La entrada en vigencia de GDPR y como afecta a Retargetly

A partir del 25 de Mayo, una serie de regulaciones conocidas como GDPR entran en vigencia en la Unión Europea y las compañías que violen sus reglas podrán ser multadas con €20 millones o hasta 4% de sus ingresos globales. Y las multas aplican a cualquier compañía que colecte o procese data personal de ciudadanos Europeos, sin importar si la compañía se encuentra dentro o fuera de la Unión.

Junto con las multas, el GDPR impone duros estándares con respecto a la definición de data personal, su recolección y procesamiento. A partir del 25 de Mayo, prácticamente todos los identificadores de navegación online que hasta ahora se consideraban anónimos, como direcciones IP, cookies, y otros, pasan a ser data personal pasible de protecciones.

Esto por supuesto implica grandes cambios en la manera en que compañías de todo el mundo deben manejar la data de sus usuarios y ha significado que varios jugadores de publicidad digital lo hayan llamado “la muerte de programmatic”. Pero en Retargetly estamos comprometidos a servir a nuestros clientes y proveedores de data en donde sea que operen.

Con eso en mente, debajo detallamos algunos puntos importantes a tener en cuenta.

¿Soy un “Data Controller” o un “Data Processor”?

Bajo GDPR, hay una diferencia entre lo que la regulación llama Controller y Processor. De la manera más sencilla posible: el Controller es el dueño primario de la data y decide cuando y como se recolecta; el Processor la procesa en nombre del Controller. Un ejemplo del sitio oficial:

(…) si Acme Co. vende aparatos a clientes y usa Email Automation Co. para enviar emails a sus clientes en su nombre y trackear su actividad, entonces en este intercambio Acme Co. es el data controller, y Email Automation Co. es el data processor.

En nuestra relación con anunciantes y proveedores de datos, ellos son los data controllers y Retargetly el data processor.

¿Cuales son mis responsabilidades como data controller?

El Parlamento Europeo considera a los controllers como el principal responsable al momento de conseguir consentimiento, y administrar los derechos básicos de sus usuarios. Por lo que depende de ti, el controller, asegurarte de que todos tus usuarios Europeos hayan hecho el opt-in correspondiente antes de trackearlos, y de tener un camino sencillo para aquellos que quieran hacer opt-out, corregir o borrar su data.

Por ejemplo: los usuarios que quieran hacer opt-out deben contactar al Controller, y este a su vez debe iniciar el pedido con sus proveedores de tecnología, más allá de que la data personal en cuestión viva en servidores de terceros.

Los derechos principales que un controller debe proveer a sus usuarios son:

• Consentimiento: El usuario debe proveer un opt-in especifico y claro antes de que puedas trackear su data personal. Este mensaje de opt-in debe incluir una nota clara y legible sobre todos los tipos de data que vas a colectar, para que se van a usar, y que socios están involucrados en procesarla. Eso significa que es importante que incluyas a Retargetly entre los terceros que van a procesar esa data.
• Borrado: Los ciudadanos europeos deben tener la opción de revocar su consentimiento y pedir que sus datos sean eliminados de tus servidores. También se conoce como el “derecho a ser olvidado”.
• Rectificado: También deben tener la opción de corregir o modificar la información personal que tengas guardada en tus sistemas.
• Incluir algunos detalles específicos en tu Política de Privacidad. Armamos un documento de Google Docs con los puntos que no pueden faltar, se puede visitar aquí. Recomendamos sobre este punto consultar con un abogado experto en privacidad y datos personales.

¿Cuales son las responsabilidades y obligaciones de Retargetly?

En nuestro rol como data processor, en Retargetly tenemos una cantidad de obligaciones y es nuestra intención ser totalmente compatibles con la ley para asegurar que toda la data de tus usuarios sea correctamente recolectada y procesada. Nuestras politicas que aseguran nuestra conformidad con GDPR son:

• Sólo procesamos data personal de nuestros clientes para los propósitos detallados en nuestro contrato de servicio, y no la minamos ni usamos para otro propósito que no esté aceptado entre todas las partes.
• No usamos sub-procesadores o enviamos la data que recolectamos a terceros a menos que esa posibilidad esté detallada y aceptada en nuestro contrato.
• Una vez terminado el contrato, toda la data se devuelve o elimina según la preferencia de nuestro cliente en un periodo nunca superior a 90 días corridos.
• Estamos abiertos a auditorías para asegurar que ninguna data se esté usando de manera indebida.
• Si bien nuestros servidores se encuentran fuera de la UE, sólo usamos proveedores que están autorizados bajo la nueva regulación.
• Con la excepción de direcciones IP y cookies que necesitamos guardar en texto plano para cumplir con los objetivos de la relación, toda la data personal que guardamos se encuentra encriptada usando una llave SHA-256.
• Mantenemos un registro histórico de todos los procesos que se corrieron sobre la data.

Todos estos puntos se encuentran actualmente en efecto a lo largo de todos nuestros productos incluidos el Data Management Platform, Data Exchange y Solución de Onboarding.

¿Va Retargetly a hacer más cambios a sus políticas u operaciones?

Si. Aunque creemos que nuestra operación actualmente es segura y cumple los requisitos de la nueva regulación, vamos a estar haciendo algunos cambios en cómo recolectamos, procesamos y activamos la data personal de ciudadanos Europeos. Estos cambios son:

1. Los Retargetly Pixel y el SDK van a bloquear todo el tráfico proveniente de la UE de manera predeterminada, a menos que el dueño de la web o app envíen en el request un parámetro personalizado indicando que el opt-in fue recolectado.
2. Creamos la casilla de email gdpr@retargetly.com para centralizar los pedidos y preguntas asociadas a este tema.
3. Estamos revisando todos los contratos que tenemos en lugar con nuestros clientes y proveedores, y vamos a estar enviando adendas en todos los casos donde sea necesario para incluir lenguaje específico sobre GDPR.
4. Vamos a auditar periódicamente los sitios y apps que envían tráfico de la UE a nuestro sistema. Si encontramos violaciones a la regulación, se eliminará toda la data histórica de esas ubicaciones para ese sitio o app y bloquearan nuevos requests hasta que la falla se resuelva.

¿Afecta esto a como trackeamos campañas targeteadas a la UE?

Lo hace, de una manera importante. En este momento, nuestro pixel no solo recolecta data sobre impresiones y clics sino también información personal y de comportamiento sobre las audiencias que impactan. Este feature permite que crezca de manera importante la data first-party que tengan disponibles nuestros clientes DMP en su sistema.

Bajo GDPR, este feature dejará de estar disponible ya que será imposible para nosotros asegurar que el opt-in se dio de manera apropiada cuando el pixel de seguimiento se encuentra no en el sitio sino en la creatividad. Entonces estos los cambios que haremos al tracking de campañas (cuando el usuario impactado se encuentre dentro de la UE):

• Solo vamos a incluir una impresión como data de segmentación a un perfil de usuario cuando ese perfil ya exista dentro de nuestro sistema previo a la impresión.
• Todos los usuarios expuestos que no se encuentren dentro del sistema con el opt-in correspondiente se van a tomar como anónimos y no se recolectó ninguna data personal.
• Vamos a continuar haciendo seguimiento de impresiones, clics y conversiones pero a menos que el opt-in haya sido con anterioridad a este evento, esa información no se usará para alimentar un perfil de audiencia.

¿Afecta el GDPR a cualquier otro país fuera de la UE?

No. De momento, solo la Unión Europea cae bajo las nuevas normas planteadas en GDPR o similares. Por esta razón, los cambios expuestos en este post aplican únicamente al tráfico de:

Alemania, Austria, Bélgica, Bulgaria, Croacia, Chipre, República Checa, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Latvia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, Reino Unido, Rumania, Suecia, y Suiza.

Dado que solo el 2% de nuestro tráfico global proviene de estos países, creemos que el impacto que tendrá sobre nuestra red y nuestras capacidad de seguimiento será cercano sino igual a cero.