Un crescente patchwork di dati sulla privacy dei dati domestici e internazionali viene rapidamente rafforzato e messo in atto
I recenti scandali sulla privacy dei dati hanno fortemente focalizzato l'attenzione, i legislatori e i legislatori su big data, tecnologia pubblicitaria e marketing diretto. In risposta, un crescente patchwork delle leggi sulla privacy dei dati nazionali e internazionali viene rapidamente rafforzato e promulgato.
Il marketing digitale, per sua stessa natura, implica la raccolta, l'uso e la diffusione di informazioni personali, in una forma o nell'altra. Il recente assalto della legislazione sulla privacy dei dati ha lasciato i marketer a grattarsi la testa collettiva su cosa "informazioni personali" significhi oggigiorno e come possano essere conformi. È interessante notare che considerazioni molto simili hanno la Federal Trade Commission che chiede al Congresso di emanare una legislazione federale sulla privacy che riequilibri le preoccupazioni dei consumatori con la necessità commerciale di regole chiare della strada.
In che modo tutta l'attività legislativa ha avuto un impatto sui marketer digitali? Come è possibile farlo andando avanti?
Scarica la nostra risorsa premium: briefing GDPR ed ePrivacy per i professionisti del marketing
In questo rapporto copriamo gli ultimi esempi e discussioni su entrambi questi regolamenti, che cercano di migliorare la trasparenza e l'efficacia delle attività di protezione dei dati.
Accedi al briefing GDPR e ePrivacy per i professionisti del marketing
Per cominciare, poiché il marketing digitale è diventato più sofisticato, è aumentato il controllo normativo. L'uso improprio e l'abuso dei dati dei consumatori hanno portato a innumerevoli indagini e azioni di applicazione avviate dagli avvocati generali dello stato e dalla Federal Trade Commission. Lo scandalo per la violazione dei dati di Facebook – Cambridge Analytica è stato sicuramente un fattore determinante.
In generale, dalla generazione di lead al telemarketing, le agenzie di regolamentazione hanno e continueranno a perseguire in modo aggressivo le attività dei marketer digitali che non rispettano le promesse di sicurezza e privacy, raccolgono le informazioni dei consumatori senza rivelare chiaramente come tali informazioni verranno utilizzate e utilizzeranno informazioni dei consumatori in modi che non sono consentiti o ragionevolmente anticipati.
I governi di tutto il mondo hanno ora intensificato gli sforzi legislativi in grande stile.
Regolamento generale sulla protezione dei dati dell'UE
Il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea ha ricevuto praticamente tutta l'attenzione nel 2018 in termini di legislazione sulla privacy e sulla sicurezza dei dati. Ora è la legge principale che regola il modo in cui le aziende, compresi i marketer digitali, proteggono i dati personali dei residenti nell'UE.
Il GDPR colpisce le imprese situate sia all'interno che al di fuori dell'Europa e presenta multe salate per la non conformità (fino a 20 milioni di euro o il 4% delle entrate annuali globali, a seconda di quale sia maggiore). Le entità coperte devono conoscere i dati dei consumatori che possiede, assicurarsi che venga ottenuto il consenso appropriato e i fornitori di servizi veterinari. L'impatto di GDPR sul business basato sui dati non può essere negato. Tuttavia, molti credono – o non hanno altra scelta se non credere – che il regolamento è in realtà uno sviluppo positivo.
Qualunque sia la tua prospettiva, GDPR ha cambiato la pubblicità negli Stati Uniti. A causa dell'ambito extraterritoriale della legge, i marketer digitali negli Stati Uniti sono obbligati a comprendere la componente chiave del GDPR se raccolgono, conservano o utilizzano dati dei consumatori europei. Inoltre, GDPR è dissimile dalle tradizionali norme sulla protezione dei dati negli Stati Uniti e, di conseguenza, molti marketer continuano a lottare con le modalità di conformità.
Infografica di Digital Guardian
Come per qualsiasi inventario di dati responsabile e processo di mappatura, i professionisti del marketing dovrebbero sapere quali dati personali dei consumatori hanno, il modo in cui sono stati raccolti e se tali dati riguardano i consumatori europei. Quest'ultima ora richiede cure e attenzioni aggiuntive. È importante sottolineare che i professionisti del marketing devono anche rendersi conto che GDPR protegge un'ampia gamma di dati sulle persone, identificabili o anonime.
Ad esempio, i professionisti del marketing che raccolgono dati sui consumatori dell'UE non sono in grado di raccogliere e utilizzare dati sui cookie, dati sulle impressioni o dati personali deidentificati senza il consenso espresso [Note: the Federal Trade Commission regards data, including some persistent identifiers, as “personally identifiable” when it can be reasonably linked to a particular person, computer or device]. In base a GDPR, i consumatori sono tenuti ad acconsentire in via affermativa alla raccolta dei propri dati e ad ogni uso previsto.
I marketer che utilizzano i dati dei consumatori dell'UE e continuano a rispondere al regime di opt-out negli Stati Uniti stanno cercando problemi. Come i marketer che non riescono a fornire ai consumatori un controllo significativo sui propri dati, non controllare le pratiche sulla privacy dei dati dei fornitori di servizi di marketing o raccogliere più informazioni ragionevolmente necessarie. I professionisti del marketing digitale dovrebbero consultare un professionista legale esperto in materia di privacy dei dati per comprendere le sfumature di come GDPR (e altra legislazione applicabile) si applica a specifici modelli di business.
Le autorità europee per la protezione dei dati hanno già iniziato a indagare e imporre ammende per le violazioni della GDPR. Ad esempio, l'ufficio del commissario per le informazioni del Regno Unito ha recentemente addebitato a una società canadese l'utilizzo improprio di dati personali di persone del Regno Unito a scopi pubblicitari mirati. In Francia, la Commissione Nationale de L'Informatique et des Libertes ha stabilito che una rete pubblicitaria mobile ha ottenuto illegalmente il consenso in bundle di decine di milioni di persone. In Germania, il commissario di Stato per la protezione dei dati e la libertà di informazione Baden-Wuerttemberg ha emesso una multa di € 20.000 a seguito di una violazione dei dati in una società di social media.
Sviluppi legislativi sulla legislazione sulla privacy dei dati
Mentre il GDPR dell'Unione Europea ha avuto il riflettore sulla privacy dei dati per l'anno scorso, i marketer digitali dovrebbero prestare molta attenzione a ciò che sta accadendo negli Stati Uniti. In una certa misura, l'aumento dell'attività legislativa sulla privacy dei dati interni è il risultato di una miriade di scandali di dati dei consumatori, grida dei gruppi di difesa dei consumatori per una maggiore trasparenza nei big data, GDPR e critiche del Parlamento europeo agli sforzi interni per fornire un livello adeguato di protezione per il trasferimento internazionale di dati personali
Legislazione sulla Cybersecurity Colorado
Nel maggio 2018, il Colorado ha promulgato una vasta legislazione sulla privacy e sulla sicurezza informatica. In breve, la legge del Colorado richiede alle entità coperte di progettare e implementare procedure di sicurezza ragionevoli, adeguate alla natura delle informazioni di identificazione personale e alla natura e alle dimensioni dell'azienda e delle sue operazioni.
Le entità coperte sono inoltre tenute ad attuare i programmi di gestione dei fornitori, a smaltire correttamente i documenti contenenti informazioni riservate e a garantire che le informazioni riservate siano ragionevolmente salvaguardate quando trasferite a terzi. In termini di piani di risposta agli incidenti di violazione dei dati, il nuovo timeframe di notifica della violazione dei dati in Colorado è ora il più breve negli Stati Uniti.
Programmi di sicurezza delle informazioni scritti nel Massachusetts
Naturalmente, il Colorado non è il primo stato a richiedere l'implementazione di programmi di sicurezza delle informazioni scritte (WISP). Le norme sulla sicurezza dei dati del Massachusetts richiedono che ogni azienda che possiede o concede licenze "informazioni personali" sui residenti del Massachusetts per sviluppare, attuare e mantenere un WISP. Il WISP deve contenere alcune garanzie minime amministrative, tecniche e fisiche per proteggere tali "informazioni personali".
Vermont Data Broker Law
Da non trascurare e di particolare importanza per i generatori di piombo, il Vermont ha recentemente promulgato una legge sulla privacy dei broker di dati. La legislazione del Vermont mira a regolamentare le imprese che raccolgono, aggregano e vendono dati sui consumatori con i quali l'azienda non ha una relazione.
Mentre la legislazione fa parte di un numero crescente di leggi statali che regolano la privacy e la sicurezza dei dati, la legge del Vermont è la prima del suo genere negli Stati Uniti. È entrato in vigore il 1 ° gennaio 2019 ed è stato superato, in parte, a causa della violazione dei dati di Equifax.
La legge definisce un intermediario di dati come un business che "raccoglie consapevolmente e vende o concede in licenza a terzi i dati personali scambiati di un consumatore con il quale l'azienda non ha una relazione diretta". Un "consumatore" è definito come un individuo residente nel Vermont. Presumibilmente, la legge si applica ogni volta che un intermediario di dati raccoglie dati sui residenti del Vermont, indipendentemente da dove si trova l'attività.
Le "informazioni personali" trasmesse comprendono uno qualsiasi dei seguenti dati, se informatizzati e organizzati / suddivisi in categorie per la divulgazione a terzi: nome, indirizzo, data di nascita, luogo di nascita, cognome da nubile della madre, dati biometrici unici, nome o indirizzo di un'immediata familiare, SSN o altro codice identificativo emesso dal governo e qualsiasi altra informazione che, da sola o in combinazione con le altre informazioni vendute o concesse in licenza, consentirebbe a una persona ragionevole di identificare una persona con ragionevole certezza.
I marketer digitali devono comprendere la portata della legge del broker dei dati del Vermont, sia che si applichi alle loro operazioni commerciali, sia gli obblighi e le restrizioni imposti dalla legge, inclusi meccanismi di opt-out, programmi completi di sicurezza dei dati, requisiti annuali di registrazione e sanzioni per non conformità .
California Controversial Consumer Privacy Act del 2018
La California è stata a lungo un leader nazionale per quanto riguarda la privacy dei dati. Nel giugno 2018, la legislatura della California ha approvato la legge sulla privacy più severa del paese, il California Consumer Privacy Act del 2018. La legislazione è annunciata dai difensori dei consumatori come un passo storico verso un maggiore controllo per i consumatori della California rispetto ai loro dati personali.
Il California Consumer Privacy Act ha effetto dal 1 ° gennaio 2020. Ha un approccio GDPR-light e avrà un impatto significativo sulle operazioni di marketing digitale. Considerate questo, la legge definisce in modo espansivo "informazioni personali" per includere la cronologia di navigazione e di ricerca, nonché le deduzioni tratte da determinati dati.
Come promulgato, fornisce ai consumatori la possibilità di richiedere una registrazione dei tipi di dati che un'azienda mantiene su di loro e di come questi dati vengono utilizzati dall'azienda e da terze parti. Le aziende coperte devono comunicare a chi vendono i dati e i consumatori adulti avranno il diritto di rinunciare a tale divulgazione. I consumatori di età inferiore ai 16 anni hanno il diritto di non vendere i propri dati personali in assenza del proprio consenso di opt-in. Anche i consumatori avranno il diritto di cancellare.
Se ciò non bastasse, agli operatori del sito web coperti verrà richiesto di pubblicare il pulsante "Non vendere le mie informazioni personali" sui loro siti web. La legge della California sarà applicata dal Procuratore Generale della California, tuttavia, crea anche un diritto di azione privato per le violazioni dei dati. Le multe statutarie per non conformità sono significative anche nella nuova normativa sulla privacy della California.
Da quando il disegno di legge è stato emanato, ha affrontato l'attacco dei professionisti della privacy come eccessivamente ampio e mal redatto. Mentre i legislatori della California hanno apportato una serie di emendamenti alla legge, molti ritengono che siano urgentemente necessari importanti cambiamenti.
Le preoccupazioni vanno dall'applicazione della legge alle parti interessate che non hanno fornito input e sostanziali costi di conformità alle piccole imprese, alle incongruenze con le definizioni GDPR e di sovraffollamento. Rispetto a quest'ultimo, una serie di definizioni sono imprecise e già causano notevoli disagi di confusione e conformità, inclusa, senza limitazioni, una definizione espansiva di "informazioni personali" che raggiunge i dati di altre persone.
L'attuale portata della nuova legge sulla privacy della California sta causando incertezza e, potenzialmente, sprechi di spesa. Sebbene richieda cambiamenti sostanziali prima che diventi una legge, la conformità richiede un'attenta preparazione, anche se all'orizzonte sono previste ulteriori revisioni e regolamenti formali. I professionisti del marketing dovrebbero già valutare le fonti di dati personali, come vengono utilizzati i dati e come vengono condivisi i dati.
Legislazione sulla privacy proposta a New York
A seguito della promulgazione del California Consumer Privacy Act, sembra che New York abbia ora proposto la legislazione sulla privacy – la legge sul senato di New York 224. Anche se non così ampia come quella della California, come proposto, la legislazione di New York richiederebbe un business che conservi le informazioni personali di un cliente per rendere disponibili, gratuitamente, l'accesso o copie di tutte le informazioni personali del cliente che conserva.
La legislazione proposta richiederebbe anche alle aziende che divulgano informazioni personali a terze parti di fornire varie informazioni ai consumatori su quali dati sono condivisi e con chi è condiviso. Richiede anche avvisi di privacy migliorati e un diritto di azione privato.
Conclusione
La normativa sulla privacy recentemente emanata influenza profondamente il modo in cui operano i marketer digitali. I regolatori governativi di tutto il mondo si aspettano che i marketer digitali diano la priorità alla privacy dei consumatori e alla sicurezza dei dati. Senza limitazioni, la conformità implica necessariamente una mappatura dei dati deliberata, l'inventario dei dati, la formazione del personale, le note sulla privacy e i contratti con i fornitori, e meccanismi di scelta e avviso evidenti.
Il momento per i marketer digitali di apportare modifiche ai protocolli di archiviazione e elaborazione dei dati è ora.
* Pubblicità dell'avvocato. Solo a scopo informativo. Consulenza non legale
