GDPR 2018 în online – ep. 2

GDPR, bine ai venit!

Iata-ne la o saptamana de la intrarea in vigoare pe 25 mai 2018 a directivei europene privind protectia datelor cu caracter personal. Dupa cum spuneam in episodul 1, va fi interesanta miscarea din zona de publicitate online RO privind alinierea la normele GDPR, si mai ales pasii facuti de principalii actori din piata pentru a respecta legislatia europeana in vigoare. Cand spunem principalii actori ne referim la jucatorii din lantul publicitatii online, programatic, direct sau de alta natura, publisheri, trusturi media, agentii de publicitate, branduri,  furnizori de tehnologie, regiile de vanzari, google ad network, agentii de online marketing samd.

Publishers si Site-uri – Cookie policy

Binecunoscutul mesaj de avertizare privind cookie-urile s-a schimbat, metamorfozat, sau, a ramas in acelasi spectru de utilizare. Avand in vedere ca date precum cookies sunt considerate de acum date personale, regulamentul GDPR precizeaza destul de clar conditiile in care se poate face „urmarirea” utilizatorului in mediul online (istoric de nagivare, profilare comportamentala etc.), dar face si recomandari de implementare in site-urile si serviciile digitale, mentionand si situatii care nu sunt conforme cu noul regulament intrat in vigoare pe 25 mai.

Avand in vedere schimbarile din regulament, GDPR indica destul de clar ca optiunea utilizatorului privind urmarirea si indentificarea lui prin cookies trebuie sa fie initial oprita, iar el, consumatorul, persoana, sa activeze in cunostinta de cauza, cat mai usor si transparent, utilizarea acestor cookies de catre furnizorul de servicii sau de catre tertele parti implicate in procesul de marketing/advertising online.

E bine de stiut ca aceste cookies sunt impartite in cateva categorii in functie de utilizare:

• cookies necesare functionarii serviciului accesat, acestea neintrand neaparat in categoria datelor personale,
• cookies necesare analizei si masurarii serviciului accesat, acestea incadrandu-se in categoria „legitimate interest” si reprezentand cookies folosite de tool-uri de analiza sau masurare a traficului web etc., doar in scopul si aria serviciului accesat,
• cookies folosite de sistemele de advertising sau alte sisteme ce pot masura, analiza si raporta comportamentul si interactiunea utilizatorilor cu reclamele afisate in timpul accesarii unui anumit site/serviciu, scopurile fiind multiple: masurare, filtrare, targetare a reclamelor catre audientele specifice. Aceste cookies intra in categoria datelor personale despre care utilizatorul ar trebui sa fie informat, avand dreptul de a accepta sau refuza utilizarea lor in scopurile mentionate.

Cateva precizari suplimentare. GDPR-ul introduce un nou concept, cel de responsabilizare al tuturor entitatilor implicate in procesul de advertising, asta insemnand ca, pentru utilizarea unui cookie poate fi responsabil atat site-ul respectiv, cat si tertii pe care acesta ii are ca parteneri. De asemenea, nu exista modalitati clare prin care se pot bloca 3rd party cookies (acele cookie-uri setate de sistemele partenerilor cu care site-ul colaboreaza). Insa, directiva europeana indeamna la transparenta, furnizorii de sevicii fiind obligati sa informeze cat mai clar asupra tuturor datelor personale folosite de platformele lor sau ale tertilor cu care colaboreaza (cookie = data personala), precum si scopul explicit al utilizarii acestor cookies.  Mai mult decat atat, consumatorul trebuie sa aiba optiunea clara de blocare/opt-out sau de activare/opt-in a acestor metode de urmarire prin cookies sau prin alte elemente considerate date personale. GDPR-ul mentioneaza si ca metoda prin care se face blocarea sau activarea acestor cookies (in vederea profilarii) trebuie sa fie vizibila, clara, iar toate optiunile sa aiba aceeasi greutate in prezentarea vizuala facuta catre utilizator.

Si nu in ultimul rand, Consimtamantul nu este transmisibil unor terte parti, el  avand explicit un anumite scop si fiind legat de entitatile care devin si responsabile de datele stocate si prelucrate in scopul mentionat. Putem vorbi aici de data controller, consimtamantul fiind un acord al acestuia cu utilizatorul ale carui date sunt prelucrate.

Toate aceste lucruri indeamna la transparenta. Ori, tocmai acest lucru nu este  bine inteles de operatorii RO, majoritatea notificarilor si elementelor de control fiind in dezacord cu spiritul si recomandarile GDPR. Cateva exemple negative:

• prezentarea optiunii „Sunt de acord” fara varianta „Nu, nu sunt de acord”;
• prezentarea in primul ecran doar a optiunii „Sunt de acord”, optiunea „Nu, nu sunt de acord” pentru refuz fiind prezenta in alta pagina, „ascunsa”, utilizatorul trebuind sa o caute cu atentie; cel mai probabil va fi greu de gasit pentru ca nu este suficient de vizibila sau expusa clar;
• lipsa optiunii „Nu, nu sunt de acord”;
• prezentarea optiunii „Sunt de acord” fara mentionarea transparenta a sub-optiunilor in acelasi loc; „Sunt de acord” trebuie sa fie insotit de o lista usor accesibila a scopurilor prelucrarii cu care utilizatorul sa fie de acord, si de asemenea de lista tertilor care pot prelucra datele;
• simpla informare ca un anumit tert poate utiliza cookie-uri si poate prelucra datele personale colectate in acord cu prevederile legale si le poate trimite la randul lui catre alti terti, nespecificandu-se in niciun fel care sunt acestia, care sunt politicile lor de confidentialitate, neexistand nicio modalitate de acceptare/refuz.
• simpla informare ca site-ul foloseste in „interes legitim” serviciile anumitor terti care pot colecta si prelucra datele personale, neexistand nicio modalitate de accept/refuz si neprecizandu-se care sunt acei terti si politicile lor de prelucrare.
• setarea implicit pe On a optiunilor de acord individual cu tertii care prelucreaza datele prin acordul global „Sunt de acord”.

Dincolo de prezentarea catre utilizator a optiunilor pe care le are privind cookies si datele personale utilizate de serviciul pe care il acceseaza, urmata in mod firesc de un acord/dezacord privind acest lucru, ne putem intreba: se respecta intradevar optiunile exercitate de acesta privind datele personale folosite de terti? Furnizorii de servicii de advertising sau profilare mai folosesc in caz de refuz cookies sau alti indentificatori?

Tehnic si legal, data controller si processor

GDPR-ul vine si cu o noua viziune prin care tranzactiile si schimbul de date intre diferitele sisteme online se reglementeaza in sensul transparentei vis-a-vis de datele personale colectate si prelucrate, si sunt strans legate de entitatile juridice ale celor care prelucreaza si stocheaza aceste date. Mai mult decat atat, fiecare entitate/companie implicata in fluxul de advertising in care se utilizeaza date personale (cookies, IP,  alti identificatori) este obligata sa isi asume un anumit rol in proces, rol ce implica si anumite responsabilitati legate de prelucrare, accesul la date, stocarea lor samd. Au fost astfel introduse notiunile de:

• data controller, beneficiarul real al datelor personale sau al informatiilor obtinute din aceste date;
• data processor, cel care prelucreaza datele personale in numele unui data controller; aici despre data controller, data processor.

Prin urmare, fiecare jucator trebuie sa aiba in vedere ce rol joaca in acest ecosistem, si mai mult decat atat sa respecte regulamentul GDPR conform rolului asumat. Toate entitatile ce reprezinta un Publisher, un Site, o Agentie, un Brand, un Ad Server, un Trafic Analytics, un DMP, o Regie de vanzari, un Exchange vor trebui sa se comporte in consecinta si sa-si asume unul din rolurile de controller si/sau processor. In acelasi timp, tot in spiritul GDPR, delegarea responsabilitatii catre un alt tert nu este conforma fara acorduri intre entitatile implicate in care sa se specifice clar ce rol are fiecare parte (DPA – data processing agreement). De exemplu, un Publisher care foloseste serviciile unui DMP nu poate transfera responsabilitatea prelucrarii datelor catre acesta din urma mentionand doar legatura cu acesta, neprecizand clar ce date colecteaza si prelucreaza DMP-ul, care este scopul prelucrarii, si oferind in acelasi timp utilizatorului posibilitatea de a accesa datele, de a-si retrage Consimtamantul pentru prelucrare sau de a sterge aceste date.

Utilizarea cookie-urilor pe device/browser-ul utilizatorului de catre terti poate deveni problematica din punct de vedere al respectarii privacy-ului atat timp cat nu exista Consent intr-un scop bine definit.

Analizand cateva din site-urile .ro masurate de SATI cookie-urile colaboratorilor externi (3rd party cookies) sunt in continuare prezente, chiar si in cazul in care utilizatorii nu si-au dat Consimtamantul. Mai mult decat atat, metodele expuse pe site-uri pentru obtinerea Consimtamantului in vederea utilizarii de cookies in scop de marketing si identificare sunt departe de a fi in spiritul reglementarilor GDPR, optiunea de refuz fiind mascata, lipsa sau prezentata intr-o forma ascunsa comparativ cu optiunea de acceptare a acestor cookies prezentata ca singura varianta disponibila utilizatorului (exista si exemple bune).

Ramane de vazut daca jucatorii isi vor schimba abordarea privind aplicarea regulamentului GDPR, remarketing-ul, urmarirea comportamentului utilizatorilor pe mai multe site-uri, conversion attribution etc. fiind imposibil de realizat fara acordul/Consimtamantul explicit al utilizatorului in acest scop.

Incepand cu 25 mai 2018, AdUnity a introdus in serviciile sale de ad serving (EAS)  o serie de modificari legate de privacy, disponibile tuturor clientilor, astfel incat pe device/browser-ul utilizatorului platforma nu mai utilizeaza cookies fara existenta unui Consimtamant explicit atasat scopului respectiv.

Pentru intrebari, sugestii sau alte informatii ne puteti scrie pe adresa sales dot gdpr at adunity dot com.