Il 25 maggio 2018 è un giorno importante per i cittadini dell’Unione Europea: è in questa data, infatti, che il General Data Protection Regulation (GDPR) entra in vigore. Il GDPR sostituisce la Direttiva sulla protezione dei dati del 1995 e armonizza le varie leggi sulla privacy dei dati che esistono in tutti i 28 stati membri, Regno Unito compreso. Noi di Criteo, siamo convinti che la coerenza e la certezza riguardo alla privacy e alla tutela dei dati non possano che portare benefici alle aziende e ai consumatori.
Fin dalla sua nascita nel 2005, Criteo ha puntato sulla sicurezza, garantendo alla propria tecnologia i livelli più elevati di privacy e protezione dei dati. Tutto questo continuando a permettere ai nostri clienti di rispondere alle aspettative degli acquirenti, fornendo pubblicità personalizzata e rilevante. Poiché siamo un’azienda globale, con sedi in diversi Paesi europei, siamo abituati a rispettare i requisiti di ogni Paese, in tutto il mondo.
Infatti, non solo già rispettiamo gli elementi chiave del GDPR, ma siamo in grado di poter implementare rapidamente eventuali requisiti aggiuntivi. Inoltre, stiamo lavorando con clienti e partner soggetti alle nuove normative, offrendo loro supporto e condividendo le migliori pratiche per gestire al meglio la transizione. Noi di Criteo siamo pronti ad accogliere la sfida del GDPR e prevediamo un impatto ridotto della nuova normativa sulla capacità dei nostri clienti e partner di lavorare con noi.
GDPR: un’evoluzione, non una rivoluzione
Nel complesso, quest’aggiornamento normativo è un’evoluzione che allinea le politiche di tutela dei dati di tutti gli stati membri dell’UE offrendo coerenza di applicazione da parte delle autorità preposte alla tutela dei dati (Data Protection Authorities, DPA) in ogni stato membro dell’UE. Gli obiettivi del GDPR sono chiari:
- Modernizzare il sistema giuridico per proteggere i dati personali in un’era di globalizzazione e di innovazione tecnologica.
- Rafforzare i diritti dell’individuo riducendo i carichi amministrativi per garantire un flusso libero di dati personali all’interno dell’UE.
- Fare chiarezza e dare coerenza per quanto riguarda le regole di tutela dei dati personali e garantire un’applicazione coerente e un’efficace implementazione in tutta l’UE.
Il GDPR protegge la privacy dei cittadini UE ed è valido per tutte le aziende che raccolgono o elaborano dati personali relativi a individui dell’Unione Europea, anche se la loro sede non è nell’Unione Europea. Una significativa conferma per il settore del marketing digitale è che il GDPR si applica a qualsiasi informazione relativa a una persona fisica identificata o identificabile, e questo include identificatori tecnici, quali gli ID dei cookie e ID della pubblicità mobile. Entrambi sono ora esplicitamente compresi nella definizione di “dati personali”.
È importante notare che questi identificatori tecnici erano già considerati dati personali da molte DPA, incluse quelle francesi. Questo, quindi, non è un nuovo requisito per Criteo e noi seguiamo metodi collaudati per la conformità, pur continuando a garantire performance ai nostri clienti. In generale, il GDPR fornisce sei basi giuridiche per la raccolta e il trattamento dei dati in Europa. Per saperne di più su come queste basi si applicano a Criteo e ai nostri clienti fare clic qui.
Il consenso non ambiguo non è un consenso esplicito
Il GDPR stabilisce una chiara distinzione tra il consenso non ambiguo e il consenso esplicito. Il consenso esplicito significa che l’utente deve fornire in modo proattivo la sua autorizzazione. Ciò si applica unicamente ai dati personali sensibili, quali razza, religione, orientamento sessuale, affiliazione politica e stato di salute. È importante notare che gli identificatori online (ad es. i cookie) vengono considerati dati personali non sensibili, per cui non è necessario esprimere un consenso esplicito.
Opzioni sugli annunci: attenzione ai diritti e al controllo da parte dei consumatori
Criteo ha da tempo riconosciuto la necessità di trovare un equilibrio tra esperienze pubblicitarie pertinenti e le aspettative sulla privacy, pur consentendo ai consumatori di avere il controllo sulle proprie esperienze. I consumatori comprendono questo compromesso. Secondo una recente indagine Criteo-IPSOS, il 90% degli utenti Internet dell’UE è consapevole del targeting comportamentale e il 75% degli intervistati si aspetta di ricevere annunci che rispondano ai propri interessi.[1] Sanno che cosa sono i cookie e comprendono il ruolo che giocano nel modello “advertising-driven”, che è alla base dei contenuti a cui accedono.
Per questo motivo Criteo si è impegnata nel programma di “opzioni sugli annunci” fin dal 2008, per consentire ai consumatori di vedere con un solo clic esattamente dove Criteo usa i dati e come protegge la loro privacy. Quando un consumatore sceglie esplicitamente di negare il suo consenso, noi interrompiamo immediatamente il tracciamento e il retargeting. Quindi rimuoviamo tutti gli identificatori dai suoi browser, rendendo impossibile il retargeting per il futuro. In accordo con le normative UE sulla tutela dei dati, tutti i dati raccolti sui consumatori vengono conservati solo per 13 mesi. Per saperne di più sul nostro impegno riguardo alle “opzioni sugli annunci”, fare clic qui.
Privacy by Design: un impegno aziendale per le best practices
Privacy by Design rappresenta la pratica e l’impegno di lunga data di Criteo per garantire a consumatori e marketer livelli di privacy e sicurezza leader del settore. Tra gli elementi chiave:
- Come richiesto dal GDPR, dal 2013 abbiamo un funzionario addetto alla privacy dei dati, affiancato da un team di esperti della privacy.
- Questi esperti fanno parte dell’organizzazione che si occupa di Prodotto e R&S. Eseguono costantemente valutazioni dell’impatto sulla privacy per monitorare potenziali rischi durante il ciclo di vita del prodotto e mitigarli in modo proattivo.
- Il team della privacy dei dati offre formazione a tutta l’azienda, fa applicare i codici di condotta e si impegna a garantire che i nostri prodotti e servizi siano i migliori.
- Rivediamo e documentiamo regolarmente le nostre politiche interne, se necessario correggiamo le politiche sulla privacy esistenti, e le applichiamo con i nostri partner e venditori.
Misure di sicurezza best-in-class
Come richiesto dal GDPR, noi di Criteo adottiamo già severe misure di sicurezza quando raccogliamo i dati dei consumatori dai nostri clienti. Utilizziamo metodi pseudonimi moderni, compresi i processi di hashing, che sono considerati i migliori dal GDPR e non memorizzano mai volontariamente informazioni personali che identificano direttamente i singoli consumatori. Per motivi di compliance e di ottimizzazione della performance, memorizziamo dati dei consumatori UE nel centro dati europeo fisicamente più vicino a loro.
La leadership del settore: Investire in standard e certificazioni
Abbiamo già implementato un grande numero di certificazioni che vengono riviste ogni anno da enti normativi e di revisione, tra cui:
- Network Advertising Initiative Standards
- IAB Europe
- Principi di autoregolamentazione per la pubblicità comportamentale online della Digital Advertising Alliance (DAA)
- Principi di autoregolamentazione della European Digital Advertising Alliance
- Principi di autoregolamentazione della Digital Advertising Alliance of Canada
- Certificazione TrustArc Trusted Data Collection
Noi di Criteo vediamo il GDPR come uno sviluppo positivo che promuoverà la fiducia nella nostra economia digitale, creando un ambiente di trasparenza, controllo e certezza per aziende e consumatori. Siamo abituati a rispettare i più severi standard UE e siamo preparati a supportare i nostri clienti e partner lungo tutto il percorso verso la conformità al GDPR. Continueremo a pubblicare regolarmente informazioni su problematiche e best practice per un’efficace compliance al GDPR.
Quindi rimanete sintonizzati.
[1] Criteo-IPSOS Study, 2017