GDPR: O que significa para o marketing de afiliados na APAC

Publicados: 2022-07-06

O GDPR tem sido um tema quente há algum tempo e agora finalmente está sobre nós. Mas o que os regulamentos significam para nós fora da UE?

markus-spiske-357131-unsplash

Todos nós já ouvimos falar do GDPR e, se não, é a razão pela qual você está recebendo tantos e-mails sobre atualizações de políticas de privacidade - a maioria dos quais em si foram desnecessárias, se não ilegais. Mas, em um esforço para permanecer em conformidade, as empresas estão indo além para garantir que não tenham problemas.

Embora o GDPR esteja focado nos cidadãos da UE, ele pode ter implicações de longo alcance para varejistas, afiliadas e redes australianas. Se você estiver fazendo negócios na UE ou se sua empresa processar informações pessoais de indivíduos na UE, precisará garantir que sua empresa esteja em conformidade com os novos regulamentos.

O que é o RGPD?

O Regulamento Geral de Proteção de Dados da União Europeia (o GDPR) contém novos requisitos de proteção de dados que entrarão em vigor em 25 de maio de 2018 e impõe obrigações estritas às empresas em relação à governança, consentimento, criação de perfil e portabilidade de dados.

O GDPR inclui requisitos semelhantes aos da Lei de Privacidade Australiana de 1988 e medidas adicionais que também visam promover práticas transparentes de manuseio de informações e responsabilidade comercial em relação ao manuseio de dados. A introdução de leis de proteção de dados claras e uniformes visa criar segurança jurídica para as empresas e aumentar a confiança do consumidor nos serviços online.

O GDPR foi desenvolvido para capacitar os consumidores da UE e seus direitos sobre como seus dados podem ser usados. Para indústrias digitais como a nossa e a de varejistas on-line, isso assume maior importância porque a definição do que é considerado dados pessoais foi expandida para incluir qualquer coisa que possa destacar um indivíduo, mas não necessariamente identificável abertamente. Portanto, embora um endereço de e-mail seja obviamente um dado pessoal, o escopo também inclui identificadores pseudônimos, como um endereço IP ou ID do pedido.

Para processar esses dados, as empresas precisarão escolher uma base legal, das quais existem seis.

  1. Consentimento
  2. Contrato
  3. Obrigação legal
  4. Interesse vital
  5. Tarefa pública
  6. Interesse legítimo

Para algumas empresas, será óbvio, mas para muitas empresas de marketing digital, elas normalmente precisarão escolher 'consentimento' ou 'interesse legítimo' .

A Commission Factory está usando o interesse legítimo como base legal para o processamento de dados.

O GDPR afeta meu negócio?

Algumas empresas australianas cobertas pela Lei de Privacidade Australiana de 1988 (Cth) (a Lei de Privacidade) (conhecidas como entidades APP), podem precisar cumprir o GDPR se:

  • têm um estabelecimento na UE (independentemente de processarem dados pessoais na UE), ou
  • não têm estabelecimento na UE, mas oferecem bens e serviços ou monitorizam o comportamento dos indivíduos na UE.

O GDPR se aplica às atividades de processamento de dados de empresas, independentemente do tamanho, que sejam processadores ou controladores de dados com estabelecimento na UE. De um modo geral, um controlador diz como e por que os dados pessoais são processados ​​e um processador atua em nome do controlador.

Quando uma empresa tem 'um estabelecimento' na UE, as atividades da empresa que envolvem o processamento de dados pessoais precisarão estar em conformidade com o GDPR, independentemente de os dados serem realmente processados ​​na UE.

O GDPR também se aplica às atividades de processamento de dados de processadores e controladores fora da UE, independentemente do tamanho, onde as atividades de processamento estejam relacionadas a:

  • oferecer bens ou serviços a indivíduos na UE (independentemente de ser necessário um pagamento)
  • monitorar o comportamento de indivíduos na UE, onde esse comportamento ocorre na UE

As empresas australianas que podem ser cobertas pelo GDPR incluem:

  • uma empresa australiana com um escritório na UE
  • uma empresa australiana cujo site segmenta clientes da UE, por exemplo, permitindo que eles façam pedidos de mercadorias ou serviços em um idioma europeu (diferente do inglês) ou permitindo o pagamento em euros
  • uma empresa australiana cujo site menciona clientes ou usuários na UE
  • uma empresa australiana que rastreia indivíduos na UE na Internet e usa técnicas de processamento de dados para traçar perfis de indivíduos para analisar e prever preferências pessoais, comportamentos e atitudes.

Tabela de comparação

GDPR da UE Lei de Privacidade Australiana
A quem isso se aplica? Atividades de processamento de dados de empresas, independentemente do tamanho, que sejam processadores ou controladores de dados A maioria das agências governamentais australianas, todas as organizações do setor privado e sem fins lucrativos com um faturamento anual de mais de US$ 3 milhões, todos os prestadores de serviços de saúde privados e algumas pequenas empresas.
A que se aplica? Dados pessoais – qualquer informação relativa a uma pessoa singular identificada ou identificável: Art 4(1) Informações pessoais (PI) – informações ou uma opinião sobre um indivíduo identificado, ou um indivíduo que seja razoavelmente identificável: s 6(1)
Link jurisdicional Aplica-se a processadores ou controladores de dados:
  • com um estabelecimento na UE, ou
  • fora da UE, que oferecem bens ou serviços a indivíduos na UE ou monitoram o comportamento de indivíduos na UE: Art 3
 Aplica-se às empresas:
  • constituída na Austrália, ou
  • que 'realizam um negócio' na Austrália e coletam PI da Austrália ou mantêm PI na Austrália: s 5B
Responsabilidade e governança Os controladores geralmente devem:
  • implementar medidas técnicas e organizacionais apropriadas para demonstrar a conformidade com GDPR e criar privacidade por padrão e design: Arts 5, 24, 25
  • realizar avaliações obrigatórias de impacto de proteção de dados: Art 35
  • nomear responsáveis ​​pela proteção de dados: Art 37
 As entidades APP devem tomar medidas razoáveis ​​para implementar práticas, procedimentos e sistemas para garantir o cumprimento dos APPs e permitir reclamações: APP 1.2

Espera-se que as empresas atribuam funções e responsabilidades-chave para o gerenciamento de privacidade e conduzam avaliações de impacto de privacidade para muitos projetos novos e atualizados
Consentimento O consentimento deve ser:
  • livremente dado, específico e informado, e
  • uma indicação inequívoca da vontade do titular dos dados que, por uma declaração ou por uma ação afirmativa clara, significa a aceitação do tratamento: Art 4(11)
 Elementos chave:
  • o indivíduo é adequadamente informado antes de dar o consentimento e tem a capacidade de entender e comunicar o consentimento
  • o consentimento é dado voluntariamente
  • o consentimento é atual e específico: APP GLs da OAIC
Notificações de violação de dados DBNs obrigatórios por controladores e processadores (exceções se aplicam): Arts 33-34 A partir de 22 de fevereiro de 2018, a notificação obrigatória de violações que possam resultar em risco real de danos graves
Direitos individuais Os direitos individuais incluem:
  • direito ao apagamento: Art 17
  • direito à portabilidade de dados: Art 20
  • direito de oposição: Art 21
 Não há equivalentes a esses direitos.
No entanto, as empresas devem tomar medidas razoáveis ​​para destruir ou desidentificar PI que não são mais necessárias para uma finalidade permitida: APP 11.2. Quando o acesso é dado ao PI de um indivíduo, geralmente deve ser dado da maneira solicitada: APP 12.5
Transferências para o exterior Os dados pessoais podem ser transferidos para fora da UE em circunstâncias limitadas, incluindo:
  • para países que fornecem um nível 'adequado' de proteção de dados
  • onde se aplicam 'cláusulas padrão de proteção de dados' ou 'regras corporativas vinculativas'
  • códigos de conduta ou certificação aprovados em vigor: Cap V
 Antes de divulgar PI no exterior, uma empresa deve tomar medidas razoáveis ​​para garantir que o destinatário não infrinja os APPs em relação às informações: APP 8 (aplicam-se exceções). A entidade é responsável pela violação dos APPs pelo destinatário no exterior em relação às informações: s 16C (exceções aplicáveis)
Sanções Multas administrativas de até € 20 milhões ou 4% do faturamento anual mundial (o que for maior): Art 83 Poderes para trabalhar com entidades para facilitar a conformidade e as melhores práticas, e poderes de investigação e execução: Partes IV e V

Como isso afetará a indústria de afiliados?

Não prevemos que essa atualização do GDPR afetará negativamente os comerciantes afiliados ou varejistas on-line e é, em grande parte, um movimento para formular e regular as leis de proteção de dados que já existem há vários anos.

Para a Commission Factory e nossas afiliadas, a natureza dos dados pessoais processados ​​não é sensível e amplamente técnica e, ao contrário de outros canais que fazem uso de dados pessoais para criar perfis e comportamentos de consumidores para segmentar por meio de anúncios.

Ao declarar nossa base legal de coleta de dados como "Interesse legítimo" , estamos tentando minimizar os encargos de conformidade para nossos editores e não precisamos pedir aos editores que obtenham qualquer consentimento de dados para nós.

Para afiliados que não operam, comercializam ou coletam informações na UE ou em seus residentes, não é viável exigir o consentimento. Os residentes da UE que acessam um site fora da UE não estão sob seu controle. O simples acesso ao seu site a partir da UE não é suficiente para estabelecer que está a fazer negócios na UE e o nível de envolvimento é um fator.

Certifique-se de ter detalhes de contato onde as pessoas possam contatá-lo com perguntas relacionadas à privacidade. Os controladores e processadores devem, em determinadas circunstâncias, nomear um responsável pela proteção de dados para monitorar e aconselhar sobre a conformidade com o GDPR e com as políticas e procedimentos internos de privacidade. Foi descrito como um papel de 'campeão de privacidade' que inclui o papel de um consultor de negócios sobre o uso responsável e inovador de dados pessoais. Isso já era um requisito das leis australianas de proteção de privacidade e deve ser implementado independentemente.

O Commission Factory é um controlador ou processador?

A Fábrica da Comissão muito parecida com nosso parceiro Awin e após o conselho jurídico nos optarmos como um controlador de dados conjunto com os anunciantes e editores. Isso não quer dizer que essa posição seja a mesma com todas as redes afiliadas, pois algumas optaram pela posição de processador e todas as empresas que lidam com dados devem decidir qual o papel que desempenham no processamento desses dados.

A Commission Factory é uma controladora porque decidimos o modelo econômico e tomamos decisões em conjunto com nossos afiliados sobre quais dados processar para entregar a campanha de marketing de afiliados do anunciante.

A rota que você toma pode ser determinada perguntando "Como" e "Por que" . Se você, como empresa de marketing digital, decidir "Por que os dados devem ser processados" e "Como devem ser processados ​​para atingir a finalidade pretendida" , ou potencialmente ambos, você se enquadra na definição de "Controlador".

Um Processador não determina o Como e o Porquê e pode tomar decisões limitadas sobre como processar os dados para os fins determinados pelo controlador.

No modelo de marketing de afiliados, o Anunciante sempre estará sob o status de Controlador. Isso ocorre porque somente eles podem decidir 'por que' processar dados e tomar decisões como "Vamos participar do marketing de afiliados e pagar pelas vendas referidas em troca de uma comissão" .

A razão para não escolher a rota de um Processador decorre das impraticabilidades que estão associadas a ele. Por exemplo, se a Commission Factory ou nossas afiliadas tentassem trabalhar dentro das restrições de uma função de processador de dados, precisaríamos obter qualquer novo processamento de dados aprovado por cada anunciante com antecedência todas as vezes. Também exigiremos instruções por escrito dos Anunciantes sempre que eles desejarem fazer uso de correções de bugs, atualizações, upgrades ou recursos adicionais de nossos produtos ou serviços. Isso seria oneroso.

Como a Commission Factory é uma rede de afiliados pureplay, usamos dados pessoais limitados para rastrear referências a sites de anunciantes, as transações consequentes e nossos relatórios, mas nunca reutilizamos esses dados para criar perfis comportamentais de usuários ou para outros fins de marketing. Também não coletamos outros dados para:

  1. Construindo perfis de usuário comportamentais
  2. Redirecionamento comportamental
  3. Marketing para quaisquer outros fins

Ao evitar esse tipo de processamento, podemos confiar no interesse legítimo para justificar o processamento e evitar requisitos de consentimento de dados de editores ou anunciantes para rastrear transações legalmente.

E agora?

Embora o GDPR seja predominantemente uma diretiva da UE e uma lei de proteção de dados, ainda é prudente garantir que você esteja coberto e procurar aconselhamento sobre quais são suas obrigações.

Dadas algumas das semelhanças com a Lei de Privacidade e o GDPR, as empresas australianas podem já ter algumas das medidas em vigor exigidas pelo GDPR. Apesar disso, é essencial garantir que você avalie todas as suas práticas e estruturas de governança à luz dos regulamentos do GDPR e procure aconselhamento jurídico sempre que necessário para garantir o cumprimento rigoroso.

Do nosso ponto de vista como rede, lançaremos ferramentas de consentimento opcionais e adicionaremos consentimento de cookies a todos os nossos sites para brevidade de dados, mas os editores são livres para obter o consentimento da maneira que acharem melhor.

Alguns modelos de remuneração de afiliados, como editores de cashback e recompensas, podem não precisar de um Consentimento de Cookie para cookies de afiliados porque os cookies de afiliados são necessários para que um tipo de serviço baseado em cashback ou recompensa funcione.