Por Guillaume Marcerou, Criteo Global Privacy Director
O Regulamento Europeu de Proteção de Dados, o GDPR (General Data Protection Regulation) entrará em vigor em maio de 2018. No que se refere ao setor de marketing digital, um dos assuntos mais discutidos é que os identificadores técnicos, como Cookies e IDs de Publicidade Mobile (IDFA e GAID), agora são considerados dados pessoais. Essa nova determinação talvez pegue de surpresa muitas empresas sediadas nos EUA sujeitas ao regulamento, mas não é novidade para muitos países da União Europeia, incluindo a França. A única diferença é que, agora, todos os países membros da UE deverão tratar os Cookies e outros identificadores técnicos como dados pessoais.
Para saber mais sobre como o GDPR define dados pessoais e consentimento, clique aqui.
O que isso significa e como sua empresa será afetada?
O GDPR estipula seis bases legais para a coleta e o processamento de dados na Europa. Assim, ao coletar dados pessoais, de quaisquer tipos, você deverá apoiar-se em uma base legal:
- O interesse vital do indivíduo
- O interesse público
- Necessidade contratual
- Conformidade com obrigações legais
- Consentimento inequívoco do indivíduo
- Interesse legítimo do controlador de dados
Todas essas seis bases legais têm o mesmo peso, o que significa que todas são autossuficientes e independentes uma em relação a outra. As empresas que atuam no setor de marketing ou de marketing digital, ou aqueles que coletam dados para fins de marketing, poderão estar sujeitos a duas bases legais: (1) consentimento inequívoco do indivíduo e (2) interesse legítimo do controlador de dados.
Qual dessas bases permitiria a uma empresa coletar dados pessoais na forma de identificadores técnicos (Cookies, IDs Mobile, etc.)?
A Criteo entende que o consentimento inequívoco é a base que mais se aplica aos nossos clientes e parceiros que coletam dados pessoais, incluindo identificadores técnicos.
O que significa ter o “consentimento inequívoco do indivíduo”? Como isso se aplica aos identificadores técnicos de coleta online, como os cookies?
Primeiro, devemos fazer uma distinção entre consentimento inequívoco e consentimento explícito. Consentimento explícito significa que o usuário deve fazer opt-in para dados pessoais sensíveis, como raça, religião, orientação sexual, afiliação política e estado de saúde. Os identificadores online (como os cookies) são categorizados como dados pessoais não sensíveis. Nesse caso, não é necessário o opt-in explícito.
Antecipamos que as regras sobre consentimento inequívoco terão como base posições existentes das Autoridades de Proteção de Dados (APDs) de cada país membro da União Europeia. Por exemplo, a APD da Espanha1., uma das mais rígidas da Europa, recentemente publicou diretrizes sobre o GDPR e declarou que o consentimento pode ser inequívoco quando deduzido da ação do usuário. Para isso, cita o caso específico de um indivíduo que continua a navegar em determinado site mesmo sabendo que esse site usa cookies para monitorar o comportamento do usuário.
Os clientes e publishers parceiros da Criteo não processam dados sensíveis. Pelo contrário, eles trabalham com dados vinculados a identificadores técnicos anônimos, relativos à navegação na web, à intenção de compras e ao histórico do consumidor.
(Saiba mais sobre os tipos de dados que a Criteo coleta e como o GDPR impacta nossos métodos.)
As condições exigidas pelo GDPR para consentimento inequívoco válido são muito semelhantes, senão idênticas, àquelas já detalhadas pelo Grupo de Trabalho do Artigo 29 para a Proteção de Dados da Comissão Europeia em um parecer anterior2:
- Informações específicas: “Para ser válido, o consentimento deve ser específico e apoiar-se nas informações apropriadas fornecidas ao indivíduo. Em outras palavras, o consentimento geral, sem especificar a finalidade exata do processamento de dados, não é aceitável.”
- Timing: “Como regra geral, o consentimento deve ser dado antes que o processamento de dados seja iniciado.”
- Escolha ativa: “O consentimento deve ser inequívoco. Portanto, o procedimento para solicitar e dar consentimento não deve deixar dúvidas quanto à intenção do titular dos dados. Em princípio, não há limites quanto à forma do consentimento. No entanto, para ser válido, o consentimento deve ser uma indicação ativa da vontade do usuário. A expressão mínima de uma indicação pode ser qualquer espécie de sinal, suficientemente claro para indicar a vontade do titular dos dados, e para ser compreendido pelo controlador dos dados.”
- Livre consentimento: “O consentimento só pode ser válido se o titular dos dados for capaz de exercer uma escolha real e se não houver risco de fraude, intimidação, coerção ou consequências negativas consideráveis se ele não consentir.”
Como o “interesse legítimo do controlador de dados” se aplica?
Para o interesse ser legítimo, a finalidade do processamento de dados precisa ser razoavelmente esperada pelos usuários. O processamento de dados pessoais para marketing direto pode ser considerado e executado como um interesse legítimo. Porém, esse interesse legítimo não pode sobrepor-se aos direitos fundamentais de privacidade do usuário. Por isso, medidas de segurança apropriadas devem ser implementadas para reduzir potenciais riscos à privacidade pessoal. Veja a seguir os requisitos básicos que devem ser atendidos antes de tentar reivindicar um interesse legítimo:
- Uma explicação de quais dados estão sendo coletados, a finalidade específica para a qual os dados estão sendo coletados e como isso afeta a experiência online do navegador.
- Por exemplo: ”Nosso [site/app] usa cookies/IDs de publicidade para fins publicitários. Isso nos permite mostrar nossos anúncios nos sites e apps parceiros aos visitantes interessados em nossos produtos. As tecnologias de retargeting usam cookies e IDs de publicidade e mostram anúncios com base no seu comportamento de navegação anterior. Para saber mais sobre esses serviços e/ou recusá-los, consulte a política de privacidade listada a seguir.”
- Adicione um link para a política de privacidade do seu parceiro.
- Política de privacidade da Criteo: https://www.criteo.com/br/privacy/
- Por exemplo: ”Nosso [site/app] usa cookies/IDs de publicidade para fins publicitários. Isso nos permite mostrar nossos anúncios nos sites e apps parceiros aos visitantes interessados em nossos produtos. As tecnologias de retargeting usam cookies e IDs de publicidade e mostram anúncios com base no seu comportamento de navegação anterior. Para saber mais sobre esses serviços e/ou recusá-los, consulte a política de privacidade listada a seguir.”
- Oferecer aos usuários uma maneira de controlar a própria experiência, incluindo opt-out, com uma linguagem simples que explique como isso afetará a experiência de publicidade do navegador.
- Fácil acesso a uma política de privacidade, aos compromissos firmados por sua empresa ou a informações sobre padrões de privacidade do setor.
- Por exemplo: A Criteo é membro da Network Advertising Initiative.
Quais são os padrões para estabelecer um interesse legítimo?
Toda empresa deve saber responder algumas perguntas básicas para estabelecer se há um interesse legítimo:
- Qual é a finalidade da operação?
- Ela é necessária para atender a um ou mais objetivos organizacionais?
- O GDPR ou outra legislação nacional identifica especificamente a atividade de processamento como sendo legítima, sujeita a testes de adequação e necessidade?
- Há alguma outra forma de alcançar o objetivo?
- O indivíduo esperaria que a atividade de processamento ocorresse?
- Qual é a natureza dos dados a serem processados? Dados dessa natureza têm alguma proteção especial sob o GDPR?
- O processamento limitaria ou reduziria os direitos individuais?
- O indivíduo recebeu um aviso de processamento justo? Se sim, como? Os avisos são suficientemente claros e mostrados com a devida antecedência em relação às finalidades do processamento?
Enquanto as empresas do setor de marketing digital atualizam suas práticas de conformidade com o GDPR, vale lembrar que os cidadãos da União Europeia estão cientes sobre a publicidade direcionada, entendem os identificadores por trás dela e esperam ver anúncios relevantes. A Criteo, em parceria com a IPSOS, realizou uma pesquisa para entender as expectativas dos usuários da União Europeia e como eles se relacionam com a publicidade direcionada online. Entrevistamos 3.000 usuários de internet, de 16 a 65 anos, na França, no Reino Unido e na Espanha, estabelecendo uma amostra demográfica representativa em termos de sexo, idade, região e faixa de renda. Veja o que descobrimos:
- 90% dos usuários de internet estão cientes sobre o retargeting comportamental.
- 68% estão cientes de que os cookies permitem a publicidade direcionada.
- 75% esperam receber anúncios compatíveis com seus interesses
- 73% preferem ver anúncios relevantes a pagar uma taxa adicional para evitar ver anúncios.
A entrada em vigor do GDPR se aproxima. Na Criteo, estamos preparados para seguir atentamente todas as diretrizes e orientações publicadas pelas Autoridades de Proteção de Dados locais. Até lá, saiba mais sobre o que a Criteo tem feito para adequar-se ao GDPR e o que você precisa saber sobre as duas categorias de dados pessoais no GDPR.
- Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
- Working Party of the Article 29 – 2013 Guidance on obtaining consent for cookies: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf
