GDPR vs ePrivacy: lo que necesita saber

Publicado: 2018-02-15

El Reglamento General de Protección de Datos (GDPR) reemplaza la Directiva de Protección de Datos 95/46/EC…

…Y, trae consigo, nuevas Regulaciones de ePrivacy (ePR) para ciudadanos de la UE…

…incluso si esos datos se almacenan y manejan fuera de Europa…

…en una era en la que los datos personales son cada vez más valiosos económicamente.

Así que es increíblemente importante.

Pero también... ¿eh?

Y los artículos sobre GDPR parecen hacerlo más complicado.

Por ejemplo….

GDPR reemplaza la Directiva de Protección de Datos 95/46/EC. ¿Todo claro?
GDPR se ocupa de MUCHO más que solo la privacidad digital. Y por eso hay una sub-ley llamada Regulaciones de privacidad electrónica para dar reglas más específicas. ¿Todavía claro?
El Reglamento de privacidad electrónica reemplaza a la Directiva de privacidad electrónica, ¿todavía conmigo?
GDPR está aprobado y se convertirá en ley el 25 de mayo de 2018, ¿listo?
Cada país europeo puede hacer su propio "sabor" de GDPR y solo dos países lo han hecho de dos docenas... ¿qué?
Lo más probable es que las normas de privacidad electrónica ni siquiera estén listas para el 25 de mayo de 2018... ¿ehhh, de nuevo?
Entonces, donde las cookies se mencionan una vez en GDPR, las Regulaciones de privacidad electrónica están llenas de descripciones detalladas de lo que está y lo que no está permitido... pero nos falta esa ley final (está en el borrador n.º 1533). Práctico, ¿verdad?

¿Asi que que hacemos? ¿Qué reglas seguimos?

Así que es un desastre, pero nadie te lo está diciendo. Dado que el dinero se va a hacer.

De artículo en artículo, leerá sobre las aterradoras multas de 20 millones de euros (24 millones de dólares).

El precio del fracaso es, pero las reglas no están claras. ¿Asi que que hacemos?

Implementamos lo que dice GDPR, eso es lo que hacemos.

Porque en realidad no importa que no se cumplan todas las leyes. Conocemos la estructura central, y eso significa que la ley de cada país puede variar ligeramente. Pero tenemos lo básico.

Y esos son….

Marketing digital y RGPD ¿qué sabemos?

En GDPR, sabemos que las cookies se mencionan solo una vez. El considerando 30 establece:

Las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores, como etiquetas de identificación por radiofrecuencia.

Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden usarse para crear perfiles de las personas físicas e identificarlas.

Así que no quieren ningún identificador único . Ni siquiera en las cookies, y seguramente ningún dato personal.

Los datos personales son una versión europea de PII. Pero ohhh chico es diferente. Aquí una tabla comparativa.

Datos de identificación personal (PII)

Información personal

Nombre completo (si no es común)
Direccion de casa
Dirección de correo electrónico
Número de Identificación Nacional
Número de pasaporte
Número de matrícula del vehículo
Número de carnet de conducir
Rostro, huellas dactilares o escritura a mano.
números de tarjetas de crédito
identidad digital
Fecha de nacimiento
Lugar de nacimiento
Información genética
Número de teléfono
Nombre de inicio de sesión, nombre de pantalla, apodo o identificador

Nombre completo (si no es común)
Direccion de casa
Dirección de correo electrónico
Número de Identificación Nacional
Número de pasaporte
Número de matrícula del vehículo
Número de carnet de conducir
Rostro, huellas dactilares o escritura a mano.
números de tarjetas de crédito
identidad digital
Fecha de nacimiento
Lugar de nacimiento
Información genética
Número de teléfono
Nombre de inicio de sesión, nombre de pantalla, apodo o identificador

Dirección IP
Identificadores únicos como ID de dispositivo, ID de usuario, ID de transacción, ID de cookie
Datos seudónimos (esos son datos irreconocibles + clave en un lugar diferente para que se puedan leer de nuevo)

Por ahora, eso es lo que sabemos.

La intención de la ley GDPR de Europa

Ahora puede tomar un equipo legal y puede encontrar todas las áreas grises de qué y qué no está permitido. Pero primero entendamos la idea central, la intención, detrás de la regulación.

Si entiende la ley, puede entender muy claramente cuando se está aventurando en trucos de privacidad blackhat y grayhat. Y puede determinar qué herramientas eliminar de su pila y qué trucos de marketing geniales realmente puede conservar. Lea el considerando 26 del RGPD.

(O omita las cursivas y confíe en el resumen que escribí después de ellas).

Los principios de protección de datos deben aplicarse a cualquier información relativa a una persona física identificada o identificable.

Los datos personales que han sido objeto de seudonimización, que podrían atribuirse a una persona física mediante el uso de información adicional, deben considerarse información sobre una persona física identificable.

Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que razonablemente puedan utilizarse, como la singularización, ya sea por el responsable del tratamiento o por otra persona para identificar a la persona física directa o indirectamente.

Para determinar si es razonablemente probable que se utilicen medios para identificar a la persona física, deben tenerse en cuenta todos los factores objetivos, como los costos y la cantidad de tiempo requerido para la identificación, teniendo en cuenta la tecnología disponible en el momento de la identificación. procesamiento y desarrollo tecnológico.

Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, la información que no se relaciona con una persona física identificada o identificable o con datos personales anonimizados de tal manera que el interesado no sea o ya no sea identificable.

Por tanto, el presente Reglamento no se refiere al tratamiento de dicha información anónima, incluso con fines estadísticos o de investigación.

En resumen, mi versión: los datos personales (y eso es mucho) solo deben recopilarse con un interés legítimo (en otro artículo, más sobre eso) o a cambio de consentimiento, como parte de un contrato. Hay un par de excepciones más que no se aplicarán al 90% de los especialistas en marketing digital, pero puede leerlas todas aquí.

Cuando recopila datos personales, debe ser...

almacenados de forma segura dentro de Europa.
protegido.
puede ser borrado o modificado a petición.

También debe estar listo para señalar una violación de la seguridad de esos datos dentro de las 72 horas posteriores a que ocurra. Así que asegúrese de ser capaz de informar a los interesados y a las autoridades, si ocurriera uno.

Los europeos quieren esta ley, va mucho más allá de Europa y afecta a todas las bases de datos del mundo donde se almacenan los europeos con algún tipo de información personal.

“Pero Dennis, te estás olvidando…”

Obviamente, me estoy olvidando de toneladas y toneladas de cosas. Son más de 300 páginas de la ley GDPR y más de 100 sobre el borrador 1533 de las Regulaciones de privacidad electrónica. Pero la idea es clara.

El almacenamiento de datos personales lo afectará a usted como propietario de marketing digital porque debe solicitar su consentimiento.

¿Qué? ¿Consentir? ¡Sí, consentimiento explícito!

Sí. Debe explicar a los visitantes del sitio web, clientes potenciales y clientes cómo recopila y almacena sus datos. No lo use de ninguna otra manera que no sea la forma en que comparte.

Así que no... al suscribirte a este documento técnico, aceptas los términos, bla, bla, nadie leerá esto.

En cambio….

“<casilla de verificación sin marcar> Acepto que al descargar este documento técnico, recibiré un correo electrónico con el documento técnico.
<casilla de verificación sin marcar>, doy mi consentimiento para una llamada telefónica de un representante de la empresa X".

Maldición... eso va a reducir las tasas de conversión, ¿verdad?

Si, probablemente.

Lo siento, no es mi ley…

¿Qué puedes hacer sin consentimiento?

Puede usar cualquier herramienta en su pila que no almacene ID de cookies y no almacene datos personales. Sin huellas dactilares y otros trucos desagradables para evitar las cookies...

Por lo tanto, no se permiten ID de cookies, identificadores únicos ni almacenamiento de datos personales en los sitios web de esas herramientas.

Convert Experiences (nuestro software de prueba A/B) se ejecutará sin ID de cookies e identificadores únicos y sin almacenamiento de datos personales. Eso es algo que debe buscar al evaluar sus herramientas de marketing.

Parece que se permitirá el análisis web (recuento de visitantes), pero no está 100% claro qué herramientas y funciones de análisis están permitidas. Eso depende de las Regulaciones de privacidad electrónica, una ley que, de nuevo, no está terminada.

Entonces, ¿vale la pena pedir consentimiento? Quizás…

Por lo tanto, debe solicitar un consentimiento claro, por tipo (grupo) de herramientas.

Lo que te pone en una posición incómoda.

¿Si ejecuta 10 herramientas de reorientación que combinan búsquedas históricas, visitas a la página, etc.? Póngalos en un grupo y vea si puede explicar el beneficio claramente a los visitantes, para que den su consentimiento.

Sin casillas marcadas previamente... sin sobornos, sin paredes de galletas...

Y esas herramientas SÓLO pueden ejecutarse, si un visitante les da luz verde. Incluso para los especialistas en marketing más inteligentes, lo que está viendo es un corte de tráfico.

Hay mucho más que aprender.

Y entonces estamos documentando las áreas grises.

Aquí hay algunos buenos lugares para comenzar:

Cómo ejecutar una campaña exitosa de renovación de permisos de GDPR: una guía paso a paso
¿Growth Hacking su camino a fuertes multas? Ajuste su estrategia de salida para GDPR.
Cómo comprar software de prueba A/B compatible con GDPR
Cómo convertir en comercio electrónico en la era GDPR