GDPR: lo que significa para el marketing de afiliados en APAC

Publicado: 2022-07-06

GDPR ha sido un tema candente durante algún tiempo y ahora finalmente está sobre nosotros. Pero, ¿qué significan las regulaciones para aquellos de nosotros fuera de la UE?

markus-spiske-357131-unsplash

Todos hemos oído hablar de GDPR ahora y, si no, es la razón por la que ha recibido tantos correos electrónicos sobre actualizaciones de la política de privacidad, la mayoría de los cuales en sí mismos han sido innecesarios, si no ilegales. Pero en un esfuerzo por cumplir con las normas, las empresas hacen todo lo posible para asegurarse de no meterse en problemas.

Si bien el RGPD se centra en los ciudadanos de la UE, puede tener implicaciones de gran alcance para los minoristas, afiliados y redes australianos. Si está haciendo negocios en la UE o si su negocio procesa información personal de personas en la UE, entonces debe asegurarse de que su negocio cumpla con las nuevas regulaciones.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos de la Unión Europea (RGPD) contiene nuevos requisitos de protección de datos que entrarán en vigor el 25 de mayo de 2018 e impone obligaciones estrictas a las empresas en relación con la gobernanza, el consentimiento, la creación de perfiles y la portabilidad de datos.

El RGPD incluye requisitos que se asemejan a los de la Ley de Privacidad de Australia de 1988 y medidas adicionales que tienen como objetivo fomentar prácticas transparentes de manejo de información y responsabilidad comercial en torno al manejo de datos. La introducción de leyes de protección de datos claras y uniformes tiene como objetivo generar seguridad jurídica para las empresas y mejorar la confianza de los consumidores en los servicios en línea.

El RGPD está diseñado para empoderar a los consumidores de la UE y sus derechos sobre cómo se pueden usar sus datos. Para las industrias digitales como la nuestra y la de los minoristas en línea, esto adquiere una mayor importancia porque la definición de lo que se considera información personal se ha ampliado para incluir cualquier cosa que pueda identificar a un individuo pero que no sea necesariamente identificable personalmente. Entonces, si bien una dirección de correo electrónico es obviamente información personal, el alcance también incluye identificadores seudónimos, como una dirección IP o una identificación de pedido.

Para procesar estos datos, las empresas deberán elegir una base legal, de las cuales hay seis.

  1. Consentir
  2. Contrato
  3. Obligación legal
  4. Interés vital
  5. Tarea pública
  6. Interés legítimo

Para algunas empresas será obvio, pero para muchas empresas de marketing digital normalmente deberán elegir entre 'consentimiento' o 'interés legítimo' .

Commission Factory utiliza el interés legítimo como base legal para el procesamiento de datos.

¿Afecta el RGPD a mi negocio?

Algunas empresas australianas cubiertas por la Ley de Privacidad de Australia de 1988 (Cth) (la Ley de Privacidad) (conocidas como entidades APP), pueden necesitar cumplir con el RGPD si:

  • tener un establecimiento en la UE (independientemente de si procesan datos personales en la UE), o
  • no tienen un establecimiento en la UE, pero ofrecen bienes y servicios o controlan el comportamiento de las personas en la UE.

El RGPD se aplica a las actividades de procesamiento de datos de las empresas, independientemente de su tamaño, que sean procesadores o controladores de datos con un establecimiento en la UE. En términos generales, un controlador dice cómo y por qué se procesan los datos personales y un procesador actúa en nombre del controlador.

Cuando una empresa tiene 'un establecimiento' en la UE, las actividades de la empresa que implican el procesamiento de datos personales deberán cumplir con el RGPD, independientemente de si los datos se procesan realmente en la UE.

El RGPD también se aplica a las actividades de procesamiento de datos de procesadores y controladores fuera de la UE, independientemente de su tamaño, donde las actividades de procesamiento están relacionadas con:

  • ofrecer bienes o servicios a personas en la UE (independientemente de si se requiere un pago)
  • monitorear el comportamiento de las personas en la UE, donde ese comportamiento tiene lugar en la UE

Las empresas australianas que pueden estar cubiertas por el RGPD incluyen:

  • una empresa australiana con una oficina en la UE
  • una empresa australiana cuyo sitio web está dirigido a clientes de la UE, por ejemplo, permitiéndoles pedir bienes o servicios en un idioma europeo (que no sea inglés) o permitiendo el pago en euros
  • una empresa australiana cuyo sitio web menciona clientes o usuarios en la UE
  • una empresa australiana que rastrea a las personas en la UE en Internet y utiliza técnicas de procesamiento de datos para perfilar a las personas para analizar y predecir preferencias, comportamientos y actitudes personales.

Tabla de comparación

RGPD UE Ley de Privacidad de Australia
¿A quién se aplica esto? Actividades de procesamiento de datos de empresas, independientemente de su tamaño, que son procesadores o controladores de datos La mayoría de las agencias gubernamentales australianas, todas las organizaciones del sector privado y sin fines de lucro con una facturación anual de más de $ 3 millones, todos los proveedores de servicios de salud privados y algunas pequeñas empresas.
¿A qué se aplica? Datos personales: cualquier información relacionada con una persona física identificada o identificable: Art 4(1) Información personal (PI): información u opinión sobre un individuo identificado, o un individuo que es razonablemente identificable: s 6(1)
enlace jurisdiccional Se aplica a los procesadores de datos o controladores:
  • con un establecimiento en la UE, o
  • fuera de la UE, que ofrecen bienes o servicios a personas en la UE o controlan el comportamiento de las personas en la UE: Art. 3
 Aplica para empresas:
  • incorporado en Australia, o
  • que 'llevan a cabo un negocio' en Australia y recopilan PI de Australia o tienen PI en Australia: s 5B
Rendición de cuentas y gobernanza Los controladores generalmente deben:
  • implementar medidas técnicas y organizativas apropiadas para demostrar el cumplimiento del RGPD e incorporar la privacidad por defecto y diseño: Arts 5, 24, 25
  • realizar evaluaciones de impacto obligatorias en materia de protección de datos: artículo 35
  • nombrar delegados de protección de datos: Art 37
 Las entidades APP deben tomar medidas razonables para implementar prácticas, procedimientos y sistemas para garantizar el cumplimiento de las APP y permitir las denuncias: APP 1.2

Se espera que las empresas designen roles y responsabilidades clave para la gestión de la privacidad y que realicen evaluaciones de impacto en la privacidad para muchos proyectos nuevos y actualizados.
Consentir El consentimiento debe ser:
  • dado libremente, específico e informado, y
  • una indicación inequívoca de los deseos del interesado que, mediante una declaración o una clara acción afirmativa, signifique que está de acuerdo con el procesamiento: Art 4(11)
 Elementos clave:
  • el individuo está adecuadamente informado antes de dar su consentimiento y tiene la capacidad de comprender y comunicar el consentimiento
  • el consentimiento se da voluntariamente
  • el consentimiento es actual y específico: APP GLs de OAIC
Notificaciones de violación de datos DBN obligatorios por parte de los controladores y procesadores (aplican excepciones): Arts 33-34 A partir del 22 de febrero de 2018, notificación obligatoria de infracciones que puedan generar un riesgo real de daño grave
Derechos individuales Los derechos individuales incluyen:
  • derecho de supresión: Art. 17
  • derecho a la portabilidad de los datos: Art 20
  • derecho de oposición: Art. 21
 No hay equivalentes a estos derechos.
Sin embargo, la empresa debe tomar medidas razonables para destruir o desidentificar la PI que ya no se necesita para un propósito permitido: APP 11.2. Cuando se da acceso a la PI de una persona, generalmente se debe dar de la manera solicitada: APP 12.5
Transferencias al extranjero Los datos personales pueden transferirse fuera de la UE en circunstancias limitadas, que incluyen:
  • a países que proporcionan un nivel "adecuado" de protección de datos
  • donde se aplican las 'cláusulas estándar de protección de datos' o las 'normas corporativas vinculantes'
  • códigos de conducta aprobados o certificación vigente: Capítulo V
 Antes de divulgar IP en el extranjero, una empresa debe tomar medidas razonables para garantizar que el destinatario no infrinja las APP en relación con la información: APP 8 (se aplican excepciones). La entidad es responsable del incumplimiento de las APP por parte del destinatario en el extranjero en relación con la información: s 16C (aplican excepciones)
Sanciones Multas administrativas de hasta 20 millones de euros o el 4% de la facturación mundial anual (lo que sea mayor): Art. 83 Facultades para trabajar con entidades para facilitar el cumplimiento y las mejores prácticas, y facultades de investigación y ejecución: Partes IV y V

¿Cómo afectará esto a la industria de afiliados?

No anticipamos que esta actualización del RGPD afectará negativamente a los comerciantes afiliados o minoristas en línea y es en gran medida un movimiento para formular y regular las leyes de protección de datos que existen desde hace varios años.

Para Commission Factory y nuestras afiliadas, la naturaleza de los datos personales procesados ​​no es confidencial y es en gran medida técnica, a diferencia de otros canales que utilizan datos personales para crear perfiles y comportamientos de consumidores a los que dirigirse a través de anuncios.

Al declarar nuestra base legal de recopilación de datos como "Interés legítimo" , estamos intentando minimizar las cargas de cumplimiento para nuestros editores y no necesitamos pedirles que obtengan ningún Consentimiento de datos para nosotros.

Para los afiliados que no operan, comercializan o recopilan información en la UE o sus residentes, no es factible solicitar el consentimiento. Los residentes de la UE que acceden a un sitio web fuera de la UE no están bajo su control. El simple hecho de poder acceder a su sitio desde la UE no es suficiente para establecer que está haciendo negocios en la UE y el nivel de participación es un factor.

Asegúrese de tener detalles de contacto donde las personas puedan comunicarse con usted con consultas relacionadas con la privacidad. Los responsables y encargados del tratamiento deben, en determinadas circunstancias, designar un delegado de protección de datos para que supervise y asesore sobre el cumplimiento del RGPD y de las políticas y procedimientos internos de privacidad. Se ha descrito como un rol de "campeón de la privacidad" que incluye el rol de un asesor comercial sobre el uso responsable e innovador de los datos personales. Esto ya era un requisito según las leyes de protección de la privacidad de Australia y debe implementarse independientemente.

¿Es Commission Factory un controlador o un procesador?

Commission Factory al igual que nuestro socio Awin y después de que los asesores legales nos hayan elegido a nosotros mismos como un controlador de datos conjunto con los Anunciantes y Editores. Esto no quiere decir que esta posición sea la misma con todas las redes de afiliados, ya que algunas han optado por la posición de procesador y cada empresa que maneja datos debe decidir qué papel juega en el procesamiento de esos datos.

Commission Factory es un Controlador porque hemos decidido el modelo económico y tomamos decisiones en conjunto con nuestros afiliados sobre qué datos procesar para entregar la campaña de marketing de afiliados del anunciante.

La ruta que tome se puede determinar preguntando "Cómo" y "Por qué" . Si usted, como empresa de marketing digital, decide "Por qué se deben procesar los datos" y "Cómo se deben procesar para lograr el propósito previsto" , o potencialmente ambos, entonces se le incluye la definición de "Controlador".

Un Procesador no determina el Cómo y el Por qué y puede tomar decisiones limitadas sobre cómo procesar los datos para los fines determinados por el controlador.

En el modelo de marketing de afiliación, el Anunciante siempre tendrá el estado de Controlador. Esto se debe a que solo ellos pueden decidir "por qué" procesar los datos y tomar decisiones como "participemos en el marketing de afiliación y paguemos las ventas referidas a cambio de una comisión" .

La razón para no elegir la ruta de un Procesador se deriva de las impracticabilidades asociadas con él. Por ejemplo, si Commission Factory o nuestros afiliados trataran de trabajar dentro de las limitaciones de un rol de procesador de datos, necesitaríamos que cada nuevo procesamiento de datos sea aprobado por cada anunciante respectivo por adelantado cada vez. También requeriríamos instrucciones por escrito de los Anunciantes cada vez que deseen utilizar correcciones de errores, actualizaciones, mejoras o características adicionales de nuestros productos o servicios. Esto sería una carga.

Debido a que Commission Factory es una red de afiliados de pureplay, usamos datos personales limitados para rastrear referencias a sitios web de anunciantes, las transacciones consiguientes y nuestros informes, pero nunca reutilizamos estos datos para crear perfiles de usuario conductuales o para otros fines de marketing. Tampoco recopilamos ningún otro dato para:

  1. Creación de perfiles de usuario conductuales
  2. Reorientación conductual
  3. Comercialización para otros fines

Al evitar este tipo de procesamiento, podemos confiar en el interés legítimo para justificar el procesamiento y evitar los requisitos de consentimiento de datos de los editores o anunciantes para realizar un seguimiento legal de las transacciones.

¿Ahora que?

Si bien el RGPD es predominantemente una directiva de la UE y una ley de protección de datos, sigue siendo prudente asegurarse de que está cubierto y buscar asesoramiento sobre cuáles son sus obligaciones.

Dadas algunas de las similitudes con la Ley de privacidad y el RGPD, es posible que las empresas australianas ya cuenten con algunas de las medidas requeridas por el RGPD. A pesar de esto, es esencial asegurarse de evaluar todas sus prácticas y estructuras de gobierno a la luz de las regulaciones de GDPR y buscar asesoramiento legal cuando sea necesario para garantizar un cumplimiento estricto.

Desde nuestro punto de vista como red, implementaremos herramientas de consentimiento opcionales y agregaremos el consentimiento de cookies a todos nuestros sitios web para abreviar los datos, pero los editores son libres de obtener el consentimiento de la forma que consideren adecuada.

Es posible que algunos modelos de remuneración de afiliados, como el reembolso en efectivo y los editores de recompensas, no necesiten un Consentimiento de cookies para las cookies de afiliados porque las cookies de afiliados son necesarias para que funcione un tipo de servicio basado en reembolsos en efectivo o recompensas.