Close

Como a CCPA afeta a publicidade mobile e a AdTech

Seguindo o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, a nova lei da Califórnia, a California Consumer Protection Act (CCPA), é a lei de privacidade de dados mais significativa dos EUA até o momento. Suas implicações possuem grande impacto para anunciantes e desenvolvedores de app mobile.

O que é a CCPA?

Depois de promulgada em 2018 com o nome de Act AB-375, a nova lei de privacidade de dados da Califórnia entrou em vigor em 1º de janeiro de 2020. É uma regulamentação estadual que cria novos direitos do consumidor referentes ao acesso, exclusão e compartilhamento de informações pessoais pelas empresas.

Esses direitos podem ser amplamente divididos em quatro categorias. Os consumidores possuem:

  • O “direito de saber” quais informações pessoais estão sendo coletadas, usadas, compartilhadas e vendidas (incluindo a categoria de informações e os detalhes);
  • O “direito de exclusão” de informações pessoais que são mantidas por empresas e provedores de serviços dessas empresas;
  • O “direito de não participar” da venda de informações pessoais e negócios diretos que vendem suas informações. Pessoas com menos de 16 anos devem fornecer o consentimento de aceitação. Pessoas com menos de 13 anos de idade precisam do consentimento de pais ou responsáveis;
  • O “direito à não discriminação” nos preços e serviços caso optem por exercer os direitos de privacidade anteriores.

O que isso significa para as empresas?

As empresas sujeitas à CCPA são aquelas que:

  • Possuem receita anual bruta superior a US$ 25 milhões;
  • Obtêm mais de 50% da receita anual através da venda de informações pessoais de consumidores; e/ou
  • Compram, recebem ou vendem as informações pessoais de 50.000 ou mais consumidores, famílias ou dispositivos.

Nota: as empresas que lidam com informações pessoais de mais de 4 milhões de consumidores terão obrigações adicionais de manutenção de registros e treinamento.

Todas as empresas que se enquadram nesses critérios com consumidores localizados Califórnia, devem notificá-los antes ou na data da coleta de dados, ao mesmo tempo em que fornecem um link de não participação para que as informações não sejam vendidas nos sites e apps mobile. As configurações de privacidade ativadas pelo usuário que sinalizam a “não participação” também contarão como uma solicitação válida e devem ser tratadas como tal. Essas obrigações permanecem em vigor, mesmo que o consumidor não mantenha uma conta protegida por senha com a empresa.

Como a CCPA afeta anunciantes e desenvolvedores de app mobile?

Assim como a RGPD da UE, a CCPA afeta cidadãos e empresas nativas com sede na região, bem como qualquer negócio externo que interaja com esses cidadãos. A qualificação “Califórnia” não é para as empresas, mas para os usuários finais. A tecnologia móvel é, por definição própria, móvel. A proliferação geográfica de apps e anúncios mobile, juntamente com o fato de o setor se basear na maximização da aquisição de usuários, cliques e downloads, torna o setor especialmente vulnerável a multas significativas pela CCPA.

Nota: RGPD e CCPA não devem ser tratadas como idênticas. A RGPD é “opt-in” (optar por participar) e tem requisitos mais específicos. A CCPA é “opt-out” (optar por não participar), mas define os dados de maneira mais ampla (incluindo identificadores pessoais, dados comerciais, dados de geolocalização, dados biométricos e dados de funcionários).

O processamento de Personally Identifiable Information (PII ou Informações de Identificação Pessoal) é difundido nos setores de tecnologia mobile e publicidade mobile. Assim como em servidores e computadores pessoais, é vital que apps e dispositivos mobile cumpram as regras.

A maioria das ferramentas para ajudar as empresas a gerenciar as preferências de privacidade do consumidor são focadas na Web. Os apps mobile não possuem as mesmas estruturas prontamente disponíveis. Os apps precisam executar etapas significativas para entender os dados que foram anexados aos usuários individuais, como esses dados podem ser comunicados e gerenciados, bem como esses dados são usados por terceiros.

Com o tempo, as soluções diretas podem se tornar mais disponíveis para os desenvolvedores de apps. Enquanto isso, é altamente recomendável que os apps usem CMPs (Consent Management Platforms ou Plataformas de Gerenciamento de Consentimento) para otimizar um processo complexo. Infelizmente, embora agora haja CMPs atualizados à luz da RGPD, poucos são os que atualizaram sua tecnologia para integração mobile para a CCPA.

Sem um CMP, os publishers que utilizam publicidade programática ou que enviam ad calls a terceiros devem encontrar maneiras alternativas de coletar as PIIs dos usuários, incluindo: IP, IDs de mobile e IDs de sincronização de cookies. Isso pode ser feito internamente, escrevendo um código para remover automaticamente os dados dos usuários excluídos por meio de integrações do servidor com parceiros. Aqueles que dependem de tags de JavaScript podem não ter esse nível de controle e, portanto, precisam encontrar outra maneira de atender às solicitações de dados dos usuários.

Os desenvolvedores de apps mobile não estão completamente desamparados. Para ajudar os desenvolvedores de apps a lidar com a CCPA, desenvolvedores do Google lançaram SDKs para Android e iOS. Esses SDKs permitem que os publishers habilitem parâmetros que restringem a maneira como certos identificadores e dados exclusivos são processados na prestação de serviços. No entanto, quando são ativados, o Google mostrará apenas anúncios não personalizados — um fator que será bastante prejudicial para os profissionais de marketing mobile.

Outros conselhos:

Para minimizar as chances de ter problemas com a CCPA, os anunciantes e desenvolvedores de apps mobile devem seguir estas etapas:

1) Reexamine as políticas de privacidade – verifique meticulosamente se estão em conformidade com todas as divulgações exigidas pela CCPA.

2) Propósitos específicos do estado para a coleta de dados – o consentimento do usuário deve ser informado e inequívoco.

3) Realize uma auditoria detalhada da estrutura de gerenciamento de dados – para garantir que não haja falhas na estrutura de gerenciamento de dados, mapeie o ciclo de vida do uso de dados do consumidor, da coleta ao processamento e armazenamento. Use a auditoria para identificar pontos fracos e vulnerabilidades.

4) Crie e atualize listas de quaisquer parceiros de compartilhamento de dados – a manutenção cuidadosa das próprias permissões e registros é insuficiente. Ao utilizar ferramentas de terceiros, use apenas aquelas que seguem as principais normas do setor. Como parte da auditoria de dados, os anunciantes programáticos devem manter listas de qualquer pessoa com quem tenham compartilhado dados. Isso inclui servidores de anúncios, trocas, DSPs e DMPs.

5) Trate solicitações de privacidade como urgentes – priorize o gerenciamento e a resposta às solicitações de privacidade dos usuários. Demorar muito para responder a uma solicitação de remoção de consentimento pode ser desastroso.

6) Reconsidere quais dados valem a pena armazenar – estude os tipos de dados do consumidor já acessados ​​e armazenados. Isso inclui o período até 1º de janeiro de 2019. As empresas podem reduzir o risco de serem afetadas pela CCPA ao minimizar os conjuntos de dados que armazenam e excluindo aqueles que não são vitais.

Efeitos mais amplos no setor de publicidade mobile

Para os anunciantes, que se tornaram fortemente dependentes da análise de dados do usuário, a CCPA é particularmente complexa.

A seção 1798.140(o)(1) da lei da CCPA define informações pessoais como “as informações que identificam, se relacionam com, descrevem, podem ser associadas a, ou poderiam estar razoavelmente vinculadas, direta ou indiretamente, a um consumidor ou família em particular” . Embora isso inclua identificadores padrão (nome, endereço, número do passaporte), também pode ser entendido como outros tipos de dados que os anunciantes se acostumaram a utilizar (biometria, áudio, localização geográfica).

Para anunciantes programáticos, essas informações pessoais são um ativo incrivelmente valioso.

Como a CCPA está focada na venda de dados, existem alguns usos específicos de dados da AdTech que parecem não violar o regulamento. Por exemplo, como nenhuma PII está sendo vendida, se os anunciantes usarem os mesmos dados em um servidor de anúncios interno (para segmentação comportamental ou limite de frequência) e os anunciantes estiverem comprando esses perfis, nenhuma PII será compartilhada com anunciantes e os usuários não poderão optar por não participar. Da mesma forma, a segmentação por categoria com base nas pesquisas do usuário ou no contexto da página não depende da PII, portanto, os usuários não podem optar por não participar.

Além disso, o uso da PII de provedores de dados de terceiros para habilitar a segmentação no local e o compartilhamento de dados com parceiros de infraestrutura (que seriam considerados provedores de serviços) parecem ser práticas aceitáveis de acordo com a CCPA. Elas provavelmente se qualificam como exceções de “fins comerciais”.

Uma indústria em mudança

Embora a CCPA se destine apenas a proteger os consumidores da Califórnia, em vez de uma lei federal, espera-se que a CCPA cause impacto em pessoas e empresas que estão muito além das fronteiras do estado da Califórnia. Além disso, vários estados norte-americanos, incluindo Washington, Virgínia, Nebraska e Nova Iorque, estão propondo seus próprios projetos de lei de privacidade. Embora não esteja claro quais projetos de lei serão aprovados, cada um provavelmente terá requisitos diferentes do regulamento da Califórnia.

Com isso em mente, é aconselhável que anunciantes e desenvolvedores de apps mobile não façam apenas o mínimo necessário. Em vez disso, que considerem a CCPA como um ponto de inflexão e preparem-se para mudanças generalizadas na maneira como os governos tratam a privacidade.

A CCPA hoje

A CCPA ainda é incipiente. Embora o “Período de comentários de 45 dias” tenha terminado, leis dessa natureza são complexas e revisões e esclarecimentos são necessários. O Procurador Geral da Califórnia confirmou que a aplicação generalizada não deve ocorrer até julho, enquanto enfatizou que os meses restantes não devem ser tratados como um período de carência. Se o seu negócio mobile opera na Califórnia, a hora de agir é agora.

X