GDPR & social media: cum faci să respecți protecția datelor în mediul online?
12 minute • Anca-Teodora Hrițcu • 23 septembrie 2020
În ultimul timp mare parte din activitatea factorului uman s-a mutat în online și, mai mult ca niciodată, zona de social media este într-o continuă dezvoltare. În cazul acesta, poate te-ai întrebat cum faci ca datele tale sa fie protejate și în social media. Sau poate că te-ai întrebat ce trebuie să faci astfel încât compania ta să se conformeze GDPR. Pentru a-ți răspunde la întrebări am pregătit un scurt ghid despre implicațiile GDPR în social media.
Ce este GDPR?
“GDPR” (în engleză: General Data Protection Regulation) sau “RGPD” (în română: Regulamentul General pentru Protecția Datelor) adoptat în 2016, a intrat în vigoare abia în 2018 și a adus modificări importante în ce privește protecția datelor personale. Chiar și înainte de intrarea în vigoare a GDPR, protecția datelor personale era protejată de Directiva 95/46/CE a Parlamentului European și a Consiliului, dar și de Legea nr. 677/2001, transpusă în legislația română. Cele două acte normative au fost însă abrogate ca urmare a intrării în vigoare a GDPR.
Dacă vrei să afli de unde a pornit ideea adoptării GDPR citește și GDPR explicat pe scurt: cum te asiguri că-l respecți?.
Care este scopul GDPR?
GDPR are scopul de a oferi cetățenilor UE controlul asupra modului în care datele lor sunt colectate, stocate și prelucrate de către companii. Pe lângă asta, GDPR influențează și modul în care companiile pot găsi noi clienți și le pot prelucra datele personale, inclusiv în social media.
GDPR se aplică tuturor companiilor din întreaga lume care prelucrează datele personale ale oricărui rezident al UE. Practic, dacă ai o afacere în Statele Unite, dar potențialii tăi clienți aparțin unui stat membru UE, ești obligat să respecți prevederile GDPR. Spre exemplu, dacă vinzi electrocasnice către cetățeni ai UE, deși sediul afacerii tale este în SUA, tot va trebui să te conformezi GDPR.
Care sunt datele personale protejate prin GDPR?
GDPR a extins aria datelor personale ce sunt protejate și se referă la: orice informații privind o persoană fizică identificată sau identificabilă (numele, numărul de telefon, numărul cărții de identitate/pașaportului, venitul, genul, originea rasială sau etnică, adresa IP, cookies, datele de localizare, orientarea sexuală, opiniile politice, convingerile religioase sau filosofice, apartenența sindicală, datele genetice, biometrice sau medicale, cu excepția unor cazuri specifice (de exemplu, când persoana și-a dat consimțământul explicit sau când procesarea este necesară din motive care țin de un interes public major, definit de legislația europeană sau națională), datele personale referitoare la infracțiuni sau condamnări penale, cu excepția cazului în care acest lucru este autorizat de legislația națională sau europeană.
Regulamentul exclude din sfera datelor personale următoarele date:
- grilele de salarizare;
- organigrama;
- contractele;
- costurile administrative;
- numele și prenumele funcționarilor publici în legătură cu activitatea pe care o desfășoară;
- programele;
- strategiile;
- costurile suportate pentru organizarea unor sărbători publice, etc.
Ce înseamnă protecția datelor pentru consumatori și confidențialitatea pentru marketerii social media?
Pentru a fi conform GDPR în social media și în online, trebuie să informezi utilizatorii că intenționezi să le prelucrezi datele înainte de a o face efectiv. Așadar, ca să păstrezi confidențialitatea datelor și să respecți obiectivul principal al GDPR pe social media, adică protecția consumatorilor ca persoane fizice, trebuie să:
- Oferi notele de informare sau politicile de confidențialitate pe site-urile web și în social media.
- Revizuiești politicile de socializare la locul de muncă pentru a te asigura că nu intră în conflict cu politicile privind confidențialitatea.
- Dezvolți controale interne și proceduri pentru a te asigura că gestionezi în mod eficient riscurile din social media.
- Ai o politică de social media bine pusă la punct pentru angajați.
- Implementezi un sistem de evidență pentru a colecta istoricul din social media și a-l salva într-o arhivă validă.
Care sunt beneficiile GDPR în social media pentru consumatori?
GDPR a fost adoptat în principal pentru a proteja consumatorii. Protecția se realizează în următoarele moduri:
- Permite companiilor să colecteze, să stocheze și să prelucreze datele personale ale consumatorilor numai în scopul expres stabilit. Consumatorii trebuie să își dea acordul în mod clar, liber și neîngrădit, pentru a le fi respectată confidențialitatea.
- Consumatorii au control asupra persoanelor care au acces la datele lor personale și asupra modului în care ele sunt prelucrate.
- Consumatorii decid în mod liber dacă vor sau nu să primească e-mailuri de marketing de la companii.
Care sunt beneficiile GDPR în social media pentru companii?
Da, aplicarea GDPR necesită eforturi din partea companiei tale, dar ca orice alt lucru, are și beneficii:
- Câștigarea încrederii consumatorilor: dacă clienții tăi vor vedea că nu le prelucrezi datele fără ca anterior prelucrării să le ceri acordul și dacă văd că datele sunt prelucrate cu grijă, asta te va ajuta să le construiești încrederea în businessul tău.
- Câștigarea unui public implicat și interesat: dacă le oferi clienților posibilitatea de a alege explicit între a primi sau nu materiale promoționale din partea afacerii tale, asta te va ajuta de fapt să îți selectezi clientela, fără încălcarea vreunui drept.
- Îmbunătățirea experienței utilizatorilor: abordând marketingul și publicitatea companiei într-un mod cât mai creativ vei atrage atenția mai multor clienți și le vei îmbunătăți experiența în social media.
Impactul GDPR asupra marketingului social media
Poate că nu ți-ai dat seama până acum, dar GDPR are un impact important și asupra marketingului social media. Dacă îți este greu să crezi, uite câteva moduri în care GDPR afectează marketingul social media:
1. Reclamele de remarketing și retargeting
Cu siguranță ți s-a întâmplat cel puțin o dată să te urmărească astfel de reclame pe rețelele de socializare după ce ai vizitat un site web, și nu numai. De exemplu, ai căutat un anumit articol de îmbrăcăminte pe un site web și apoi ți-au apărut ofertele acelui comerciant pe Instagram sau Facebook. Află că toate aceste reclame sunt foarte eficiente și îi ajută pe agenții de publicitate să creeze oferte relevante pentru tine.
Cu toate acestea, multe dintre anunțurile de remarketing și retargeting ignoră consimțământul impus de GDPR pentru o astfel de prelucrare a datelor de consum și ajung să te spameze cu oferte. Astfel de anunțuri existau și înainte de GDPR, motiv pentru care și amenzile au crescut corespunzător. Până acum, au fost date amenzi inclusiv ca urmare a nerespectării prevederilor GDPR în ce privește marketingul online, cum a fost în cazul eMAG, de exemplu.
Iar apropo de retargeting, primul nostru podcast a fost exact despre asta. Cum o poți face în continuare legal.
2. Traficul social media și politica de confidențialitate
Ai un site web care încurajează vizitatorii să se înscrie la newsletterul tău? Atunci ar trebui sa te intereseze prevederile GDPR și pentru social media, pentru că vizitatorii vor trebui să-și dea acordul de două ori pentru a se putea abona. O dată acordul este necesar pentru politicile de confidențialitate și apoi pentru a accepta efectiv oferta businessului tău.
Aceeași situație este și când vorbim de cookies, adică acele fișiere de tip text mic care se descarcă pe echipamente terminale, cum ar fi un computer sau un smartphone, atunci când accesezi un site web sau o aplicație mobilă. Cookie-urile permit site-ului sau aplicației să recunoască dispozitivul utilizatorului și să stocheze informații despre preferințele utilizatorului sau acțiunile din trecut.
3. Urmărirea limitată a comportamentului consumatorilor
Google Analytics și alte instrumente de analiză a rețelelor sociale oferă companiei tale informațiile de care ai nevoie ca să știi dacă obții un ROI (în engleză: Return on Investment) bun ca urmare a eforturilor de marketing pe rețelele sociale. Ca tu să poți în continuare să monitorizezi comportamentul traficului social, Google Analytics a luat măsuri și s-a conformat GDPR ca să fie ok pe social media. Cu toate acestea, informațiile pot fi prelucrate doar de la cei care acceptă condițiile de confidențialitate.
Mai ai o variantă: respectiv să anonimizezi din script datele pe care le folosește GA astfel încât să poți vedea în continuare metrici de performanță, dar fără să individualizezi persoana respectivă.
Nerespectarea GDPR în social media și amenzi
GDPR nu a venit doar cu o protecție crescută pentru consumatori, ci și cu niște amenzi uriașe în cazul nerespectării regulilor privind protecția datelor. Amenzile impuse sunt de până la 20 de milioane de euro, adică 4% din cifra de afaceri a companiei tale, în cazul în care nu asiguri un standard minim de respectare a Regulamentului.
La nivel european, cea mai recentă amendă este cea aplicată de Autoritatea privind Protecția Datelor din Italia către Vodafone: 12.2 milioane de euro.
Iar pentru că …
- efectua activități de telemarketing fără consimțământul utilizatorilor
- utilizatorii primeau apeluri fără să-și fi dat acordul
- a cumpărat baze de date de la furnizori externi fără să fi avut consimțământul acestora pentru trimiterea mesajelor / apeluri
- nu respecta drepturile utilizatorilor de nu mai primi mesaje / apeluri comerciale
- angajații Vodafone cereau clienților să trimită copiile de pe buletine pe Whatsapp probabil în scopul spamming-ului, phishing-ului sau pentru desfășurarea altor activități frauduloase.
Printre companiile cărora le-au fost aplicate amenzi în România până în prezent se numără: eMAG, ENEL, avocatnet, elefant.ro, Vodafone și altele.
Pe lângă acestea, și rețelele sociale s-au conformat prevederilor GDPR, astfel:
- Dacă utilizezi publicitatea Facebook pentru a colecta potențiali clienți, probabil ai observat că Facebook solicită acum companiilor să accepte termeni specifici anunțurilor pentru clienți potențiali înainte de a difuza aceste anunțuri. Facebook face acest lucru pentru a ajută companiile să creeze anunțuri conforme cu GDPR. Împotriva Facebook au existat de-a lungul timpului multe procese pe această temă. Cea mai recentă acuzație adusă Facebook este că ar fi utilizat date biometrice de identificare facială aparținând unor milioane de utilizatori fără consimțământul lor.
- Instagram este deținut de Facebook și respectă aceleași protocoale GDPR, iar ultima acuzație este că folosește camera din telefon ca să ”spioneze” ce fac utilizatorii
- Twitter a angajat o companie terță pentru a prelucra datele utilizatorilor din afara Statelor Unite. La fel ca Facebook, Twitter se asigură, de asemenea, că utilizatorii acceptă termenii și condițiile înainte ca agenții de publicitate să aibă acces la orice date personale. Că tot am adus vorba, Curtea de Justiție a Uniunii Europene s-a pronunțat pe această temă în cauza Google Spain SL, Google Inc. (CJUE C-131/12) în care a decis că operatorul unui motor de căutare pe internet răspunde pentru prelucrarea pe care o efectuează în ceea ce privește datele cu caracter personal care apar pe pagini web publicate de terți.
- La fel ca Facebook, LinkedIn cere utilizatorilor să actualizeze formularele de generare de potențiali clienți pentru a asigura conformitatea cu GDPR. Multe companii adaugă pur și simplu un link către politicile lor de confidențialitate împreună cu un text care explică modul în care îți vor folosi datele.
Cum să rămâi conform GDPR în social media?
Intrarea în vigoare a GDPR a avut o influență foarte mare asupra modului în care companiile tratează datele personale ale consumatorilor. Un rol important îl au și amenzile de până la 20 de milioane de euro care încurajează companiile să implementeze politicile GDPR și pe social media.
Cu toate că ai putea spune că Regulamentul vrea să îți oprească businessul din a se dezvolta și a câștiga cât mai mulți clienți, nu este așa. GDPR te obligă de fapt să creezi campanii de marketing bine direcționate către clienți implicați și interesați de businessul tău. Acest lucru ajută afacerea ta să crească și duce la o creștere a calității datelor.
Și știm cu toții: cu cât datele tale sunt mai bune și mai actuale, cu atât șansele să beneficiezi de pe urma lor sunt mai mari.
Spre exemplu, dacă un potențial client refuză expres să se aboneze la newsletterul companiei tale, înseamnă că nu este interesat de businessul tău. Faptul că GDPR te obligă să ai consimțământul expres al clienților este de fapt în avantajul companiei tale. Așa doar clienții cu adevărat interesați vor accepta să primească informații relevante despre businessul tău.
Spre exemplu, știm cu toții la newsletter cât de importantă este rata de deschidere. Dacă oamenii care se abonează sunt direct interesați de ceea ce tu livrezi, vor deschide mailul. Dacă vor deschide mailul, vei fi privit ca un furnizor de încredere și ai mai puține șanse ca mesajele tale să ajungă în SPAM.
Practic, ca să te conformezi GDPR în social media, nu trebuie decât să respecți următoarele reguli:
1. Nu contacta clienții decât dacă și-au dat acordul expres pentru a fi contactați.
2. Nu presupune că oamenii vor să fie informați despre businessul tău dacă nu și-au dat acordul expres pentru asta.
3. Informează clienții despre scopul clar în care le vei prelucra datele, inclusiv despre folosirea cookie-urilor.
4. Nu trimite informații irelevante și nu spama oamenii.
5. Ține permanent evidența datelor colectate și prelucrate.
6. Dacă te gândești să ”cumperi” o bază de date, asigură-te ca persoanele respective și-au dat consimțământul pentru a primi mesaje comerciale. Sau și mai bine, ”închiriază” una.
De urmărit: în luna septembrie 2020, Comitetul European pentru Protecția Datelor a lansat în dezbatere publică orientările pentru social media în ceea ce privește prelucrarea datelor personale, care schimbă modalitatea în care companiile vor putea colecta și folosi aceste date, la 2 ani după aplicarea GDPR.
