Privacy: 2015 anno in rassegna
Pubblicato: 2015-12-31Mentre guardiamo al nuovo anno, una cosa è chiara: nel 2016, gli inserzionisti e gli esperti di marketing dovranno migliorare il proprio gioco quando si tratta di connettersi con l'utente finale. La sfida? Creare esperienze che rispettino i diritti alla privacy individuali e coinvolgano l'utente finale.
Quindi è un buon momento per fare un passo indietro e pensare se le pratiche relative ai dati esistenti rafforzano o danneggiano la fiducia dei tuoi utenti. E ricorda: dovrai capire tutto questo in un momento in cui le persone stanno rinunciando agli annunci online in numeri record poiché le regole del gioco continuano a cambiare drasticamente.
Ecco le principali novità sulla privacy del 2015:
Consumatori, atteggiamenti di privacy e blocco degli annunci
Nel 2015, le preoccupazioni sulla privacy dei consumatori si sono evolute, da una paura generalizzata della sorveglianza del governo e del monitoraggio commerciale, a preoccupazioni specifiche sulla raccolta, l'utilizzo e la conservazione dei dati personali.
In un sondaggio del Pew Trust del marzo 2015 , i partecipanti hanno rivelato che, sebbene fossero ancora preoccupati per la sorveglianza del governo nell'era post Snowden, erano ugualmente preoccupati per la raccolta e l'utilizzo dei dati da parte di attori privati e commerciali. Più precisamente, i partecipanti al Pew hanno mostrato una marcata sfiducia nei confronti della pubblicità online: il 76% degli adulti intervistati ha risposto di non essere "completamente fiducioso" che "le registrazioni delle loro attività mantenute dagli inserzionisti online che pubblicano annunci sui siti Web che visitano rimarranno private e sicure ”.
C'è un collegamento tra gli atteggiamenti espressi nel sondaggio Pew e la più grande preoccupazione che devono affrontare i media digitali nel 2015, ovvero l'ascesa fulminea e l'adozione della tecnologia di blocco degli annunci?
foto di Spoon Agency
I numeri sembrano suggerire che sia così. L' associazione di categoria per gli editori online, Digital Content Next (DCN), ha pubblicato i risultati di un sondaggio che ha rilevato che oltre un terzo dei consumatori statunitensi proverà ad blocker nei prossimi tre mesi e circa la metà di quel numero finirà per rinunciare della pubblicità basata sugli interessi del tutto.
È probabile che questi numeri continuino ad aumentare, con il rilascio da parte di Apple di una funzione in iOS 9 che consente agli utenti di abilitare il blocco degli annunci per dispositivi mobili, un'esperienza utente un po' goffa perché devi scaricare un'app di blocco degli annunci per sfruttare questo blocco funzione (e probabilmente uno dei motivi alla base del numero record di download di app di blocco degli annunci dopo il rilascio di iOS 9).
Porta via?
Dai un'occhiata alle tue informative sulla privacy e alle comunicazioni. Pensi che forniscano una visione chiara del perché e come raccogli e utilizzi i dati dell'utente finale? Forse è il momento di diventare creativi con la tua politica sulla privacy e pensare a una che incorpori suono, grafica o persino animazione nel formato. Avere una politica sulla privacy che spieghi il tuo valore ai tuoi utenti in una forma comprensibile e gestisca le aspettative sull'uso e la condivisione dei dati dovrebbe aiutare a respingere i numeri di rinuncia ai record. E, naturalmente, desideri apportare continui aggiornamenti alla tua politica sulla privacy e tenere gli utenti informati su modifiche importanti.
Il CEO di TUNE, Peter Hamilton, in realtà pensa che ci sia un vantaggio nel blocco degli annunci, dal momento che i consumatori essenzialmente ti dicono cosa non funziona per loro bloccando i tuoi annunci. Dai un'occhiata ai suoi suggerimenti per ripensare all'esperienza pubblicitaria digitale in questo articolo di Mediapost di dicembre .
FTC continua a segnalare una forte applicazione nel 2015
Il 2015 è stato un anno intenso e significativo per la FTC.
L'agenzia ha ottenuto una grande vittoria quando la sua autorità per la sicurezza dei dati è stata confermata dal Terzo Circuito, un caso di alto profilo che coinvolge gli hotel Wyndham (vedi il mio post sul blog di settembre qui per ulteriori informazioni sul caso Wyndham e il suo potenziale impatto). Ma ha anche subito una battuta d'arresto quando un giudice di diritto amministrativo ha respinto il suo caso sulla sicurezza dei dati contro LabMD - sostenendo che l'agenzia non era riuscita a dimostrare un elemento importante di un caso di iniquità FTC - che la mancanza di pratiche di sicurezza ha causato o avrebbe potuto causare "lesioni considerevoli ai consumatori”.
La FTC ha continuato il suo primato di essere la tutela della privacy più attiva al mondo, portando azioni basate su statuti come il Children's Online Privacy Protection Act (COPPA) e il Fair Credit Reporting Act (FCRA), nonché in base a "ingannevoli" e " ingiustizia” ai sensi della Sezione 5 della legge FTC. La FTC ha anche portato avanti diverse iniziative politiche, tra cui un seminario sul tracciamento incrociato dei dispositivi (vedi il riepilogo TUNE qui ) e il rilascio di linee guida dell'agenzia sulla pubblicità nativa .
Uno dei casi più significativi che coinvolgono l'ecosistema delle app sono state le azioni della FTC del dicembre 2015 contro due sviluppatori di app mobili per violazioni del COPPA. Queste sono alcune delle prime azioni di contrasto basate sulla condivisione di "identificatori persistenti" o tecnici, come un IDFA o un indirizzo IP, tra uno sviluppatore di app e una rete pubblicitaria. Con queste azioni, la FTC ha stabilito che gli identificatori persistenti come un ID pubblicitario o un indirizzo IP, costituiscono "dati personali" - la cui raccolta, uso o condivisione fa scattare la responsabilità del COPPA.
Porta via?
Questi casi FTC ci ricordano che, indipendentemente dal fatto che i dati siano considerati personali o materiali, è importante notare accuratamente la raccolta, l'uso e i controlli dei consumatori (come un opt-out) nella tua politica sulla privacy, altrimenti potresti dover affrontare un'applicazione FTC azione. Inoltre, devi pensare oltre le migliori pratiche sulla privacy e assicurarti di seguire tutte le regole, soprattutto se stai raccogliendo dati per scopi coperti dalle leggi statunitensi esistenti, ad esempio dati utilizzati per scopi di credito, assicurativi e occupazionali ai sensi dell'FCRA, e dati raccolti da minori di 13 anni per scopi di marketing ai sensi del COPPA.
Modifiche alle norme sulla protezione dei dati dell'UE
Il 2015 ha visto alcune importanti revisioni di importanti requisiti di privacy in Europa.
A ottobre, la Corte di giustizia europea ha invalidato il Safe Harbor Framework USA-UE, il mezzo principale attraverso il quale le aziende trasferiscono i dati personali per scopi commerciali dall'UE agli Stati Uniti (maggiori informazioni in questo aggiornamento del team sulla privacy di Hogan Lovells). Le autorità di regolamentazione degli Stati Uniti e dell'UE hanno tempo fino alla fine di gennaio per decidere su un nuovo quadro di Safe Harbor USA-UE che sarà conforme ai requisiti stabiliti nel parere della Corte di giustizia.
A dicembre, dopo quasi quattro anni di negoziati, la Commissione Europea, il Consiglio e il Parlamento hanno concordato una legge UE riveduta sulla protezione dei dati o " G D P R " che imporrebbe obblighi significativi alle aziende che raccolgono dati dall'utente finale dell'UE. A differenza dell'attuale normativa UE ai sensi delle Direttive del 1995 e della ePrivacy, il GDPR è un regolamento che entrerà in vigore senza la necessità di ulteriori normative di attuazione da parte degli Stati membri dell'UE. Diventerà applicabile come legge dell'UE nel 2018. Ciò significa che hai ancora tempo per valutare il potenziale impatto dei requisiti GDPR sulla tua attività.
Ecco quattro dei principali sviluppi a cui dovresti pensare:
1. I dati pseudonimi sono ora dati personali, per sempre.
Ai sensi del GDPR, la definizione di dati personali è stata ampliata per includere identificatori tecnici come ID annunci e indirizzi IP. Ciò porta il diritto dell'UE in linea con l'attuale pensiero FTC (come discusso in precedenza in questo aggiornamento). La nuova legge ha anche requisiti specifici per le aziende che archiviano i dati nei "profili". Inoltre, il GDPR tratta i dati personali mantenendo sempre la loro natura personale, anche dopo che sono stati sottoposti a hashing o "pseudonimizzati". Di conseguenza, i diritti di protezione dei dati dei consumatori che tradizionalmente si applicavano ai dati personali ai sensi del diritto dell'UE (ad es. avviso, rinuncia, cancellazione, conservazione) ora si applicheranno ai dati sottoposti a hash.
La richiesta dell'hashing dei dati è già una best practice emergente per l'archiviazione o il trasferimento dei dati utilizzati per scopi di marketing. Pertanto, il settore dovrebbe collaborare per articolare e sviluppare uno standard comune per la protezione dei dati pseudonimi, in particolare perché il GDPR prevede "codici di condotta" del settore per affrontare questo tipo di problemi. Vediamo già dell'ottimo lavoro in questo senso da parte di organizzazioni come IAB UK e il Future of Privacy Forum e non vediamo l'ora di discutere ancora di più nel 2016 (nota: TUNE lavora con entrambe le organizzazioni; siamo anche membri di FPF e partecipiamo alla loro consulenza asse).
2. Maggiore responsabilità per i responsabili del trattamento
Ai sensi della normativa UE vigente, i titolari del trattamento che determinano le modalità di trattamento dei dati mantengono la responsabilità primaria per le violazioni della protezione dei dati. Responsabili del trattamento come TUNE, che trattano dati su richiesta dei responsabili del trattamento, non hanno responsabilità primaria nell'ipotesi in cui seguano determinati requisiti (solitamente ricordati in un "addendum sul trattamento dei dati" tra il titolare e il responsabile del trattamento).
Tuttavia, il GDPR aumenterà la responsabilità dei responsabili del trattamento dei dati. Esiste la possibilità di una responsabilità solidale per violazioni dei dati come l'accesso non autorizzato o una violazione dei dati. In alcuni casi, un responsabile del trattamento potrebbe trovarsi principalmente responsabile per le violazioni dei dati, soprattutto se si scopre che le carenze nel trattamento hanno portato alla violazione in questione o se si scopre che il responsabile del trattamento ha agito più come un responsabile del trattamento in un caso particolare. Inoltre, i responsabili del trattamento dei dati devono dimostrare " Responsabilità ". E tutto ciò diventa ancora più significativo, se si considera che ai sensi del GDPR, le autorità di regolamentazione possono infliggere sanzioni fino al 4% del fatturato annuo globale di un'azienda.
3. Il consenso è richiesto per la maggior parte dei tipi di "profilazione"
La nuova legge dell'UE richiede che tu ottenga il consenso di un individuo prima di configurare qualsiasi tipo di profilo su quell'utente (o sui suoi dispositivi). Le uniche eccezioni a questa regola sono per la prevenzione e l'individuazione della criminalità. Sebbene nelle bozze precedenti sia stato discusso uno standard molto impraticabile di consenso esplicito, la versione finale della legge prevede uno standard di consenso "non ambiguo". Resta da vedere quale sarà effettivamente quel livello di consenso quando si tratta di analisi o qualsiasi altro tipo di attività sui big data. Tuttavia, questa è un'altra domanda a cui si spera che l'industria possa rispondere attraverso un codice di condotta o un processo simile per le parti interessate.
4. COPPA
Il GDPR includerà una legge sulla privacy dei bambini simile alla legge COPPA degli Stati Uniti, anche se non è chiaro quali saranno i requisiti specifici. Il GDPR stabilisce l'età del consenso a 16 anni, ma le singole autorità di regolamentazione della protezione dei dati dell'UE possono ridurla a 13 anni (che è attualmente l'età del consenso ai sensi del COPPA statunitense).
Porta via?
Il GDPR avrà un grande impatto sul modo in cui le aziende fanno affari con i cittadini dell'UE . Molti dei requisiti - in merito al consenso, al trattamento dei dati pseudonimi e ai dati dei bambini - devono ancora essere determinati. Tuttavia, la nuova legge prevede anche che l'industria svolgerà un ruolo attraverso codici di condotta, certificazioni e altri meccanismi. Ciò significa che il comitato di esperti sulla privacy e le comunità delle associazioni di settore hanno un ruolo importante da svolgere in quanto aiutano le aziende a navigare i nuovi requisiti e proporre standard praticabili per conformarsi alla nuova legge. TUNE non vede l'ora di collaborare con i nostri partner associativi esistenti - il Forum sul futuro della privacy , l' eDAA e il Salone della legge sulla privacy - su alcuni di questi sforzi nel nuovo anno.
Qual è il tuo piano di gioco nel 2016?
Con tutto questo in mente, è un buon momento per iniziare a pensare a come pianifichi di migliorare il tuo gioco nel 2016. Un nuovo anno offre l'opportunità di coinvolgere nuovamente gli utenti e riprogettare la conformità, soprattutto con i nuovi requisiti GDPR che si profilano all'orizzonte .
In TUNE, continueremo il nostro lavoro per educare e informare nel 2016 attraverso le nostre newsletter, post di blog e altri eventi incentrati sui dati e sulla privacy. Ti contatteremo anche per vedere se le aziende che la pensano allo stesso modo sono interessate a collaborare con noi in una campagna educativa su Internet finanziata dalla pubblicità, su come funziona e sui vantaggi che offre (in particolare, l'accesso a servizi come Gmail o Facebook). Riteniamo che gran parte delle preoccupazioni sulla privacy relative alla raccolta di dati online possano essere affrontate attraverso sforzi mirati incentrati su questo tipo di formazione degli utenti finali e delle parti interessate.
Sei interessato a lavorare con noi su questi sforzi? Per favore , mandaci un'e-mail , ti saremmo grati.
Tutto il meglio per un felice e prospero 2016!
Nota: questo pezzo ha lo scopo di mostrare le mie opinioni su determinati eventi relativi alla privacy nel 2015; non è inteso né deve essere interpretato in alcun modo come consulenza legale. Grazie per aver riletto l' annuncio :-).
Ti piace questo articolo? Iscriviti alle nostre e-mail di riepilogo del blog.