En Criteo, hemos considerado la consistencia, la certeza y el cumplimiento de la privacidad y la protección de datos como un beneficio tanto para empresas como consumidores. Con el Reglamento General de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo de 2018, nos entusiasma saber que el cumplimiento de la protección de datos se alineará en toda la Unión Europea. Criteo está preparado para afrontar el reto que plantea el RGPD y prevé un impacto limitado de la nueva regulación, si es que se produce, sobre la capacidad de nuestros clientes y partners de colaborar con Criteo.
(Para obtener más información: Criteo está preparado para afrontar el reto)
El RGPD tiene como objetivo modernizar el sistema legal europeo con respecto a la protección de datos, reforzar los derechos de las personas; y mejorar la claridad y la coherencia de la normativa europea.
Somos conscientes de que nuestros clientes, partners e inversores tienen muchas preguntas sobre las implicaciones de la legislación del RGPD, sobre todo en lo que respecta a los diferentes tipos de recopilación de datos.
El RGPD establece una clara distinción entre datos personales sensibles y no sensibles. Puesto que Criteo solo recopila datos personales no sensibles en forma de cookies, conocemos muy bien la diferencia entre unos y otros.
A continuación, indicamos cómo el RGPD clasifica estos datos e incluimos las preguntas sobre gestión de datos más habituales y que más interesan a las empresas:
En primer lugar, ¿qué son los “datos personales”, según el RGPD?
Vamos a empezar explicando lo que son “datos personales” para la ley. Los datos personales hacen referencia a todo aquello que contiene:
- Información de identificación directa como el nombre, el apellido, el número de teléfono, etc.
- Datos seudonimizados o información de identificación no directa, que no permite la identificación directa de los usuarios pero sí permite individualizar comportamientos (por ejemplo, mostrar el anuncio adecuado al usuario indicado en un momento concreto).
El RGPD establece una clara distinción entre la información de identificación directa y los datos seudonimizados. El RGPD fomenta el uso de información seudonimizada y señala expresamente que “el uso de seudonimización en datos personales puede reducir el riesgo asociado a la gestión de datos y ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones de protección de datos” [1]. Criteo solo recopila identificadores técnicos seudonimizados vinculados a eventos de navegación.
¿Qué son los “datos sensibles” según el RGPD?
Los datos sensibles hacen referencia a cualquier dato que revele:
- Origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos con el objetivo de identificar de manera exclusiva a un individuo
- Datos relativos a la salud o la vida sexual y/o la orientación sexual
Por su naturaleza, los datos que recopilan y procesan los publishers y los clientes de Criteo no se califican como datos sensibles, según se define en el RGPD. Por nuestra parte, Criteo solo recopila identificadores técnicos seudonimizados vinculados a eventos de navegación.
¿Qué tipo de datos personales no sensibles recoge Criteo?
Cuando trabajan con Criteo, nuestros clientes y partners solo necesitan acceder a datos seudonimizados que no permiten la identificación directa de los usuarios. Estos datos seudonimizados incluyen:
- ID de cookies
- Direcciones de correo electrónicas encriptadas
- ID de publicidad móvil
- Cualquier otro identificador técnico que permita a Criteo determinar comportamientos individuales que no identifiquen directamente a las personas
Interés legítimo y consentimiento inequívoco
Consideramos que para las empresas de marketing, de marketing digital o para aquellas que recopilan datos con fines de marketing hay dos bases aplicables de las seis bases legales de recopilación y procesamiento de datos en Europa: (1) consentimiento inequívoco del individuo e (2) interés legítimo del responsable del tratamiento de datos.
En primer lugar, el interés legítimo de los responsables del tratamiento de datos (nuestros clientes y publishers) puede incluir fines de marketing directo. En segundo lugar, el consentimiento inequívoco del usuario, incluido el usuario que continúa navegando en la página web, puede ser una base legal para la recopilación y el procesamiento de datos personales no sensibles.
(Para obtener más información: Cumplimiento del RGPD: Las cookies son datos personales – Bases legales para su recopilación y uso)
Nuestras consolidadas prácticas de Privacidad desde el diseño (Privacy by design en inglés) ofrecen una base sólida para abordar de inmediato todos los requisitos del RGPD. Nuestros servicios implican una responsabilidad compartida en toda nuestra red mientras que nuestros clientes y partners son responsables de ofrecer información completa a sus usuarios. La larga experiencia de Criteo en protección de datos y privacidad del usuario pone de manifiesto que, con la información adecuada y las herramientas de control, podemos preparar a nuestros clientes y partners para abordar este desafío del RGPD.
[1] Reglamento general de protección de datos – (28)