Starea confidențialității datelor în 2024
Publicat: 2023-09-11Marketingul a fost o profesie relativ simplă. Nu este ușor, nici simplu, dar a existat o oarecare claritate cu privire la limitele rolului. Acest lucru se aplică în special comunicațiilor. Înainte de ascensiunea online și digitală, canalele noastre de comunicare erau relativ puține. În ultimele decenii, și mai ales în ultimii cinci până la zece ani, a existat o extindere rapidă a opțiunilor disponibile profesioniștilor de marketing, în special în zona confidențialității datelor.
Introducerea Regulamentului general privind protecția datelor (GDPR) al UE la 25 mai 2018 a fost în multe privințe un răspuns la această expansiune tehnologică. Legislatorii europeni au încercat să ofere un set de principii care să protejeze datele cetățenilor. De atunci, GDPR a dat tonul pentru ca alte regiuni din lume să ia în considerare propria lor abordare a reglementării datelor.
Fiind unii dintre cei mai mari utilizatori ai datelor cu caracter personal din cadrul firmelor noastre, este de sarcina nouă, specialiștii în marketing, să ne asigurăm că avem o înțelegere solidă a celor mai bune practici de protecție a datelor. În special, trebuie să înțelegem corect elementele de bază. În acest scurt articol, voi identifica câteva dintre domeniile cheie de care liderii de marketing și echipele lor ar trebui să fie atenți chiar acum.
Sfat profesionist : ascultați coperta lui Steven Roberts Data Protection 101 pe podcastul DMI.
„Transparența este un principiu cheie care stă la baza GDPR. Specialiștii de marketing care folosesc instrumente AI care prelucrează date cu caracter personal trebuie să fie capabili să explice în termeni clari și simpli cum sunt utilizate aceste date. ” Steven Roberts
Un ecosistem de confidențialitate în schimbare rapidă
GDPR a declanșat o serie de legislații similare pe tot globul, cu noi legi în țări precum China, Singapore și Africa de Sud.
California Consumer Privacy Act (CCPA) este cea mai cunoscută dintre o serie de legi locale și de stat din SUA . Acest lucru a contribuit la un ecosistem internațional de confidențialitate a datelor mai complex.
În Regatul Unit , guvernul britanic ia în considerare o revizuire a GDPR din Regatul Unit cu o nouă lege de date în prezent în curs de dezvoltare (din septembrie 2023). Întreprinderile care comercializează cu Regatul Unit vor trebui să monitorizeze îndeaproape această evoluție, în special dacă aceasta afectează decizia de adecvare dintre UE și Regatul Unit*.
În Europa , o serie de legislații UE adiacente sunt în curs de introducere. Aceasta include:
- Legea piețelor digitale
- Legea Serviciilor Digitale
- Un regulament AI. Acesta din urmă este deosebit de presant într-un moment de extindere rapidă a gamei și utilizării tehnologiilor AI, cum ar fi ChatGPT.
Discuțiile sunt, de asemenea, în desfășurare pentru a revizui actuala directivă privind confidențialitatea electronică, care este considerată în general ca nu mai potrivită scopului. Toată această legislație are potențialul de a avea un impact asupra activităților de prelucrare a datelor ale agenților de marketing care operează în Uniunea Europeană.
Protecția datelor trebuie inclusă încă de la început
Potrivit Chiefmartech.com, există peste 11.000 de platforme de tehnologie de marketing; o cifră care crește de la an la an. Multe dintre aceste tehnologii folosesc datele personale pentru a ajunge și a viza mai eficient diverse categorii de consumatori.
Agenții de marketing care au în vedere o nouă platformă sau, într-adevăr, orice strategii noi care implică utilizarea datelor cu caracter personal, ar trebui să se asigure că confidențialitatea datelor este luată în considerare de la început. Principiul GDPR privind protecția datelor prin proiectare și implicit este esențial aici. Una dintre cele mai bune modalități de a respecta acest principiu este realizarea a ceea ce este cunoscut sub numele de Evaluare a impactului privind protecția datelor (DPIA).
Aceasta implică un proces în două etape. În primul rând, este întreprinsă o pre-DPIA, prin care sunt adresate o serie de întrebări la nivel înalt pentru a evalua dacă proiectul are potențialul de a prezenta riscuri semnificative pentru confidențialitate. Dacă sunt identificate astfel de riscuri, atunci trebuie completat un DPIA complet. În acest moment are loc o analiză detaliată a proiectului, inclusiv consultarea cu părțile interesate cheie. O astfel de abordare permite o recalibrare a unui proiect dacă riscurile de confidențialitate sunt prea mari sau adoptarea de acțiuni de atenuare pentru a reduce nivelul de risc.
Exemplele pentru marketeri ar putea include introducerea unei noi strategii de date primare sau introducerea unei platforme CRM. În general, este considerată cea mai bună practică ca orice instrumente de marketing noi care pot utiliza date cu caracter personal să fie supus unei DPIA.
AI și confidențialitatea datelor
Platformele de inteligență artificială (AI) devin din ce în ce mai populare în rândul marketerilor, stimulând activități precum chatbot-urile automate ale site-urilor web. Introducerea ChatGPT și a altor modele lingvistice mari (LLM) oferă un potențial semnificativ pentru marketerii de a-și crește productivitatea. De exemplu, generarea de bloguri și articole ca parte a unei strategii de marketing de conținut.
Specialiștii de marketing care iau în considerare o astfel de tehnologie trebuie să fie conștienți de riscurile legate de protecția datelor. Transparența este un principiu cheie care stă la baza GDPR. Specialiștii de marketing care folosesc instrumente AI care prelucrează date cu caracter personal trebuie să fie capabili să explice în termeni clari și simpli cum sunt utilizate aceste date. Aceasta este o provocare considerabilă, deoarece nu este adesea ușor să identifici exact modul în care datele sunt procesate de tehnologia AI.
În plus, articolul 22 din GDPR oferă persoanelor fizice dreptul de a se opune deciziilor automate care pot avea un efect juridic. De exemplu, „refuzul automat al unei cereri de credit online sau al practicilor de recrutare electronică fără nicio intervenție umană. În aceste cazuri, ei au dreptul de a obține intervenția umană ca parte a procesului de luare a deciziilor.
Evidențiind potențialele preocupări privind protecția datelor care decurg din utilizarea AI, Google a fost obligat să întârzie introducerea unui nou chatbot AI, Bard, în urma unei intervenții din partea Comisiei pentru protecția datelor (DPC) din Irlanda. Comisia a declarat că gigantul tehnologic trebuie să ofere informații suplimentare cu privire la modul în care drepturile la confidențialitate ale cetățenilor UE ar fi protejate. Ulterior, Google a lansat Bard în UE, în urma a ceea ce DPC a descris drept „o serie de modificări, în special transparență sporită și modificări ale controalelor pentru utilizatori.
„Conformitatea datelor este o călătorie continuă. Prioritatea inițială este de a obține elementele de bază corecte. ” Steven Roberts
Amenzi crescute și conștientizare a consumatorilor
În calitate de agenți de marketing, suntem vocea consumatorului, responsabili pentru protejarea mărcii și a reputației firmelor noastre. Consumatorii au o mai mare conștientizare a drepturilor lor de protecție a datelor. O mare parte din aceasta este condusă de publicitate care a înconjurat amenzi mari.
Potrivit firmei de avocatură DLA Piper, autoritățile de supraveghere ale UE au emis amenzi în valoare de 1,6 miliarde EUR în cele 12 luni de la 28 ianuarie 2022. Această tendință a continuat în 2023, mai ales odată cu emiterea de către DPC irlandez a unei amenzi de 1,2 miliarde EUR împotriva Meta pentru transferul de utilizatori din UE. „datele cu caracter personal către SUA fără a avea mecanisme adecvate de protecție a datelor.
În aprilie 2023, Biroul Comisarului pentru Informații (ICO) din Regatul Unit a emis o amendă de 12,7 milioane de lire sterline TikTok pentru încălcări legate de utilizarea abuzivă a datelor copiilor.
Între timp, în SUA, confidențialitatea datelor a cunoscut mai multe poziții politice, cu încercări de a interzice TikTok la nivel de stat, cum ar fi în Montana, și o nouă conducere semnificativ mai dură la FTC, dând în judecată Amazon pentru înscrierea clienților la Prime fără consimțământ. În Irlanda, personalul de la agențiile guvernamentale și de stat trebuie să elimine aplicația TikTok de pe dispozitivele oficiale; în timp ce restricții au fost introduse și în jurisdicții precum Regatul Unit și Țările de Jos.
Este de remarcat faptul că, deși AdTech și publicitatea comportamentală au fost priorități de aplicare pentru DPC și alte autorități de supraveghere, au fost aplicate sancțiuni împotriva întreprinderilor din multe sectoare ale economiei; deși nu la nivelurile atrăgătoare pe care le-am văzut cu firmele de tehnologie.
Transferarea datelor internaționale
Transferurile internaționale de date au cauzat dureri de cap semnificative firmelor care doresc să transfere date cu caracter personal în afara Uniunii Europene. Este un aspect al confidențialității datelor care a fost martor la schimbări substanțiale în ultimii ani. În iulie 2020, Curtea Europeană de Justiție a decis că aranjamentul existent privind Scutul de confidențialitate pentru transferurile de date între UE și SUA este invalid. De la acea decizie, cunoscută sub numele de Schrems II , ambele jurisdicții au căutat un mecanism alternativ care să respecte GDPR.
Un nou cadru de confidențialitate a datelor a fost aprobat de Uniunea Europeană la începutul lunii iulie. Deși binevenit, rămâne de văzut dacă acest lucru va fi supus unor provocări similare din partea susținătorilor de confidențialitate, așa cum a fost cazul celor doi predecesori ai săi. Între timp, companiile au fost nevoite să găsească abordări alternative, cum ar fi utilizarea clauzelor contractuale standard (cunoscute ca SCC)***.
Pentru firmele care tranzacționează cu Regatul Unit, guvernul britanic și-a indicat intenția de a eficientiza anumite aspecte ale GDPR din Regatul Unit cu ambiția de a face normele actuale mai puțin împovărătoare pentru afaceri ****.
Cum să fiți informat despre confidențialitatea datelor
Mulți agenți de marketing se luptă să țină pasul cu acest ritm de schimbare, în special cei din IMM-uri care ar putea să nu aibă acces la aceleași resurse ca echipele din marile firme multinaționale.
Merită să ne reamintim că conformitatea datelor este o călătorie continuă. Prioritatea inițială este de a obține elementele de bază corecte. Având în vedere acest lucru, o serie de aspecte sunt cruciale ca parte a oricărei culturi eficiente de confidențialitate a datelor în cadrul unei companii:
1. Antrenamentul este vital
Instruirea trebuie să fie regulată și continuă, atât pentru personalul nou, cât și pentru personalul existent. Este deosebit de important, având în vedere nivelurile de abandon la care asistăm în multe roluri de marketing în prezent, alături de ritmul de dezvoltare în domeniul conformității în general. Unii experți estimează că 90% din toate încălcările de date sunt rezultatul unei erori umane. Antrenamentul este esențial pentru a compensa acest risc.
2. Cunoașteți cele 6 baze legale și cele 7 principii de bază ale GDPR
Multe dintre încălcările pe care le-am observat în ultimii cinci ani ar fi putut fi reduse sau eliminate dacă companiile ar fi luat în considerare următoarele întrebări;
- În primul rând, există o bază legală clară pe care să procesăm aceste date cu caracter personal?
- În al doilea rând, prelucrarea este conformă cu principiile GDPR?
3. Setați tonul de sus
Toate afacerile își iau conducerea de la cei din conducerea superioară. Consiliul și echipa executivă trebuie să fie văzute că sprijină și pledează în mod deschis, prin cuvinte și acțiuni, pentru o cultură puternică a confidențialității datelor în întreaga organizație.
4. Realizați înregistrări și procese detaliate
Responsabilitatea este unul dintre principiile generale ale GDPR. Articolul 30 din regulament impune o păstrare exactă a evidențelor, ca parte a unei culturi eficiente a vieții private. Companiile obțin, de asemenea, beneficii semnificative de productivitate și eficiență prin faptul că au procese clare în vigoare, în prealabil, pentru aspecte precum solicitările de acces la subiect și raportarea încălcării datelor.
5. Înțelegeți cerințele mai mari de conformitate pentru datele pentru copii și categorii speciale
Specialiștii în marketing trebuie să fie atenți la cerințele suplimentare de conformitate atunci când vine vorba de datele minorilor, precum și de o serie de date de categorii speciale identificate în GDPR.
Concluzie
Protecția datelor a evoluat rapid în ultimii ani. Introducerea GDPR în 2018 a generat o conștientizare sporită a consumatorilor și sancțiuni mai mari pentru întreprinderile care nu respectă conformitatea. De asemenea, a fost catalizatorul unui val de legislații similare la nivel internațional în țări precum China, Singapore și Africa de Sud. Acest ritm al schimbării și complexitatea crescută care vine odată cu aceasta înseamnă că este esențial pentru agenții de marketing și afacerile lor să stabilească o cultură eficientă a protecției datelor.
Tehnologiile noi, cu consum mare de date, cum ar fi AI, nu fac decât să întărească această cerință. Concentrându-se pe obținerea corectă a elementelor de bază, cu instruire regulată cu privire la aspectele de bază ale regulamentului, procese clare și păstrare a evidențelor și sprijin din partea superioară a organizației, marketerii și echipele lor sunt bine plasate pentru a se asigura că rămân în conformitate.
Note
* Decizia de adecvare a UE, convenită în 2021, afirmă în esență că Regatul Unit operează un mediu de protecție a datelor similar cu cel al UE. Decizia urmează să fie revizuită după patru ani și ar putea fi pusă în pericol dacă se consideră că Regatul Unit a deviat de la nivelul de protecție a datelor în vigoare în prezent.
** Considerentul 71, GDPR
*** Atunci când sunt încorporate într-un contract, SCC-urile pot asigura conformitatea cu obligațiile de transfer de date GDPR.
**** Legea privind protecția datelor și informațiile digitale (nr. 2).