Keadaan Privasi Data pada tahun 2024
Diterbitkan: 2023-09-11Pemasaran dulunya merupakan profesi yang relatif mudah. Tidak mudah dan tidak sederhana, namun ada kejelasan mengenai batasan peran tersebut. Hal ini khususnya berlaku pada bidang komunikasi. Sebelum munculnya online dan digital, saluran komunikasi kita relatif sedikit. Dalam beberapa dekade terakhir, dan khususnya dalam lima hingga sepuluh tahun terakhir, terdapat perluasan pesat dalam pilihan yang tersedia bagi para profesional pemasaran, terutama di bidang privasi data.
Pemberlakuan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa pada tanggal 25 Mei 2018 dalam banyak hal merupakan respons terhadap ekspansi teknologi ini. Anggota parlemen Eropa berupaya memberikan serangkaian prinsip yang akan melindungi data warga negara. Sejak saat itu, GDPR telah menjadi acuan bagi wilayah lain di dunia untuk mempertimbangkan pendekatan mereka sendiri terhadap regulasi data.
Sebagai salah satu pengguna data pribadi terberat di perusahaan kami, kami sebagai pemasar wajib memastikan bahwa kami memiliki pemahaman yang kuat tentang praktik terbaik perlindungan data. Secara khusus, kita perlu menguasai dasar-dasarnya dengan benar. Dalam artikel singkat ini, saya akan mengidentifikasi beberapa bidang utama yang harus diperhatikan oleh para pemimpin pemasaran dan timnya saat ini.
Kiat pro : dengarkan Steven Roberts meliput Perlindungan Data 101 di podcast DMI.
“Transparansi adalah prinsip utama yang mendasari GDPR. Pemasar yang menggunakan alat AI untuk memproses data pribadi harus mampu menjelaskan dengan jelas dan sederhana bagaimana data tersebut digunakan. Steven Roberts
Ekosistem Privasi yang Berubah dengan Cepat
GDPR telah memicu sejumlah undang-undang serupa di seluruh dunia, dengan undang-undang baru di negara-negara seperti Tiongkok, Singapura, dan Afrika Selatan.
Undang-Undang Privasi Konsumen California (CCPA) adalah undang-undang lokal dan negara bagian yang paling terkenal di AS . Hal ini berkontribusi pada ekosistem privasi data internasional yang lebih kompleks.
Di Inggris Raya , pemerintah Inggris sedang mempertimbangkan revisi GDPR Inggris dengan rancangan undang-undang data baru yang sedang dikembangkan (per September 2023). Perusahaan yang melakukan perdagangan dengan Inggris perlu memantau perkembangan ini dengan cermat, terutama jika hal ini mempengaruhi keputusan kecukupan antara UE dan Inggris*.
Di Eropa , sejumlah undang-undang UE yang terkait sedang dalam proses diperkenalkan. Ini termasuk:
- Undang-Undang Pasar Digital
- Undang-Undang Layanan Digital
- Peraturan AI. Hal terakhir ini sangat mendesak mengingat pesatnya perluasan jangkauan dan penggunaan teknologi AI seperti ChatGPT.
Diskusi juga sedang berlangsung untuk merombak Petunjuk ePrivasi saat ini, yang secara luas dipandang tidak lagi sesuai dengan tujuannya. Semua undang-undang ini berpotensi berdampak pada aktivitas pemrosesan data para pemasar yang beroperasi di Uni Eropa.
Perlindungan data harus disertakan sejak awal
Menurut Chiefmartech.com, ada lebih dari 11.000 platform teknologi pemasaran; angka yang tumbuh dari tahun ke tahun. Banyak dari teknologi ini menggunakan data pribadi untuk menjangkau dan menargetkan berbagai khalayak konsumen secara lebih efektif.
Pemasar yang mempertimbangkan platform baru, atau strategi baru apa pun yang melibatkan penggunaan data pribadi, harus memastikan privasi data dipertimbangkan sejak awal. Prinsip GDPR tentang perlindungan data berdasarkan desain dan default adalah kuncinya di sini. Salah satu cara terbaik untuk mematuhi prinsip ini adalah dengan melakukan apa yang disebut Penilaian Dampak Perlindungan Data (DPIA).
Ini melibatkan proses dua langkah. Pertama, dilakukan pra-DPIA, yaitu serangkaian pertanyaan tingkat tinggi yang diajukan untuk menilai apakah proyek tersebut berpotensi menimbulkan risiko privasi yang signifikan. Jika risiko tersebut teridentifikasi, maka DPIA lengkap harus diselesaikan. Pada titik ini dilakukan analisis rinci mengenai proyek, termasuk konsultasi dengan pemangku kepentingan utama. Pendekatan seperti ini memungkinkan dilakukannya kalibrasi ulang suatu proyek jika risiko privasi terlalu tinggi, atau penerapan tindakan mitigasi untuk mengurangi tingkat risiko.
Contoh bagi pemasar mungkin mencakup pengenalan strategi data pihak pertama yang baru atau pengenalan platform CRM. Umumnya dianggap sebagai praktik terbaik bahwa setiap alat pemasaran baru yang mungkin menggunakan data pribadi harus tunduk pada DPIA.
AI dan Privasi Data
Platform Kecerdasan Buatan (AI) menjadi semakin populer di kalangan pemasar, mendukung aktivitas seperti chatbot situs web otomatis. Pengenalan ChatGPT dan model bahasa besar (LLM) lainnya memberikan potensi signifikan bagi pemasar untuk meningkatkan produktivitas mereka. Misalnya membuat blog dan artikel sebagai bagian dari strategi pemasaran konten.
Pemasar yang mempertimbangkan teknologi tersebut harus menyadari risiko perlindungan data. Transparansi adalah prinsip utama yang mendasari GDPR. Pemasar yang menggunakan alat AI untuk memproses data pribadi harus mampu menjelaskan dengan jelas dan sederhana bagaimana data tersebut digunakan. Hal ini merupakan tantangan besar karena seringkali tidak mudah untuk mengidentifikasi dengan tepat bagaimana data diproses oleh teknologi AI.
Selain itu, Pasal 22 GDPR memberi individu hak untuk menolak keputusan otomatis yang mungkin berdampak hukum. Misalnya, 'penolakan otomatis terhadap permohonan kredit online atau praktik rekrutmen elektronik tanpa campur tangan manusia. Dalam hal ini, mereka mempunyai hak untuk mendapatkan campur tangan manusia sebagai bagian dari proses pengambilan keputusan.
Menyoroti potensi masalah perlindungan data yang timbul dari penggunaan AI, Google diharuskan menunda pengenalan chatbot AI baru, Bard, menyusul intervensi dari Komisi Perlindungan Data (DPC) Irlandia. Komisi menyatakan bahwa raksasa teknologi tersebut perlu memberikan informasi lebih lanjut mengenai bagaimana hak privasi warga negara UE akan dilindungi. Google kemudian meluncurkan Bard di UE, mengikuti apa yang digambarkan DPC sebagai 'sejumlah perubahan, khususnya peningkatan transparansi dan perubahan kontrol bagi pengguna.
“Kepatuhan data adalah sebuah perjalanan yang berkelanjutan. Prioritas awal adalah memperbaiki dasar-dasarnya. Steven Roberts
Peningkatan Denda dan Kesadaran Konsumen
Sebagai pemasar, kita adalah suara konsumen, yang bertanggung jawab melindungi merek dan reputasi perusahaan kita. Konsumen memiliki kesadaran yang lebih besar akan hak perlindungan data mereka. Hal ini sebagian besar disebabkan oleh publisitas yang disertai dengan denda yang besar.
Menurut firma hukum DLA Piper, otoritas pengawas UE mengeluarkan denda sebesar €1,6 miliar dalam 12 bulan sejak 28 Januari 2022. Tren ini berlanjut pada tahun 2023, terutama dengan dikeluarkannya denda €1,2 miliar oleh DPC Irlandia terhadap Meta karena mentransfer pengguna UE ' data pribadi ke AS tanpa memiliki mekanisme perlindungan data yang memadai.
Pada bulan April 2023, Kantor Komisaris Informasi Inggris (ICO) mengeluarkan denda sebesar £12,7 juta kepada TikTok atas pelanggaran terkait penyalahgunaan data anak-anak.
Sementara itu di AS, privasi data telah menunjukkan sikap yang lebih politis, dengan upaya untuk melarang TikTok di tingkat negara bagian, seperti di Montana, dan kepemimpinan baru yang jauh lebih keras di FTC yang menuntut Amazon karena mendaftarkan pelanggan ke Prime tanpa persetujuan. Di Irlandia, staf di pemerintahan dan lembaga negara diharuskan menghapus aplikasi TikTok dari perangkat resmi; sementara pembatasan juga telah diberlakukan di yurisdiksi seperti Inggris dan Belanda.
Perlu dicatat bahwa meskipun AdTech dan periklanan perilaku merupakan prioritas penegakan hukum bagi DPC dan otoritas pengawas lainnya, sanksi telah dikenakan terhadap bisnis di banyak sektor ekonomi; meskipun tidak pada tingkat yang menggiurkan seperti yang kita lihat pada perusahaan teknologi.
Mentransfer Data Internasional
Transfer data internasional telah menimbulkan kesulitan besar bagi perusahaan yang ingin mentransfer data pribadi keluar dari Uni Eropa. Ini adalah aspek privasi data yang telah mengalami perubahan besar dalam beberapa tahun terakhir. Pada bulan Juli 2020, Pengadilan Eropa memutuskan bahwa pengaturan Perlindungan Privasi yang ada untuk transfer data antara UE dan AS tidak valid. Sejak keputusan tersebut, yang dikenal sebagai Schrems II , kedua yurisdiksi telah mencari mekanisme alternatif yang mematuhi GDPR.
Kerangka Privasi Data baru telah disetujui oleh Uni Eropa pada awal Juli. Meskipun hal ini disambut baik, masih harus dilihat apakah hal ini akan menghadapi tantangan serupa dari para pendukung privasi seperti yang terjadi pada dua pendahulunya. Untuk sementara, perusahaan harus mencari pendekatan alternatif, seperti penggunaan Klausul Kontrak Standar (dikenal sebagai SCC)***.
Untuk perusahaan-perusahaan yang melakukan perdagangan dengan Inggris, Pemerintah Inggris telah mengindikasikan niatnya untuk menyederhanakan aspek-aspek tertentu dari GDPR Inggris dengan ambisi untuk membuat peraturan yang ada saat ini tidak terlalu membebani bisnis ****.
Cara Tetap Terinformasi Tentang Privasi Data
Banyak pemasar yang kesulitan untuk mengikuti laju perubahan ini, khususnya mereka yang berada di UKM yang mungkin tidak memiliki akses terhadap sumber daya yang sama dengan tim di perusahaan multinasional besar.
Perlu diingat bahwa kepatuhan data adalah sebuah perjalanan yang berkelanjutan. Prioritas awal adalah memperbaiki dasar-dasarnya. Oleh karena itu, sejumlah aspek penting sebagai bagian dari budaya privasi data yang efektif dalam perusahaan:
1. Pelatihan itu penting
Pelatihan harus dilakukan secara rutin dan berkelanjutan, baik bagi staf baru maupun lama. Hal ini sangat penting mengingat tingkat churn yang kita lihat di banyak peran pemasaran saat ini, seiring dengan laju perkembangan di bidang kepatuhan secara umum. Beberapa ahli memperkirakan bahwa 90% dari seluruh pelanggaran data disebabkan oleh kesalahan manusia. Pelatihan sangat penting untuk mengimbangi risiko ini.
2. Mengetahui 6 dasar hukum dan 7 prinsip inti GDPR
Banyak pelanggaran yang kita lihat selama lima tahun terakhir sebenarnya bisa dikurangi atau dihilangkan jika perusahaan mempertimbangkan pertanyaan-pertanyaan berikut;
- Pertama, apakah ada dasar hukum yang jelas untuk memproses data pribadi ini?
- Kedua, apakah pemrosesannya sesuai dengan prinsip GDPR?
3. Atur nada dari atas
Semua bisnis mengambil pimpinan dari manajemen senior. Dewan dan tim eksekutif harus terlihat secara terbuka mendukung dan mengadvokasi, melalui kata-kata dan tindakan, untuk budaya privasi data yang kuat di seluruh organisasi.
4. Membuat catatan dan proses yang terperinci
Akuntabilitas adalah salah satu prinsip utama GDPR. Pasal 30 Peraturan ini mensyaratkan pencatatan yang akurat sebagai bagian dari budaya privasi yang efektif. Perusahaan juga memperoleh manfaat produktivitas dan efisiensi yang signifikan karena adanya proses yang jelas sejak awal, untuk aspek-aspek seperti permintaan akses subjek dan pelaporan pelanggaran data.
5. Memahami persyaratan kepatuhan yang lebih tinggi untuk data anak-anak dan kategori khusus
Pemasar perlu memperhatikan persyaratan kepatuhan tambahan terkait data anak di bawah umur, dan juga serangkaian data kategori khusus yang diidentifikasi berdasarkan GDPR.
Kesimpulan
Perlindungan data telah berkembang pesat dalam beberapa tahun terakhir. Pengenalan GDPR pada tahun 2018 telah meningkatkan kesadaran konsumen dan hukuman yang lebih tinggi bagi bisnis yang tidak patuh. Hal ini juga menjadi katalis bagi gelombang undang-undang serupa secara internasional di negara-negara seperti Tiongkok, Singapura, dan Afrika Selatan. Laju perubahan ini, dan meningkatnya kompleksitas yang menyertainya, berarti sangat penting bagi pemasar dan bisnis mereka untuk membangun budaya perlindungan data yang efektif.
Teknologi baru yang intensif data seperti AI semakin memperkuat persyaratan ini. Dengan berfokus untuk melakukan hal-hal mendasar dengan benar, dengan pelatihan rutin mengenai aspek-aspek inti Peraturan, proses dan pencatatan yang jelas, serta dukungan dari pimpinan tertinggi organisasi, para pemasar dan tim mereka berada pada posisi yang tepat untuk memastikan mereka tetap patuh.
Catatan
* Keputusan kecukupan UE, yang disetujui pada tahun 2021, pada dasarnya menyatakan bahwa Inggris mengoperasikan lingkungan perlindungan data yang serupa dengan yang ada di UE. Keputusan tersebut akan ditinjau kembali setelah empat tahun dan dapat terancam jika Inggris dianggap menyimpang dari tingkat perlindungan data yang ada saat ini.
** Pertunjukan 71, GDPR
*** Ketika dimasukkan ke dalam kontrak, SCC dapat memenuhi kewajiban transfer data GDPR.
**** RUU Perlindungan Data dan Informasi Digital (No. 2).