Què és la ePrivacy i com afecta a la RGPD?

Hola!! Què tal? ?

Ara que estem immersos en una sèrie de canvis importants i certament “unfriendly” pel món de la publicitat online, encara ens trobem amb més novetats. Entre els adblockers com el natiu de Chrome i les normatives respecte de la publicitat en display de la Coalition for Better Ads, ara per acabar-ho d'adobar hem d'afegir els canvis en la ePrivacy Directive, la normativa reguladora europea de protecció de dades, destinada en un principi a protegir el contingut de les comunicacions electròniques i la privadesa a Internet.

Tot plegat es veurà reflectit en les regulacions del RGPD (Reglament General de Protecció de Dades) que entraran en vigor el 25 de maig de 2018. Així i tot, aquests canvis legislatius, sempre requereixen un període d'adaptació i moltes d'aquestes mesures són una mica ambigües i per tant, fins que no queda exactament clar com són i com ha de ser la seva aplicació, es consideren responsabilitat de cadascú la decisió de dur-les a terme, però com deia aquell, sempre és millor prevenir que curar i amb sancions econòmiques pel mig, val més estar alerta.

La nova regulació afectarà a totes les empreses del mon digital que recullen dades offline i online, dels ciutadans europeus dins i fora de la UE, així com els processos existents en termes de tractament, gestió i emmagatzematge de dades independentment del sector o el context.

La suma de tots aquests factors afegits als nous hàbits de consum de la informació per part dels usuaris, són una tempesta perfecta que convida a reflexionar respecte de la rendibilitat de la publicitat online a curt termini, on els mitjans digitals es veuran especialment impactats.

Què has de tenir en compte amb l'aplicació de la nova normativa?

Queda menys d'un mes per l'aplicació de la nova regulació i és important que tinguis clares una sèrie de consideracions. A priori aquestes són les més remarcables:

• Disposa d'informació clara i detallada del tractament de dades que realitza el teu mitjà

• Informa del nou reglament al responsable del teu mitjà encarregat de la gestió de les dades

• Recull dades amb consentiment explícit i identificable

  • Opt in (P.Ex: formulari que l’usuari omple voluntariament per rebre un butlletí)

  • Doble Opt in (P.Ex: la doble confirmació requerida per finalitzar un procés de registre a un servei amb un correu electrònic que inclou un enllaç de confrmació amb un text on expliquis clarament la finalitat i l'ús de les dades i qui és el responsable del fitxer)
• Prioritza en el teu mitjà el Privacy by Design, és a dir, has de plantejar-te el disseny, o noves implantacions, prioritzant la gestió de dades i les normatives de privadesa abans que el look&feel o la part tècnica
• Prioritza el Privacy by Default, és a dir que la protecció de dades sigui automàtica i amb el màxim nivell activat, deixant a lliure elecció de l’usuari el fet de baixar el nivell de protecció i sense haver de llegir les polítiques de privadesa

Quines són les dades que es veuran afectades?

En un principi les dades implicades són les més habituals i utilitzades per tenir coneixement i seguiment de les preferències i costums de navegació dels usuaris.

• Cookies

• Adreces IP

• Dades de geolocalizació

• E-mail

• Adreces MAC (dispositiu i model)

• IMEI mòbil

• Pixels de rastreig

• Les comunicacions comercials no desitjades (trucades automàtiques, SMS, o correus electrònics) seguiran requerint consentiment previ, i el dret d'oposició (Opt out).

• El tractament de dades explícites de l’usuari: experiències personals, problemes de salut, preferències sexuals i opinions polítiques

Per altra banda s’introdueixen nous conceptes com les “metadades de comunicacions electròniques” que substitueixen el concepte “dades de tràfic” i s’estableix que aquestes metadades es podran tractar per a motius de seguretat, detectar fallades tècniques i evitar frau o abús d’un servei (amb el consentiment previ de l’usuari).

Com afecta la nova RGPD a l'ús de cookies, la política de privacitat i l’avís legal?

A la RGPD s'estableix que els mitjans i els anunciants han d'obtenir el consentiment de cada usuari per utilitzar les seves dades personals. Un consentiment que no pot ser genèric com ara del tipus “navegant per aquesta web acceptes l'ús de cookies”, ara l’acceptació ha de ser prèvia i informant de cadascuna de les finalitats per separat:

• Cookies obligatòries: Inici de sessió segur, punt de navegació d'una comanda...
• Cookies funcionals: Recorden les dades d'inici de sessió, el contingut del carret de compra i garanteixen l'aspecte formal i estructural de la pàgina...
• Cookies publicitàries: Permeten compartir pàgines amb xarxes socials, publicar comentaris i oferir a l'usuari publicitat d'acord amb els seus interessos
• Altres...

D'altra banda, es distingeix entre cookies pròpies i de tercers:

Si les cookies són pròpies (com les d’inici de sessió) mentre mantinguis l'anonimat dels usuaris, només necessites informar a través de l'avís legal o de la política de privadesa del teu mitjà. Tan si són cookies pròpies o de tercers, però que identifiquen a l'usuari, aleshores si estàs obligat a informar de manera clara i sol·licitar un consentiment explícit per part de l'usuari.

Malgrat això, el nou reglament de la ePrivacy planteja un consentiment genèric, que s'hauria de donar mitjançant el navegador, però sense que l'usuari pugui conèixer l'abast de la instal·lació de les cookies i les seves múltiples finalitats. Un dels punts d'ambigüitat de la nova regulació que encara a dia d'avui està sobre de la taula.

Per altra banda a partir d'ara també s'ha d'incloure un avís legal en el peu dels correus electrònics informant del motiu de la comunicació i del tractament de les dades.

Per últim has de saber que també es requereix l'obligatorietat d'enviar un correu electrònic a totes les teves llistes de correu, quan modifiquis la política de privadesa i si no l'accepten de manera explícita, esborrar-los automàticament.

Com s'han de recollir i emmagatzemar aquestes dades?

En aquest punt hi ha novetats de nova implantació on la normativa s'endureix i amplia la responsabilitat del teu mitjà, com a gestor últim de les dades recollides per exemple en els Opt in o Doble Opt in, descrits prèviament i et fa responsable del bon compliment de les noves regulacions amb la incorporació de la figura del DPO (Data Protection Officer) intern o extern, que ha de poder certificar la correcta aplicació de la ePrivacy. La AEPD et facilita una guia pel correcte tractament de les dades:

• Has de garantir la plena seguretat de la recollida, elaboració i emmagatzematge de les dades en la UE i fora (si s'estableix en clàusules específiques) i garantir un accés limitat i controlat a les mateixes

• La informació sobre l'ús de les dades ha de ser transparent, clar i accessible

• Les dades recollides han de ser pertinents i adequades a l'ús pel qual han estat recollides i poden ser emprades amb finalitats específiques declarades en el consentiment

• Obligatorietat d’encriptament de les dades (depenent del nivell)

• Ampliacions del dret a l'oblit i portabilitat de les dades de l'usuari

• L'obligatorietat de crear un registre del tractament de les dades i informar a la AEPD de possibles escletxes de seguretat. Per facilitar i clarificar la tasca tens l’eina online Facilita de la AEPD

Que pot passar si no respectes la normativa de la ePrivacy?

Doncs com sempre és un tema de sancions econòmiques que sempre ajuden a "sensibilitzar" a la població a complir les normatives de nova implantació. La penalització és doblement perjudicial doncs per una banda t'enfrontes a una multa de fins al 4% de la teva facturació i la pèrdua de reputació digital i de confiança per part dels teus usuaris.

Com pot afectar tot plegat als teus ingressos per publicitat?

L'impacte de la proposta per als mitjans digitals és evident doncs es redueix la seva capacitat per oferir continguts i serveis de qualitat, i també es veu minvada la seva capacitat de generar ingressos per publicitat, que és la seva principal font de finançament, ja que es preveu certa limitació per part dels grans "players publicitaris" (Google, Facebook...) per oferir una publicitat personalitzada i orientada perquè els usuaris d'aquestes plataformes negaran el seu consentiment a utilitzar les seves dades personals amb finalitats publicitàries, i com a conseqüència, el rendiment dels anuncis publicitaris serà menor.

Necessites una Assessoria Jurídica-Informàtica especialitzada en seguretat informàtica i Llei de Protecció de Dades?

El nostre partner Seinprodat, amb la Patrícia al capdavant, són els nostres assessors especialitzats en seguretat informàtica i Llei de Protecció de Dades. Si voleu que us posem en contacte perquè us ofereixin els seus serveis, només ens ho heu de dir, o directament, contacteu amb ells perquè us ajudin a resoldre els vostres dubtes respecte de l'aplicació de les novetats en la normativa del RGPD.

Si t'ha agradat el contingut, pots compartir aquest post a xarxes socials i 1 m'agrada també ens animarà a continuar... és gratis i ja saps que les millors coses de la vida sempre ho són... ?

Si ens vols suggerir algun tema que aporti valor al dia a dia del teu projecte editorial pots fer-ho aquí i si et vols subscriure al nostre butlletí, només has de deixar un nom i un correu al camp d'aquí sota, i rebràs les novetats del nostre blog abans que ningú.

Nosaltres seguirem parlant del que més ens agrada. Hi seràs?

Fins aviat!