Îmbunătățirea practicilor echitabile de informare

Săptămâna trecută, Facebook a organizat [email protected], o conferință de confidențialitate cu un accent unic – utilizatorul final.

În zilele noastre, agenda majorității evenimentelor privind confidențialitatea este aproape întotdeauna concentrată pe incertitudinea juridică sau de reglementare – vom obține o lege privind confidențialitatea în Statele Unite? Va fi adoptat vreodată regulamentul UE propus?

Spre meritul Facebook, [email protected] s-a concentrat pe ceea ce companiile pot sau ar trebui să facă în acest moment cu privire la confidențialitatea utilizatorilor finali, indiferent de toată această incertitudine de reglementare. Și în timpul conferinței, am văzut cum companiile continuă să inoveze în ceea ce privește practicile corecte de informare sau „FIP” – notificare, consimțământ, acces, securitate și aplicare.

De exemplu, companiile care produc mașini conectate nu dezbat dacă să aibă sau nu o politică de confidențialitate; mai degrabă, această discuție s-a mutat la cum ar trebui să arate notificările de confidențialitate, dacă sunetele sau pictogramele pot juca un rol în înviorarea politicilor bazate pe text și ce se întâmplă dacă ecranul dispozitivului este fie foarte mic, fie inexistent.

Care sunt FIP-urile?

FIP-urile sunt elementele de bază ale oricărui program de confidențialitate. Acestea au fost formulate pentru prima dată într-un raport al guvernului SUA din 1973, intitulat „Înregistrări, computere și drepturile cetățenilor”. A fost prima dată când un raport guvernamental s-a concentrat asupra efectelor „prelucrării automate a datelor” asupra cetățenilor americani. Acum, în era post-Snowden, introducerea lui Caspar Weinberger pare incredibil de prevestitoare și chiar puțin sinistră:

„Computerele conectate între ele prin rețele de telecomunicații de mare viteză sunt destinate să devină principalul mediu pentru realizarea, stocarea și utilizarea înregistrărilor despre oameni...”

FIP-urile nu au devenit niciodată baza unei legi de colectare a datelor comerciale în SUA (SUA încă nu are o astfel de lege astăzi), dar au stat la baza cerințelor din mai multe legi specifice sectorului SUA, inclusiv Legea privind confidențialitatea din 1974, care obligă autoritățile federale. guvern pentru a proteja informațiile personale colectate de la cetățenii americani. Și, interesant, majoritatea cadrelor globale și de protecție a datelor de astăzi încorporează și extind FIP-urile, de exemplu, legea Uniunii Europene privind protecția datelor extinde „notificarea” în două cerințe suplimentare – specificarea scopului și limitarea utilizării.

Creșteți-vă FIP-urile!

Având în vedere acest context, ar trebui să vă „intensificați FIP-urile?” Absolut. FTC a adoptat în mod oficial FIP-urile într-un raport din 2000, iar agenția continuă să evolueze această implementare pentru a decide cum să evalueze prejudiciul confidențialității utilizatorilor finali. Ca atare, agenții de publicitate pentru aplicații și agenții de marketing ar trebui să cunoască fiecare FIP și modul în care acestea sunt implementate în cadrul experienței produsului sau a aplicației, precum și despre procesele backend.

Notă – Fiți transparent și asigurați-vă că politicile de confidențialitate oferă o notificare „semnificativă” despre colectarea și utilizarea datelor. Nu face promisiuni pe care nu le ții. FTC a urmărit penal Snapchat pe baza notificărilor de confidențialitate ale companiei și a altor declarații care susțineau că mesajele utilizatorilor vor „dispără” după o anumită perioadă de timp. În realitate, mesajele erau stocate în jurnalele Snapchat și puteau fi accesate de aplicații terțe.

Consimțământ – Cunoscut și ca alegere și control. Obținerea consimțământului utilizatorului final pentru colectarea și utilizarea datelor este o necesitate – inclusiv obținerea consimțământului expres pentru colectarea categoriilor de date „sensibile”, cum ar fi locația exactă a dispozitivului utilizatorului final.

Acces – Oferiți o modalitate de a modifica sau chiar de a șterge datele pe care le dețineți despre utilizatorii finali. Aceasta include onorarea cererilor de renunțare ale utilizatorilor finali, așa cum ne-a arătat FTC în acțiunea sa recentă împotriva tehnologiilor Nomi, o firmă de urmărire cu amănuntul care nu a renunțat la utilizatorii finali la cerere.

Securitate – Securizează toate datele personale valoroase cu măsurile organizatorice și tehnice adecvate pentru a preveni accesul sau dezvăluirea neautorizată. FTC a introdus acțiuni împotriva Credit Karma și Fandango pentru denaturarea practicilor de securitate și pentru eșecul de a securiza informațiile personale sensibile ale consumatorilor.

Aplicarea – Aceasta include atât reglementările guvernamentale, cât și cadrele de autoreglementare și de coreglementare, cum ar fi liniile directoare ale Digital Advertising Alliance (DAA) pentru mobil sau codul Network Advertising Alliance (NAI). De asemenea, este important să nu denaturați sau să denaturați eronat calitatea dvs. de membru într-un cadru de reglementare sau un port sigur. Acest aspect a fost susținut cel mai recent de FTC, care tocmai a finalizat două acțiuni împotriva companiilor pentru declararea greșită a statutului lor de participare la Safe Harbor UE-SUA.

Acordați atenție DAA, NAI și altor cerințe de autoreglementare

Acest ultim punct merită mai ales să ne gândim. În ultimele două luni, am văzut două anunțuri semnificative de autoreglementare:

• DAA va începe să aplice regulile DAA pentru dispozitive mobile în septembrie 2015 pentru toate entitățile implicate în publicitate bazată pe interese și colectarea de date între aplicații. Aceste linii directoare se bazează pe principiile de autoreglementare ale DAA pentru publicitatea comportamentală online sau „OBA”. Principiile DAA sunt un program important de autoreglementare și se bazează parțial pe principiile OBA din 2009 ale personalului FTC.

• NAI a publicat linii directoare pentru utilizarea tehnologiilor care nu sunt bazate pe cookie-uri (de exemplu, amprentarea digitală), pornind de la codul NAI. NAI clasifică companiile fie în primele părți (care colectează și utilizează date în numele lor) sau terțe părți (companii implicate fie în „publicitate încrucișată pentru date”, fie în „livrare și raportare de anunțuri” în numele altor companii).

Este important să determinați dacă vă încadrați în domeniul de aplicare al unuia dintre aceste programe de autoreglementare. De exemplu, DAA a declarat că principiile sale acoperă „ toate companiile implicate în [publicitatea bazată pe interese] și activități de colectare a datelor pe mai multe site-uri și mai multe aplicații pentru utilizare permisă”, indiferent dacă sunteți sau nu membru DAA.

În încheiere…

Este un moment bun pentru a revizui modul în care încorporați FIP-urile în programul de confidențialitate și în experiența aplicației. După cum ne-au arătat numeroase acțiuni FTC, încorporarea acestor cerințe este un pas important pentru îndeplinirea cerințelor dumneavoastră de conformitate și legale. Dar FIP-urile sunt, de asemenea, o piesă esențială pentru asigurarea încrederii, deoarece le arată utilizatorilor finali că le respectați drepturile de confidențialitate și sunteți un administrator de încredere al datelor lor personale.

Și, pe măsură ce tot mai multe companii continuă să urmeze acest model de adoptare a practicilor bazate pe un cadru comun, autoreglementarea devine o alternativă mai viabilă la trecerea cerințelor legale. Spre deosebire de lege, autoreglementarea poate ține pasul cu evoluția tehnologiei. Deci, aceasta este o abordare pe care companiile inovatoare ar trebui să o urmărească pentru a rămâne în conformitate, dar și pentru a rămâne inovatoare.

Doriți să aflați mai multe despre creșterea FIP-urilor dvs.? Atunci nu uitați să participați la Atelierul TUNE „FIPs for Apps” la Postback anul acesta.

Vă place acest articol? Înscrieți-vă pentru e-mailurile cu rezumatul blogului nostru.