Si el estado actual de la protección de datos no es el único. En Estados Unidos, parece que vamos camino de tener 50 estados con sus propias leyes de privacidad de datos antes de que se apruebe nada a nivel federal. Esta falta de decisión está afectando a la adaptación y la innovación en el sector de la tecnología publicitaria. Muchas empresas del sector se sienten frustradas porque hay demasiada incertidumbre y, sin normas ni parámetros precisos, no hay un camino claro.
Este artículo explicará lo que podría estar en el horizonte de la normativa sobre privacidad de datos, los cambios que están introduciendo las empresas tecnológicas y lo que pueden hacer los anunciantes para cumplir la normativa durante los próximos años de incertidumbre.
¿Qué está creando incertidumbre en la normativa sobre privacidad de datos?
Hay cinco factores principales que crean incertidumbre en la dirección de la privacidad de los datos.
- Nueva normativa sobre protección de datosque enturbian la situación de las empresas que operan en distintos estados de EE.UU. y regiones del mundo. Ejemplo: Ebbie Yazdani, directora de política federal de TechNet, explicó a los compañeros de privacidad de la National Press el coste de las normativas estatales. "Si permitimos que se siga creando un mosaico de leyes estatales, o si el Congreso es incapaz de imponerse totalmente a las leyes estatales, el coste para la economía y el liderazgo tecnológico de Estados Unidos va a ser tremendo", dijo Yazdani, citando un informe de la OCDE. Estudio que decía que si 50 estados promulgaran sus propias leyes de privacidad, costaría 1 billón de dólares a la economía en 10 años.
- Las normativas existentes están siendo modificadas para añadir más restricciones. California ya modificó la CCPA con la CPRA y las autoridades federales existentes están ampliando su alcance. Del mismo modo, a medida que se producen demandas, se añaden nuevas definiciones a las normativas, como han hecho las demandas Schrems en la UE. Por ejemplo: El HHS (que regula la HIPAA) estableció que convertiría los datos seudónimos en PHI según la HIPAA cuando se recojan en sitios gestionados por entidades cubiertas.
- Los litigios están empezando a causar estragos, con un debate añadido sobre cómo hacer cumplir la normativa a escala mundial. Además, el derecho de acción privada de algunas leyes estatales sobre privacidad aumenta la probabilidad de litigios colectivos. Ejemplo: Las demandas y las multas no sólo se producen como reacción a las violaciones de datos. En septiembre de 2022, El Comisario de Protección de Datos de Irlanda multa a Instagram por vulnerar la privacidad de los menores en virtud de lo dispuesto en el GDPR. La larga denuncia se refería a datos pertenecientes a menores, que se hicieron más públicos cuando los usuarios actualizaron sus perfiles a cuentas de empresa para acceder a herramientas de análisis. Meta está luchando contra la demanda, en desacuerdo con la forma en que se calculó la multa.
- El gobierno federal de Estados Unidos se esfuerza por averiguar cuál es su papel. Ha habido intentos de legislación federal sobre privacidad, pero no han tenido éxito. Y los organismos federales existentes están ampliando su autoridad para intentar cubrir este vacío. Por ejemplo: El gobierno federal ha hecho múltiples intentos de aprobar leyes federales sobre privacidad. La más notable es la Ley de Protección de Datos de Estados Unidos (ADPPA) que no ha podido aprobarse debido a la preocupación por el conflicto con la Ley de Privacidad de California (CPA).
- La tecnología no tiene un camino claro. Las empresas que recopilan datos digitales y crean productos en torno a los datos no se ponen de acuerdo sobre el camino adecuado a seguir, ya que no existe un futuro claro para la normativa sobre privacidad. Por ejemplo: Google Chrome sigue retrasando la eliminación de las cookies y mejorando su enfoque de Topics en Sandbox, a pesar de las preocupaciones de terceros.
En medio de toda esta incertidumbre, el uso de los datos está bajo la lupa de los fiscales generales de los estados y de los reguladores de la privacidad de la UE. Todas las empresas que recopilan, analizan y utilizan datos están expuestas a ser demandadas y a pagar tasas por incumplimiento.
¿Una ley federal estadounidense usurpará pronto las normativas estatales?
A finales del primer trimestre de 2023, había cinco estados con leyes de privacidad de datos firmadas y otros 19 están trabajando en ello, algunos de los cuales tienen varios proyectos de ley activos. Se espera que alrededor de cuatro o cinco de ellas se aprueben en 2023, y que el resto lo hagan en 2024 y en los años venideros.
Ha habido algunos intentos a nivel federal de establecer nuevas normativas sobre privacidad de datos. Varios líderes federales, entre ellos la senadora Amy Klobuchar (Demócrata de Minnesota), han presentado leyes federales de privacidad de datos sin éxito. La senadora Suzan DelBene (D-Wash.) propuso legislación sobre protección de datos en línea que daría a los consumidores el control sobre sus datos y a la Comisión Federal de Comercio el derecho a exigir su cumplimiento.
El intento reciente más conocido ha sido la American Data Privacy and Protection Act (ADPPA). La ADPPA era una propuesta de ley federal estadounidense sobre privacidad en línea que, de haberse promulgado, habría regulado la forma en que las organizaciones conservan y utilizan los datos de los consumidores. Lamentablemente, los defensores de la CCPA de California consideraron que la ADPPA no era lo suficientemente fuerte como para proteger a los californianos. La presidenta de la Cámara de Representantes, Pelosi, se alineó con los defensores californianos, emitir una declaración que la ADPPA, "debe seguir protegiendo a los californianos - y debe permitirse a los estados hacer frente a los rápidos cambios tecnológicos".
La American Data Privacy Protection Act (ADPPA) cuenta con apoyo bipartidista y es lo más cerca que ha estado Estados Unidos de aprobar una ley integral de protección de datos de los consumidores. Pero aún no se ha aprobado. Se espera que en 2023 la representante Kathy McMorris Rogers vuelva a presentar el proyecto de ley.
En caso de que la ADPPA se convierta en ley en algún momento, es importante comprender las diferencias entre ella y la CCPA. La ADPPA va mucho más allá que la CCPA al hacer recaer la carga de la protección de la información en quienes la procesan en lugar de en los individuos que la generan. He aquí algunas de las principales diferencias:
- Detalla y limita los usos permitidos de los datos.
- Requiere evaluaciones de impacto sobre la privacidad y los algoritmos.
- Amplía la protección de los derechos civiles en Internet, protegiéndolos contra la manipulación.
- Proporciona al individuo un derecho mucho más amplio a demandar.
La ADPPA sería la primera legislación integral sobre privacidad que ampliaría la protección de los derechos civiles a la discriminación en el uso de la información personal y exigiría a todas las empresas y organizaciones sin ánimo de lucro incorporar la privacidad por diseño al evaluar su uso de algoritmos.
Pero, ¿pasará pronto?
Existe una polarización significativa sobre este tema que está creando parálisis. Con la entrada en vigor de las normativas de más estados en un futuro próximo, parece que el gobierno federal se basará en la experiencia de los estados para crear una plantilla sobre cómo funcionará a nivel nacional. Es decir, puede que falten años para que veamos una normativa nacional que aclare y simplifique el cumplimiento de la privacidad de los datos.
¿Qué es el Reglamento sobre la privacidad y las comunicaciones electrónicas en relación con el RGPD?
Lla Reglamento general de protección de datos (RGPD), es el reglamento de privacidad de datos de la Unión Europea que está en vigor desde 2018 y está ampliamente considerado como el más estricto a nivel mundial.
En la UE también se ha propuesto recientemente el Reglamento sobre la privacidad y las comunicaciones electrónicas. Este reglamento crea una norma de consentimiento para las cookies. El reglamento también ofrece algunas normas básicas sobre cuándo pueden tratarse los datos, con, por ejemplo, el uso de datos seudonimizados o anonimizados. Este reglamento será aplicable a los proveedores de servicios de comunicaciones electrónicas tradicionales, como los operadores de telefonía móvil y fija, pero también abarcará la mensajería instantánea por Internet y las aplicaciones VOIP (correo electrónico, aplicaciones, etc.), así como las comunicaciones de máquina a máquina, como el IoT.
Mientras que el GDPR sólo se aplica al tratamiento de datos personales, la ePrivacy regula la comunicación electrónica aunque se refiera a datos no personales. Además, en el caso de las cookies, ePrivacy suele tener prioridad. Se espera que el Reglamento sobre la privacidad y las comunicaciones electrónicas entre en vigor en algún momento de 2023, y habrá un periodo de transición de 24 meses.
Estados Unidos y la UE firmaron a finales de 2022 un acuerdo que regula la recopilación de datos entre los gobiernos de ambos países sobre los ciudadanos de cada uno de ellos denominado Marco de protección de datos UE-EE.UU.. Este acuerdo sustituye a los anteriores (Privacy Shield y Safe Harbor), que habían sido anulados por el Tribunal de Justicia de la Unión Europea (TJUE) debido a la preocupación suscitada por la vigilancia sin control de los datos de los ciudadanos de la UE por parte de sus gobiernos. El nuevo acuerdo impone limitaciones y salvaguardias al acceso a los datos por parte de las agencias de inteligencia estadounidenses y establece un mecanismo de recurso independiente e imparcial para tramitar y resolver las quejas de los europeos sobre la recogida de sus datos con fines de seguridad nacional.
Aprovechar los datos digitales globales para el éxito futuro del marketing
Aproveche los datos de interés en tiempo real para profundizar en la captación de clientes y maximizar los resultados de planificación, segmentación, medición y mucho más.
¿Cómo está cambiando la tecnología publicitaria para tener en cuenta la privacidad de los datos?
Google sigue adelante con la eliminación de las cookies de terceros en Chrome. Ahora ha sido se retrasa hasta el segundo semestre de 2024. Google está intentando crear la apariencia de que el Privacy Sandbox es viable para poder cumplir sus compromisos con la CMA británica.
Lla El Consorcio World Wide Web (W3C) ha declarado recientemente que la plataforma publicitaria Topics de Google no es buena para la privacidad, por lo que no están trabajando en ello. Grupo de Arquitectura Técnica (TAG) del W3C planteó una serie de preocupaciones de su primera revisión del diseño de la Topics API. El representante de TAG escribió que la Topics API propuesta por Google no protege a los usuarios de "rastreo y perfiles no deseados" y mantiene el statu quo de "vigilancia inapropiada en la web". Su representante comentó: "No queremos que siga adelante".
Los desarrolladores de motores de navegación Webkit y Mozilla también se han pronunciado negativamente sobre el enfoque de Google, advirtiendo de deficiencias en materia de privacidad. Mozilla llegó a decir que es "más probable que Topics reduzca la utilidad de la información para los anunciantes que que proporcione una protección significativa de la privacidad".
Mientras Google trabaja para encontrar una solución viable, las empresas pueden seguir utilizando las cookies de terceros de los usuarios de Chrome. Aunque es una buena noticia para algunos, el retraso también pospone los esfuerzos de desarrollo de soluciones alternativas y mantiene la privacidad de los datos como una preocupación constante para los anunciantes que trabajan con estos datos.
TrustPid
Mientras tanto, las principales telecos europeas han obtenido permiso para crear sus propias plataformas publicitarias en lugar de perder negocio a manos de las grandes tecnológicas. Orange, Vodafone, Telefónica y Deutsche Telecom están creando TrustPid, una plataforma publicitaria conjunta. Llevan dos años trabajando en el desarrollo de su propia plataforma publicitaria, que dará prioridad a la privacidad. Permitirá a las cuatro empresas desarrollar un competidor de las principales empresas tecnológicas, como Amazon, Apple, Google y Meta. Se está desarrollando de conformidad con el GDPR y el próximo Reglamento sobre privacidad electrónica, por lo que podría convertirse en un modelo de privacidad para futuras plataformas publicitarias.
Las empresas estadounidenses siguen muy de cerca este asunto, ya que los reguladores de la UE llevan años diciendo que la única forma de extraer información del equipo terminal de un usuario para la segmentación publicitaria es mediante el consentimiento. Pero la normativa hace que el consentimiento sea increíblemente difícil de obtener. Si TrustPid ha encontrado la manera de conseguirlo, el mundo estará interesado en ver qué hacen que guste a los reguladores de la UE.
Identificadores universales (UID)
Los reguladores de la privacidad de la UE están animando a las empresas tecnológicas a avanzar hacia la necesidad de consentimiento para cualquier UID. Sin embargo, tienen un gran problema con la forma en que Apple lo está aplicando. La política de Transparencia de Seguimiento de Aplicaciones de Apple obliga a los desarrolladores de aplicaciones a mostrar un aviso adicional (diseñado por Apple) para solicitar permiso a los usuarios finales para que el desarrollador pueda "rastrear" al usuario, incluso cuando el usuario ya ha dado su consentimiento para compartir sus datos a través de la propia herramienta de consentimiento del desarrollador. Preocupa que esto elimine la competencia basada en los datos y las opciones de los consumidores en todo el ecosistema de Apple. desencadenó investigaciones por parte de múltiples autoridades europeas.
¿En resumidas cuentas? Por ahora, obtener el consentimiento es lo más importante. Pero aún no hay un camino claro para el futuro.
¿Qué pueden hacer los anunciantes para protegerse de la incertidumbre?
Con el tiempo, el gobierno federal de EE.UU. promulgará una ley que aclare la confusión entre las leyes estatales. Y, finalmente, Google dejará de utilizar cookies de terceros. Sin embargo, es probable que estos dos grandes cambios se produzcan dentro de unos años.
Mientras tanto, los anunciantes deben asegurarse de que trabajan con proveedores de datos que cumplen las normas siguientes normativa activa sobre protección de datos. Comprender los principales aspectos de las normativas estatales de EE.UU. es útil para validar que los proveedores de datos externos respetan la privacidad. Busque socios de datos que tengan múltiples opciones para gestionar el consentimiento (tanto de exclusión como de inclusión). También tendrán planes para gestionar las solicitudes de datos y las demandas sobre privacidad.
Aspectos clave de los proveedores de datos de terceros que respetan la privacidad:
- La normativa tiene una definición amplia de información personal que incluye ahora las identificaciones seudónimas. La normativa contiene una definición amplia de información personal que ahora incluye las identificaciones seudónimas. Nota: Cada empresa de tecnología publicitaria tiene un identificador único que sigue procesando datos personales, así que asegúrese de que los manejan adecuadamente.
- Disponen de una cláusula de exclusión clara y de cláusulas de inclusión cuando es necesario. Un proveedor que respete la privacidad ofrecerá una opción de exclusión clara y una opción de inclusión para datos sensibles como salud, religión, etc.
- Tienen una forma de gestionar las solicitudes de acceso de los interesados. Los datos seudónimos son difíciles de verificar cuando llega una solicitud. Un proveedor que respete la privacidad ya habrá averiguado cómo lo hace.
- Tienen un plan para gestionar un derecho de acción privado. Los fiscales generales tienen la capacidad de demandar para hacer cumplir las leyes y es importante saber que su proveedor de datos tiene un plan para abordar y mostrar el cumplimiento antes de que se presente una demanda formal.
Asegurarse de que sus socios de datos trabajan dentro de la normativa sobre privacidad de datos hoy y en el futuro es fundamental. Es mejor planificar ahora las mayores restricciones antes de que sea demasiado tarde y la única forma de hacerlo es no hacerlo solo, sino trabajar con un socio de datos que da prioridad a la privacidad como ShareThis.
