Privacidad: Resumen anual de 2015

Mientras miramos hacia el nuevo año, una cosa está clara: en 2016, los anunciantes y los especialistas en marketing deberán mejorar su juego cuando se trata de conectarse con el usuario final. ¿El reto? Crear experiencias que respeten los derechos de privacidad individuales y mantengan al usuario final comprometido.

Por lo tanto, es un buen momento para dar un paso atrás y pensar si sus prácticas de datos existentes profundizan o dañan la confianza con sus usuarios. Y recuerde: deberá resolver todo esto en un momento en que las personas optan por no recibir anuncios en línea en números récord a medida que las reglas del juego continúan cambiando drásticamente.

Estas son las principales conclusiones sobre privacidad de 2015:

Consumidores, actitudes de privacidad y bloqueadores de anuncios

En 2015, las preocupaciones sobre la privacidad de los consumidores evolucionaron, desde un temor generalizado a la vigilancia gubernamental y el seguimiento comercial, hasta preocupaciones específicas sobre si se recopilan, utilizan y conservan datos personales.

En una encuesta de Pew Trust de marzo de 2015 , los participantes revelaron que, si bien todavía estaban preocupados por la vigilancia del gobierno en la era posterior a Snowden, estaban igualmente preocupados por la recopilación y el uso de datos por parte de actores privados y comerciales. Más concretamente, los participantes de Pew mostraron una marcada desconfianza hacia la publicidad en línea: el 76 % de los adultos encuestados respondieron que no estaban "completamente seguros" de que "los registros de su actividad mantenidos por los anunciantes en línea que colocan anuncios en los sitios web que visitan permanecerán privados y seguros". ”.

¿Existe un vínculo entre las actitudes expresadas en la encuesta de Pew y la mayor preocupación que enfrentan los medios digitales en 2015, a saber, el ascenso meteórico y la adopción de la tecnología de bloqueo de anuncios?

foto de Spoon Agency

Los números parecen sugerir que este es el caso. L a asociación comercial de editores en línea, Digital Content Next (DCN), publicó los resultados de una encuesta que encontró que más de un tercio de los consumidores de EE. UU. probarán los bloqueadores de anuncios en los próximos tres meses, y aproximadamente la mitad de ese número eventualmente optará por no hacerlo. de la publicidad basada en intereses por completo.

Y es probable que estos números continúen aumentando, con el lanzamiento de Apple de una función en iOS 9 que permite a los usuarios habilitar el bloqueo de anuncios móviles, una experiencia de usuario un poco torpe porque tiene que descargar una aplicación de bloqueo de anuncios para aprovechar este bloqueo. característica (y probablemente una de las razones detrás del número récord de descargas de aplicaciones de bloqueo de anuncios después del lanzamiento de iOS 9).

¿Quitar?

Eche un vistazo detenidamente a sus declaraciones y avisos de privacidad. ¿Cree que proporcionan una visión clara de por qué y cómo recopila y utiliza los datos del usuario final? Tal vez sea hora de ser creativo con su política de privacidad y pensar en una que incorpore sonido, gráficos o incluso animación en el formato. Tener una política de privacidad que explique su valor para los usuarios de forma comprensible y gestione las expectativas sobre el uso y el intercambio de datos debería ayudar a evitar los números de exclusión voluntaria. Y, por supuesto, desea actualizar continuamente su política de privacidad y mantener informados a los usuarios sobre cambios importantes.

El CEO de TUNE, Peter Hamilton, en realidad cree que el bloqueo de anuncios tiene una ventaja, ya que los consumidores esencialmente le están diciendo lo que no funciona para ellos al bloquear sus anuncios. Eche un vistazo a sus consejos para repensar la experiencia de publicidad digital en este artículo de Mediapost de diciembre .

La FTC continúa señalando una fuerte aplicación en 2015

2015 fue un año ajetreado y significativo para la FTC.

La agencia obtuvo una gran victoria cuando su autoridad de seguridad de datos fue confirmada por el Tercer Circuito, un caso de alto perfil que involucraba a los hoteles Wyndham (consulte mi publicación de blog de septiembre aquí para obtener más información sobre el caso Wyndham y su posible impacto). Pero también sufrió un revés cuando un juez de derecho administrativo desestimó su caso de seguridad de datos contra LabMD , argumentando que la agencia no había probado un elemento importante de un caso de injusticia de la FTC: que la falta de prácticas de seguridad causó o era probable que causara "daños sustanciales". a los consumidores”.

La FTC continuó con su historial de ser el ejecutor de privacidad más activo del mundo, presentando acciones basadas en estatutos como la Ley de protección de la privacidad en línea para niños (COPPA) y la Ley de informes crediticios justos (FCRA), así como bajo las leyes "engañosas" y " injusticia” de conformidad con la Sección 5 de la Ley de la FTC. La FTC también llevó a cabo varias iniciativas de políticas, incluido un taller sobre seguimiento entre dispositivos (consulte el resumen de TUNE aquí ) y la publicación de una guía de la agencia sobre publicidad nativa .

Uno de los casos más significativos relacionados con el ecosistema de aplicaciones fueron las acciones de la FTC de diciembre de 2015 contra dos desarrolladores de aplicaciones móviles por violaciones de COPPA. Estas son algunas de las primeras acciones de cumplimiento basadas en el intercambio de "identificadores persistentes" o técnicos, como un IDFA o una dirección IP, entre un desarrollador de aplicaciones y una red publicitaria. Con estas acciones, la FTC ha establecido que los identificadores persistentes, como una ID de publicidad o una dirección IP, constituyen "datos personales": la recopilación, el uso o el intercambio de los cuales genera la responsabilidad de COPPA.

¿Quitar?

Estos casos de la FTC nos recuerdan que, independientemente de si los datos se consideran personales o materiales, es importante tener en cuenta la recopilación de datos, el uso y los controles del consumidor (como la exclusión voluntaria) con precisión en su política de privacidad, de lo contrario, podría enfrentar una aplicación de la FTC. acción. Además, debe pensar más allá de las mejores prácticas de privacidad y asegurarse de que está siguiendo todas las reglas, especialmente si está recopilando datos para fines cubiertos por las leyes estadounidenses existentes, por ejemplo, datos utilizados para fines de crédito, seguros y empleo según la FCRA, y datos recopilados de niños menores de 13 años con fines de marketing en virtud de COPPA.

Cambios en las normas de protección de datos de la UE

2015 vio algunas revisiones importantes a importantes requisitos de privacidad en Europa.

En octubre, el Tribunal de Justicia de la Unión Europea invalidó el marco de puerto seguro de EE. UU. y la UE, el principal medio por el cual las empresas transfieren datos personales con fines comerciales de la UE a los EE. UU. (más información en esta actualización del equipo de privacidad de Hogan Lovells). Los reguladores de EE. UU. y la UE tienen hasta finales de enero para decidir sobre un nuevo marco de puerto seguro entre EE. UU. y la UE que cumplirá con los requisitos establecidos en el Dictamen del Tribunal de Justicia.

En diciembre, después de casi cuatro años de negociación, la Comisión Europea, el Consejo y el Parlamento acordaron una ley de protección de datos de la UE revisada o “ G D P R ” que impondría obligaciones significativas a las empresas que recopilan datos del usuario final de la UE. A diferencia de la legislación actual de la UE en virtud de las Directivas de 1995 y de privacidad electrónica, el RGPD es un reglamento que entrará en vigor sin necesidad de legislación adicional de implementación por parte de los estados miembros de la UE. Será aplicable como ley de la UE en algún momento de 2018. Eso significa que todavía tiene tiempo para evaluar el impacto potencial de los requisitos de GDPR en su negocio.

Aquí hay cuatro de los principales desarrollos en los que debería estar pensando:

1. Los datos seudónimos ahora son datos personales, para siempre.

Según el RGPD, la definición de datos personales se ha ampliado para incluir identificadores técnicos como identificadores de anuncios y direcciones IP. Esto pone la ley de la UE en línea con el pensamiento actual de la FTC (como se discutió anteriormente en esta actualización). La nueva ley también tiene requisitos específicos para las empresas que almacenan datos en “perfiles”. Además, el RGPD trata los datos personales como si siempre mantuvieran su naturaleza personal, incluso después de haberlos convertido en hash o "pseudonimizados". Como resultado, los derechos de protección de datos del consumidor que tradicionalmente se aplicaban a los datos personales según la legislación de la UE (por ejemplo, notificación, exclusión voluntaria, eliminación, retención) ahora se aplicarán a los datos hash.

Requerir que los datos sean procesados ​​ya es una mejor práctica emergente para almacenar o transferir datos utilizados con fines de marketing. Por lo tanto, la industria debe trabajar en conjunto para articular y desarrollar un estándar común para proteger los datos seudónimos, particularmente porque el RGPD establece "códigos de conducta" de la industria para abordar este tipo de problemas. Ya vemos un gran trabajo en este sentido por parte de organizaciones como IAB UK y Future of Privacy Forum y esperamos aún más debates en 2016 (nota: TUNE trabaja con ambas organizaciones; también somos miembros de FPF y formamos parte de su grupo asesor). junta).

2. Mayor responsabilidad de los procesadores de datos

Según la legislación actual de la UE, los controladores de datos que determinan cómo se procesarán los datos conservan la responsabilidad principal por las violaciones de la protección de datos. Los procesadores de datos como TUNE, que procesan datos a pedido de los controladores de datos, no tienen la responsabilidad principal suponiendo que cumplan con ciertos requisitos (generalmente consignados en un "anexo de procesamiento de datos" entre el controlador y el procesador).

Sin embargo, el RGPD aumentará la responsabilidad de los procesadores de datos. Existe la posibilidad de responsabilidad conjunta y solidaria por violaciones de datos, como el acceso no autorizado o una violación de datos. En algunos casos, un procesador de datos podría ser el principal responsable de las violaciones de datos, especialmente si se determina que las deficiencias en el procesamiento llevaron a la violación en cuestión o si se determina que el procesador actuó más como un controlador de datos en una instancia particular. Además, los procesadores de datos deben demostrar “ Responsabilidad ”. Y todo esto se vuelve aún más significativo si se considera que, según el RGPD, los reguladores pueden imponer sanciones de hasta el 4 % de la facturación anual global de una empresa.

3. Se requiere consentimiento para la mayoría de los tipos de "elaboración de perfiles"

La nueva ley de la UE requiere que obtenga el consentimiento de una persona antes de configurar cualquier tipo de perfil en ese usuario (o sus dispositivos). Las únicas excepciones a esta regla son para la prevención y detección de delitos. Aunque en borradores anteriores se discutió un estándar muy impracticable de consentimiento explícito, la versión final de la ley establece un estándar de consentimiento “inequívoco”. Queda por ver cuál será realmente ese nivel de consentimiento cuando se trata de análisis o cualquier otro tipo de actividad de big data. Sin embargo, esta es otra pregunta que la industria puede responder a través de un código de conducta o un proceso similar de partes interesadas.

4. COPA

El RGPD incluirá una ley de privacidad infantil similar a la ley COPPA de EE. UU., aunque no está claro cuáles serán los requisitos específicos. El RGPD establece la edad de consentimiento en 16 años, pero los reguladores individuales de protección de datos de la UE pueden reducirla a 13 años (que actualmente es la edad de consentimiento según la COPPA de EE. UU.).

¿Quitar?

El RGPD tendrá un gran impacto en la forma en que las empresas hacen negocios con los ciudadanos de la UE . Muchos de los requisitos, en torno al consentimiento, el tratamiento de datos seudónimos y datos de niños, aún no se han determinado. Sin embargo, la nueva ley también prevé que la industria jugará un papel a través de códigos de conducta, certificaciones y otros mecanismos. Esto significa que el grupo de expertos en privacidad y las comunidades de asociaciones de la industria tienen un papel importante que desempeñar, ya que ayudan a las empresas a navegar por los nuevos requisitos y proponen estándares viables para cumplir con la nueva ley. TUNE espera trabajar con nuestros socios de asociación existentes, Future of Privacy Forum , eDAA y Privacy Law Salon , en algunos de estos esfuerzos en el nuevo año.

¿Cuál es su plan de juego en 2016?

Con todo esto en mente, es un buen momento para comenzar a pensar en cómo planea mejorar su juego en 2016. Un nuevo año brinda la oportunidad de volver a involucrar a los usuarios y rediseñar el cumplimiento, especialmente con los nuevos requisitos de GDPR que se avecinan en el horizonte. .

En TUNE, continuaremos nuestro trabajo para educar e informar en 2016 a través de nuestros boletines, publicaciones de blog y otros eventos centrados en datos y privacidad. También nos pondremos en contacto para ver si empresas con ideas afines están interesadas en asociarse con nosotros en una campaña de educación sobre la Internet financiada con publicidad, cómo funciona y los beneficios que brinda (sobre todo, el acceso a servicios como Gmail o Facebook). Creemos que gran parte de las preocupaciones de privacidad sobre la recopilación de datos en línea se pueden abordar a través de esfuerzos específicos que se centren en este tipo de educación del usuario final y de las partes interesadas.

¿Está interesado en trabajar con nosotros en estos esfuerzos? Por favor , envíenos un correo electrónico , nos gustaría saber de usted.

¡Todo lo mejor para un muy feliz y próspero 2016!

Nota: Este artículo pretende mostrar mis puntos de vista sobre ciertos acontecimientos relacionados con la privacidad en 2015; no pretende ni debe interpretarse de ninguna manera como un consejo legal. Gracias por leer un anuncio :-).

¿Te gusta este artículo? Regístrese para recibir los correos electrónicos de resumen de nuestro blog.