Guía de MarTech para GDPR: El Reglamento General de Protección de Datos

Cuando la Unión Europea adoptó su Reglamento general de protección de datos en 2018, la ley fue anunciada como un cambio de juego de privacidad que marcaría el comienzo de una nueva era de consentimiento en torno a la recopilación de datos en línea y pondría el derecho a proteger la información personal directamente en manos de las personas.

También estaba destinado a estandarizar las leyes de privacidad en los países miembros de la UE. GDPR eliminaría la necesidad de que los países individuales redacten sus propias regulaciones, además de exigir que cualquier empresa, independientemente de su ubicación, que comercialice bienes o servicios a los residentes de la UE cumpla con la ley.

Pero cinco años más tarde, la aplicación desafía la ley de cuencas hidrográficas, con quejas que se presentaron el día en que golpeó GDPR, alegando que Facebook, Instagram, WhatsApp y Google obligaron a los usuarios a proporcionar información personal sin el consentimiento adecuado, y aún continúan en la corte. sistema.

Mientras tanto, la tecnología continúa evolucionando a un ritmo que el sistema legal glacial simplemente no puede seguir (este artículo sobre el cumplimiento de GDPR y las herramientas de inteligencia artificial como ChatGPT ayuda a pintar una imagen de los desafíos que se avecinan).

Esta desconexión, junto con los rumores sobre la aplicación laxa, particularmente en los países donde tienen su sede los grandes proveedores de tecnología, son solo algunas de las razones por las que los reguladores de la UE ahora buscan ajustar la forma en que se administra el RGPD.

Este artículo analizará más de cerca esos cambios de procedimiento, así como otras regulaciones de privacidad de datos en el hopper, repasará algunas de las mayores multas de la ley hasta la fecha y examinará lo que los especialistas en marketing deben saber a medida que nos acercamos a la segunda mitad de 2023. .

Cambios de procedimiento en el horizonte

A principios de este año, la Comisión Europea anunció que buscaría optimizar la forma en que las autoridades de protección de datos de la UE trabajan juntas al hacer cumplir el RGPD en casos transfronterizos. “Esto apoyará un buen funcionamiento de los mecanismos de cooperación y resolución de disputas de GDPR”, señaló la Comisión. La iniciativa, llamada Reglas procesales de aplicación, tiene como objetivo abordar una serie de problemas, desde cómo se manejan las quejas de GDPR hasta la duración de los procedimientos. Y cuando no se pueda llegar a un consenso, las reglas de aplicación propuestas “aclararán” los aspectos procesales de la resolución de disputas.

Los críticos han dicho que las nuevas reglas de aplicación son ligeras en detalles, pero con cerca de 800 casos pendientes bajo GDPR, la reforma procesal es fundamental. Como dice NOYB, o Centro Europeo para los Derechos Digitales, una organización sin fines de lucro con sede en Viena, Austria, el RGPD solo se aplica en teoría, y las empresas de tecnología encuentran formas de detener los procedimientos, apelar los fallos y eludir las multas. (“NOYB” es la abreviatura de “no es asunto tuyo”).

La influencia del RGPD en los Estados Unidos

En los EE. UU., las leyes de privacidad de datos nuevas o enmendadas están en los libros en Virginia, California, Colorado, Connecticut y Utah, con fechas de aplicación que van desde el 1 de enero de este año (Virginia) hasta el 31 de diciembre (Utah), con California, Colorado y Connecticut a partir del 1 de julio (en California, la Ley de Derechos de Privacidad de California (CPRA) modifica la Ley de Privacidad del Consumidor de California (CCPA)).

Además, otros nueve estados han propuesto leyes que aún están pendientes, pero los especialistas en marketing deben anticipar su eventual promulgación.

Estas leyes son notables en el contexto actual porque, con la excepción de California, todas "adaptan la terminología" del RGPD, pero difieren en la forma en que se aplican, con los fiscales de distrito, los fiscales generales y, en el caso de California, el California. Agencia de Protección de Privacidad, todo en la combinación de cumplimiento.

Para los especialistas en marketing, la administración de cookies será de suma importancia a medida que las marcas/sitios web continúen comprendiendo cómo las leyes estatales protegen los derechos de los consumidores en torno a los datos confidenciales.

A nivel federal, hay un esfuerzo bipartidista para establecer una nueva ley de privacidad, llamada Ley de Protección y Privacidad de Datos Estadounidenses (ADPPA, por sus siglas en inglés), que crearía un estándar nacional en torno a los derechos individuales. Y el 1 de marzo, el Comité de Energía y Comercio de la Cámara de Representantes celebró una audiencia sobre la ley propuesta.

Si bien no se llevó a cabo ninguna votación, los grupos de privacidad y otras partes interesadas señalan que existe el deseo de una legislación federal sobre privacidad y, en última instancia, puede resultar en acción.

Profundice más: solo el 11 % de las empresas de EE. UU. cumplen plenamente con CCPA la Ley de privacidad

GDPR lanza fuertes multas

De vuelta en Europa, dejando de lado los problemas de aplicación de GDPR, algunas quejas han resultado en grandes multas, impuestas a compañías como Meta, Amazon y Google.

El año comenzó con una multa de $ 413 millones contra Meta por violaciones de GDPR por parte de Facebook e Instagram. Entregado por la Comisión Irlandesa de Protección de Datos (DPC), que, dicho sea de paso, ha enfrentado extensas críticas por la forma en que maneja las quejas de GDPR, las acciones de la agencia afirmaron una decisión de la Junta Europea de Protección de Datos que dijo que la "necesidad contractual" no es una razón apropiada. para ejecutar anuncios de comportamiento. (Los anuncios de comportamiento se refieren a anuncios en línea o mensajes de marketing que se entregan a los consumidores en función de su historial de búsqueda).

Durante años, Meta había incluido su acuerdo de consentimiento del usuario en los términos de servicios contractuales de sus aplicaciones, lo que efectivamente obligaba a los usuarios a aceptar la recolección de datos si querían usar las plataformas.

La multa de principios de enero de Meta se produjo inmediatamente después de un 2022 muy costoso para la compañía, en el que se repartieron multas por una suma de más de $ 800 millones. También se le dijo que tenía tres meses para implementar medidas para pedir permiso a los usuarios para publicar anuncios de comportamiento; a fines de marzo, el Wall Street Journal informó que Meta permitiría a los usuarios en Europa optar por no recibir anuncios dirigidos. Pero la compañía no lo está poniendo fácil, ya que requiere que los usuarios envíen un formulario en línea que indique sus objeciones.

Junto con las multas de Meta, otras sanciones notables de GDPR incluyen:

• $ 785 millones contra Amazon, decidido en julio de 2021 por la autoridad de datos de Luxemburgo. Esta decisión, hasta la fecha la sanción más grande bajo GDPR, y que se centra en cómo la empresa procesa los datos personales, está actualmente bajo apelación.
• $ 237 millones contra WhatsApp (el servicio de mensajería propiedad de Meta), decidido en septiembre de 2021 por DPC, que marcó la culminación de una investigación de tres años sobre cómo la aplicación compartió datos de usuarios con Facebook.
• 52 millones de dólares contra el gigante de las búsquedas Google, una multa temprana del RGPD (enero de 2019) que luego se confirmó en apelación en un tribunal francés. La Comisión Nacional de Protección de Datos de ese país determinó que Google no cumplía con las pautas de transparencia de datos de GDPR y que la compañía no dejó suficientemente claro cómo se recopilaron y usaron los datos de los usuarios para anuncios dirigidos.

Lo que los especialistas en marketing deben saber

Dos palabras deben ocupar un lugar destacado en la lista de todos los especialistas en marketing cuando se trata de GDPR: cumplimiento y consentimiento. El cumplimiento, por supuesto, se refiere a la necesidad de que las empresas con cualquier tipo de presencia en la web que comercialicen a clientes en la UE comprendan la regulación, se mantengan al día sobre los cambios a medida que ocurren y puedan reaccionar rápidamente cuando surjan problemas.

Por supuesto, tangencial a eso es la necesidad de que los especialistas en marketing comprendan los tipos de datos que recopilan sus empresas y, lo que es más importante, cómo se procesan y almacenan esos datos y qué tipo de información personal confidencial contienen. El cumplimiento también depende de recopilar únicamente los datos necesarios.

Lo más importante para los especialistas en marketing debe ser la otra palabra clave: consentimiento. En términos generales, es más probable que las empresas sigan cumpliendo con el RGPD cuando han obtenido el permiso adecuado para recopilar o utilizar la información personal de los usuarios. Puede sonar obvio, pero GDPR tiene una definición específica para el consentimiento, que es "cualquier indicación libre, específica, informada e inequívoca" de que el sujeto acepta permitir que los sitios web recopilen y procesen sus datos personales.

Como era de esperar, los especialistas en marketing tienen un papel importante que desempeñar, no solo en la comprensión, sino también en permitir el cumplimiento de GDPR y las reglas y regulaciones basadas en los EE. UU. en las que ha influido. Si bien el panorama regulatorio continúa evolucionando, también lo hace el deseo de los consumidores de salvaguardar su privacidad.

En los cinco años que ha estado en los libros, GDPR ha demostrado que la protección de datos es una responsabilidad corporativa. Las empresas que manejan los datos con cuidado y muestran a los usuarios que sus preocupaciones sobre la privacidad en línea son válidas tendrán una ventaja sobre sus competidores menos prudentes.

Profundice más: Construya confianza , ganar ventas