Di Druskus su Giovedì, 13 Dicembre 2018
Categoria: Internet

Questo primo sciopero del GDPR mette sotto i riflettori il consenso La scelta non è facoltativa...

Che cosa significa il consenso come valida base legale per l'elaborazione dei dati personali in base alle norme sulla privacy aggiornate in Europa? Può sembrare una preoccupazione astratta, ma per i servizi online che si basano su dati fatti con gli utenti al fine di monetizzare i contenuti ad accesso libero questa è una domanda chiave ora che il regolamento generale sulla protezione dei dati della regione è saldamente fissato.

Il GDPR è in realtà chiaro sul consenso. Ma se non ti sei preso la briga di leggere il testo del regolamento, e invece vai a guardare alcune delle sedicenti piattaforme di gestione del consenso (CMP) che gironzolano sul web dal 25 maggio, probabilmente avrai problemi a indovinarlo .

I flussi di consenso confusi e / o incompleti non sono ancora estinti, purtroppo. Ma è giusto dire che quelli che non offrono la piena scelta opt-in sono in prestito.

Perché se il tuo servizio o app si basa sull'ottenimento del consenso per elaborare i dati personali degli utenti dell'UE - come molti liberi nel punto di utilizzo, le app supportate da pubblicità - allora il GDPR afferma che il consenso deve essere dato liberamente, specifico, informato e non ambiguo .

Ciò significa che non puoi raggruppare più usi per i dati personali con un unico opt-in.

Né puoi offuscare il consenso dietro una dicitura opaca che in realtà non specifica la cosa che stai per fare con i dati.

Devi anche offrire agli utenti la scelta di non consentire. Quindi non puoi pre-spuntare tutte le caselle di consenso che desideri davvero che i tuoi utenti possano scegliere liberamente, perché devi davvero lasciarglielo fare.

Non è una scienza missilistica, ma il respingimento da parte di alcuni settori dell'industria adtech è stato terribilmente prevedibile e orribilmente frustrante.

Anche questo non è passato inosservato ai consumatori. Quest'anno gli utenti di Internet europei hanno inoltrato denunce basate sul consenso spesse e veloci. E molto probabilmente ciò che viene affermato come "conforme GDPR" probabilmente non lo è.

Quindi, dopo circa sei mesi, siamo sostanzialmente in attesa che i martelli regolamentari scendano.

Ma se si guarda da vicino ci sono alcune azioni precoci di applicazione che mostrano un certo grado di nebbia che sta iniziando a cambiare.

Sì, stiamo ancora aspettando i risultati dei principali reclami relativi al consenso nei confronti dei giganti della tecnologia. (E fai scorta di popcorn per vedere quello spazio di sicuro.)

Ma alla fine del mese scorso, il CNIL, il cane da guardia francese per la protezione dei dati, ha annunciato la chiusura di un avvertimento formale emesso quest'estate contro Fidzup, la società adtech drive-to-store, affermando che era ormai conforme al GDPR.

Tale timbro di approvazione regolamentare è ovviamente raro all'inizio del nuovo regime giuridico.

Così, mentre Fidzup non è un gigante di Adtech, la sua esperienza costituisce ancora un caso di studio interessante - che mostra come la linea di consenso è stata attraversata; come, lavorando con CNIL, è stato in grado di risolverlo; e ciò che sta dalla parte giusta della legge significa per un'azienda adtech (relativamente) su piccola scala che fa affidamento sul consenso per consentire un'attività di marketing mobile basata sulla posizione.

Da zero all'eroe GDPR?
Il servizio di Fidzup funziona in questo modo: installa il kit all'interno (o sul) negozio fisico dei rivenditori partner per rilevare la presenza di smartphone specifici dell'utente. Allo stesso tempo fornisce un SDK agli sviluppatori di dispositivi mobili per tracciare le posizioni degli utenti delle app, raccogliere e condividere l'ID pubblicitario e l'ID Wi-Fi dello smartphone degli utenti (che, insieme all'ubicazione, sono giudicati dati personali ai sensi del GDPR).

Questi due elementi: i rilevatori nei negozi fisici; e un SDK di raccolta dati personale in app mobili - si uniscono per potenziare il servizio di annunci Fidzup orientato al dettaglio e basato sulla posizione che spinge gli annunci agli utenti mobili quando sono vicini a un negozio partner. Il sistema consente inoltre di monitorare le conversioni da annuncio a negozio per i suoi partner al dettaglio.

Il problema che Fidzup aveva, a luglio, era che dopo un audit della sua attività, il CNIL riteneva di non avere il proprio consenso per elaborare i dati di geolocalizzazione degli utenti per indirizzarli con annunci pubblicitari.

Fidzup afferma di aver ritenuto che la sua attività fosse conforme a GDPR perché riteneva che gli editori di app fossero i processori di dati che raccoglievano il consenso a suo nome; l'avviso CNIL era una sveglia che questa interpretazione non era corretta - e che era responsabile per l'elaborazione dei dati e quindi anche per la raccolta di consensi.

Il regolatore ha rilevato che quando un utente di smartphone ha installato un'app contenente l'SDK di Fidzup, non è stato informato che la propria posizione e i dati dell'ID dispositivo mobile sarebbero stati utilizzati per il targeting degli annunci, né i partner con cui Fidzup condivideva i propri dati.

CNIL ha anche affermato che gli utenti avrebbero dovuto essere informati in modo chiaro prima che i dati fossero raccolti, in modo che potessero scegliere di acconsentire, invece di fornire informazioni tramite condizioni generali dell'app (o nei manifesti dei negozi), come è avvenuto dopo l'elaborazione.

Inoltre, ha rilevato che gli utenti non avevano scelta di scaricare le app senza ottenere anche l'SDK di Fidzup, con l'uso di tale app che si traduceva automaticamente nella trasmissione dei dati ai partner.

L'approccio al consenso di Fidzup aveva anche solo chiesto agli utenti di consentire l'elaborazione dei loro dati di geolocalizzazione per l'app specifica che avevano scaricato, non per gli scopi degli annunci mirati con i partner al dettaglio che sono la sostanza dell'attività dell'azienda.

Quindi c'era una serie di problemi. E quando Fidzup fu colpito dall'avvertimento, la posta in gioco era alta, anche senza alcuna penalità monetaria. Perché, a meno che non fosse in grado di risolvere il problema del consenso di base, l'avvio fondato nel 2014 avrebbe potuto affrontare la cessazione dell'attività. O dover cambiare completamente la sua linea di business.

Invece, ha deciso di provare a risolvere il problema del consenso costruendo un CMP conforme a GDPR, trascorrendo circa cinque mesi in collegamento con il regolatore, e alla fine ha ottenuto il via libera il mese scorso.

Una parte fondamentale della sfida, come racconta il co-fondatore e CEO Olivier Magnan-Saurin, è stato come gestire più partner in questo CMP perché la sua attività comporta il trasferimento dei dati lungo la catena di partner - ogni nuovo utilizzo e partner che richiedono l'attivazione consenso.

"La prima sfida è stata progettare una finestra e un banner per più acquirenti di dati", ha dichiarato a TechCrunch. "Quindi è quello che abbiamo fatto. La sfida era di avere qualcosa di buono per CNIL e GDPR in termini di parole, UX ecc. E, allo stesso tempo, alcune cose che l'editore permetterà e accetterà di implementare nel suo codice sorgente per mostrarlo ai suoi utenti perché non vuole spaventarli o perdere troppo.

"Perché ottengono soldi dai dati che compriamo da loro. Quindi volevano ottenere il massimo dei soldi che potevano, perché è molto difficile per loro vivere senza le entrate dei dati. Quindi la sfida consisteva nel conciliare il bisogno del CNIL e del GDPR e degli editori di ottenere qualcosa di accettabile per tutti ".

A parte una rapida parentesi, vale la pena notare che Fidzup non funziona con le migliaia di partner più probabile che sia una piattaforma di scambio di annunci o di domanda.

Magnan-Saurin ci dice che la sua CMP elenca 460 partner. Quindi, mentre questa è ancora una lunga lista da mettere di fronte ai consumatori - non sono, ad esempio, i 32.000 partner di un'altra società francese di adtech, Vectaury, che è stata recentemente oggetto di una sentenza di consenso non valida da parte della CNIL .

A sua volta, ciò suggerisce la 'Fidzup fix', se così possiamo chiamarla, solo scale fino ad ora; Le aziende adtech che trasmettono regolarmente dati di milioni di persone su migliaia di partner sembrano avere molti più problemi esistenziali sotto GDPR - come abbiamo già riferito in precedenza: la decisione Vectaury.

Nessun consenso senza scelta
Tornando a Fidzup, la sua soluzione si riduce sostanzialmente a offrire effettivamente alle persone una scelta su ogni singolo scopo di elaborazione dati, a meno che non sia strettamente necessario per fornire il servizio di app principale che il consumatore intendeva utilizzare.

Ciò significa anche dare agli utenti delle app la possibilità di disattivare completamente gli annunci pubblicitari e non essere penalizzati dal fatto di non essere in grado di utilizzare le funzionalità dell'app stesse.

In breve, non è possibile accorpare il consenso. Quindi CMP di Fidzup separa tutti gli scopi dei dati e i partner per offrire agli utenti la possibilità di acconsentire o meno.

"Puoi deselezionare o selezionare ogni scopo", afferma Magnan-Saurin del CMP ormai conforme. "E se vuoi solo inviare dati per, non so, annunci personalizzati ma non vuoi inviare i dati per analizzare se vai in un negozio o no, puoi farlo. Puoi deselezionare o selezionare ciascun consenso. Puoi anche vedere tutti gli acquirenti che acquistano i dati. Quindi puoi dire okay, sto bene a inviare i dati ad ogni acquirente, ma posso anche selezionarne solo alcuni o nessuno. "

"Quello che chiede il CNIL è molto complicato da leggere, penso, per l'utente finale", continua. "Sì, è molto preciso e puoi scegliere tutto ecc. Ma è molto completo e devi dedicare del tempo a leggere tutto. Quindi stavamo sperando in qualcosa di molto più breve ... ma ora abbiamo qualcosa tra la richiesta iniziale della CNIL - che era come un grosso libro - e la nostra collezione di consenso prima dell'avvertimento che era troppo breve con le informazioni non corrette. Ma è ancora piuttosto lungo da leggere. " 

"Ovviamente, come utente, posso rifiutare tutto. Di 'no, non voglio che i miei dati vengano raccolti, non voglio inviare i miei dati. E devo essere in grado, come utente, di usare l'app nello stesso modo in cui accetto o rifiuto la raccolta dei dati ", aggiunge.

Dice che il CNIL è stato molto chiaro su quest'ultimo punto - dicendo che non potevano richiedere la raccolta di dati di geolocalizzazione per il targeting degli annunci per l'utilizzo dell'app.

"Devi fornire lo stesso servizio all'utente se accetta o meno di condividere i suoi dati", sottolinea. "Così ora l'app e le funzionalità di geolocalizzazione [dell'app] funzionano anche se rifiuti di inviare i dati agli inserzionisti."

Ciò è particolarmente interessante alla luce delle denunce di "consenso forzato" presentate nei confronti dei giganti della tecnologia Facebook e Google all'inizio di quest'anno.

Questi reclami argomentano che le società dovrebbero (ma al momento non lo fanno) offrire un opt-out di pubblicità mirata, perché gli annunci comportamentali non sono strettamente necessari per i loro servizi principali (ad es. Social networking, messaggistica, piattaforma smartphone ecc.).

In effetti, la raccolta di dati per tali scopi di servizi non essenziali dovrebbe richiedere un opt-in affermativo ai sensi del GDPR. (Un ulteriore reclamo GDPR contro Android ha da allora attaccato come viene raccolto il consenso, sostenendo che è manipolativo e ingannevole.)

Alla domanda se, in base alla sua esperienza con la CNIL per ottenere la conformità GDPR, sembra giusto che una piccola impresa adtech come Fidzup abbia dovuto offrire un opt-out quando un gigante tecnologico come Facebook sembra non farlo, Magnan-Saurin dice a TechCrunch : "Non sono un avvocato, ma sulla base di ciò che la CNIL ci ha chiesto di essere in conformità con la legge GDPR, non sono sicuro che ciò che vedo su Facebook come utente sia conforme al 100% a GDPR."

"È meglio di un anno fa, ma [non ne sono ancora sicuro]", aggiunge. "Ancora una volta mi sento solo come utente, sulla base dell'esperienza che ho con la CNIL francese e con la legge GDPR."

Facebook, naturalmente, mantiene il suo approccio al 100% conforme a GDPR.

Anche se gli esperti sulla privacy dei dati non sono così sicuri.

Una cosa è chiara: se il colosso della tecnologia fosse costretto a offrire un opt-out per l'elaborazione dei dati per gli annunci, ci vorrebbe chiaramente una grossa fetta della sua attività - in quanto un sottoinsieme di utenti direbbe sicuramente di no agli "annunci" di Zuckerberg. (E se gli utenti di Facebook europei hanno optato per la disattivazione di una pubblicità, si può scommettere che gli americani chiederebbero molto presto e molto rumorosamente la stessa richiesta, quindi ...)

Colmare il divario sulla privacy
Nel caso di Fidzup, il rispetto di GDPR ha avuto un impatto importante sul suo business perché offrire una scelta autentica significa che non sempre è possibile ottenere il consenso. Magnan-Saurin afferma che ora c'è essenzialmente un limite al numero di dispositivi che gli inserzionisti possono raggiungere, perché non tutti scelgono gli annunci.

Anche se, dal momento che sta usando il nuovo CMP, dice che la maggioranza sta ancora optando (o, almeno, questo è il caso fino ad ora) - mostrando un report grafico di consenso con una percentuale di attivazione di ~ 70: 30, per esempio .

Esprime il cambiamento in questo modo: "Nessuno al mondo può dire ok ho il 100% degli smartphone nella mia base di dati perché la raccolta del consenso è più completa. Nessuno al mondo, nemmeno Facebook o Google, potrebbe dire ok, il 100% degli smartphone va bene per raccogliere da loro i dati di geolocalizzazione. Questo è un grande cambiamento. "

"Prima c'era una corsa verso la portata più alta. Il maggior numero di smartphone nel tuo database ", continua. "Oggi non è questo il punto."

Ora dice che il punto per le imprese di Adtech con gli utenti dell'UE è capire come estrapolare dalla percentuale di dati degli utenti che possono (legalmente) raccogliere al 100% che non possono.

Ed è quello su cui Fidzup ha lavorato quest'anno, sviluppando algoritmi di apprendimento automatico per cercare di colmare il gap di dati in modo che possa ancora offrire ai suoi partner al dettaglio previsioni accurate per il tracciamento dell'annuncio per le conversioni in negozio.

"Abbiamo algoritmi basati sulle poche migliaia di negozi che equipaggiamo, sulla base delle poche centinaia di campagne pubblicitarie mobili che abbiamo eseguito, e possiamo capire per un negozio a Londra in ... sport, moda, ad esempio, quante visite possiamo aspettiamo dalla campagna basata su ciò che possiamo misurare con il giusto consenso ", dice. "Questo è il primo e principale cambiamento nel nostro mercato; la quantità di dati che possiamo ottenere nel nostro database. "

"Ora la sfida è di essere il più precisi possibile senza avere il 100% dei dati reali - con il consenso e il quadro reale", aggiunge. "La precisione è meno ... ma non così tanto. Abbiamo uno standard qualitativo molto elevato su questo ... Quindi ora possiamo assicurare ai rivenditori che con il nostro sistema di apprendimento automatico hanno quasi la stessa qualità di prima.

"Certo che non è esattamente lo stesso ... ma è molto vicino."

Avere un CMP che ha avuto un "sign-off" regolamentare, per così dire, è qualcosa che ora Fidzup spera di trasformare in un nuovo business aggiuntivo.

"Il secondo cambiamento è più come un'opportunità", suggerisce. "Tutto il lavoro che abbiamo fatto con CNIL e con i nostri editori lo abbiamo trasferito su un nuovo prodotto, un CMP, e oggi offriamo a tutti gli editori che chiedono di utilizzare la nostra piattaforma di gestione del consenso. Quindi per noi è un nuovo prodotto - non ce l'avevamo prima. E oggi siamo gli unici - a mia conoscenza - l'unica azienda e l'unico CMP convalidato dal CNIL e dal GDPR, così è utile per tutti gli editori del mondo. "

Al momento non sta caricando i publisher per utilizzare il CMP, ma vedremo se può trasformarlo in un prodotto a pagamento all'inizio del prossimo anno.

In che modo, dopo mesi di lavoro sulla conformità, Fidzup pensa a GDPR? Crede che il regolamento stia rendendo la vita più difficile per le startup rispetto ai giganti della tecnologia - come talvolta viene suggerito, con le affermazioni di alcuni gruppi di lobby che la legge rischia di consolidare il dominio di giganti tecnologici dotati di risorse migliori. O vede qualche opportunità?

Secondo Magnan-Saurin, sei mesi alle startup europee di GDPR sono in svantaggio per la R & S rispetto ai giganti della tecnologia perché le aziende americane come Facebook e Google non sono (ancora) soggette a un regolamento sulla privacy simile a casa - quindi è più facile per loro up dei dati degli utenti per qualsiasi scopo a loro piace.

Anche se è anche vero che i legislatori statunitensi stanno ora prestando la massima attenzione all'area della politica sulla privacy a livello federale. (E il CEO di Google ha affrontato una serie di domande difficili da parte del Congresso su questo fronte proprio questa settimana.)

"Il fatto è che Facebook-Google possiede il 90% delle entrate della pubblicità mobile nel mondo. E sono americani. Quindi, in sostanza, possono fare tutto il loro lavoro di ricerca e sviluppo su, ad esempio, gli utenti americani senza alcun regolamento GDPR ", dice. "E poi applicare un modello di conformità GDPR e applicare il nuovo prodotto, il nuovo algoritmo, in tutto il mondo.

"Come startup europea non posso farlo. Perché io sono europeo. Quindi, una volta che ho iniziato la ricerca e lo sviluppo, devo essere conforme a GDPR, quindi Fidzup sarà più lungo a sviluppare la stessa cosa di un americano ... Ma ora possiamo vedere che GDPR potrebbe iniziare una "cosa del mondo" - e forse Facebook e Google applicherà la conformità GDPR in tutto il mondo. Potrebbe essere. Ma è la loro scelta. Ciò significa che, per l'esempio della R & S, potrebbero fare le proprie ricerche senza applicare la legge perché per ora gli Stati Uniti non si interessano della legge GDPR, quindi non sei fuorilegge se fai ricerca e sviluppo senza applicare GDPR negli Stati Uniti. La differenza principale."

Suggerisce che alcune start-up europee potrebbero ricollocare gli sforzi di R&S al di fuori della regione per cercare di risolvere la complessità legale in materia di privacy.

"Se la legge è intesa a portare i grandi giocatori a un migliore rispetto della privacy, penso che sì, forse va in questo modo. Ma i primi a soffrire sono le aziende europee, e diventa una risorsa per gli Stati Uniti e forse le aziende cinesi ... perché possono essere più veloci nei loro cicli di innovazione ", suggerisce. "Questo è un fatto. Quindi, ciò che potrebbe accadere è che forse gli investitori non investiranno così tanto denaro in Europa che negli Stati Uniti o in Cina sul marketing, sugli argomenti dei dati relativi alla pubblicità. Forse anche le compagnie francesi metteranno tutte le attività di ricerca e sviluppo negli Stati Uniti e distruggeranno alcuni posti di lavoro in Europa perché è troppo complicato fare ricerche su questi argomenti. Potrebbe essere un impatto. Non lo sappiamo ancora. "

Ma il fatto che l'applicazione di GDPR abbia - forse inevitabilmente - iniziato in piccolo, con un piccolo insieme di avvertimenti contro i minnows relativi ai dati, piuttosto che qualsiasi azione rapida contro i giganti del settore adtech dominanti, ciò viene percepito come un'altra disuguaglianza nella coalizione di startup .

"Ciò che è sicuro è che la CNIL ha iniziato a inviare avvisi non a Google o Facebook ma alle startup. Questo è quello che posso vedere ", dice. "Perché forse è più facile vedere che sto lavorando su GDPR e tutto ma il fatto è che la legge non è così complicata per Facebook e Google come lo è per le piccole aziende europee."

Rimani aggiornato seguici su Telegram

loading...
Rimuovi Commenti