Blog de publicidad
Boca arriba
Inicio / Privacidad y consentimiento Lista de verificación de cumplimiento del RGPD: la edición no legal para editores
Privacidad y consentimiento 10 minutos de lectura

Lista de verificación de cumplimiento del RGPD: la edición no legal para editores

Publicado por  On

El 25 de mayo de 2018 entra en vigor el RGPD y todos aquellos que recopilen, almacenen y procesen datos sobre residentes de la UE se verán en el punto de mira. Todos deben cumplirlo o se enfrentarán a sanciones.

Las consecuencias son lo suficientemente graves como para empujar a toda la industria de la tecnología publicitaria, que depende en gran medida de los datos de los usuarios y que ahora necesitará la información de los usuarios. explícito Consentimiento – en un pánico silencioso. Esto incluye a los editores que monetizan sus audiencias de la UE a través de la publicidad.

Quedan tres meses y es hora de trabajar en un plan de cumplimiento propio. Para comenzar, A continuación se muestra una lista de verificación de cumplimiento del RGPD legible para editores.

Lo que necesitarás:

  • Base legal:Básicamente, una IMPORTANTE motivos para seguir haciendo lo que sea que usted (y sus "procesadores") estén haciendo con los datos de los residentes de la UE. Las bases legales incluyen el consentimiento explícito, el interés legítimo (que NO es una carta de salvación, deje de esperar), la base contractual, la obligación legal, etc.

Lecturas recomendadas: Base legal para el procesamiento (Fuente: ICO.org Reino Unido)

  • Lista de proveedores:Cada "procesador de datos" (proveedores de tecnología publicitaria, así como plataformas de análisis y gestión de etiquetas) de su sitio necesitará el consentimiento explícito del usuario para continuar utilizando sus datos. El "controlador de datos" (editor) debe obtener este consentimiento. Si no sabe quién recopila datos a través de sus páginas, utilice una herramienta como Evidon Trackermap.
  • Avisos de privacidad: O bien, notificación de consentimiento, si esa es su base legal. Aquí es donde se compromete con el principio de transparencia del RGPD al informar claramente a los visitantes exactamente a qué están renunciando (datos), por qué (su base legal), a quién (todos los procesadores con quienes compartirás estos datos), durante cuánto tiempo se conservarán estos datos, etc.
  • Habilidades de mantenimiento de registros: Gran parte del cumplimiento del RGPD implica mantener registros de lo que usted hace con los datos que tiene para demostrar su responsabilidad.
  • Un equipo de desarrolladores y un abogado/consultor de GDPR para aprobar su plan de juego antes de comenzar a implementarlo.

Una vez que entiendas todo esto, procede con los siguientes pasos:

1. Revisión y documentación: actividades de procesamiento, intercambio y datos

Suena gracioso, pero es uno de los pasos más sencillos para lograr el cumplimiento. Además, no es opcional. Richard Lam, que está trabajando en el proyecto de cumplimiento del RGPD de su organización, afirma:

El RGPD exige un registro exhaustivo, por lo que es necesario documentar todo: qué datos personales se procesan y la base legal para hacerlo. Documente el flujo de trabajo del proceso de los datos personales: dónde se almacenan, quién los controla, con quién se comparten, etc. Luego formalice un proceso en caso de que reciba una solicitud de "derecho a ser borrado".

– Richard Lam, director de operaciones programáticas y publicitarias de Network-N

El objetivo de estos registros es demostrar que usted es responsable de los datos dentro de su organización. Dicho esto, esto también tiene el beneficio adicional de ayudarlo a identificar qué se debe hacer y dónde para cumplir con el RGPD antes de la fecha límite.

2. Actualice su Aviso de Privacidad

La primera regla del RGPD es hablar sobre sus hábitos de recopilación y procesamiento de datos con los visitantes. honestamente.

Para que el procesamiento sea justo, el responsable del tratamiento de datos (la organización a cargo del procesamiento de los datos) debe poner cierta información a disposición de los interesados ​​(las personas a las que se refieren los datos) para poder seguir utilizando sus datos.

– ICO.org Reino Unido

Esto se aplica independientemente de si obtiene los datos directamente del interesado (su visitante) o de acuerdos con terceros. Siempre que los datos que tenga procedan de un residente de la UE, DEBE revelarle lo siguiente:

  • quién es el responsable del tratamiento de los datos; para que conste, es el editor,
  • por qué es necesario procesar sus datos;
  • ¿Quién lo procesará (con quién se compartirá)?
  • Cualquier otra información que deba ser revelada en aras del espíritu de transparencia, como el efecto de dicho tratamiento (“seguimiento en línea”), cómo funcionará la recogida de datos (“cookies en su dispositivo”), etc.

Lectura recomendada: Ejemplos buenos y malos de avisos de privacidad (Fuente: ICO.org Reino Unido)

Los editores descubrirán que, para que gran parte de su sistema publicitario siga funcionando como lo hace, necesitarán... consentimiento como base legal. La buena noticia es que esta base también cubrirá el cumplimiento de una directiva actualizada sobre privacidad electrónica, que está previsto que entre en vigor el mismo día que el RGPD (aunque las probabilidades de que eso suceda parecen escasas).

Para ser válido, el consentimiento DEBE tener los siguientes adjetivos: otorgado libremente, específico, informado, granular, optativo e inequívoco. En una nota relacionada, el silencio, las casillas marcadas previamente o la inactividad NO cuentan como consentimiento.

Perimeter (un proveedor de consentimiento) publicó un esquema útil para un aviso de consentimiento que cumple con el RGPD:

Luego hay que asegurarse de que, una vez otorgado, el consentimiento también sea fácil de revocar. Según Richard Lam:

Estás pensando en implementar un método de doble opt-in. Creo que los editores de cualquier escala con un equipo/gente/persona de desarrolladores activos deberían poder crear algo que funcione internamente. Es en lo que estamos trabajando nosotros mismos, y sé que algunos grandes editores como The Guardian y News UK están haciendo lo mismo. Si no tienes a los desarrolladores, siempre puedes utilizar un proveedor de consentimiento.

Si no posee ni opera los sitios, pero tiene derechos publicitarios sobre ellos, deberá implementar su aviso de consentimiento en toda la red, incluidos los sitios que no posee ni opera, pero sobre los que tiene derechos publicitarios exclusivos. Asegúrese de que una opción de exclusión granular en un sitio se recuerde en todos los sitios web de esa red.

Tenga en cuenta que necesitará la autorización de un padre o tutor. verificable Consentimiento para recopilar y procesar datos de niños menores de 16 años (puede reducirse a un mínimo de 13 años en el Reino Unido). La transparencia también se aplica a los niños, por lo que su aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

3. Defina lo que hará cuando sus usuarios ejerzan sus derechos conforme al RGPD

¿Cómo reaccionaría si alguien le pidiera que eliminara sus datos personales de forma generalizada o que accediera a ellos? ¿Pueden sus sistemas ayudarlo a localizar y eliminar los datos de un usuario en un plazo de treinta días?

Lectura recomendadaDerechos individuales y Subsecciones (Fuente: ICO.org Reino Unido)

Richard Lam comparte el proceso que puso en marcha su equipo,

Esa fue la parte más fácil de marcar en nuestra lista de verificación, ya que refleja las pautas de solicitud de acceso a la información (SAR) actualmente vigentes bajo la Ley de Protección de Datos.

Tenemos previsto incluir un formulario de contacto en nuestro sitio web corporativo a través del cual los usuarios puedan ponerse en contacto. La solicitud se envía a una persona central que será responsable de las solicitudes de SAR y de eliminación de datos. A continuación, enviamos al usuario un formulario para que lo rellene, el usuario proporciona un documento de identidad junto con el formulario completado y firmado, y lo procesamos.

Dado que el consentimiento debe “retirarse fácilmente”, este formulario de contacto también estará vinculado a todas las políticas de privacidad de los sitios web que poseemos y operamos.

Recuerde que siempre que el usuario solicite de la máquina sus datos, deberá proporcionar los datos personales “en una forma comúnmente utilizada y legible por máquina” sin cargo alguno (a menos que la solicitud se vuelva repetitiva) y dentro de los treinta días.

4. Prevenir y denunciar violaciones de datos

Esto es lo que tiene a la mayoría de las personas en la cadena de suministro rascándose la cabeza. En un sistema tan laberíntico como el programático, donde los datos se recopilan y se transmiten sin tener en cuenta cuestiones frívolas como el origen o INSTRUMENTO individual derechos - ¿Cómo se supone que se puede evitar la fuga de datos??

La complejidad de Lumascape no se puede soportar con el RGPD. Shubham Grover, especialista de productos de AdPushup, describe lo que los editores pueden hacer razonablemente para prevenir y protegerse contra la fuga de datos:

  1. Nunca permita que un SSP agregue socios (para cubrir demanda) en su extremo sin su consentimiento.
  2. Conéctese con todos sus proveedores y socios tecnológicos y comuníqueseles su política de datos, es decir, las expectativas para el manejo de datos, lo que está permitido o no, etc.
  3. Revisar todos los acuerdos y asociaciones de intercambio de datos actuales. Revisar los contratos con los socios a la luz del RGPD.
  4. Elimine cualquier dato personal (según lo define el RGPD) antes de procesarlo o compartirlo con otras entidades (como Google Analytics o Mixpanel).
  5. Incluya a todos los proveedores que actualmente recopilan y procesan datos a través de usted en su aviso de privacidad.

Continúe monitoreando sus propiedades digitales para asegurarse de que ninguna entidad no autorizada esté escuchando furtivamente los datos de sus usuarios. Tenga en cuenta que “no informar una infracción cuando se le solicite puede resultar en una multa, así como una multa por la infracción en sí”.

Puede que no sea infalible a gran escala, pero demuestra el compromiso real que tiene con la protección de los derechos de privacidad de los datos de sus visitantes.

5. Evaluaciones de privacidad y personal

Ya casi terminas.

En virtud del RGPD, la “privacidad desde el diseño” es un requisito legal expreso para quienes tratan datos de usuarios. Esto significa que las evaluaciones de impacto de la protección de datos (EIPD) son obligatorias en situaciones

  • donde se está implementando una nueva tecnología/plataforma;
  • cuando sea probable que una operación de elaboración de perfiles afecte significativamente a personas físicas; o
  • donde se procesan categorías especiales de datos (a gran escala)

 Lecturas recomendadas: Realización de evaluaciones de impacto ambiental: código de prácticas (Enlace PDF)

Si su evaluación concluye que el procesamiento de datos supone un “alto riesgo para las personas” y que no puede abordar esos riesgos, deberá consultar a la autoridad de supervisión (SA) del RGPD en su estado miembro para obtener orientación sobre las medidas adicionales.

Reiteraré que la realización de evaluaciones de impacto sobre la protección de datos en las situaciones mencionadas anteriormente Es un requisito legal.  Es un buen momento para convertirlo en una práctica organizacional. Considere designar a alguien que sea responsable del cumplimiento de la protección de datos y la evaluación de riesgos.

Y eso es todo.

¿Qué sucederá una vez que el RGPD entre en vigor? No tiene mucho sentido especular. Recuerde que la privacidad y el seguimiento fueron las principales preocupaciones para la adopción temprana de los bloqueadores de anuncios y siguen siendo una de las principales motivaciones hasta el día de hoy. Es razonable suponer que muchos visitantes de la UE no dudarán dos veces antes de optar por no recibir seguimiento o cookies una vez que tengan la opción.

Los editores que tienen años de datos sobre segmentos de audiencia de la UE tienen razón en entrar en pánico, ya que, sin el consentimiento, sus datos no podrán utilizarse. “Si fuera yo, consideraría seriamente vender estos datos”, afirma Shubham. “Los DSP los necesitarán urgentemente (en formato hash) para crear segmentos de segmentación contextual que estén dispuestos a pagar más dinero de lo habitual (datos de extensión de audiencia)”.

Con el aumento de la segmentación contextual, los editores especializados pueden descubrir que es menos probable que pierdan rendimiento. Richard Lam, que gestiona operaciones programáticas y publicitarias para una red vertical de juegos con sede en el Reino Unido, dice: "Puedo ver a los editores de noticias entrar en pánico, especialmente si invirtieron mucho en segmentación de audiencia, DMP y científicos de datos. Tenían cientos de audiencias diferentes para segmentar. Así que sí, supongo que si yo estuviera en su lugar, sin duda estaría arruinado".

Pero no todo está perdido. “No hay mal que por bien no venga. Habrá usuarios que opten por las cookies. Con eso, los datos propios se convertirán en oro para los editores”, afirma.

Recursos:

ICO.org.uk Guía de 12 pasos para prepararse para el RGPD (Enlace PDF)

Aquí hay algunas lecturas recomendadas para comprender más sobre el tema:

Shubham Grover
Escritora

Shubham es un especialista en marketing digital con amplia experiencia trabajando en la industria de la tecnología publicitaria. Tiene una amplia experiencia en la industria programática, impulsando la estrategia comercial y escalando funciones que incluyen, entre otras, crecimiento y marketing, operaciones, optimización de procesos y ventas.

Artículos Relacionados