6 fragmentos de la ley GDPR que analistas y marketeros deberían saber

Un vistazo a lo que cambiará (y lo que no) bajo la nueva ley europea GDPR que entra en vigor en mayo.

Lo curioso del GDPR (el Reglamento General de Protección de Datos), y que les está provocando jaquecas a los analistas y responsables de marketing digital alrededor del mundo, es que de hecho no habla sobre tecnología en sí.

El Reglamento General de Protección de Datos (cada una de sus 55 mil palabras) es puramente analógico. Cookie se nombra una vez, ordenador tres veces, internet cuatro veces.

Entonces, ¿por qué tanta preocupación por el GDPR? Pues, incluso si el GDPR parece un ensayo de la filosofía del siglo XX, la realidad es que hay nuevas reglas en camino. Y tendrán un impacto en cualquier empresa que cuente con una operación moderna de analítica o marketing.

Sin embargo, estas reglas no provienen del GDPR en sí. En cambio, provienen del documento hermano del GDPR, el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas de la Comisión Europea, que intenta aplicar los principios del GDPR al mundo digital. Está previsto que tanto el GDPR como el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas entren en vigor en mayo de 2018.

Ley gdpr

Echemos un vistazo al propio texto para comprender mejor de qué se trata el GDPR exactamente. Esto debería ayudar a aclarar qué cambiará (y qué no), y lo que tú puedes hacer al respecto.

1. Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, Sección 6

Aunque los principios y las principales disposiciones de la Directiva 2002/58/CE… sigan siendo por lo general válidos, dicha Directiva no se ha adaptado del todo al ritmo de la evolución de la tecnología y del mercado.

Esto es completamente cierto: la Directiva a la que se refieren fue escrita en 2002, el equivalente digital a la Era Mesozoica. A fin de cuentas, desde 2002, Facebook:

  • Se fundó
  • Se convirtió en la plataforma de redes sociales más popular del mundo
  • Adquirió la aplicación de mensajería más popular del mundo (WhatsApp, fundada en 2009)
  • Adquirió la aplicación de intercambio de fotografías más popular del mundo (Instagram, fundada en 2010)
  • Consiguió la supremacía en el territorio digital de cientos de millones de teléfonos inteligentes

A propósito de teléfonos inteligentes, en 2002, faltaban cinco años para el lanzamiento del iPhone.

Pues sí, es hora de una actualización.

2. Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, Sección 15

También puede producirse interceptación cuando terceras partes hacen un seguimiento de los sitios visitados, el calendario de las visitas, la interacción con otras personas, etc., sin el consentimiento del usuario final afectado.

Si “interceptación” parece una palabra pesada es porque lo es. ¡Este fragmento es parte del mismo párrafo que menciona las escuchas telefónicas!

El Reglamento sobre la Privacidad no menciona nombres, pero podemos imaginarnos el tipo de tecnología de intercepción involucrada. Google DoubleClick, por ejemplo, es una herramienta omnipresente que los publicadores web insertan en sus sitios para que Google pueda rastrear quién mira qué, y poder enviarles anuncios relevantes luego. Proveedores de retargeting en tiempo real como Criteo podrían también estar involucrados en “intercepción” cuando crean perfiles de los intereses de los individuos para mostrar anuncios más tarde.

Insisto, no se menciona a estas empresas en el Reglamento. No se menciona a ninguna empresa. Pero este tipo de tecnología aparece en el mismo segmento que “escucha de llamados”.

Este es un buen indicador sobre cómo considera la Comisión Europea a las herramientas de analítica y marketing. Y un buen indicador de por qué las empresas que utilizan estas herramientas podrían estar un poco atemorizadas.

buscando en internet

3. Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, Sección 21

Las cookies pueden ser también un instrumento legítimo y útil, por ejemplo a la hora de medir el tráfico en un sitio web.

¡Uf! Bueno, no todo son malas. ¡La analítica vive!

La Comisión reconoce formalmente el papel decisivo que juegan las cookies en el ecosistema digital de hoy.

Y hay un buen motivo para ello. Sin cookies, internet sería un páramo. Digamos que inicias sesión en LinkedIn, ves algo entre tus noticias que te interesa, pinchas en el enlace y navegas luego hasta ese contenido de LinkedIn. En un mundo sin cookies, deberías volver a iniciar sesión solamente para ver aquello sobre lo que has pinchado unos segundos antes.

Sin las cookies, cualquier cosa que permita aunque sea un mínimo sentido de personalización desaparecería. Se acabarían los carritos de compras, y no existirían las recomendaciones basadas en contenidos o compras anteriores.

Por tanto, las cookies no están prohibidas. Sin embargo…

4. Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, Sección 23

Los usuarios finales han de disponer de una serie de opciones de configuración que les permitan elegir entre distintos niveles de privacidad, desde el nivel más elevado (por ejemplo, «no aceptar nunca cookies») hasta el nivel más bajo (por ejemplo, «aceptar cookies siempre»), pasando por el nivel intermedio (por ejemplo, «rechazar cookies de terceros» o «solo aceptar cookies de origen»).

Por cierto, esas opciones de configuración de privacidad se manejarían a nivel del navegador, no del sitio web. Por tanto, en vez de pinchar ciegamente en “Acepto” cada vez que ingresan a un nuevo sitio web, los visitantes configurarán sus navegadores una sola vez. Esa configuración los seguirá por internet y se aplicará a cada sitio web que visiten.

Sabemos que la experiencia de internet sin cookies sería desastrosa. Por lo que la opción de “no aceptar nunca cookies” no pareciera ser una preocupación para responsables de marketing y analistas.

Pero una configuración como “rechazar cookies de terceros”… allí es donde se torna peligroso para la tecnología publicitaria y los responsables de marketing que dependen de ella.

Piensa en las tecnologías que mencionamos anteriormente: Google DoubleClick y Criteo. Serían las cookies de este tipo de soluciones las que particularmente desaparecerían en un ecosistema con rechazo de cookies de terceros. No podrían colocar anuncios relevantes ya que sería imposible determinar qué es relevante.

Básicamente, una configuración sin cookies de terceros cegaría a las herramientas publicitarias.

cookies

Antes de cerrar, subrayemos dos pequeños fragmentos de la “Opinión sobre la Propuesta para un Reglamento sobre la Privacidad y las Comunicaciones Electrónicas (ePrivacy Regulation)” emitida por el Supervisor Europeo de Protección de Datos en junio de 2017. Probablemente estas críticas sean consideradas para la próxima versión del Reglamento sobre la Privacidad y las Comunicaciones Electrónicas, previsto para fines de este año.

5. Opinión del SEPD, Sección 12

(…) el SEPD recomendó que el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas debería también crear una excepción adicional para cookies analíticas de origen… El SEPD celebra el hecho de que se haya creado una nueva excepción.

Más confirmación de que las cookies analíticas están bien. Y una declaración expresa de que éstas deben ser cookies de origen.

Lo que plantea la pregunta: ¿cómo distingue la Comisión Europea entre cookies de origen y cookies de terceros?

Nos pondremos técnicos, pero no será doloroso. Lo prometo.

En general, las cookies de origen son cookies que se originan desde dentro del mismo dominio que aloja al sitio web que alguien visita. Por tanto, una cookie de origen colocada mientras se navega por nike.com proviene de nike.com.

En tanto, una cookie de terceros es una cookie que (a) viene de un dominio diferente, o (b) es “colocada por un responsable del tratamiento de datos diferente de aquel que opera el sitio web visitado por el usuario”.

Entonces, el caso (b) depende de un responsable del tratamiento de datos. ¿Qué es un responsable del tratamiento de datos? Me alegra que lo preguntes.

Como se explica en otro documento de la Comisión, los responsables del tratamiento de datos son entidades que recopilan y procesan datos, además de entidades que “determinan el propósito y medios del tratamiento de los datos personales”.

En resumen, los responsables del tratamiento de datos son las entidades dueñas de los datos que están siendo recolectados.

Este requisito de un responsable del tratamiento de datos para las cookies de origen es un matiz sutilmente importante. Significa que la empresa que mantiene un sitio web debe ser dueña de los datos que están siendo recopilados en ese sitio web, incluso si las cookies se colocan desde dentro del mismo dominio.

Si descomprimiéramos todo eso para entretejerlo en una oración, resultaría en algo como esto:

Las cookies pueden ser colocadas solamente por el responsable del tratamiento de datos que opera el sitio web que coloca la cookie, y debe colocarse desde el mismo dominio al que pertenece el sitio web.

6. De la Opinión del SEPD, Sección 12

(La información recogida de individuos) no podrá constituir una representación detallada de usuarios individuales… La información tampoco podrá combinarse con otra información para construir un perfil de un usuario, o ser utilizada para apuntar al usuario.

Esto es importantísimo.

El impacto en las herramientas de marketing parece estar realmente claro: Si no se puede utilizar información para cualquier otro fin que no sea comprender cómo funciona un sitio web, entonces no puede utilizarse para enviar correos electrónicos, contactar a clientes potenciales, pujar por términos o frases de búsqueda, etc.

Las analíticas también sufren un gran impacto.

Las herramientas analíticas ya no se diseñan simplemente para recolectar datos. Se diseñan para entender a los individuos que visitan tu sitio web o utilizan tu app, y para convertir esos conocimientos en algún tipo de acción que genere ganancias.

Por ejemplo, este es un texto de marketing de una empresa de analíticas estadounidense:
“Usted podrá incluso conectar datos recolectados tanto dentro como fuera de internet para así entender mejor el comportamiento del usuario a través del CRM, puntos de venta, atención al cliente, dispositivos e Internet de las Cosas”

cross devise

El Reglamento sobre la Privacidad y las Comunicaciones Electrónicas final (al igual que el GDPR en sí) incluirá seguramente excepciones para datos seudonimizados: las empresas podrán construir perfiles en tanto la información personal esté seudonimizada correctamente tras aplicarle una función hash. Pero el proceso y las prácticas relacionadas con la anonimización estarán bajo la lupa considerando que la Comisión está claramente restringiendo los perfiles multiplataforma y multidispositivo.

Conclusión

Bueno, sí que hay algo de información aterradora. Pero no es que la Comisión Europea quiera terminar con el comercio digital. Hay maneras de salir adelante, solamente deberás ser un poco más cuidadoso.

Recuerda: no se están prohibiendo las analíticas. Es solo que están evolucionando las reglas respecto de lo que está permitido y lo que no. Y es muy posible que una configuración de analíticas que hoy es perfectamente aceptable se convierta en problemática llegado 2018.

Las multas máximas están fijadas en 20.000.000€ o 4% de la facturación global anual, el que sea mayor.

Está previsto que el GDPR y el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas entren en vigor el 25 de mayo de 2018. Por otro lado, puede que la tortuga le gane la carrera a la Comisión Europea, así que ten paciencia. Especialmente considerando que, además de las recomendaciones del SEPD, la Comisión de Libertades Civiles, Justicia y Asuntos del Interior del Parlamento Europeo ofreció 800 cambios sugeridos en julio.

Pase lo que pase, cuando sea que pase, hay algunas ideas centrales que es probable que la Comisión mantenga. Y algunas técnicas básicas que puedes utilizar para mantener los dolores de cabeza a raya.

  • Estudia lo que posiblemente suceda, y comprende qué impacto tiene en tus herramientas analíticas y de marketing. Eso significa muchísima jerga legal y relectura de varios acuerdos de Términos y Condiciones. Es posible que sea la tarea más valiosa que hagas.
  • Pídele a tus proveedores de soluciones de analítica y marketing que confirmen su cumplimiento con todos los reglamentos europeos actuales y futuros. No será posible poner en orden todo esto ahora (no se ha llegado aún a un acuerdo sobre los reglamentos finales) pero, en algún momento, se aclararán las reglas y tus contratos deben reflejarlo.
  • Inclínate hacia los datos de origen. La Comisión ha intentado restringir los datos de terceros varias veces, creando a su vez excepciones a los datos de origen en varias oportunidades. Incluso si hay incertidumbre sobre las reglas exactas que están en camino, puedes apostar a que se preferirán los datos de origen sobre los de terceros.
  • Replantéate si necesitas cada una de las herramientas que estás utilizando. Cada pieza de software que ejecuta en segundo plano en tu sitio web hace que estés un poco más expuesto a estos reglamentos, y a cualquier reglamento nuevo que surja.

Si tienes alguna pregunta sobre cómo el GDPR o el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas afectan tus analíticas, o cómo se posiciona Webtrekk para enfrentar los cambios que se avecinan, ¡Contáctanos!


Previous Post Next Post

No Comments

Leave a Reply