La nueva legislación europea empezará a aplicarse el próximo 25 de mayo

Siete medidas para operar con publicidad programática y cumplir la nueva normativa de Protección de Datos

 

• Digilant ha recopilado siete recomendaciones que las empresas del sector (anunciantes, agencias, etc.) pueden adoptar para seguir operando sin problemas con publicidad programática.
• Las compañías que incumplan el nuevo Reglamento se arriesgan a sufrir multas de hasta 20 millones de euros o el 4% de su facturación global -la mayor de las dos cantidades-.
• Se estima que el 73% de las empresas no están preparadas para cumplir con las obligaciones que establece la nueva normativa y que, dada la situación actual, más del 50% de las empresas no cumplirá plenamente con sus requisitos a finales de 2018.

 

Madrid, 29 de noviembre de 2017.- El 25 de mayo de 2018 empezarán a aplicarse el RGPD (Reglamento General de Protección de Datos) de la Unión Europea (UE). Esta normativa pretende mejorar la protección de la ciudadanía, lograr una mayor transparencia en sus relaciones con las empresas y motivar el aumento de la responsabilidad por parte de las compañías. Los consumidores de la UE podrán saber en cada momento cómo las marcas utilizan y almacenan sus datos personales.

En paralelo, se está desarrollando el Reglamento ePrivacy, un segundo marco legal complementario para la Unión Europea, sobre el respeto de la vida privada y la protección de los datos personales en las comunicaciones electrónicas. Esto incluye también el “Internet de las Cosas” (IoT), y aplicaciones y herramientas de mensajería instantánea y comunicación como Skype, WhatsApp SnapChat y Facebook Messenger, por ejemplo. Aún no está definida la fecha de aplicación, aunque podría ser también el 25 de mayo de 2018.

El RGPD se aplicará a cualquier empresa u organización que capture, comparta o tenga información personal de ciudadanos de la UE para hacer negocios. Todos los actores que participan en el comercio electrónico se verán plenamente afectados con ambas disposiciones; entre ellos, cualquier actividad de marketing digital, hasta las estrategias más simples y básicas.

 

Cómo actuar correctamente

Digilant, empresa especializada en compra programática de medios y gestión de datos, ha recopilado siete recomendaciones que las compañías del sector (anunciantes, agencias, etc.) pueden adoptar para operar sin problemas con publicidad programática una vez que se empiece a aplicar la nueva normativa:

 

1. Cada marca o agencia debe diseñar una política de privacidad que detalle claramente cómo recolecta, almacena, transfiere y procesa los datos de las personas. Esa política debe garantizar que los usuarios cuentan con información suficiente y adecuada para poder acceder a sus datos, revisar su uso propuesto y realizar cambios -si fuera necesario- o anular un consentimiento, y conocer con exactitud qué información tiene sobre  ellos una marca, con quién la comparte y con qué propósito se utiliza. A su vez, los proveedores (agencias, etc.) deberán asegurar a los anunciantes que cumplen con la normativa, para evitar cualquier riesgo  de sanción. En este sentido, el RGPD identifica las cookies atribuidas a un dispositivo como “datos personales” dado que pueden servir para identificar -directa o indirectamente- un perfil de usuario con fines comerciales, como las que se utilizan en publicidad.  Según lo establecido actualmente en el Reglamento ePrivacy, será necesario el consentimiento de cookies por parte de cada usuario para plataformas de terceros -como Google Analytics, por ejemplo-, que las utilizan para evaluar el número de visitantes, publicaciones, visitas de página, comentarios y seguidores con el fin     de optimizar futuras campañas de marketing.
2. Será imprescindible conseguir una autorización expresa, pues las cookies sólo podrán activarse cuando un usuario acceda a un sitio web y otorgue su consentimiento con una acción afirmativa (opt-in). No bastará con que en la primera visita de una persona a una web se muestre un mensaje del tipo «Al usar este sitio, acepta cookies«, muy común ahora, en el que se da por sentado un consentimiento implícito (opt-out). Parece ser que la acción afirmativa por parte del usuario consistirá en permitir la instalación de cookies al configurar su navegador. Además, cuando las actividades de procesamiento de las cookies tengan diferentes propósitos, el usuario deberá dar el consentimiento para cada uno de esos fines. Las mejores prácticas consistirían en que cada portal enumere todas las cookies en su sección de Política de Privacidad.
3. Facilitar la anulación. Del mismo modo, hay que hacer igual de sencillo para el usuario tanto el consentimiento como la anulación de una autorización para admitir cookies, con la opción visible y accesible en todo momento para los visitantes.
4. Centralizar la información que contenga datos personales en una sola plataforma -como un CRM-, que albergue el registro de consentimiento. Así evitará errores que podrían producirse si la información de los usuarios está en diferentes lugares. Es una buena ocasión para llevar a cabo un registro de actividades del tratamiento para así actualizar la información recopilada a través de Internet, logrando un inventario Premium, y de obtener nuevas autorizaciones implementando formularios ya adaptados al RGPD.
5. Para cumplir con el principio de Accountability (Responsabilidad) contemplado en el RGPD, que supone un enfoque proactivo en lugar de reactivo ante las posibles brechas de seguridad, habrá que tomar las medidas técnicas y organizativas que garanticen la protección de los datos.
6. Orientar la actividad hacia una verdadera estrategia de customer centric adaptada a los clientes potenciales. Por ejemplo, se pueden ofrecer cookies a cambio de contenidos o servicios. Diferentes estudios indican que los usuarios están dispuestos a facilitar sus datos a cambio de una experiencia mejorada.
7. Prescindir de datos superfluos. De acuerdo con el principio de minimización de los datos, las empresas deberán prescindir de recopilar aquella información que no utilicen, ciñéndose a recabar solamente los datos necesarios para las finalidades que justifican su tratamiento. Además, esto supondrá un aumento de confianza por parte de los usuarios, y un ahorro logístico para las compañías, pues a menor volumen de datos, menor cantidad de recursos a invertir para evitar que estos se queden obsoletos.

 

“Hay que convertir la adaptación al RGPD en un proceso ordenado. Supone un cambio importante en nuestra manera de relacionarnos con la ciudadanía, pero hay que asumirlo como un reto”, indica Juan Camilo Bonilla, Managing Director de Digilant en España. “El RGPD no está diseñado para impedir comunicaciones comerciales sino para mejorar la protección al consumidor y todos somos consumidores. Se trata de generalizar las mejores prácticas para lograr que los mensajes de las marcas lleguen a las personas que realmente están interesadas y no enviar información que pueda ser irrelevante. De ese modo, también, optimizaremos mucho mejor las inversiones de nuestros clientes”, concluye el máximo responsable de Digilant en España.

En cambio, el máximo responsable de Digilant en España advierte que el Reglamento ePrivacy, “tal como está redactado en la actualidad, pone en peligro el comercio electrónico moderno y desarrollos tecnológicos que están aportando avances muy importantes a la sociedad en ámbitos como el IoT. Los aparatos conectados ofrecerán información imprescindible para hacer más eficiente nuestra conducción de automóviles, nuestro consumo de energía en la empresa o el hogar, o incluso la monitorización remota de nuestra salud. Confío en que la Administración Europea realizará los cambios que hagan falta para conciliar la protección de la privacidad de la ciudadanía que todos deseamos sin necesidad de acabar con nuestro sistema económico actual ni poner barreras al progreso científico”.

 

¿A qué empresas afecta?

A cualquier compañía que haga negocios en la Unión Europea o con ciudadanos o empresas de la UE y que utilice datos personales.

El RGPD considera datos personales cualquier información por la que una persona puede ser identificada, directa o indirectamente, como su nombre, DNI, dirección postal o número de teléfono. También se considera información “personal” aquella referida a la identidad física como son los datos genéticos, fisiológicos, psíquicos, económicos, culturales o sociales. Las IP y las cookies también son información “personal” según la nueva normativa.

Además, el RGPD señala la obligatoriedad de contar con un nuevo perfil en las compañías que traten información personal: el responsable de Protección de Datos (DPO). Ya sea interno o externo, es un profesional encargado de velar por la seguridad de la información de la que su empresa sea responsable, y de que se cumpla el nuevo Reglamento en todos los sentidos.

 

Gran retraso

Un reciente estudio de la consultora Osterman Research señala que el 73% de las empresas no están preparadas para cumplir con las obligaciones que establece el RGPD.

Otro informe, de Gartner, estima que, dada la situación actual, más del 50% de las empresas afectadas por el RGPD no cumplirá plenamente con sus requisitos a finales de 2018. Algo preocupante, ya que el nuevo Reglamento entró en vigor el 24 de mayo de 2016 -aunque no se aplicará hasta 2018-, dejando estos dos años para que las empresas se adaptaran.

De hecho, la Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Facebook con una multa de 1,2 millones de euros por diversos incumplimientos en materia de protección de datos, uno de ellos consistente en recabar información sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin que la red social hubiera obtenido previamente el consentimiento expreso de los usuarios para tratar estos datos. La AEPD ha confirmado que Facebook los utiliza para su explotación publicitaria.

Aunque Facebook ha recurrido la sanción, es una muestra de lo que puede ocurrir de forma generalizada una vez que el RGPD se aplique, ya que aquellas compañías que lo incumplan se arriesgan a sufrir multas de hasta 20 millones de euros o el 4% de su facturación global -la mayor de las dos cantidades-.