Privacidade: Revisão do ano de 2015

À medida que olhamos para o novo ano, uma coisa é clara: em 2016, anunciantes e profissionais de marketing precisarão melhorar seu jogo quando se trata de se conectar com o usuário final. O desafio? Criar experiências que respeitem os direitos de privacidade individual e mantenham o usuário final engajado.

Portanto, é um bom momento para dar um passo atrás e pensar se suas práticas de dados existentes aprofundam ou prejudicam a confiança de seus usuários. E lembre-se: você precisará descobrir tudo isso em um momento em que as pessoas estão optando por não receber anúncios on-line em números recordes, pois as regras do jogo continuam a mudar drasticamente.

Aqui estão as principais conclusões de privacidade de 2015:

Consumidores, atitudes de privacidade e bloqueadores de anúncios

Em 2015, as preocupações com a privacidade do consumidor evoluíram – de um medo generalizado de vigilância governamental e rastreamento comercial a preocupações específicas sobre se os dados pessoais são coletados, usados ​​e retidos.

Em uma pesquisa do Pew Trust de março de 2015 , os participantes revelaram que, embora ainda estivessem preocupados com a vigilância do governo na era pós-Snowden, estavam igualmente preocupados com a coleta e o uso de dados por atores comerciais e privados. Mais incisivamente, os participantes do Pew mostraram uma desconfiança acentuada da publicidade online – 76% dos adultos pesquisados ​​responderam que não estavam “completamente confiantes” de que “os registros de suas atividades mantidos pelos anunciantes online que colocam anúncios nos sites que visitam permanecerão privados e seguros. ”.

Existe uma ligação entre as atitudes expressas na pesquisa do Pew e a maior preocupação enfrentada pela mídia digital em 2015 – ou seja, a ascensão meteórica e a adoção da tecnologia de bloqueio de anúncios?

foto da agência Spoon

Os números parecem sugerir que este é o caso. A associação comercial para editores on-line, Digital Content Next (DCN), publicou resultados de uma pesquisa que descobriu que mais de um terço dos consumidores dos EUA experimentarão bloqueadores de anúncios nos próximos três meses, e cerca de metade desse número acabará optando por não de publicidade baseada em interesses completamente.

E esses números provavelmente continuarão a aumentar, com o lançamento da Apple de um recurso no iOS 9 que permite aos usuários ativar o bloqueio de anúncios para dispositivos móveis - uma experiência um pouco desajeitada porque você precisa baixar um aplicativo bloqueador de anúncios para aproveitar esse bloqueio recurso (e provavelmente uma das razões por trás do número recorde de downloads de aplicativos bloqueadores de anúncios após o lançamento do iOS 9).

Leve embora?

Dê uma olhada em suas declarações de privacidade e avisos. Você acha que eles fornecem uma visão clara de por que e como você coleta e usa dados do usuário final? Talvez seja hora de ser criativo com sua política de privacidade e pensar em uma que incorpore som, gráficos ou até animação no formato. Ter uma política de privacidade que explique seu valor para seus usuários de forma compreensível e gerencie as expectativas sobre o uso e o compartilhamento de dados deve ajudar a evitar os números de desativação de registros. E, claro, você deseja fazer atualizações contínuas em sua política de privacidade e manter os usuários informados sobre mudanças importantes.

O CEO da TUNE, Peter Hamilton, na verdade acha que há uma vantagem no bloqueio de anúncios – já que os consumidores estão basicamente dizendo a você o que não está funcionando para eles bloqueando seus anúncios. Dê uma olhada nas dicas dele para repensar a experiência do anúncio digital neste artigo do Mediapost de dezembro .

FTC continua a sinalizar forte aplicação em 2015

2015 foi um ano movimentado e significativo para a FTC.

A agência teve uma grande vitória quando sua autoridade de segurança de dados foi confirmada pelo Terceiro Circuito – um caso de alto perfil envolvendo hotéis Wyndham (veja minha postagem no blog de setembro aqui para saber mais sobre o caso Wyndham e seu impacto potencial). Mas também sofreu um revés quando um juiz de direito administrativo rejeitou seu caso de segurança de dados contra o LabMD – argumentando que a agência não conseguiu provar um elemento importante de um caso de injustiça da FTC – que a falta de práticas de segurança causou ou provavelmente causaria “danos substanciais”. aos consumidores”.

A FTC continuou seu histórico de ser o aplicador de privacidade mais ativo do mundo, trazendo ações com base em estatutos como o Children's Online Privacy Protection Act (COPPA) e o Fair Credit Reporting Act (FCRA), bem como sob o “engano” e “engano” da agência. deslealdade” de acordo com a Seção 5 da Lei FTC. A FTC também buscou várias iniciativas políticas, incluindo um workshop sobre rastreamento entre dispositivos (veja a recapitulação do TUNE aqui ) e o lançamento de orientações da agência sobre publicidade nativa .

Um dos casos mais significativos envolvendo o ecossistema de aplicativos foram as ações da FTC em dezembro de 2015 contra dois desenvolvedores de aplicativos móveis por violações da COPPA. Essas são algumas das primeiras ações de imposição baseadas no compartilhamento de “identificadores persistentes” ou técnicos, como um IDFA ou um endereço IP, entre um desenvolvedor de aplicativos e uma rede de anúncios. Com essas ações, a FTC estabeleceu que identificadores persistentes, como um ID de publicidade ou endereço IP, constituem “dados pessoais” – cuja coleta, uso ou compartilhamento aciona a responsabilidade da COPPA.

Leve embora?

Esses casos da FTC nos lembram que, independentemente de os dados serem considerados pessoais ou materiais, é importante observar a coleta de dados, o uso e os controles do consumidor (como um opt-out) com precisão em sua política de privacidade, caso contrário, você poderá enfrentar uma aplicação da FTC ação. Além disso, você precisa pensar além das práticas recomendadas de privacidade e garantir que está seguindo todas as regras, especialmente se estiver coletando dados para fins cobertos pelas leis existentes dos EUA, por exemplo, dados utilizados para fins de crédito, seguro e emprego sob a FCRA e dados coletados de crianças menores de 13 anos para fins de marketing sob a COPPA.

Alterações nas regras de proteção de dados da UE

2015 viu algumas revisões importantes para importantes requisitos de privacidade na Europa.

Em outubro, o Tribunal de Justiça Europeu invalidou o Safe Harbor Framework EUA-UE, o principal meio pelo qual as empresas transferem dados pessoais para fins comerciais da UE para os EUA (mais nesta atualização da equipe de privacidade de Hogan Lovells). Os reguladores dos EUA e da UE têm até o final de janeiro para decidir sobre uma nova estrutura de Safe Harbor EUA-UE que estará em conformidade com os requisitos estabelecidos no Parecer do Tribunal de Justiça.

Em dezembro, após quase quatro anos de negociação, a Comissão Europeia, o Conselho e o Parlamento concordaram em uma lei de proteção de dados da UE revisada ou “ G D P R ” que imporia obrigações significativas às empresas que coletam dados do usuário final da UE . Ao contrário da lei atual da UE sob as Diretivas de 1995 e ePrivacy, o GDPR é um regulamento que entrará em vigor sem a necessidade de legislação de implementação adicional pelos estados membros da UE. Ele se tornará aplicável como lei da UE em algum momento de 2018. Isso significa que você ainda tem tempo para avaliar o impacto potencial dos requisitos do GDPR em seus negócios.

Aqui estão quatro dos principais desenvolvimentos nos quais você deve pensar:

1. Dados com pseudônimos agora são dados pessoais, para sempre.

Sob o GDPR, a definição de dados pessoais foi ampliada para incluir identificadores técnicos, como IDs de anúncios e endereços IP. Isso alinha a legislação da UE com o pensamento atual da FTC (conforme discutido anteriormente nesta atualização). A nova lei também tem requisitos específicos para empresas que armazenam dados em “perfis”. Além disso, o GDPR trata os dados pessoais como sempre mantendo sua natureza pessoal, mesmo depois de terem sido criptografados ou “pseudônimos”. Como resultado, os direitos de proteção de dados do consumidor que tradicionalmente se aplicavam a dados pessoais sob a lei da UE (por exemplo, aviso, desativação, exclusão, retenção) agora se aplicam a dados com hash.

Exigir que os dados sejam criptografados já é uma prática recomendada emergente para armazenar ou transferir dados usados ​​para fins de marketing. Portanto, o setor deve trabalhar em conjunto para articular e desenvolver um padrão comum para proteger dados pseudônimos, principalmente porque o GDPR prevê “códigos de conduta” do setor para resolver esses tipos de problemas. Já vemos ótimos trabalhos nesse sentido de organizações como o IAB UK e o Future of Privacy Forum e esperamos ainda mais discussões em 2016 (nota: a TUNE trabalha com ambas as organizações; também somos membros da FPF e participamos de sua assessoria quadro).

2. Maior responsabilidade para processadores de dados

De acordo com a lei atual da UE, os controladores de dados que determinam como os dados serão processados ​​mantêm a responsabilidade primária por violações de proteção de dados. Processadores de dados como a TUNE, que processam dados a pedido dos controladores de dados, não têm responsabilidade primária assumindo que seguem certos requisitos (geralmente memorizados em um “adendo de processamento de dados” entre o controlador e o processador).

No entanto, o GDPR aumentará a responsabilidade dos processadores de dados. Existe a possibilidade de responsabilidade conjunta e solidária por violações de dados, como acesso não autorizado ou violação de dados. Em alguns casos, um processador de dados pode ser o principal responsável por violações de dados, especialmente se for descoberto que deficiências no processamento levaram à violação em questão ou se for descoberto que o processador agiu mais como um controlador de dados em uma instância específica. Além disso, os processadores de dados devem demonstrar “ Responsabilidade ”. E tudo isso se torna ainda mais significativo, quando você considera que, de acordo com o GDPR, os reguladores podem aplicar multas de até 4% do faturamento anual global de uma empresa.

3. O consentimento é necessário para a maioria dos tipos de “perfil”

A nova lei da UE exige que você obtenha o consentimento de um indivíduo antes de configurar qualquer tipo de perfil nesse usuário (ou em seus dispositivos). As únicas exceções a esta regra são para prevenção e detecção de crimes. Embora um padrão muito impraticável de consentimento explícito tenha sido discutido em rascunhos anteriores, a versão final da lei prevê um padrão de consentimento “inequívoco”. Resta saber qual será realmente esse nível de consentimento quando se trata de análise ou qualquer outro tipo de atividade de big data. No entanto, esta é mais uma pergunta que a indústria pode responder por meio de um código de conduta ou processo similar de partes interessadas.

4. COPPA

O GDPR incluirá uma lei de privacidade infantil semelhante à lei COPPA dos EUA, embora não esteja claro quais serão os requisitos específicos. O GDPR estabelece a idade de consentimento em 16 anos, mas os reguladores individuais de proteção de dados da UE podem reduzi-la para 13 anos (que atualmente é a idade de consentimento sob a COPPA dos EUA).

Leve embora?

O GDPR terá um grande impacto na forma como as empresas fazem negócios com os cidadãos da UE . Muitos dos requisitos – sobre consentimento, tratamento de dados pseudônimos e dados de crianças – ainda precisam ser determinados. No entanto, a nova lei também prevê que a indústria desempenhe um papel por meio de códigos de conduta, certificações e outros mecanismos. Isso significa que o think tank de privacidade e as comunidades de associações do setor têm um papel importante a desempenhar, pois ajudam as empresas a navegar pelos novos requisitos e propor padrões viáveis ​​para cumprir a nova lei. A TUNE espera trabalhar com nossos parceiros de associação existentes - o Future of Privacy Forum , o eDAA e o Privacy Law Salon - em alguns desses esforços no novo ano.

Qual é o seu plano de jogo em 2016?

Com tudo isso em mente, é um bom momento para começar a pensar em como você planeja melhorar seu jogo em 2016. Um novo ano traz a oportunidade de reengajar os usuários e reestruturar a conformidade, especialmente com os novos requisitos do GDPR surgindo no horizonte .

Na TUNE, continuaremos nosso trabalho de educar e informar em 2016 por meio de nossos boletins informativos, postagens de blog e outros eventos focados em dados e privacidade. Também entraremos em contato para ver se empresas com ideias semelhantes estão interessadas em fazer parceria conosco em uma campanha educacional sobre a Internet financiada por anúncios, como ela funciona e os benefícios que ela oferece (principalmente acesso a serviços como Gmail ou Facebook). Acreditamos que muitas das preocupações com a privacidade sobre a coleta de dados on-line podem ser abordadas por meio de esforços direcionados focados nesse tipo de educação do usuário final e das partes interessadas.

Você está interessado em trabalhar conosco nesses esforços? Por favor, envie-nos um e-mail , gostaríamos de ouvir de você.

Tudo de bom para um 2016 muito feliz e próspero!

Nota: Este artigo pretende mostrar minhas opiniões sobre certos acontecimentos de privacidade em 2015; não se destina nem deve ser interpretado de forma alguma como aconselhamento jurídico. Obrigado por ler um anúncio :-).

Gostou deste artigo? Inscreva-se para receber nossos e-mails de resumo do blog.