GDPR:
As implicações para o sector do marketing móvel
O RGPD e as implicações para o sector da publicidade móvel
1. O que precisa de saber sobre o RGPD
A proteção de dados entrou numa era de mudanças sem precedentes. Em dezembro de 2015, após mais de três anos de duras negociações e múltiplas versões preliminares, três grandes instituições da UE - o Parlamento Europeu, o Conselho da União Europeia e a Comissão Europeia - chegaram a acordo sobre o texto do Regulamento Geral sobre a Proteção de Dados (RGPD).
O regulamento entra em vigor em 25 de maio de 2018 e substitui a Diretiva relativa à proteção de dados, que tem sido a base da proteção de dados europeia há mais de duas décadas.
Eis as principais razões do RGPD:
1. Mudança revolucionária na forma como utilizamos e partilhamos a informação
A Diretiva relativa à proteção de dados foi adoptada em 1995, numa altura em que a Internet não estava amplamente disponível e as pessoas quase não tinham telemóveis. Uma vez que a diretiva já não se adequa ao objetivo, o RGPD foi concebido para garantir a segurança dos dados pessoais no nosso mundo moderno e tecnológico.
2. Aumento do número de violações de dados de alto perfil
Depois de empresas tecnológicas como a Uber e a Yahoo terem sofrido violações de dados em grande escala que afectaram mais de 3 mil milhões de contas de utilizadores, os consumidores e os reguladores ficaram cada vez mais preocupados com a gestão dos dados pessoais.
3. Necessidade clara de sanções mais significativas
Os famosos casos em que poderosos gigantes da tecnologia violaram a lei (por exemplo, o Facebook utilizou um opt-in genérico para fundir os dados do Whatsapp) sublinharam a insignificância das coimas existentes por violação dos regulamentos em matéria de privacidade, apoiando ainda mais a necessidade de uma nova legislação.
Ao introduzir requisitos de conformidade mais rigorosos em matéria de proteção de dados, o RGPD é um fator de mudança para as empresas de vários sectores da indústria. Não é de surpreender que o novo regulamento também tenha um impacto crítico no sector do marketing móvel. Os profissionais de marketing móvel, os editores e as empresas de tecnologia por detrás deles - todas as empresas que operam no sector - têm de garantir a conformidade com o RGPD quando este entrar em vigor em maio deste ano.
O incumprimento tem um preço - as coimas podem atingir 20 milhões de euros ou 4% das receitas brutas anuais, consoante o montante que for mais elevado.
O tempo está a passar e, a apenas algumas semanas do fim do prazo, as empresas já deveriam ter concluído uma avaliação do impacto da proteção de dados e estar no bom caminho para reparar eventuais lacunas. Se a sua empresa opera no espaço do marketing móvel, este guia foi concebido para o ajudar a agir agora - independentemente de estar apenas a começar os preparativos ou de já estar a assinalar as caixas finais da sua lista de verificação de trabalho de base.
RGPD
2. O que significa o GDPR
para o sector do marketing móvel
Embora o RGPD represente alguns desafios para a comunidade móvel, também traz mudanças positivas, harmonizando a lei nos 28 Estados-Membros da UE e tornando o complexo panorama da proteção de dados mais fácil de navegar. Mais importante ainda, clarifica a lei de proteção de dados, eliminando as "áreas cinzentas" que prevaleciam antes do RGPD.
A lista seguinte apresenta as alterações mais significativas do RGPD:
Definição de dados pessoais
A definição é muito mais abrangente ao abrigo do RGPD e inclui tipos de dados que anteriormente não eram classificados como dados pessoais. O GDPR define claramente que todos os identificadores de dispositivos, incluindo AAID (Android Advertising ID), IDFA (Apple ID for Advertising), bem como Cookie IDs e dados de localização são considerados dados pessoais.
Implicações para o marketing móvel
Qualquer informação relativa a uma pessoa singular identificada ou identificável torna-se um dado pessoal e deve ser tratada como tal (incluindo valores hash).
Novos direitos
O RGPD introduz novos direitos para os consumidores. O direito ao apagamento permite que as pessoas solicitem aos responsáveis pelo tratamento de dados que apaguem todos os dados pessoais sem demora injustificada. O direito à portabilidade dos dados permite às pessoas solicitar que os seus dados sejam "portados" de uma empresa para outra. O direito de acesso permite que os utilizadores acedam aos seus dados pessoais para verificar a legalidade do tratamento.
Implicações para o marketing móvel
As empresas devem dispor de processos que permitam aos clientes apresentar pedidos de auto-exclusão em qualquer altura e garantir que estes são atendidos. As bases de dados de consentimento devem registar quando o consentimento foi dado e se foi retirado. Os sistemas devem estar aptos a efetuar opt-outs e eliminações rápidas e completas.
Privacidade desde a conceção
Os dados têm de ser controlados e processados com medidas de segurança claramente definidas. A privacidade deve ser integrada em novos produtos e funcionalidades desde o início, incluindo medidas técnicas e organizacionais adequadas para cumprir todos os requisitos do RGPD.
Implicações para o marketing móvel
As empresas têm a obrigação legal de reduzir ao mínimo a quantidade de dados; estes devem ser conservados apenas durante o tempo necessário. A pseudonimização deve ser aplicada para reduzir os riscos do processamento de dados.
Gestão de Consentimentos
O tratamento de dados pessoais exige uma base jurídica sólida ao abrigo do RGPD, por exemplo, o consentimento explícito de um utilizador ou, em alguns casos, o interesse legítimo do tratamento de dados. Pedir o consentimento significa colocar os consumidores no controlo e dar-lhes uma verdadeira escolha. O consentimento do utilizador deve ser redigido em linguagem simples e fornecer pormenores como as finalidades do tratamento, os tipos de dados que serão tratados e os responsáveis pelo tratamento de dados que irão tratar os dados.
Implicações para o marketing móvel
Se o consentimento for escolhido como base jurídica para o tratamento de dados, as empresas precisam de provar que um cliente deu o seu consentimento explícito para a recolha de dados. Os consentimentos devem ser redigidos em linguagem simples, sem juridiquês, devem ser documentados e estar disponíveis em toda a cadeia de responsáveis pelo tratamento de dados e subcontratantes.
Para melhor documentar e gerir o consentimento dos utilizadores, estão disponíveis soluções especializadas de gestão de consentimentos . Estas soluções aliviam a carga dos responsáveis pelo tratamento de dados, cumprindo os requisitos do de opt-ins e opt-outs contínuos, bem como fornecendo documentação detalhada de casos específicos para utilizadores individuais.
O IAB Europe iniciou uma solução de gestão de consentimento para todo o sector. Mais informações em http://advertisingconsent.eu/.
3. Compreender o seu papel na cadeia de processamento de dados
Ser capaz de identificar corretamente o seu papel - e o dos seus parceiros - na cadeia de tratamento de dados tem um impacto significativo na qualidade dos dados.
Nos termos do RGPD, tanto os responsáveis pelo tratamento de dados como os processadores de dados são responsáveis pela gestão segura dos dados pessoais e pela comunicação de violações de dados. No entanto, os responsáveis pelo tratamento de dados têm mais opções para trabalhar com os dados e, consequentemente, mais responsabilidades no que respeita à documentação dos processos internos, à avaliação do impacto na privacidade, às opções de exclusão e às auditorias de terceiros.
Com tantos intervenientes e intermediários no espaço complexo e em constante mudança do marketing móvel, pode por vezes ser difícil atribuir às empresas as funções correctas.
Para simplificar, eis a repartição da cadeia de tratamento de dados:
Titular dos dados: O indivíduo que é objeto de dados pessoais.
Exemplo do sector do marketing móvel: Utilizador da aplicação.
Responsável pelo tratamento de dados: A empresa que determina as finalidades e a forma como os dados pessoais são processados. O responsável pelo tratamento pode fornecer dados a outros responsáveis pelo tratamento, bem como a subcontratantes.
Exemplo do sector do marketing móvel: Editor de aplicações, anunciante, SSP, DMP, DSP.
Processador de dados: A empresa que processa os dados em nome de um responsável pelo tratamento de dados. O processador só pode fornecer dados a subprocessadores, nunca de volta aos responsáveis pelo tratamento.
Exemplo do sector do marketing móvel: Empresa de análise que actua estritamente em nome de um responsável pelo tratamento de dados.
Tanto os responsáveis pelo tratamento de dados como os subcontratantes ao longo da cadeia devem compreender a origem dos dados utilizados e certificar-se de que os seus fornecedores dispõem de mecanismos de consentimento adequados e mantêm o registo do consentimento.
Dados
Dados da primeira parte
Definição
Os dados são recolhidos pelo próprio proprietário dos dados (por exemplo, através da sua própria aplicação ou SDK).
Implicações para o sector do marketing móvel
Os proprietários de dados de terceiros (por exemplo, editores de aplicações) beneficiam da sua relação direta com o consumidor e podem obter um consentimento explícito.
Dados de terceiros
Os dados são fornecidos por empresas e agregadores terceiros.
Para empresas terceiras que recolhem e documentam o consentimento adequado.
Dados de 1ª e 3ª parte
4. A sua organização está preparada para o RGPD?
Como o GDPR traz a maior mudança na proteção de dados na Europa em décadas, existem muitas estruturas que fornecem etapas detalhadas a serem seguidas para se preparar totalmente para ele. Esperamos que a sua organização já tenha tomado medidas firmes para estar em conformidade com o novo regulamento. No entanto, se só está a começar a preparar-se nesta fase, o melhor plano é obter apoio profissional o mais rapidamente possível.
Independentemente da fase de preparação em que a sua organização se encontra atualmente, é uma boa ideia efetuar uma avaliação preventiva do seu estado.
As perguntas mais importantes que deve fazer a si próprio são
Responsável pela proteção de dados
Responsável pela proteção de dados (RPD)
Processa dados de clientes em grande escala e precisa de uma pessoa dedicada para monitorizar o seu programa de conformidade com o RGPD?
O GDPR exige a nomeação de um DPO para as organizações que processam grandes quantidades de dados pessoais sensíveis. As principais tarefas do RPD incluem a consulta, o controlo da conformidade, a formação do pessoal e as auditorias internas.
Notificação obrigatória de violações
Em caso de violação de dados, seria capaz de notificar as autoridades de proteção de dados no prazo de 72 horas?
Uma violação é definida como uma violação da segurança que provoque, de forma acidental ou ilegal, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais. As violações devem ser comunicadas às autoridades no prazo de 72 horas.
Notificação obrigatória de violações
Privacidade desde a conceção
Privacidade desde a conceção
Inclui requisitos de proteção de dados no desenvolvimento dos seus processos empresariais e novos produtos?
A privacidade deve ser integrada nos novos sistemas, produtos e funcionalidades desde o início. Por defeito, as definições de privacidade devem ser definidas a um nível elevado.
Novos direitos
Está preparado para cumprir os novos direitos dos consumidores de aceder, apagar e transferir os seus dados pessoais?
O RGPD permite que as pessoas acedam aos seus dados para verificar a legalidade do tratamento, para obter, reutilizar ou apagar os seus dados pessoais e para interromper a distribuição dos seus dados.
RGPD Novos direitos
Âmbito alargado do RGPD
Âmbito de aplicação alargado
Compreende o seu papel como processador ou controlador de dados? Processa os dados de cidadãos da UE?
O GDPR aplica-se a todos os controladores e processadores de dados estabelecidos na UE, bem como a todas as organizações fora da UE que tenham cidadãos da UE como clientes. A legislação tem impacto em qualquer empresa que possa entrar em contacto com um cidadão europeu, incluindo empresas sediadas nos EUA.
Responsabilidade
Está preparado para provar a conformidade da sua organização com os requisitos do RGPD?
A pedido das autoridades de proteção de dados, as empresas devem fornecer documentação sobre as suas políticas, procedimentos e operações de tratamento de dados.
Responsabilidade pelo RGPD
5. Lista de controlo para editores móveis
Um dos principais objectivos do RGPD é permitir que as pessoas controlem melhor os seus dados. Graças ao seu acesso direto aos consumidores, os editores móveis são particularmente responsáveis por proporcionar esse controlo. Entre outras responsabilidades, os editores devem informar claramente as pessoas sobre quais os dados recolhidos e o que lhes vai acontecer a partir do momento em que são submetidos.
O GDPR traz regulamentos rigorosos e os editores devem tomar medidas para avaliar criticamente as suas próprias práticas de processamento de dados e as dos seus parceiros - e agir em conformidade.
Se estiver do lado da oferta do ecossistema de marketing móvel e estiver a rentabilizar os seus dados, eis uma lista de verificação das tarefas relacionadas com o RGPD que deve concluir para demonstrar total conformidade:
Determinar o seu papel
Rever e renegociar contratos
Atualizar a política de privacidade e os termos de serviço
Acordar a base jurídica para o tratamento de dados
Gerir o consentimento
Evitar a fuga de dados
Notificar infracções
Apesar de haver muito trabalho de base envolvido, o GDPR é um desenvolvimento positivo para os editores móveis que estão numa boa posição para obter o consentimento. O regulamento obriga os editores a retomarem o controlo do que acontece nas suas aplicações e sítios Web móveis e, ao mesmo tempo, aumenta o respeito pelo seu público. Por sua vez, estes desenvolvimentos conduzem a um aumento da confiança entre os utilizadores e os editores, melhorando ainda mais a qualidade dos dados recolhidos.
Lista de verificação para editores móveis
Determinar o seu papel
Tal como referido anteriormente, existem dois tipos diferentes de entidades que lidam com dados: os responsáveis pelo tratamento que determinam como e porquê os dados pessoais devem ser tratados e os subcontratantes que efectuam o tratamento efetivo em nome dos responsáveis pelo tratamento. Os editores móveis são normalmente os responsáveis pelo tratamento.
Rever e renegociar contratos
Os editores móveis devem atualizar a maioria dos seus acordos com fornecedores terceiros, uma vez que o RGPD traz novos requisitos e considerações que têm de ser codificados, incluindo:
Definições (por exemplo, a nova definição, mais alargada, de dados pessoais)
Notificações (os vendedores devem notificar os responsáveis pelo tratamento sem demora injustificada em caso de violação)
Colaboração (os fornecedores devem permitir que os responsáveis pelo tratamento respeitem os direitos dos titulares dos dados)
Segurança (os fornecedores devem garantir que o processamento é seguro e conforme)
Conservação de registos (os subcontratantes devem conservar registos de qualquer tratamento de dados efectuado na
do responsável pelo tratamento)
Atualizar a política de privacidade e os termos de serviço
Os editores móveis devem certificar-se de que estes documentos estão actualizados e abrangem todos os seus requisitos legais. Além disso, o RGPD exige que os editores expliquem a política de privacidade em linguagem simples e que a tornem facilmente acessível e visível antes de recolherem dados pessoais (incluindo cookies ou IDs de publicidade móvel).
Acordar a base jurídica para o tratamento de dados
Os editores móveis devem ter uma base jurídica adequada, como o consentimento ou o interesse legítimo, para recolher, utilizar e transferir dados pessoais. O consentimento deve ser dado de forma compreensível e facilmente acessível. Os editores devem ser claros quanto aos dados que recolhem, ao que tencionam fazer com eles e enumerar explicitamente todos os terceiros que utilizarão os dados.
Gerir o consentimento
Os editores de conteúdos móveis devem manter um registo do consentimento e dar ao indivíduo a possibilidade de o revogar em qualquer altura, bem como de aceder, corrigir ou apagar completamente todos os dados que os editores têm sobre ele. Os utilizadores devem poder retirar o consentimento com a mesma facilidade com que o dão.
Evitar a fuga de dados
O consentimento não faz sentido sem a aplicação da proteção de dados: a menos que os editores móveis impeçam todas as fugas de dados, um visitante que dê o seu consentimento não pode saber onde os seus dados podem ir parar. Os editores devem conhecer a sua tecnologia e os potenciais pontos fracos - e impedir a fuga de dados.
Notificar infracções
Em caso de violação de uma base de dados, os editores móveis devem notificar as autoridades no prazo de 72 horas após terem tido conhecimento da fuga.
6. Lista de verificação para anunciantes de telemóveis
Novos direitos para os consumidores, novas limitações de tempo para muitos pedidos, novo âmbito de responsabilidades - não há dúvida de que o RGPD traz desafios para os anunciantes móveis, tanto para os que já estão em sectores altamente regulamentados como para os que não estão.
Os anunciantes devem tomar medidas para avaliar de forma crítica as suas próprias práticas de processamento de dados e as dos seus parceiros - e agir em conformidade. Se estiver do lado da procura do ecossistema de marketing móvel, eis uma lista de verificação das tarefas relacionadas com o RGPD que deve concluir para demonstrar total conformidade:
Determinar o seu papel
Revisão e atualização dos contratos
Conheça os seus fornecedores
Obter o consentimento
Gerir o consentimento
Compreender os interesses legítimos
Atualizar a política de privacidade
Embora a preparação para o RGPD possa ser um desafio, esta nova legislação não deve ser vista como um retrocesso para os profissionais de marketing. De facto, é uma boa oportunidade para criar campanhas de marketing móvel direccionadas para as pessoas que estão envolvidas com a sua marca.
Graças ao consentimento explícito, o RGPD conduzirá a um aumento da qualidade dos dados. Os profissionais de marketing experientes devem utilizar este facto como uma oportunidade para aprofundar as necessidades dos seus potenciais clientes e clientes, substituindo a tradicional abordagem "tamanho único" do marketing móvel.
Lista de controlo do RGPD
Lista de verificação para anunciantes móveis
Determinar o seu papel
Um responsável pelo tratamento é alguém que determina os meios e as finalidades do tratamento de dados pessoais, por exemplo, que dados recolher e que públicos visar. Um subcontratante, por sua vez, processa os dados em nome do responsável pelo tratamento. Embora sejam possíveis alguns cruzamentos, na maioria dos casos isto significa que os anunciantes são os responsáveis pelo tratamento.
Revisão e atualização dos contratos
Os profissionais de marketing devem rever e atualizar os acordos entre empresas e os contratos dos processadores de dados. As versões actualizadas dos contratos devem ser alteradas para incluir novas cláusulas relacionadas com o RGPD e para garantir que todos os serviços relevantes estão totalmente em conformidade.
Conheça os seus fornecedores
Os fornecedores desempenham um papel crucial para determinar se os profissionais de marketing se mantêm em conformidade ou se arriscam a violar as regras. Tendo isso em mente, os profissionais de marketing devem esclarecer com cada fornecedor:
Que dados pessoais são tratados? Como? Porquê? Como é que minimizam a sua utilização?
Trata-se de um processador ou de um controlador?
Com que base jurídica estão a tratar os dados?
Como é que estão preparados para lidar com o consentimento?
Como estão a gerir os direitos das pessoas em causa?
Como é que tratam a segurança e as transferências internacionais?
Obter o consentimento
Para obter o consentimento, os anunciantes terão de fornecer aos indivíduos uma imagem clara da razão pela qual estão a recolher os dados, como serão utilizados e quem os utilizará. Deve ser utilizada uma linguagem simples e fácil de compreender sobre a base legal para o tratamento de dados. Deve ser oferecido o direito de revogar facilmente o consentimento.
Gerir o consentimento
É importante garantir que os sistemas podem registar o consentimento e as objecções subsequentes associadas a finalidades específicas declaradas no momento da recolha do consentimento.
Compreender os interesses legítimos
O RGPD permite o marketing direto como uma atividade de interesse legítimo se forem cumpridas determinadas condições e um teste de "equilíbrio de interesses" (que pondera os interesses dos profissionais de marketing em relação aos direitos do titular dos dados). Se o interesse legítimo for escolhido como base legal para o processamento de dados em vez do consentimento, os profissionais de marketing devem registar a forma como cumprem a proteção dos direitos individuais e as expectativas razoáveis.
Atualizar a política de privacidade
O RGPD exige avisos de privacidade mais pormenorizados, incluindo o período de conservação dos dados pessoais, pormenores de qualquer partilha de dados pessoais com terceiros, uma explicação de quaisquer actividades de definição de perfis realizadas, a forma como os indivíduos podem exercer os seus direitos, para onde enviar as queixas e se os países não pertencentes à UE irão processar os dados pessoais.
7. Targetoo É o seu parceiro de confiança no espaço de marketing móvel
O RGPD não foi concebido para impedir os profissionais de marketing de comunicarem com os seus clientes, nem impede os editores de continuarem os seus negócios de monetização de dados. O objetivo é dar mais controlo aos utilizadores, o que pode ser transformado numa vantagem competitiva quando se trabalha com parceiros credíveis e cuidadosamente seleccionados.
Na Targetoo, criámos um mercado neutro e transparente para permitir que as empresas tomem melhores decisões de marketing. Fundada e sediada na Alemanha, a Targetoo foi exposta a regulamentos de privacidade muito rigorosos desde os primeiros dias da sua criação e teve de os cumprir. Por conseguinte, já cumprimos a maioria dos requisitos do RGPD:
Alvo...
...tem o conceito de "Privacidade desde a conceção" incorporado no seu desenvolvimento desde o primeiro dia ...definiu "Medidas técnicas e organizacionais" como parte dos acordos de processamento de dados padrão
...desenvolveu um método de integração com os parceiros (Enriquecimento pré-concurso) que permite a eliminação direta de dados do lado da PDS e da PUP (não são enviados dados brutos aos parceiros)
...exige contratualmente que todos os parceiros de dados obtenham e forneçam provas de consentimento para todos os utilizadores
...tem um responsável externo pela proteção da privacidade dos dados nomeado desde 2018
...oferece aos utilizadores uma opção de exclusão no seu sítio Web para permitir a eliminação de dados e a interrupção da distribuição
...está ativamente envolvido na iniciativa IAB para a Solução de Gestão de Consentimentos, a fim de permitir normas para todo o sector e uma lista transparente de fornecedores
A Targetoo assume o papel de responsável pelo tratamento de dados.
Para além de oferecer uma plataforma de gestão de audiências self-service que permite aos proprietários de dados rentabilizarem os seus dados e aos compradores de dados direccionarem as audiências certas para as suas campanhas, a Targetoo também recolhe e processa dados para segmentos de audiências derivados do comportamento de localização, bem como para a Targetoo Data Alliance.
Como controlador de dados, a Targetoo cumpre todos os requisitos do RGPD e actua como um parceiro de confiança para a segmentação de audiências, bem como para a monetização de dados.
8. Conclusão
Embora a aproximação do prazo para cumprir o RGPD mantenha o sector do marketing móvel ocupado, é importante dar um passo atrás e reconhecer o valor que o novo regulamento traz. O Regulamento Geral sobre a Proteção de Dados tem como objetivo devolver o controlo sobre os dados pessoais aos cidadãos europeus e simplificar o ambiente regulamentar em que os negócios internacionais são realizados.
Para se manterem em conformidade, as empresas já devem estar a fazer progressos na reparação de quaisquer lacunas identificadas durante as suas avaliações internas da privacidade dos dados e revisões de contratos. No entanto, a reparação destas lacunas deve ser vista como mais do que uma mera responsabilidade de conformidade. A utilização ética dos dados estabelece a confiança entre empresas e consumidores - reforçando ainda mais a nossa economia baseada em dados. As empresas inteligentes, tanto do lado da oferta como da procura do ecossistema de marketing móvel, devem transformar as actividades de conformidade numa oportunidade de se manterem à frente da concorrência e de reforçarem as suas relações com os clientes.
RGPD - Conclusão do Targetoo
Declaração de exoneração de responsabilidade: As informações e recomendações contidas neste livro branco são de carácter geral e não representam aconselhamento jurídico. Consulte os seus próprios profissionais jurídicos se pretender obter aconselhamento sobre interpretações e requisitos específicos do RGPD.
