El 25 de mayo pasado fue un día muy importante para la industria publicitaria en Europa y el mundo, ya que entró en vigencia el Reglamento General de Protección de Datos (RGPD, o GDPR en inglés).
Dicho reglamento, aprobado hace poco más de dos años por el Parlamento Europeo y el Consejo de la Union Europea, tiene el objetivo de tomar acción sobre dos puntos particulares: estandarizar la legislación en toda la UE para lograr el mismo nivel de protección dentro de los países miembros, y modificar la percepción generalizada de la población la cual no sentía poseer un control total sobre su data personal.
La manera de llevarlo a cabo es cambiando el modo en el cual las compañías encaran la privacidad de datos. Esto cobra particular importancia en un contexto en el cual el valor de la data personalizada en Europa está estimada en alcanzar 1 trillón de euros en 2020.
¿Qué es distinto a lo ya existente?
El cambio sustancial en comparación al pasado se basa en el consentimiento y la accesibilidad de información de parte de los usuarios, quienes deben tener la posibilidad de saber si sus datos personales están siendo utilizados y procesados, desde donde y con que objetivo, del mismo modo que pueden exigir que dichos datos sean modificados o removidos, así como a recibir aquellos datos que le conciernen respecto a su persona en un formato que le permita comprenderlo.
Cabe recalcar que al momento de hablar de datos personales se incluyen todos aquellos que por sí solos o en conjunto con otros pueden permitir identificar a una persona, desde nombre completo y dirección a direcciones IP. Eso se traduce en una gran amplitud y alcance de la ley para las empresas que utilizan datos como parte de su estrategia de negocio.
Como ejemplo práctico, habrán notado desde hace varios meses que los sitios web han comenzado a incluir un pop up a modo de disclaimer en el que comunican y/o indican al usuario que al navegar en las paginas del mismo acepta la Política de Privacidad establecida por el sitio, asi como también han probablemente recibido una catarata de mails de compañías que piden validar el interés del usuario a formar parte de la base de datos de la empresa. Esto es resultado, ni más ni menos, de un principio básico del GDPR: el consentimiento de los usuarios a que sus datos sean utilizados debe ser minimamente explicito, por ejemplo clickeando en un checkbox especifico, y la explicación de su objetivo no puede estar oculto dentro de un interminable documento de Terminos y Condiciones, que parezca armado para que nadie lo lea en su totalidad.
Entre las empresas que forman parte de este proceso hay dos grandes grupos: los controladores de datos (empresas de servicios con datos de sus clientes, o sitios web con data de sus usuarios) y los procesadores de datos (compañías encargadas de realizar el procesamiento de los mismos en nombre las empresas controladoras, por ejemplo DMPs o agencias de publicidad).
¿Qué puede suceder si no estoy dentro de la reglamentación?
La legislación establece que en caso de haber filtraciones de datos deliberados o accidentales, las penas pueden alcanzar el 4% del turnover de la empresa o 20 millones de euros, según el mayor que aplique.
Si no estoy en Europa, ¿en qué me afecta?
Lo primero que hay que dejar en claro es que el GDPR afecta no sólo al territorio de la Unión Europea, sino también a empresas que ofrezcan productos o servicios a residentes de la misma que involucre el uso de datos personales, como aquellas que recolecten data personal o monitoreen el comportamiento de usuarios de la UE.
Por otro lado, el reglamento sienta las bases para una futura legislación global que incluya y extienda aquellas ya existentes en el ámbito local (como la ley de protección de datos personales), con lo cual estar en regla con el GDPR ya permite estar por delante de cambios que se vienen dentro de la industria.
¿Qué puedo hacer para asegurarme estar dentro de los términos que se exigen?
Primero que nada es importante saber ubicarse en cual de las categorías (controladores o procesadores de datos) uno está ubicado. A nivel de regla general, como quedó explicado más arriba, las empresas que tienen el contacto directo con los usuarios son los controladores, mientras que las empresas de ad tech o intermediarios son procesadores de los mismos.
En el caso del primero, el consentimiento expreso del usuario es condición necesaria para cumplimentar los parámetros de la legislación, mientras que los procesadores deben asegurarse de utilizar la data solo para lo acordado con sus clientes, siguiendo los principios de privacidad de datos personales en lo referente a utilización, guardado y seguridad informática.
En el caso de Dentsu Aegis Network, a través de nuestras marcas de agencia Carat, Vizeum, Dentsu y iProspect, nuestra unidad de compra programática Amnet y nuestro DMP Navegg, actuamos como procesadores de datos y seguimos los lineamientos del GDPR en Argentina, en base a lo acordado con nuestros clientes.
En el caso especifico de Navegg, que además el data management platform con mayor reach en toda Latinoamérica, vamos más allá y permitimos a cualquier usuario acceder a su perfil de usuario, editarlo según sus preferencias e incluso borrarlo si asi lo desea, todo desde el sitio web, dentro de nuestra política de privacidad.
Como usuario, ¿en qué me modifica?
Como comentamos más arriba, en el ámbito de la publicidad los datos representan una oportunidad única para que las compañías ofrezcan productos y servicios a los usuarios de manera personalizada y alineada con sus preferencias. Esto permite por el lado de los usuarios a recibir avisos relevantes a su persona con los cuales quiera interactuar, y del lado de las empresas la oportunidad de incrementar su negocio para ofrecer mejores servicios o continuar sustentando el contenido que generan online el cual se encuentra disponible de forma gratuita a los usuarios.
Dicho esto, cada usuario tiene derecho a decidir si quiere que su información sea utilizada tanto en manera total o parcial para ese fin, y las empresas deben respetar su decisión. El control lo debe tener el usuario. Es la única manera de establecer un vinculo basado en la confianza entre quienes ofrecen productos y servicios y quienes los consumen.
