¿Qué implica la ley GDPR para el ecosistema mobile?

La famosa ley GDPR entrará en vigor para empresas definitivamente el 25 de mayo y en este post repaso, no solo en qué consiste la ley, sino también cómo puede afectar al ecosistema publicitario móvil.

El 15 de diciembre de 2015, tres de las principales instituciones de la Unión Europea, Parlamento Europeo, Consejo de la Unión Europea y Comisión Europea, llegaron a un acuerdo sobre el texto del Reglamento General de Protección de Datos (GDPR), un conjunto de normas relativas a la protección de datos personales para los ciudadanos de la UE.

La ley GDPR entró oficialmente en vigor a finales de mayo de 2016, pero a las empresas se les dio un período de gracia de dos años para su cumplimiento, por lo que el 25 de mayo de 2018 la ley se aplicará en los 28 estados miembros de la UE con un precio de incumplimiento bastante alto.

La procedencia de la ley GDPR se remonta a 1995 cuando se creó la Directiva Europea de Protección de Datos (Directiva 95/46 / EC sobre la protección de las personas con respecto al procesamiento de sus datos personales y sobre la libre circulación de tales datos). Esta directiva se diseñó para proteger el uso de datos personales por parte de los operadores de industrias online incipientes como la publicidad digital, el comercio electrónico o los buscadores.

La ley GDPR es esencialmente una reforma de la Directiva 95/46 / CE, ofreciendo un alcance ampliado dentro de un marco de “ventanilla única”. Básicamente elimina la carga administrativa para las empresas de lidiar con las leyes de privacidad de datos de múltiples jurisdicciones de la UE. Pero a diferencia de esa directiva, la ley GDPR tiene un músculo explícito para hacer cumplir las disposiciones de privacidad introduciendo castigos específicos con dos “niveles” de infracciones:

  • 10 millones de euros o el 2% de los ingresos de empresa a nivel mundial para los casos menos graves.
  • 20 millones de euros o el 4% de los ingresos de empresa a nivel mundial para los casos más graves.

Estas cifras son bastante aleccionadoras para la mayoría de las empresas, ya que por ejemplo el 34% del FTSE 100 vería su beneficio anual completamente fulminado con una sola multa del 4%.

La ley GDPR se puede aplicar en cualquier caso en el que el controlador de datos (la entidad que recopila datos), el procesador de datos (la entidad que procesa datos en nombre del controlador, por ejemplo, una compañía de servicios en la nube) o el sujeto de datos (la persona cuyos datos se recopilan) tienen su sede en la UE. Para muchas empresas esto hace que su cumplimiento sea imprescindible; si tienen usuarios en la UE (o cualquier usuario que sea ciudadano de la UE viviendo en el extranjero), se exponen a las sanciones masivas descritas anteriormente si no cumplen con los requisitos de la directiva.

¿Pero cuáles son esos requisitos? El lenguaje de la ley GDPR es algo confuso, pero los principales cambios se encuentran en las siguientes categorías regulatorias: (Para obtener una descripción más detallada de los requisitos de la ley GDPR, se puede consultar la web oficial de la GDPR)

  • Aplicabilidad territorial: Cualquier controlador o procesador de datos que recopile o procese datos de personas dentro de la UE, incluso si no tiene una entidad legal en la UE, se regirá por la ley GDPR.
  • Sanciones: Las sanciones por incumplimiento están claramente definidas y son severas.
  • Consentimiento: Uno de los mayores requisitos de la ley GDPR es que las empresas recogen el consentimiento de los usuarios de forma clara, inteligible y accesible. Estos son términos ambiguos, pero su espíritu parece implicar que las extensas exenciones de protección/procesamiento de datos llenas de jerga legal no serán aceptables bajo la ley GDPR.
  • Derecho de acceso: Los usuarios tendrán derecho a acceder a los datos que los controladores recopilan sobre ellos en un formato común y legible. Los usuarios también tendrán derecho a saber si se recopilan datos sobre ellos, dónde se recopilan, cómo se recopilan y con qué finalidad se recopilan.
  • Derecho al olvido: Los usuarios tendrán derecho a obligar a los controladores a destruir todos los datos recopilados sobre ellos y obligar a terceros a detener el procesamiento de los datos recopilados anteriormente sobre ellos.
  • Portabilidad de datos: Además de poder recibir todos los datos recopilados sobre ellos, los usuarios tendrán derecho a transferir los datos recopilados sobre ellos de un controlador a otro.
  • Notificación de incumplimiento: Las infracciones de datos deberán ser informadas a los usuarios finales dentro de las 72 horas posteriores a que el controlador tenga conocimiento de la infracción. Además, los procesadores de datos deberán notificar inmediatamente a los controladores de datos que son conocedores de esa infracción.
  • Privacidad: Los controladores están legalmente obligados a recopilar y procesar solo la cantidad mínima de datos requeridos para lograr algún objetivo determinado.
  • Oficiales de Protección de Datos: Las empresas (una vez más, la redacción utilizada aquí es vaga) deberán nombrar a los oficiales de protección de datos para supervisar los esfuerzos internos de privacidad del usuario.

Gran parte de lo anterior será complicado de implementar para muchas empresas ya que la ley GDPR define “datos personales” de una manera muy amplia. Para los Publishers y las empresas que son Apps móviles, casi todos los datos que se recopilan es muy probable que caigan dentro de la amplia definición paraguas de Datos Personales“Se refieren a cualquier información relacionada con una persona física identificada o identificable («sujeto de datos»). Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador online o uno o más factores específicos de los factores físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona natural”

El concepto “procesamiento” también se define de forma amplia para incluir no solo la recopilación y el almacenamiento, sino también la “adaptación o alteración” y la “consulta” de datos, lo que parece implicar que cualquier modelado se hace con datos personales, incluso si los datos subyacentes no se almacenan finalmente. Esto afecta esencialmente a cualquier anunciante móvil que utilice datos personales para crear perfiles de target publicitario.

Por lo tanto, es fácil imaginar que muchas empresas optarán por renunciar por completo a los rigores de cumplimiento de la ley GDPR como anunciantes y “tercerizarán” ese problema a otras empresas. Muchos vendors de tecnología publicitaria ya han comenzado el proceso de adhesión a los nuevos estándares de la ley GDPR, pero la constelación de sistemas de tecnología publicitaria con la que trabajan muchos anunciantes móviles es tan intrincada que la elusión podría ser la única forma viable para cumplir con la ley GDPR, es decir, externalizar toda la recopilación y procesamiento de datos a los proveedores más grandes y evitaren primer lugar su responsabilidad.

Es muy fácil saber quién se va a beneficiar con todo esto… las plataformas más grandes con la mayor cantidad de recursos, tanto de tiempo como de dinero para realizar su cumplimiento y supervisión. Ese duopolio tiene una gran ventaja aquí: su infraestructura ya está diseñada para la GDPR y son empresas lo suficientemente grandes para permitirse asignar personal a asegurar su cumplimiento (por ejemplo Facebook ya aumentó el tamaño de su equipo de Protección de Datos en Irlanda en un 250% en 2017 para prepararse para la ley GDPR).

Si los anunciantes eligen la opción de auditar cada transferencia de sus aplicaciones y sistemas a proveedores externos, y de esta forma asegurarse que esos proveedores cumplan, en vez de trabajar con una de las plataformas más grandes y subcontratar en ellas todo lo relativo al cumplimiento, muchos no tendrán duda a la hora de elegir esta última opción como la única posible.

Poco a poco veremos como se va sucediendo todo esto, pero de momento, el ruido alrededor de las empresas con este tema es bastante grande.

2 respuesta a “¿Qué implica la ley GDPR para el ecosistema mobile?”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.