GDPR: cosa significa per il marketing di affiliazione in APAC

Pubblicato: 2022-07-06

Il GDPR è stato un argomento caldo per un po' di tempo e ora finalmente tocca a noi. Ma cosa significano i regolamenti per quelli di noi al di fuori dell'UE?

markus-spiske-357131-unsplash

Ormai abbiamo tutti sentito parlare del GDPR e, in caso contrario, è il motivo per cui hai ricevuto così tante e-mail sugli aggiornamenti delle norme sulla privacy, la maggior parte dei quali di per sé non necessari se non illegali. Ma nel tentativo di rimanere conformi, le aziende stanno facendo di tutto per assicurarsi che non si mettano nei guai.

Sebbene il GDPR si concentri sui cittadini dell'UE, potrebbe avere implicazioni di vasta portata per i rivenditori, gli affiliati e le reti australiane. Se operi nell'UE o se la tua azienda elabora informazioni personali di individui nell'UE, devi assicurarti che la tua attività sia conforme alle nuove normative.

Cos'è il GDPR?

Il Regolamento generale sulla protezione dei dati dell'Unione Europea (il GDPR) contiene nuovi requisiti in materia di protezione dei dati che entreranno in vigore il 25 maggio 2018 e impone obblighi severi alle imprese in relazione alla governance, al consenso, alla profilazione e alla portabilità dei dati.

Il GDPR include requisiti simili a quelli dell'Australian Privacy Act 1988 e misure aggiuntive che mirano allo stesso modo a promuovere pratiche di gestione delle informazioni trasparenti e responsabilità aziendale sulla gestione dei dati. L'introduzione di leggi sulla protezione dei dati chiare e uniformi mira a creare certezza del diritto per le imprese e rafforzare la fiducia dei consumatori nei servizi online.

Il GDPR è concepito per conferire potere ai consumatori dell'UE e ai loro diritti su come possono essere utilizzati i loro dati. Per le industrie digitali come la nostra e quella dei rivenditori online questo assume un'importanza maggiore perché la definizione di ciò che è considerato dati personali è stata ampliata per includere tutto ciò che può distinguere un individuo ma non è necessariamente chiaramente identificabile personalmente. Quindi, mentre un indirizzo e-mail è ovviamente un dato personale, l'ambito include anche identificatori pseudonimi come un indirizzo IP o un ID ordine.

Per elaborare questi dati, le aziende dovranno scegliere una base giuridica, di cui sono sei.

  1. Consenso
  2. Contrarre
  3. Obbligazione legale
  4. Interesse vitale
  5. Compito pubblico
  6. Interesse legittimo

Per alcune aziende sarà ovvio, ma per molte società di marketing digitale dovranno in genere scegliere il "consenso" o il "legittimo interesse" .

Commission Factory utilizza l'interesse legittimo come base giuridica per l'elaborazione dei dati.

Il GDPR influisce sulla mia attività?

Alcune aziende australiane coperte dall'Australian Privacy Act 1988 (Cth) (il Privacy Act) (note come entità APP), potrebbero dover conformarsi al GDPR se:

  • hanno una sede nell'UE (indipendentemente dal fatto che trattino dati personali nell'UE), oppure
  • non hanno uno stabilimento nell'UE, ma offrono beni e servizi o monitorano il comportamento delle persone nell'UE.

Il GDPR si applica alle attività di trattamento dei dati delle imprese, indipendentemente dalle dimensioni, che sono responsabili del trattamento o responsabili del trattamento con una sede nell'UE. In generale, un responsabile del trattamento dice come e perché i dati personali vengono elaborati e un responsabile del trattamento agisce per conto del responsabile del trattamento.

Laddove un'azienda abbia "uno stabilimento" nell'UE, le attività dell'azienda che comportano il trattamento di dati personali dovranno essere conformi al GDPR, indipendentemente dal fatto che i dati siano effettivamente elaborati nell'UE.

Il GDPR si applica anche alle attività di trattamento dei dati di responsabili e responsabili del trattamento al di fuori dell'UE, indipendentemente dalla dimensione, laddove le attività di trattamento siano relative a:

  • offrire beni o servizi a persone nell'UE (indipendentemente dal fatto che sia richiesto un pagamento)
  • monitorare il comportamento delle persone nell'UE, quando tale comportamento ha luogo nell'UE

Le aziende australiane che potrebbero essere coperte dal GDPR includono:

  • un'impresa australiana con un ufficio nell'UE
  • un'azienda australiana il cui sito web si rivolge ai clienti dell'UE, ad esempio consentendo loro di ordinare beni o servizi in una lingua europea (diversa dall'inglese) o consentendo il pagamento in euro
  • un'azienda australiana il cui sito web menziona clienti o utenti nell'UE
  • un'azienda australiana che traccia le persone nell'UE su Internet e utilizza tecniche di elaborazione dei dati per profilare le persone al fine di analizzare e prevedere preferenze, comportamenti e atteggiamenti personali.

Tavola di comparazione

GDPR UE Legge australiana sulla privacy
A chi si applica? Attività di trattamento dei dati di imprese, indipendentemente dalle dimensioni, che siano responsabili del trattamento o responsabili del trattamento La maggior parte delle agenzie governative australiane, tutte le organizzazioni del settore privato e senza scopo di lucro con un fatturato annuo superiore a 3 milioni di dollari, tutti i fornitori di servizi sanitari privati ​​e alcune piccole imprese.
A cosa si applica? Dato personale – qualsiasi informazione relativa a persona fisica identificata o identificabile: Art 4(1) Informazioni personali (PI) – informazioni o opinioni su un individuo identificato, o un individuo ragionevolmente identificabile: s 6(1)
Collegamento giurisdizionale Si applica ai responsabili del trattamento o ai responsabili del trattamento:
  • con uno stabilimento nell'UE, o
  • al di fuori dell'UE, che offrono beni o servizi a persone nell'UE o monitorano il comportamento di persone nell'UE: Art 3
 Si applica alle aziende:
  • costituita in Australia, o
  • che "svolgono un'attività" in Australia e raccolgono PI dall'Australia o detengono PI in Australia: s 5B
Responsabilità e governance I titolari del trattamento generalmente devono:
  • implementare misure tecniche e organizzative adeguate per dimostrare la conformità al GDPR e creare privacy by default and design: Artt. 5, 24, 25
  • effettuare valutazioni d'impatto obbligatorie sulla protezione dei dati: Art. 35
  • nominare responsabili della protezione dei dati: Art 37
 Le entità APP devono adottare misure ragionevoli per attuare pratiche, procedure e sistemi per garantire la conformità con le APP e per consentire i reclami: APP 1.2

Le aziende dovrebbero nominare ruoli e responsabilità chiave per la gestione della privacy e condurre valutazioni dell'impatto sulla privacy per molti progetti nuovi e aggiornati
Consenso Il consenso deve essere:
  • liberamente dato, specifico e informato, e
  • un'indicazione univoca della volontà dell'interessato che, con una dichiarazione o un chiaro atto affermativo, significa consenso al trattamento: Art 4, comma 11
 Elementi chiave:
  • l'individuo è adeguatamente informato prima di prestare il consenso e ha la capacità di comprendere e comunicare il consenso
  • il consenso è prestato volontariamente
  • il consenso è attuale e specifico: APP GLs dell'OAIC
Notifiche di violazione dei dati DBN obbligatori da parte di titolari e responsabili del trattamento (si applicano eccezioni): Artt. 33-34 Dal 22 febbraio 2018, la segnalazione obbligatoria per le violazioni che possono comportare un rischio reale di danno grave
Diritti individuali I diritti individuali includono:
  • diritto alla cancellazione: Art 17
  • diritto alla portabilità dei dati: Art 20
  • diritto di opposizione: Art 21
 Nessun equivalente a questi diritti.
Tuttavia, le aziende devono adottare misure ragionevoli per distruggere o rendere anonime le PI che non sono più necessarie per uno scopo consentito: APP 11.2. Laddove l'accesso sia concesso a PI di una persona, esso deve essere generalmente fornito secondo le modalità richieste: APP 12.5
Trasferimenti all'estero I dati personali possono essere trasferiti al di fuori dell'UE in circostanze limitate, tra cui:
  • a paesi che forniscono un livello "adeguato" di protezione dei dati
  • dove si applicano "clausole standard di protezione dei dati" o "norme aziendali vincolanti".
  • codici di condotta approvati o certificazione in essere: Cap V
 Prima di divulgare PI all'estero, un'azienda deve adottare misure ragionevoli per garantire che il destinatario non violi le APP in relazione alle informazioni: APP 8 (si applicano eccezioni). L'entità è responsabile di una violazione delle APP da parte del destinatario estero in relazione alle informazioni: s 16C (si applicano eccezioni)
Sanzioni Sanzioni amministrative fino a 20 milioni di euro o 4% del fatturato mondiale annuo (a seconda di quale sia il maggiore): Art 83 Poteri di collaborare con le entità per facilitare la conformità e le migliori pratiche e poteri investigativi e di esecuzione: parti IV e V

In che modo questo influenzerà il settore degli affiliati?

Non prevediamo che questo aggiornamento del GDPR influirà negativamente sugli affiliati di marketing o sui rivenditori online ed è in gran parte una mossa per formulare e regolamentare leggi sulla protezione dei dati che esistono già da diversi anni.

Per Commission Factory e le nostre affiliate la natura dei dati personali trattati è non sensibile e in gran parte tecnica e diversa da altri canali che utilizzano i dati personali per costruire profili e comportamenti dei consumatori da indirizzare tramite annunci.

Indicando la nostra base giuridica per la raccolta dei dati come "Legittimo interesse" , stiamo cercando di ridurre al minimo gli oneri di conformità per i nostri editori e non abbiamo bisogno di chiedere agli editori di ottenere alcun Consenso ai dati per noi.

Per gli affiliati che non operano, commercializzano o raccolgono informazioni nell'UE o residenti non è possibile richiedere il consenso. I residenti nell'UE che accedono a un sito Web al di fuori dell'UE non sono sotto il tuo controllo. Il semplice fatto di poter accedere al tuo sito dall'UE non è sufficiente per stabilire che stia facendo affari nell'UE e il livello di coinvolgimento è un fattore determinante.

Assicurati di avere i dettagli di contatto a cui le persone possono contattarti per domande relative alla privacy. Titolari e responsabili del trattamento devono, in determinate circostanze, nominare un responsabile della protezione dei dati per monitorare e consigliare sul rispetto del GDPR e delle politiche e procedure interne sulla privacy. È stato descritto come un ruolo di "campione della privacy" che include il ruolo di consulente aziendale sull'uso responsabile e innovativo dei dati personali. Questo era già un requisito ai sensi delle leggi australiane sulla protezione della privacy e dovrebbe essere implementato a prescindere.

Commission Factory è un controller o un responsabile del trattamento?

Commission Factory proprio come il nostro partner Awin e dopo che il consulente legale ci ha scelto come contitolare del trattamento dei dati con gli inserzionisti e gli editori. Questo non vuol dire che questa posizione sia la stessa con tutte le reti di affiliazione poiché alcuni hanno optato per la posizione di responsabile del trattamento e ogni azienda che gestisce i dati deve decidere quale ruolo svolgono nel trattamento di tali dati.

Commission Factory è un Controller perché abbiamo deciso il modello economico e prendiamo decisioni congiuntamente con i nostri affiliati su quali dati elaborare per fornire la campagna di marketing di affiliazione dell'inserzionista.

Quale percorso prendere può essere determinato chiedendo "Come" e "Perché" . Se tu come azienda di marketing digitale decidi "Perché i dati dovrebbero essere trattati" e "Come dovrebbero essere trattati per raggiungere lo scopo previsto" , o potenzialmente entrambi, allora rientri nella definizione di "Titolare".

Un Responsabile del trattamento non determina il Come e il Perché e può prendere decisioni limitate su come procedere al trattamento dei dati per le finalità determinate dal responsabile del trattamento.

Nel modello di marketing di affiliazione l'Inserzionista rientrerà sempre nello stato di Titolare. Questo perché solo loro possono decidere "perché" elaborare i dati e prendere decisioni come "Partecipiamo al marketing di affiliazione e paghiamo per le vendite riferite in cambio di una commissione" .

Il motivo per non scegliere il percorso di un Processor deriva dalle impraticabilità ad esso associate. Ad esempio, se Commission Factory o le nostre affiliate cercassero di lavorare entro i vincoli di un ruolo di responsabile del trattamento dei dati, avremmo bisogno che ogni nuovo trattamento dei dati fosse approvato in anticipo da ciascun rispettivo inserzionista ogni volta. Inoltre, richiediamo istruzioni scritte da parte degli inserzionisti ogni volta che desiderano utilizzare correzioni di bug, aggiornamenti, upgrade o funzionalità aggiuntive dei nostri prodotti o servizi. Questo sarebbe gravoso.

Poiché Commission Factory è una rete di affiliazione pureplay, utilizziamo dati personali limitati per tracciare i rinvii ai siti Web degli inserzionisti, le transazioni conseguenti e i nostri rapporti, ma non riutilizziamo mai questi dati per creare profili utente comportamentali o per altri scopi di marketing. Inoltre non raccogliamo altri dati per:

  1. Costruire profili utente comportamentali
  2. Retargeting comportamentale
  3. Marketing per qualsiasi altro scopo

Evitando questo tipo di trattamento, possiamo fare affidamento sull'interesse legittimo per giustificare l'elaborazione ed evitare i requisiti per il consenso dei dati da parte di editori o inserzionisti per tracciare legalmente le transazioni.

E adesso?

Sebbene il GDPR sia prevalentemente una direttiva dell'UE e un atto sulla protezione dei dati, è comunque prudente assicurarsi di essere coperti e chiedere consiglio su quali sono i propri obblighi.

Date alcune somiglianze con il Privacy Act e il GDPR, le aziende australiane potrebbero già disporre di alcune delle misure richieste dal GDPR. Nonostante ciò, è essenziale assicurarsi di valutare tutte le pratiche e le strutture di governance alla luce delle normative GDPR e chiedere consulenza legale ove necessario per garantire la stretta conformità.

Dal nostro punto di vista come rete, implementeremo strumenti di consenso opzionali e aggiungeremo il consenso ai cookie a tutti i nostri siti Web per brevità dei dati, ma gli editori sono liberi di ottenere il consenso in qualsiasi modo ritengano opportuno.

Alcuni modelli di remunerazione degli affiliati, come cashback e editori di premi, potrebbero non aver bisogno di un consenso per i cookie per i cookie di affiliazione perché i cookie di affiliazione sono necessari per il funzionamento di un tipo di servizio basato su cashback o premi.