Intensificare le pratiche di informazione corretta

La scorsa settimana, Facebook ha tenuto [email protected], una conferenza sulla privacy con un focus unico: l'utente finale.

Al giorno d'oggi, l'agenda della maggior parte degli eventi sulla privacy è quasi sempre incentrata sull'incertezza legale o normativa: otterremo una legge sulla privacy negli Stati Uniti? La proposta di regolamento UE verrà mai approvata?

A merito di Facebook, [email protected] si è concentrato su ciò che le aziende possono o dovrebbero fare in questo momento sulla privacy degli utenti finali, indipendentemente da tutta questa incertezza normativa. E durante la conferenza, abbiamo avuto un'idea di come le aziende continuano a innovare intorno alle pratiche di informazione eque o "FIP": avviso, consenso, accesso, sicurezza e applicazione.

Ad esempio, le aziende che producono auto connesse non stanno discutendo se avere o meno una politica sulla privacy; piuttosto la discussione si è spostata su come dovrebbero essere le informative sulla privacy, se i suoni o le icone possono svolgere un ruolo nell'animazione delle politiche basate sul testo e cosa succede se lo schermo del dispositivo è molto piccolo o inesistente.

Cosa sono le FIP?

I FIP sono gli elementi costitutivi importanti di qualsiasi programma per la privacy. Sono stati articolati per la prima volta in un rapporto del governo degli Stati Uniti del 1973 intitolato "Records, Computers and the Rights of Citizens". Era la prima volta che un rapporto del governo si concentrava sugli effetti dell'"elaborazione automatizzata dei dati" sui cittadini statunitensi. Ora, nell'era post-Snowden, l'introduzione di Caspar Weinberger appare incredibilmente preveggente e persino un po' sinistra:

"I computer collegati tra loro tramite reti di telecomunicazioni ad alta velocità sono destinati a diventare il mezzo principale per creare, archiviare e utilizzare record di persone..."

Le FIP non sono mai diventate la base di una legge sulla raccolta di dati commerciali negli Stati Uniti (gli Stati Uniti ancora oggi mancano di tale legge), ma hanno costituito la base dei requisiti di diverse leggi specifiche del settore degli Stati Uniti, tra cui il Privacy Act del 1974 che obbliga il governo federale governo per salvaguardare le informazioni personali raccolte dai cittadini statunitensi. Ed è interessante notare che la maggior parte degli odierni framework globali e di protezione dei dati incorporano ed espandono i FIP, ad esempio la legge sulla protezione dei dati dell'Unione Europea espande la "preavviso" in due requisiti aggiuntivi: specifica dello scopo e limitazione dell'uso.

Aumenta i tuoi FIP!

Con questo background in mente, dovresti "intensificare i tuoi FIP?" Assolutamente. La FTC ha adottato formalmente le FIP in un rapporto del 2000 e l'agenzia continua a sviluppare tale implementazione nel decidere come valutare il danno alla privacy dell'utente finale. Pertanto, gli inserzionisti di app e gli esperti di marketing dovrebbero essere a conoscenza di ogni FIP e di come vengono implementati nell'esperienza del prodotto o dell'app, nonché dei processi di back-end.

Avviso : sii trasparente e assicurati che le politiche sulla privacy forniscano un avviso "significativo" sulla raccolta e l'uso dei dati. Non fare promesse che non mantieni. La FTC ha perseguito Snapchat sulla base delle informative sulla privacy dell'azienda e di altre dichiarazioni che affermavano che i messaggi degli utenti sarebbero "scomparsi" dopo un determinato periodo di tempo. In realtà, i messaggi erano archiviati nei log di Snapchat e potevano essere consultati da app di terze parti.

Consenso – Conosciuto anche come scelta e controllo. È necessario ottenere il consenso dell'utente finale per la raccolta e l'utilizzo dei dati, incluso il consenso espresso per la raccolta di categorie di dati "sensibili" come la posizione precisa del dispositivo dell'utente finale.

Accesso – Fornisci un modo per alterare o addirittura eliminare i dati in tuo possesso sugli utenti finali. Ciò include il rispetto delle richieste di esclusione degli utenti finali, come ci ha mostrato la FTC nella sua recente azione contro le tecnologie Nomi, una società di tracciamento al dettaglio che non ha escluso gli utenti finali quando richiesto.

Sicurezza – Proteggi tutti i dati personali preziosi con le giuste misure organizzative e tecniche per impedire l'accesso o la divulgazione non autorizzati. La FTC ha intentato azioni contro Credit Karma e Fandango per aver travisato le pratiche di sicurezza e non aver protetto le informazioni personali sensibili dei consumatori.

Applicazione : include sia la regolamentazione del governo, sia i quadri di autoregolamentazione e co-regolamentazione come le linee guida per dispositivi mobili Digital Advertising Alliance (DAA) o il codice Network Advertising Alliance (NAI). Inoltre, è importante non travisare o falsare la tua appartenenza a un quadro normativo o ad un porto sicuro. Questo punto è stato sollevato di recente dalla FTC, che ha appena concluso due azioni contro le aziende per aver erroneamente dichiarato il loro status di partecipazione all'approdo sicuro UE-USA.

Prestare attenzione a DAA, NAI e altri requisiti di autoregolamentazione

Vale soprattutto la pena riflettere su quest'ultimo punto. Negli ultimi due mesi abbiamo assistito a due importanti annunci di autoregolamentazione:

• La DAA inizierà a far rispettare le sue linee guida mobili DAA a settembre 2015 per tutte le entità impegnate nella pubblicità basata sugli interessi e nella raccolta di dati tra app. Queste linee guida si basano sui principi di autoregolamentazione della DAA per la pubblicità comportamentale online o "OBA". I principi DAA sono un importante programma di autoregolamentazione e si basano in parte sui principi OBA 2009 del personale FTC.

• La NAI ha pubblicato delle linee guida per l'utilizzo di tecnologie non basate sui cookie (ad es. l'impronta digitale), basandosi sul codice NAI. La NAI classifica le aziende in prime parti (che raccolgono e utilizzano i dati per conto proprio) o terze parti (aziende impegnate in "pubblicità incrociata di dati" o "fornitura di annunci e reportistica" per conto di altre società).

È importante determinare se rientri nell'ambito di uno di questi programmi di autoregolamentazione. Ad esempio, la DAA ha affermato che i suoi principi coprono " tutte le società impegnate in [pubblicità basata sugli interessi] e attività di raccolta dati multisito e multi-app per un uso consentito", indipendentemente dal fatto che tu sia un membro DAA o meno.

In chiusura…

È un buon momento per rivisitare il modo in cui stai incorporando i FIP nel tuo programma sulla privacy e nell'esperienza dell'app. Come ci hanno dimostrato numerose azioni FTC, l'integrazione di questi requisiti è un passo importante per soddisfare i requisiti di conformità e legali. Ma i FIP sono anche un elemento fondamentale per garantire la fiducia, perché mostrano agli utenti finali che rispetti i loro diritti alla privacy e sei un amministratore affidabile dei loro dati personali.

E, poiché sempre più aziende continuano a seguire questo modello di adozione di pratiche basate su un quadro comune, l'autoregolamentazione diventa un'alternativa più praticabile all'approvazione dei requisiti legali. A differenza di una legge, l'autoregolamentazione può tenere il passo con l'evoluzione della tecnologia. Quindi questo è un approccio che le aziende innovative dovrebbero considerare per rimanere conformi, ma anche innovative.

Vuoi saperne di più su come potenziare i tuoi FIP? Allora non dimenticare di partecipare al seminario "FIPs for Apps" di TUNE al Postback quest'anno.

Ti piace questo articolo? Iscriviti alle nostre e-mail di riepilogo del blog.