fi furnizarea de date primare si explicatia colectarii lor, urmata de o amanare de cateva zile pentru furnizarea datelor mai complexe – GDPR ofera acest ragaz de cateva zile pana la furnizarea datelor integrale catre utilizator.
- Utilizatorii incep sa fie mult mai contienti de valoarea si importanta datelor lor personale decat poate parea de la nivelul industriei – majoritatea reclamatiilor catre ANSPDCP este de asteptat sa vina din partea utilizatorilor, si nu a autoritatii in sine (control fara reclamatie prealabila)
Aratati-va interesul si bunavointa de a fi conformi! Fiti proactivi si informati-va!
- Un prim semnal de alarma la ANSPDCP va fi lipsa de interes pentru conformitatea cu legislatia in vigoare sau care urmeaza sa fie implementata.
- Autoritatile de protectie a datelor personale nu vor acorda doar amenzi ci vor face si “liste ale rusinii” in care vor fi mentionate (la nivel international) companiile neconforme.
Regulamentul de EPrivacy este o lege speciala care vine in completarea GDPR cu cateva aspecte suplimentare, adresate exclusiv comunicarii in mediul digital. Obiectivul acestei legi este suplimentarea protectiei utilizatorului. Regulamentul de ePrivacy vizeaza si companiile care presteaza servicii si colecteaza date b2b nu doar b2c.
- Regulamentul de ePrivacy exclude interesul legitim din lista motivelor de a face direct marketing – practic asta insemnand ca, pentru fiecare campanie de direct marketing va fi necesar consimtamantul.
- ePrivacy prevede, in forma actuala, ca accesul la servicii/continut online trebuie acordat indiferent ca utilizatorul si-a dat sau nu consimtamantul pentru procesare de date. Sub nici o forma nu trebuie restrictionat – nici macar optiunea paywall nu poate sa fie exclusiva. Practic, varianta actuala a acestui regulament de ePrivacy spune ca daca nici nu vrea sa dea date, nici nu vrea sa plateasca, tot ar trebui sa aiba acces la continut.
- O solutie pentru publisheri: microplati pentru continut specific.
- IAB Europe, alaturi de alte organizatii ale industriei, fac lobby pentru pastrarea dreptului companiilor de a-si stabili propriul model de business – nu determinat de Comisia Europeana prin impunerea paywall-ului sau a impunerii acordarii accesului gratuit la continut.
- Regulamentul de ePrivacy este de asteptat sa fie definitivat la finalul anului 2018, in cadrul presedentiei Austriei la Consiliul Europei, pana in 2019 cand va prelua Romania acest rol.
- Momentan se afla in discutie la nivelul statelor membre.
Un beneficiu al noilor reglementari – consolidarea relatiei cu utilizatorul
Alte referinte:
https://www.iabeurope.eu/policy/gig-working-paper-on-gdpr-consent/
Comentarii recente