Consenso per il trattamento dei dati personali: cosa cambia con il GDPR

Consenso per il trattamento dei dati personali: cosa cambia con il GDPR

Il regolamento generale sulla protezione dei dati (GDPR) che sarà in vigore dal 25 Maggio 2018 è pronto a cambiare il modo in cui Programmatic Marketer si connettono con i consumatori EU.

Ma cos’è esattamente il GDPR e che tipo di impatto avrà sull’industria della pubblicità programmatic?

Cos’è il GDPR?

Il GDPR è un regolamento che entrerà in vigore il 25 Maggio 2018. Dopo le prime discussioni iniziate nel 2012, il GDPR è stato ufficialmente adottato dal parlamento europeo con un periodo di transizione di due anni.

Principalmente, il GDPR risponde alle preoccupazioni dei consumatori circa la sicurezza dei dati. Alcuni dei cambiamenti più importanti:

  • nella maggior parte dei casi i dati personali possono essere usati solo con l’espresso consenso dei consumatori.
  • i consumatori hanno il “diritto all’oblio” e il diritto alla “portabilità dei dati”
  • rispetto di requisiti amministrativi e di tenuta registri.

Cosa sono i “dati personali” in relazione al GDPR?

I “dati personali” comprendono tutto ciò che praticamente può essere usato per identificare personalmente un individuo, dagli indirizzi e-mail alle cartelle cliniche fino alle coordinate bancarie.

Un paio di punti importanti per i programmatic marketer sono semplicemente le modifiche in cui i cookies, gli indirizzi IP, gli ID dei dispositivi e i dati sulla posizione possono essere usati per la pubblicità digitale.

Punto 30 del GDPR dell’EU definisce “identificatori online per la profilazione e l’identificazione" in quanto tali:

“Le persone fisiche possono essere associate agli identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori come etichette di identificazione a radiofrequenza. Ciò può lasciare tracce che, in particolare se combinate con identificatori unici e altre informazioni ricevute dai server, possono essere utilizzati per creare profili delle persone fisiche e identificarli."

È importante sottolineare che i cookies sono considerati “dati personali” nel momento in cui sono usati per identificare un individuo, come spesso accade nella pubblicità in programmatic. Lo stesso vale per gli indirizzi IP, i dati sulla posizione e sull’ID del dispositivo.

Cosa costituisce il "consenso" per l’uso dei "dati personali" ai sensi del GDPR?

L’art. 7 del GDPR scandisce il concetto “consenso” come previsto dal nuovo regolamento.
Qui di seguito un paio di punti chiave:

  • Il consenso deve essere liberamente dato dal consumatore. Il consenso non può essere implicito
    • Le caselle pre-barrate non sono più permesse
    • Le notifiche passive come “utilizzando questo sito, si accettano i cookies” non sono conformi al GDPR
  • Il consenso non può essere nascosto all’interno dei Termini e Condizioni e non è vincolante se ottenuto in questa modalità; esso deve essere

    “presentato in modo tale che sia chiaramente distinguibile da altre questioni, in una forma comprensibile e con un modulo facilmente compilabile, usando un linguaggio semplice e chiaro”.

  • Il consumatore ha il diritto di revocare il proprio consenso in qualsiasi momento
    • Il regolamento cita

      “esso deve essere revocato con la stessa facilità con cui è accordato”

L’art. 8 riguarda i minori di età inferiore a 16 anni.
Se il minore ha un’età inferiore a 16 anni, il consenso per l’utilizzo dei dati personali deve essere “autorizzata dal titolare della responsabilità genitoriale sul minore” (I singoli stati membri dell’EU possono modificare l’età minima, che non può essere inferiore ai 13 anni; finora solo la Spagna ha spostato l’età del consenso a 14 anni.)

Una serie di considerazioni approfondiscono ulteriormente il processo che porta al consenso dei dati personali:

  • Punto32: Condizioni per il consenso
    • "Il consenso dovrebbe essere dato da un chiaro atto affermativo che stabilisce un’indicazione libera, specifica, informata e inequivocabile dell’accettazione dell’interessato al trattamento dei dati personali che la riguardano, ad esempio mediante una dichiarazione scritta, anche per via elettronica o una dichiarazione orale. "
    • "Silenzio, caselle pre-spuntate o inattività non dovrebbero quindi costituire consenso."
    • "Quando l’elaborazione ha molteplici scopi, è necessario fornire il consenso a tutti".
  • Punto 33: Consenso a specifiche aree delle ricerca scientifica
  • Punto 38: Protezione speciale dei dati personale dei minori
  • Punto 42: Onere della prova e requisiti per il consenso
    • "Qualora il trattamento sia basato sul consenso dell’interessato, il responsabile del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito all’elaborazione. In particolare nel contesto di una dichiarazione scritta su un’altra questione, le garanzie dovrebbero garantire che l’interessato sia consapevole del fatto che e della misura in cui viene fornito il consenso. "
    • "Il consenso non dovrebbe essere considerato come dato liberamente se l’interessato non ha scelta libera o reale o non è in grado di rifiutare o revocare il consenso senza detrimento".
  • Punto 43: Consenso dato liberamente

I consumatori hanno il "diritto all’oblio" e il diritto alla "portabilità dei dati"

L’art. 17 del GDPR specifica che il consumatore ha il “diritto alla cancellazione” comunemente conosciuto “come diritto all’oblio”

Ciò significa che i consumatori hanno il diritto di richiedere che i loro dati personali vengano cancellati dai data controller per vari motivi, compresa la semplice revoca del consenso.

Punto 65 e 66 descrivono in maggior dettaglio il “diritto all’oblio”

Un importante punto cardine è che i programmatic marketer che trattano i dati personali dei consumatori devono anche avere la possibilità di cancellare quei dati, se il consumatore esercita il proprio "diritto all’oblio". Ciò si applica anche se il consenso è stato già ottenuto perché il consumatore può sempre ritirare il proprio consenso e richiedere il diritto alla cancellazione.

L’art.20 analizza il diritto del consumatore alla “portabilità dei dati”. Ciò significa che il consumatore ha il diritto di ricevere i dati personali forniti al controller "in un formato strutturato, comunemente usato e leggibile da una macchina". Secondo il regolamento, il consumatore ha inoltre il diritto di trasmettere i dati personali a un altro controller.

Il GDPR influenza i marketer di tutto il mondo, non solo nell’EU.
Come specificato all’articolo 3 del GDPR, il controller EU o un incaricato non EU applica il regolamento al trattamento di dati personali di dati soggetti a chi è nell’Unione a condizione che il trattamento dei dati sia collegato a:

  • l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
  • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Punti 22, 23, 24 e 25 analizzano l’aspetto territoriale del GDPR e il punto chiave è chiaro per il programmatic marketer: anche se non sei localizzato nell’EU e monitori il comportamento di consumatori dell’EU o offri loro bene o servizi, sei sempre tenuto a rispettare il regolamento del GDPR.

Che tipo di impatto avrà il GDPR per le aziende che investiranno nella pubblicità programmatic?

Le implicazioni esatte non potrebbero essere note per un po’, ma ci sono una manciata di potenziali percorsi.
La tematica industry-to-consumer può sembrare familiare all’ad-block.
Per i principianti, visto che DSP, SSP e altri giocatori infilati nello stack tecnologico non hanno tanta esposizione diretta ai consumatori, l’onere potrebbe gravare largamente sull’aziende che si interfacciano con il consumer, che per comunicare beneficiano dei dati condivisi. Gli editori, i siti web e i marketer assumono molto di questa responsabilità, rendendo così i dati di prima parte ancora più importanti.

Le conversazioni che si svolgono possono sembrare simili a quelle che si sono verificate durante il recente fenomeno di blocco degli annunci, in cui gli editori hanno tentato modi unici di comunicare con i clienti in merito all’utilizzo degli ad-blocker.

Gli editori che si sono affidati molto alla pubblicità in programmatic al fine di supportare il proprio business sono pronti a subire i cambiamenti più significativi, ma sono anche in una buona posizione per ottenere il consenso. Gli editori di qualità rispetto agli editori sconosciuti e di scarsa qualità potrebbero trarre il maggior vantaggio dal GDPR., dato che hanno più probabilità di ricevere il consenso dal consumatore.

Rinforzare la "fuga di dati" è al centro dell’attenzione

Qui di seguito la descrizione di Digiday della “fuga di dati”

"La perdita di dati si verifica in genere quando un marchio, un’agenzia o un’azienda di tecnologia pubblicitaria raccoglie dati sul pubblico di un sito Web e successivamente utilizza tali dati senza il permesso dell’editore iniziale"

Se un editore ottiene il consenso da un utente, deve anche proteggerlo - ad es. prevenire la perdita di dati - il che significa che devono avere contratti stretti con i loro partner e processori. Anche la fiducia e la trasparenza saranno fondamentali, il che probabilmente porterà a un cambiamento nel numero di piattaforme con cui gli editori collaborano.

Sotto il GDPR e la sua terminologia, gli editori saranno spesso "controller". L’articolo 4, sezione 7 del GDPR definisce un "controller" come

"... ente che ... determina gli scopi e i mezzi del trattamento dei dati personali”

Il "processore" è

“…organismo che elabora i dati personali per conto del responsabile del trattamento" (articolo 4, sezione 8).

Come specificato nell’art. 33, la violazione dei dati deve essere denunciata dal controller entro 72 ore.

Le conversazioni sulla "trasparenza" possono accelerare

Fiducia e trasparenza sono già in prima linea nelle conversazioni dell’ecosistema programmatic e il GDPR potrebbe servire per accelerare la spinta per portare a livello di settore maggiore responsabilità.

I marketer e gli editori possono essere ritenuti responsabili per non conformità da parte di terzi, il che significa che tutti i giocatori nell’ecosistema della tecnologia pubblicitaria diventeranno più dipendenti l’uno con l’altro. Ciò significa anche che l’ecosistema potrebbe subire un cambiamento significativo nel numero di partner con cui i marketer e gli editori collaborano. Per tanto il consolidamento potrebbe anche esso essere accelerato.

Contratti saranno probabilmente rivisti al fine di assicurare la conformità e gli editori otterranno una significativa richiesta di trasparenza riguardo l’uso dei dati da parte di ognuno dei suoi partner e piattaforme.

Quantità ridotta, aumento della qualità

La quantità dei dati usati per l’acquisto di pubblicità in programmatic sicuramente diminuirà (non tutti i consumatori dell’EU daranno il consenso), ma la qualità di tali dati aumenterà, perchéc oloro che daranno il consenso affermeranno di aver compreso e di essere d’accordo con la proposta di valore.

Pertanto, c’è un potenziale aumento dei CPM, dato che la competizione si intensifica e i marketer si focalizzano su una spesa più intenzionale e trasparente.