General Data Protection Regulation (GDPR) sau Regulamentul General privind Protecția Datelor Personale reprezintă cadrul legislativ care stabilește liniile directoare referitoare la colectarea și procesarea informațiilor cu caracter personal ale rezidenților din Uniunea Europeană (UE). GDPR definește principiile cu privire la administrarea și exploatarea datelor individuale, impunând, totodată, amenzi mult mai mari decât cele de până acum.

La scară largă, regulile impuse de GDPR au scopul de a înainta o atitudine responsabilă și bune practici în ceea ce privește prelucrarea și utilizarea datelor care pot permite identificarea directă sau indirectă a unui individ. Companiile și brand-urile care colectează date și le folosesc în activitățile de marketing sunt direct afectate de aceste reglementări și sunt nevoite să implementeze o serie de soluții rapide ca să se asigure că respectă legislația și evită amenzile.

Normele juridice intră în vigoare în data de 25 mai 2018 și sunt aplicabile tuturor companiilor sau instituțiilor care procesează date personale ale cetățenilor care locuiesc pe teritoriul UE, iar elementele de impact în segmentul online sunt semnificative, tocmai de aceea departamentele de legislativ trebuie să-și îndrepte atenția către implementarea schimbărilor necesare.

Mai jos veți regăsi o serie de acțiuni ce sunt impuse companiilor și agențiilor de publicitate pentru respectarea normelor GDPR.

Un brand cu activitate editorială care necesită crearea unui cont în platformă sau abonarea la newsletter va fi nevoit să-și revizuiască site-ul și politicile astfel încât să respecte legislația în vigoare și să permită utilizatorilor să acceseze, să modifice sau să șteargă datele personale stocate. Acest aspect impus de GDPR este în prezent implementat de un număr redus de entități online din România.

Companiile care organizează evenimente și colectează sau prelucrează datele cu caracter personal ale participanților vor fi obligate să stocheze informații cu privire la contextul în care au colectat datele, precum momentul (data) în care utilizatorul și-a exprimat consimțământul explicit cu privire la utilizarea lor, motivul colectării și intenția de folosire a acestora după finalizarea evenimentului. Tot intenția de folosire ulterioară a datelor este problematică și în cazul unui magazin online care cere date confidențiale pentru crearea unui cont, însă nu comunică explicit și utilizarea acestora în campanii de e-mail marketing sau pentru audiențe custom în Facebook.

În ceea ce privește înscrierea la un concurs, brand-urile și companiile vor trebui să ceară consimțământul explicit referitor la comunicarea cu utilizatorii. Conform GDPR, opțiunea de „opt-out” dispare, iar consimțământul tacit validat de preselectarea unei opțiuni dintr-un formular nu mai este valabil. Prin urmare, companiile și brand-urile vor fi nevoite să arate că un utilizator a ales, după o informare prealabilă, să fie înscris într-o bază de date. De exemplu, companiile nu vor putea utiliza bazele de date cu participanții într-o campanie online dacă nu vor avea acordul explicit al acestora.

Este recomandat ca informațiile colectate să ajungă la cât mai puține companii, pentru că GDPR insistă pe informarea utilizatorului cu privire la fiecare organizație care poate accesa datele sale personale, cum ar fi o agenție sau o altă terță parte.

Un alt element nou instituit este reprezentat de numirea unui Data Protection Officer la nivel intern, care să fie responsabil pentru păstrarea securității informațiilor colectate. Deși există deja o serie de cursuri pe acest subiect, recomandarea este ca fiecare companie să analizeze opțiunile prezente pentru a face o alegere potrivită, deși estimez că după data de 25 mai oferta de training-uri se va diversifica și va fi din ce în ce mai avantajoasă.

Un prim pas pentru adoptarea reglementărilor impuse de GDPR este consultarea unui avocat pentru a înțelege măsurile necesare la nivel tehnic și procedural. În plus, este recomandat ca bazele de date deja existente să fie validate și actualizate cu datele lipsă, iar site-ul sau o pagină dedicată de pe site să includă toate informațiile cu privire la noul cadru legislativ. Pagina specială din site ar putea fi parte integrată dintr-o campanie menită să actualizeze datele deja colectate, pentru a asigura un minimum de pierderi cantitative pe baza de date.

În cazul în care companiile care intră sub incidența reglementărilor GDPR nu se adaptează legislației începând cu luna mai 2018, acestea riscă amenzi cuprinse între 2% și 4% din cifra de afaceri anuală globală, în funcție de prevederile încălcate.

Odată cu intrarea în vigoare a legii, există posibilitatea apariției unor reclamații, însă este bine de știut că, în cazul primelor abateri sau al abaterilor neintenționate, companiile vor fi sancționate la nivel de avertismente.

La nivel de stat, există obligativitatea de a înființa o autoritate independentă care să sancționeze infracțiunile și să investigheze plângerile existente, drept urmare prevăd că primele inspecții reale vor avea loc mult după adoptarea reglementărilor.

În concluzie, GDPR anunță costuri ridicate aferente tehnologiei și procedurilor necesare la nivel intern, scăderi ale ratelor de conversie înregistrate în campanii și mai multă birocrație. Deși jucătorii principali din industria de publicitate online, Google și Facebook, au adoptat deja o serie de măsuri de siguranță, rămâne de văzut dacă modalitățile de targetare foarte generoase din prezent vor fi afectate de aceste schimbări.