Login

GDPR, ePrivacy & Awin

33 tempo di lettura

Il GDPR è stata un'opportunità unica per ripensare le leggi sulla protezione dei dati in tutta Europa.

Condividi

Per le aziende che operano nel settore digitale, è fondamentale comprendere le sfumature del GDPR e dell'ePrivacy. In questo whitepaper cerchiamo di spiegare le implicazioni per l'affiliate marketing e offriamo una guida pratica per publisher e advertiser.

Awin & il GDPR
Il GDPR in poche parole
Il quadro completo con ePrivacy
Come influisce il GDPR sull'industria dell'Affiliate marketing?
La preparazione di Awin per il GDPR
Utilizzo dei dati personali
Dati del consumatore
Controllore o processore dei dati?
Ma che dire dei networks e degli editori? Sono essi processors or joint controllers con l'inserzionista?
In che modo si differenzia dalle posizioni di altri network?
Quali sono le disposizioni sulla privacy di Awin?
Interesse legittimo e test di bilanciamento
Perché non acconsentire?
Rispettando il consenso
La Direttiva ePrivacy
Allora perché stiamo parlando di nuovo del consenso ai cookie?
Come influisce il GDPR sul consenso dei cookie?
Quindi, in che modo il consenso ai cookie e il consenso ai dati sono diversi?
Come influisce questo sul modo in cui gli editori e gli inserzionisti lavorano con Awin?
La posizione di Awin in breve
Cosa significa tutto ciò se sono un advertiser o un publisher che lavora con Awin?
Dove posso trovare più informazioni?

Awin & il GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio 2018. Ha rappresentato un cambiamento significativo nel modo in cui i dati personali sono regolamentati nell'UE, sostituendo un quadro giuridico esistente che non prevedeva l'aumento rapido dell'uso dei dati personali da parte delle aziende che è diventato comune negli ultimi 20 anni o giù di lì.

Il GDPR ha rappresentato un cambiamento significativo nel modo in cui i dati personali sono regolamentati nell'UE

All'avvicinarsi dell'entrata in vigore del GDPR, ogni network di Affiliate marketing e piattaforma SaaS ha effettuato la propria due diligence e cercato consulenza legale sulla propria posizione legale per l'elaborazione dei dati e su come ritengono di inserirsi nell'ecosistema Advertiser/Gestione Commissioni.

Perché non c'è coerenza nel modo in cui le Networks di affiliazione utilizzano i dati, non esiste ancora un consenso, il che può inevitabilmente creare confusione all'interno del settore. Questo documento cerca di delineare la logica dietro la posizione di Awin e le nostre aspettative per le aziende con cui collaboriamo.

1. Il GDPR in poche parole

Il GDPR, incluso il GDPR del Regno Unito, è stato progettato per potenziare i consumatori dell'UE/UK e affermare i loro diritti riguardo all'uso dei loro dati. Per le industrie digitali, questo assume un'importanza particolare perché la definizione di ciò che è considerato dato personale è stata ampliata per includere qualsiasi cosa che possa identificare un individuo, ma che non è necessariamente identificabile personalmente in modo evidente. Quindi, mentre un indirizzo email è ovviamente un dato personale, l'ambito include anche identificatori pseudonimi come un indirizzo IP o un ID ordine.

Per elaborare questi dati, le aziende devono scegliere una base legale, di cui ce ne sono sei. Per alcune attività è ovvio, ma per molte aziende di marketing digitale di solito scelgono o 'consenso' o 'interesse legittimo'. Ne parleremo più avanti.

La privacy by design richiede che le aziende ripensino fondamentalmente a come sviluppano nuovi strumenti e tecnologie, garantendo che la privacy e i controlli dei dati siano parte integrante del DNA di aggiornamenti e rilasci.

La minimizzazione dei dati richiede alle aziende di monitorare solo i dati di cui hanno bisogno per eseguire la funzione di elaborazione delineata.

Inoltre, la formazione dei dipendenti e la nomina di individui dedicati all'applicazione sono due considerazioni importanti.

Oltre alla base legale, ci sono anche alcuni principi fondamentali incorporati nel GDPR.

Il mancato rispetto delle regole potrebbe comportare la sanzione più severa; multe significative.

Il GDPR è quindi di ampia portata e onnicomprensivo. Ma oltre a questa legge, le regole esistenti sul marketing digitale, consacrate negli atti degli stati membri che attuano la Direttiva ePrivacy, dovrebbero essere sempre egualmente considerate.

2. Il quadro completo con ePrivac

La Direttiva ePrivacy (o ePrivacy in breve), conferisce alle persone specifici diritti sulla privacy in relazione alle comunicazioni elettroniche, l'area più significativa per l'Affiliate marketing riguarda l'uso di cookies e tecnologie simili. Nel Regno Unito, queste regole sono stabilite nel PECR, il Regolamento sulla Privacy e le Comunicazioni Elettroniche. Qui, faremo riferimento alla Direttiva ePrivacy per coerenza.

La Direttiva ePrivacy integra le leggi generali sulla protezione dei dati e stabilisce diritti sulla privacy più specifici per le comunicazioni elettroniche. C'è una certa complessità nel capire cosa significhi ePrivacy per Awin e per qualsiasi azienda che opera nell'UE, che deriva dalla natura della legge.

Mentre il GDPR, come suggerisce il nome, è un regolamento e come tale è direttamente applicabile così com'è, l'ePrivacy nella sua forma attuale è semplicemente una direttiva, lasciando l'implementazione agli stati membri. Il testo finale della legge ePrivacy è quindi stato determinato dai singoli stati membri e di conseguenza, i requisiti relativi ai cookie (e tecnologie simili) sono soggetti a diverse esigenze in tutta Europa.

Pertanto, sebbene il GDPR sia adottato universalmente, l'ePrivacy è soggetta a interpretazione locale.

Questa incertezza legale sarà risolta una volta che il tanto atteso Regolamento ePrivacy entrerà in vigore, fino ad allora però, le aziende che operano in più giurisdizioni devono considerare la possibilità di cercare una guida locale per garantire la conformità.

Per aggiungere un ulteriore livello di confusione, il GDPR e l'ePrivacy non possono essere interpretati isolatamente.

In alcune giurisdizioni, l'ePrivacy può richiedere il consenso GDPR per i cookie (indipendentemente dal fatto che i dati personali vengano o meno raccolti attraverso quel cookie). Abbiamo cercato di tracciare una distinzione chiara tra i due quando affrontiamo il consenso ai dati e il consenso ai cookie di seguito.

Pertanto, sebbene questa guida sia destinata a affrontare l'impatto del GDPR sul marketing di affiliazione, faremo anche riferimento all'ePrivacy per affrontare la regolamentazione dei dati nella sua interezza.

3. Come influisce il GDPR sull'industria dell'Affiliate marketing?

L'aumento dell'ambito e dell'applicazione del GDPR alle tipologie di dati personali ha significato che, a seconda del contesto, certi tipi di dati che potrebbero essere stati precedentemente non regolamentati dalle leggi sulla privacy, sono diventati soggetti a regolamentazione. Questo include ID del dispositivo, ID del membro cashback, numeri di riferimento del cliente e altri identificatori tecnici. Inoltre, il GDPR impone requisiti più rigorosi per ottenere il consenso dell'utente per l'elaborazione dei dati personali.

È importante notare che, nella sua forma più pura e in relazione ai servizi specifici di Awin, la natura dei dati personali trattati per l'Affiliate marketing è non sensibile e in gran parte tecnica.

Confronta il canale con altri che utilizzano dati personali per costruire target di consumatori da raggiungere attraverso la pubblicità; generalmente l'Affiliate marketing non si impegna con tecniche di remarketing o programmatiche.

Tuttavia, alcuni brand lavoreranno con affiliati che gestiscono questo tipo di attività su base CPA attraverso il canale affiliato e in alcuni casi la pubblicità comportamentale e altre forme di marketing basate sulle prestazioni, che si basano fortemente sul profiling degli utenti per l'invio di pubblicità mirata, sono soggette a maggiori obblighi normativi.

Alcune altre network di affiliazione utilizzano i dati generati dagli affiliati per creare profili per i servizi di personalizzazione e remarketing. Pertanto, potrebbero ritenere di aver bisogno di una base legale diversa dall'interesse legittimo per farlo, il che a sua volta comporta diverse obbligazioni normative a cui gli affiliati devono attenersi.

Pertanto, i publisher si troveranno inevitabilmente in una posizione in cui gli obblighi di una network sono diversi da un'altra. Quando il GDPR è entrato in vigore per la prima volta nel marzo 2018, le networks di affiliazione, guidate da Awin, hanno cercato di creare un consenso nel settore riunendosi per concordare un approccio coerente. Sebbene ciò non fosse possibile, tutti i partecipanti hanno accettato di mettere il loro nome in una dichiarazione del settore.

La raccomandazione di Awin per i publisher è di contattare tutte i networks con cui stanno lavorando e di essere chiari su quali sono i requisiti di privacy di questi Networks e perché.

4. La preparazione di Awin per il GDPR

Uno degli impatti principali del GDPR è stato quello di portare tutte le aziende ad esaminare obbligatoriamente i loro usi dei dati personali nel contesto dell'ambito, dei principi e dei diritti forniti dal GDPR. Awin ha effettuato questa valutazione nel corso di una dettagliata Privacy Impact Assessment (PIA). La PIA di Awin ha molteplici obiettivi, tra gli altri:

  1. Crea una panoramica dettagliata di tutti i dati raccolti nel corso delle attività di tracking di Awin
  2. Valuta se Awin agisce come controllore o processore rispetto a tali dati
  3. Valuta lo scopo e la base legale di ogni attività di elaborazione
  4. Esegui un 'test di bilanciamento' quando l'interesse legittimo è stato identificato come base legale del trattamento.*
  5. Identifica le misure di salvaguardie necessarie per proteggere i dati
  6. Minimizza l'uso dei dati personali dove possibile

*Questo test viene utilizzato per valutare se i presupposti di Awin nella scelta del legittimo interesse sono validi.

Nell'interpretare la posizione di Awin sotto il GDPR, è importante capire come Awin elabora i dati personali e quale impatto questo ha sulla privacy degli individui.

5. Utilizzo dei dati personali

Nel normale svolgimento della sua attività, Awin elabora dati sulle seguenti categorie:

  1. Personale Awin, Personale del publisher, dell'advertiser e del fornitore
  2. Attività di promozione dove il publisher è un individuo
  3. Consumatori i cui acquisti sono monitorati da Awin

Per quanto riguarda questo documento, ci limiteremo a specificare nel dettaglio l'attività di tracciamento attraverso la quale vengono elaborati i dati personali dei consumatori. Questo perché tutte le altre attività di elaborazione vengono semplicemente svolte per l'amministrazione dell'azienda e, secondo le linee guida normative, si ritiene improbabile che tali dati possano comportare un alto rischio per gli individui

6. Dati del consumatore

Awin utilizza principalmente i dati dei consumatori per il tracciamento. Il tracciamento permette ad Awin di comprendere il percorso online di un consumatore attraverso determinati siti web dopo aver visualizzato o cliccato su un annuncio pubblicitario. Lo scopo del tracciamento è attribuire le vendite e gli sforzi di marketing di un publisher a una particolare transazione, per permettere agli advertisers di remurerare i publisher per ogni vendita generata. Il tracciamento permette anche ad Awin di fornire ai publisher e agli inserzionisti report correlati.

Il Cross Device Tracking permette ad Awin di comprendere il percorso di un consumatore quando inizia su un dispositivo, con una transazione che si completa su un altro.

Per effettuare il tracking, Awin utilizza cookie di dominio di tracking, tag di percorso e fingerprinting del dispositivo. Ecco una breve spiegazione di come funzionano queste tecnologie:

  • Tracking domain cookies:Cookie serviti da Awin quando un utente clicca su una pubblicità visualizzata su un'attività promozionale fornita dal publisher.
  • Journey tags: Codice JavaScript integrato nel sito web dell'Advertiser, per consentire ad Awin di ricevere informazioni sulla vendita.
  • Device fingerprinting: Metodo con cui Awin è in grado di identificare univocamente un dispositivo considerando certi attributi (incl. dimensione/risoluzione dello schermo e configurazioni dell'utente).

Il Cross Device Tracking utilizza i cookie del dominio di tracciamento e il tag del percorso, allo stesso modo e per gli stessi scopi del tracciamento. Inoltre, il Cross Device Tracking sviluppa profili di consumatori pseudonimi, che vengono poi utilizzati per associare più dispositivi a un singolo consumatore.

Tutti i dati che Awin utilizza per il tracking sono pseudonimi, non sensibili, per lo più tecnici e non correlati al comportamento, o a previsioni o valutazioni dell'interesse del consumatore o delle personalità.

7. Responsabile del trattamento o incaricato?

Ogni azienda che gestisce dati deve decidere quale ruolo svolge nel trattamento di tali dati.

Questa è una considerazione importante perché ci sono diverse implicazioni basate sul ruolo svolto. Decidere se sei un 'controller' o un 'processor' di dati è logicamente collegato a ciò che fai con i dati tracciati e le decisioni che prendi al riguardo.

Sarai un controller se determini:

  • Perché i dati dovrebbero essere elaborati; e/o
  • Come dovrebbero essere elaborati per raggiungere lo scopo previsto.

I processor, d'altra parte, non decidono mai perché elaborare i dati, lasciano questa decisione al controller che li ha istruiti. I processor possono prendere decisioni limitate su come procedere nell'elaborazione dei dati per gli scopi determinati dal controller, ma queste possono essere solo decisioni 'non essenziali'.

Questo significa che le decisioni essenziali dovrebbero sempre essere lasciate al controller, comprese le decisioni su quali dati elaborare per raggiungere lo scopo del controller o il modello economico dello scopo perseguito.

La cosa principale da tenere a mente è che i ruoli vengono assegnati in base ai fatti.

Non è possibile stipulare un contratto che afferma, ad esempio, "X sarà il controller, Y sarà il processor", se, di fatto, Y ha preso decisioni su quali dati elaborare per gli scopi di X; in questo caso Y finirà per assumere il ruolo di controller congiunto insieme a X. Se Y decide di elaborare dati per i propri scopi, sarà un controller unico per quel nuovo scopo.

Nell'affiliate marketing, l'Advertiser è sempre un controller perché solo l'Advertiser può decidere 'perché' elaborare i dati; solo l'Advertiser può decidere, per esempio "Facciamo un po' di marketing online e paghiamo le commissioni su base CPA".

8. Ma che dire di network e publisher? Sono essi processor o joint controller con l'advertiser?

La posizione di Awin è che Awin è un joint controller con l'advertiser, insieme ai publisher. In effetti, esiste una relazione di joint controller  tra tutte e tre le parti.

Questo perché Awin ha deciso il modello economico, e sia Awin che i publisher decidono quali dati elaborare per realizzare la campagna di affiliate marketing dell'advertiser.

Questo è dovuto al modo in cui le transazioni vengono tracciate, richiamate e riportate.

Crediamo che questa conclusione sia l'unica che rifletta accuratamente come funzionano le cose nella pratica.

Se, per esempio, Awin o i publisher cercassero di lavorare entro i vincoli di un ruolo di data processor, avrebbero bisogno di ottenere l'approvazione per ogni nuovo trattamento dei dati da parte di ogni Advertiser in anticipo ogni volta. Non potrebbero prendere queste decisioni da soli; questo sembra sia impraticabile che inapplicabile.

9. In che modo questo si differenzia dalle posizioni di altri network?

Alcuni network hanno scelto una posizione di data processor, il che significa che poi non devono determinare una base legale per l'elaborazione dei dati e quindi non sono in grado di determinare una base legale per i loro publisher.

Potrebbero scegliere di garantire che gli advertiser coinvolgano direttamente i publisher per assicurarsi di non essere responsabili di eventuali violazioni dei dati da parte di un publisher, rimuovendosi direttamente dalla relazione tra publisher/advertiser.

Una delle sfide aggiuntive di essere un data processor è l'impatto potenziale sulla tua capacità di prendere decisioni riguardo allo sviluppo futuro dei tuoi servizi e della tua tecnologia.

Ad esempio, stipulando un accordo come data processor, Awin dovrebbe informare gli advertiser che non potrebbero utilizzare correzioni di bug, aggiornamenti, upgrade o funzionalità aggiuntive dei prodotti o servizi di Awin fino a quando l'Advertiser stesso non avesse istruito Awin per iscritto a farlo.

È importante ricordare che l'interpretazione di Awin della posizione del processor/controller differisce rispetto ad altri network. Avendo cercato un consiglio legale, siamo sicuri che la nostra posizione rifletta lo stato corretto.

Fondamentalmente, crediamo che le seguenti affermazioni delineino la nostra posizione di controller:

  1. Gli advertiser non decidono cosa tracciare. Scelgono un network, ma è il network che decide come funziona la sua tecnologia e quali dati vengono utilizzati. Senza questo status, un network non sarebbe mai in grado di implementare alcuna nuova tecnologia senza ottenere un nuovo processor agreement da ogni partner.
  2. I network determinano il modello economico.
  3. I network danno istruzioni agli advertiser, come dire loro di mantenere attivo e funzionante il tracking.

Il direct marketing può essere fatto con un singolo dato (come un indirizzo email). Questo rende fattibile per un controller dire al processor/azienda di direct marketing, "invia email a questo elenco di indirizzi email". L'Affiliate marketing è più complesso, il che rende impraticabile garantire che l'advertiser dia tutte le istruzioni a tutti i suoi affiliati.

10. Quali sono le disposizioni sulla privacy di Awin?

Come joint controller, le parti interessate sono tenute a stipulare un accordo in cui vengono definiti i ruoli e le responsabilità di tutti i partecipanti. A differenza degli accordi di elaborazione dei dati in cui una parte agisce come controller e l'altra come processor, le parti hanno più libertà nel determinare la forma e il contenuto dell'accordo e non sono tenute a includere gli obblighi di livello GDPR di un processor.

Per gli advertiser, Awin fornisce un addendum al contratto advertiser che tratta specificamente l'elaborazione dei dati necessaria per i servizi di Awin.

Per i publisher, i termini di elaborazione dei dati sono contenuti negli allegati al nostro contratto standard con i publisher, in modo da chiarire chi è responsabile di cosa. Questi termini coprono, ad esempio, come Awin e i publisher gestiranno le richieste dei consumatori sui dati, o come affronteranno una violazione dei dati, se dovesse verificarsi.

Rendendo chiare queste responsabilità, si aiuta a prevenire che gli advertiser, i publisher e Awin siano responsabili per le violazioni reciproche del GDPR.

Ciò significa anche che, in qualità di controller, i publisher dovranno rispettare più obblighi del GDPR. Tuttavia, tutte le parti coinvolte devono già farlo quando elaborano dati per i propri scopi. La conseguenza è che ora dovranno applicare anche questi obblighi ai dati elaborati mentre portano clienti ad un advertiser.

Il vantaggio principale è che sul network Awin, se fatto in conformità con il GDPR e gli accordi o termini pertinenti, le parti sono in grado di decidere autonomamente come elaborare i dati. Crediamo fermamente che questo sia comunque il caso e le autorità ci considererebbero joint controller. Creando un obbligo contrattuale che corrisponde alla realtà fattuale, tutti dovrebbero avere chiari gli obblighi da assumere secondo il GDPR.

Infine, nel decidere la nostra posizione, abbiamo considerato come le autorità dei dati probabilmente classificherebbero Awin e i suoi advertiseri e publisher.

11. Legittimo interesse e balancing test

Come controller, Awin è tenuto a giustificare l'elaborazione dei dati personali prima che questa possa essere considerata legale. Esistono sei basi legali sotto le quali ciò può essere fatto:

  • Consenso

  • Contratto

  • Obbligo legale

  • Interesse vitale

  • Pubblico compito

  • Legittimo interesse

Quando si è valutato l'interesse legittimo di Awin, sono stati presi in considerazione gli interessi dell'intero ecosistema degli affiliati.

È stato quindi effettuato un balancing test in cui è stato confermato che il tracciamento comporta un rischio molto basso di impatto negativo indebito sugli interessi o sui diritti e le libertà fondamentali dei soggetti dei dati.

Questo significa che Awin non dipenderà dal consenso individuale come base legale per l'elaborazione dei dati personali secondo il GDPR, come parte dei suoi servizi di tracciamento.

12. Perché non acconsentire?

È inizialmente importante affermare che continua ad esserci molta confusione riguardo al consenso.

Questo è in parte perché non esiste un consenso della industry sul topic, ma principalmente perché, insieme al consenso GDPR, esiste anche un consenso relativo alla Direttiva ePrivacy esistente.

Queste leggi sono separate ma coesistono anche. Nel contesto della privacy dei dati, pensa al GDPR come un regolamento ampio e onnicomprensivo su tutti gli aspetti della regolamentazione dei dati personali. Al contrario, ePrivacy si occupa specificamente di marketing diretto e delle funzioni di tracciamento online, come l'uso di cookie o tecnologie simili.

Inevitabilmente si verifica una certa sovrapposizione perché i cookie contengono spesso dati personali, ma è un errore assumere che i cookie e i dati personali siano la stessa cosa.

Secondo il GDPR, ci sono molti modi per elaborare legalmente i dati personali senza fare affidamento sul consenso dei dati e, infatti, è giusto dire che il consenso dei dati è la base legale meno conveniente e più onerosa per l'elaborazione dei dati.

Ai sensi della Direttiva ePrivacy, il consenso ai cookie è sempre richiesto per impostare i cookie, a meno che i cookie non siano strettamente necessari per fornire un servizio richiesto dall'individuo. Quindi, ad esempio, i publisher di cashback e premi potrebbero non aver bisogno del consenso ai cookie per i cookie di affiliazione perché i cookie di affiliazione sono necessari per il funzionamento di un servizio basato su cashback o premi.

Ottenere il consenso per i dati non è senza le sue sfide. In tal modo, l'esperienza dell'utente sul sito potrebbe essere negativamente influenzata e l'individuo potrebbe comunque rifiutare di dare il consenso.

Quando i dati personali vengono trattati sulla base del consenso dell'utente, all'individuo vengono concessi maggiori diritti sui dati, che dovranno essere rispettati in futuro. Inoltre, il consenso per l'uso dei dati deve essere gestito e registrato con un certo livello di dettaglio. Inoltre, non si può negare un servizio o un contenuto ai consumatori e agli utenti perché hanno rifiutato di dare il consenso per l'uso dei dati, a meno che il servizio non dipenda da tale consenso.

Aspetto più importante: per ottenere un consenso valido ai dati, all'individuo deve essere fornita abbastanza informazione per prendere una decisione informata.

Perché Awin è una rete di affiliazione, utilizziamo dati personali limitati per tracciare i riferimenti ai siti web degli inserzionisti, le conseguenti transazioni e i nostri rapporti, ma non riutilizziamo mai questi dati per creare profili comportamentali degli utenti o per altri scopi di marketing. Inoltre, non raccogliamo altri dati per:

  1. Costruzione di profili comportamentali degli utenti
  2. Targeting in riferimento al comportamento
  3. Marketing per qualsiasi altro scopo

Per essere eseguiti legalmente, questi tipi di elaborazione tendono a richiedere un consenso ai dati perché sono percepiti come aventi un maggiore impatto sulla privacy degli individui. Evitando questo tipo di elaborazione, Awin può fare affidamento sull'interesse legittimo per giustificare il suo trattamento ed evitare la necessità di un consenso ai dati da parte dei publisher o degli advertiser per tracciare legalmente le transazioni.

Questo si applica al trattamento dei dati personali mentre gli individui navigano dal sito web del publisher ai siti web degli advertiser, attraverso i nostri domini, tracciando la conferma della transazione e il successivo report disponibile nell'interfaccia utente.

13. Rispetto del consenso

È importante considerare che se un responsabile del trattamento sceglie il consenso come base giuridica, potrebbe non essere in grado di utilizzare un'altra base giuridica qualora il consenso si riveli problematico da ottenere.

Secondo le Linee Guida del Gruppo di lavoro dell'articolo 29 sul consenso ai sensi del Regolamento 2016/679:

se il consenso viene scelto come base giuridica per qualsiasi parte dell'elaborazione, il responsabile del trattamento deve rispettare ciò e interrompere quella parte dell'elaborazione se un individuo ritira il consenso.

Aggiunge: "Inviare il messaggio che i dati saranno trattati sulla base del consenso, mentre in realtà si fa affidamento su un'altra base legale, sarebbe fondamentalmente ingiusto nei confronti delle persone. In altre parole, il responsabile del trattamento non può passare dal consenso ad altre basi giuridiche. Ad esempio, non è consentito utilizzare retroattivamente la base dell'interesse legittimo per giustificare il trattamento, dove sono stati riscontrati problemi con la validità del consenso."

A causa della necessità di comnunicare preventivamente una base legale, un responsabile del trattamento deve decidere in anticipo quale delle sei basi sarà adottata.

14. La Direttiva sull' ePrivacy

Da quando la Direttiva ePrivacy è stata implementata nelle leggi nazionali in tutta l'UE, è obbligatorio ottenere il consenso per i cookie quando si impostano i cookie.

Awin richiede ai publisher di ottenere il consenso per i cookie secondo i nostri termini con i publisher dal 2012. Questo per assicurarsi che i publisher rispettino queste regole, ma anche per ottenere il consenso per i cookie di Awin, per conto di Awin. Questo è tipico dei Network come la nostra, che non hanno la possibilità o  la comodità di per interagire con le persone per ottenere il consenso per i cookie.

15. Quindi, perché stiamo parlando di nuovo del consenso ai cookie?

Il consenso ai cookie è tornato in discussione negli ultimi anni perché, nella maggior parte degli Stati membri dell'UE, le leggi che attuano la Direttiva ePrivacy si basano sulla definizione di consenso nelle leggi locali sui dati per la definizione del consenso ai cookie.

Allora, quando il GDPR ha sostituito le leggi locali sui dati, anche la definizione utilizzata per il consenso ai cookie è stata sostituita.

È significativo perché lo standard di consenso necessario per il GDPR è superiore rispetto a quello di alcune leggi locali preesistenti sui dati e ciò è stato ulteriormente chiarito attraverso la giurisprudenza e nelle linee guida emesse da quando il GDPR è entrato in vigore.

16. Come influisce il GDPR sul consenso dei cookie?

La conseguenza è che ottenere il consenso per i cookie è ora più complicato. La differenza specifica è che, poiché il consenso per i cookie deve essere inequivocabile, l'approccio comune dell'uso del consenso implicito non è sufficiente. Il consenso per i cookie dovrebbe anche essere dato prima che i cookie vengano impostati.

Per ottenere un consenso valido ai cookie secondo la nuova definizione di consenso, l'individuo deve fare qualcosa di attivo per indicare il loro accordo. Sicuramente sei familiare con gli strumenti di consenso universale o le piattaforme di gestione del consenso (CMP); tecnologia che presenta un messaggio quando un utente arriva su un sito web e chiede il permesso di monitorare l'attività dell'utente sul sito.

La maggior parte degli operatori di siti web, inclusi publisher e advertiser, utilizzano tali strumenti di consenso per ottenere il consenso per i cookie serviti sul loro sito web, inclusi i cookie di Awin quando si lavora sulla piattaforma Awin.

17. Quindi, in che modo il consenso ai cookie e il consenso ai dati sono diversi?

Poiché i cookie sono intrinsecamente meno complicati di tutte le cose che si potrebbero fare con i dati personali, è molto più semplice ottenere il consenso per i cookie che per i dati.

Questo perché c'è meno da spiegare all'individuo, meno obblighi di tenuta dei registri e meno diritti aggiuntivi da offrire alla persona.

Il rischio di non conformità è anche inferiore, perché le enormi multe introdotte dal GDPR non si applicano al consenso dei cookie, a differenza dei consensi dei dati utilizzati per i cookie.

Anche se le leggi che attuano la Direttiva ePrivacy si basano sul GDPR per la definizione del consenso, hanno comunque le loro proprie multe e sanzioni per la non conformità.

18. Come influisce questo sul modo in cui publisher e advertiser lavorano con Awin?

Continua ad essere necessario per Awin ottenere il consenso all'uso dei cookie sia per i suoi publisher che per gli advertiser, ma anche per ottenere il consenso all'uso dei cookie per se stessi che per i cookie di Awin.

Esaminiamo anche la conformità degli advertiser e i publisher a questi requisiti e li invitiamo a ottenere correttamente il consenso per i cookie, se ci sembra che non lo stiano facendo.

Tuttavia, Awin non impone come deve essere ottenuto il consenso per i cookie.

Awin offre uno strumento di consenso che può essere utilizzato per il consenso ai cookie, ma siamo anche felici che i advertiser e i publisher i utilizzino altri strumenti di consenso, o ottengano un consenso valido in altri modi.

Riconosciamo che il GDPR non è semplice, specialmente per i piccoli publisher o advertiser, e cerchiamo di minimizzare gli oneri della conformità per i nostri partner in tutti i modi possibili.

Un modo è giustificare il nostro trattamento dei dati basandoci sull'interesse legittimo, quindi non dobbiamo chiedere ai publisher o agli advertiser di ottenere alcun consenso per i dati per noi. Questa non è un'opzione per il consenso ai cookie; se un operatore di un sito web non ha bisogno di impostare il cookie per fornire un servizio richiesto da un individuo, il consenso ai cookie non può essere evitato.

19. La posizione di Awin descritta brevemente

Awin è un controllore congiunto con gli inserzionisti e la maggior parte dei publisher.

Questo elimina la necessità di firmare accordi di elaborazione dei dati.

Offre alla network la flessibilità di sviluppare nuove tecnologie e decidere le basi per futuri aggiornamenti e rilasci tecnologici.

Awin utilizza l'interesse legittimo come base giuridica per l'elaborazione dei dati.

Awin non richiede ai suoi partner di cercare il consenso per il GDPR.

Awin richiede a tutti gli advertiser e ai publisher di cercare un valido consenso ai cookie in conformità con le leggi sui dati applicabili.

Publisher e advertiser sono liberi di ottenere il consenso nel modo che ritengono più opportuno, tuttavia, Awin offre uno strumento di consenso facile da installare.

20. Cosa significa tutto ciò se sono un Advertiser o un publisher che lavora con Awin?

Come azienda che opera sotto il GDPR, hai certi obblighi come controller. Inoltre, quando lavori con Awin hai alcuni compiti per garantire che il tracking degli affiliati sia gestito legalmente sul tuo sito web. Abbiamo creato una checklist con le cose più importanti da considerare:

  • Verifica se sei tenuto a registrarti presso l'autorità locale per la protezione dei dati;
  • Aggiorna i tuoi termini e condizioni e la politica sulla privacy se necessario;
  • Entra in accordi o disposizioni con tutte le terze parti con cui elabori i dati;
  • Assicurati di avere dettagli di contatto dove le persone possono contattarti per questioni relative alla privacy;
  • Assicurati di avere una base giuridica per tutte le attività di processing;
  • Raccogli il consenso per i cookie dove la ePrivacy lo richiede e assicurati che il tuo dispositivo di consenso copra tutte le tue attività.

21. Dove posso trovare più informazioni?

Awin ha un hub GDPR, lo troverai qui.

Le FAQ di Awin sulla protezione dei dati e la sicurezza

Negli ultimi anni abbiamo riscontrato un costante aumento del numero di domande che riceviamo riguardo alle nostre attività di elaborazione dei dati. Le domande vanno dalla conformità con il GDPR a interrogativi più tecnici sulla sicurezza dei dati. Di seguito abbiamo elencato le domande più frequenti sia da parte di advertiser e publisher.

Awin rispetta il GDPR?

Essendo un'azienda con sede e operante in Europa e che gestisce dati personali quotidianamente, la conformità al GDPR è fondamentale per l'attività di Awin. Awin ha svolto una Valutazione d'Impatto sulla Privacy per garantire la conformità al GDPR e ha implementato una serie di salvaguardie per garantire la conformità continua. Awin monitora costantemente le indicazioni e le decisioni legali ed è impegnata a garantire che tutte le sue operazioni rimangano conformi alla luce di qualsiasi sviluppo.

Avete un nominato un responsabile della protezione dei dati? Come possiamo raggiungerlo?

Sì, Awin ha nominato un responsabile della protezione dei dati. Puoi contattare il DPO a global-privacy@awin.com.

Quali dati personali raccogliete, memorizzate o elaborate nel corso del tracking?

I dati che Awin utilizza per il tracking sono pseudonimi, non sensibili, per lo più tecnici e non correlati al comportamento, o a previsioni o valutazioni di interesse o personalità del consumatore.

Un cookie di tracciamento, ad esempio, raccoglierebbe i seguenti dati:

  • Data dei cookie

  • Data di scadenza dei cookie

  • Indirizzo IP (truncated)

  • IP Hash
  • GeoIP

  • ID dell'Advertiser

  • ID del publisher

  • ID del banner

  • ID gruppo

  • ID prodotto

  • Clic/Riferimento alla Network

  • Referente

  • ID del publisher sovrascritto

  • Piattaforma

Awin raccoglie dati personali sensibili?

No, Awin non raccoglie alcun dato sensibile durante il tracciamento o l'amministrazione delle sue attività con advertiser, publisher e fornitori. Awin può raccogliere dati sensibili sui suoi dipendenti dove richiesto dalla legge.

Qual è il flusso di dati che Awin traccia?

Dove conservate fisicamente questi dati?

In UE/UK.

Per ospitare l'applicazione e i dati, utilizzate i servizi di un host o di un fornitore di cloud?

Sì, Equinix (Londra/Slough) che sono i nostri centri dati co-allocati. Fornitori di servizi cloud: AWS

(Irlanda e Francoforte, Germania) e Azure (Amsterdam).

Per quanto tempo conservate i dati? Avete processi in atto per l'eliminazione automatica dei dati?

Awin conserva i dati in conformità con la sua politica di conservazione. A meno che non sia diversamente specificato nella politica (e consentito dalla legge), i dati personali vengono cancellati dopo 36 mesi. Abbiamo implementato routine di cancellazione automatica per garantire che i dati vengano eliminati alla scadenza del periodo di conservazione applicabile.

Sei certificato ISO 27001?

Nel febbraio 2022 abbiamo superato con successo l'audit di Fase 2 per la certificazione ISO 27001 per i sistemi e i servizi inclusi nel campo di applicazione, grazie a revisori indipendenti del BSI, e a marzo abbiamo ottenuto la certificazione ISO 27001. Saranno previsti audit di sorveglianza annuali e audit di rinnovo della certificazione.

Descrivi il processo per il monitoraggio regolare, la revisione e l'audit del servizio fornito dai tuoi fornitori terzi.

I fornitori sono soggetti alla gestione del rischio dei fornitori che include diligenza del fornitore all'atto dell'onboarding e revisioni regolari successivamente.

Separate i dati dei clienti?

Separiamo logicamente i dati. Le ACL vengono utilizzate all'interno dell'interfaccia utente di Awin per garantire che i dati siano segregati logicamente e che non possano essere accessibili o corrotti da altri clienti.

Effettuate test di penetrazion?

Sì, i test di penetrazione vengono eseguiti annualmente da una terza parte di fiducia. Abbiamo anche un Programma Bug Bounty in atto.

Avete dei controlli in atto per limitare e monitorare l'installazione di software non autorizzato sui vostri sistemi?

Tutto il software deve essere inserito tramite il processo di revisione della sicurezza delle informazioni del fornitore.

Users are provided with a library in Microsoft store of allowed apps. Any other software is installed by Internal IT after approval.

Do you use any third-party organisations as sub-processors of the personal data?

Yes, Awin uses a number of processors; a full list of processors can be shared upon request.

Agli utenti viene fornita una libreria nel Microsoft store di app consentite. Qualsiasi altro software viene installato da IT interno dopo l'approvazione.

Trasferite qualche dato al di fuori dell'UE?

Awin effettua trasferimenti al di fuori dell'UE solo quando ci sono adeguate garanzie per farlo.

Descrivi le misure tecniche e organizzative che hai adottato per proteggere i dati.

Le misure tecniche e organizzative (TOMs) di Awin includono:

  • Dare pseudomini e anonimato ai dati ovunque sia possibile (la troncatura degli indirizzi IP è stata implementata, gli indirizzi e-mail vengono criptati quando utilizzati, le informazioni sull'ID del cliente vengono trasformate con pseudomini)
  • Misure di sicurezza fisica (protezione della carta, accesso ospite limitato)
  • L'uso di diritti di accesso basati su credenziali, in cui i diritti vengono concessi su base "need-to-know". Il diritto di accesso ai dati viene concesso quando esiste un caso aziendale per cui quella persona deve avere accesso
  • Un programma di formazione obbligatorio per i dipendenti su protezione dei dati e sicurezza dei dati.

Policy aggiornate sulla sicurezza dei dati, tra cui Awin’s Business Continuity Plan, Incident Reporting Policy, Information Handling Policy.

Effettui regolarmente test/valutazioni/aggiornamenti dei TOMs?

Sì, i TOM vengono rivisti su base annuale e nell'evento improbabile di qualsiasi violazione di sicurezza o dei dati.

Criptate, anonimizzate o pseudonimizzate i dati personali per garantire che non possano essere letti da parti non intenzionate?

I dati raccolti nel corso del tracciamento sono pseudonimi (gli indirizzi IP vengono troncati, gli indirizzi e-mail utilizzati per il tracciamento tra dispositivi sono criptati per impostazione predefinita). Tutti i dati in transito sono criptati quando attraversano networks pubbliche (utilizzando la crittografia TLS o IPSec basata sugli standard industriali attuali). I dispositivi rimovibili, i laptop e i dispositivi mobili hanno abilitato la crittografia completa del disco.

Descrivi la sicurezza fisica dei tuoi edifici.

L'accesso a tutti i siti (uffici e centro dati) è controllato tramite accesso con carta magnetica. Non è permesso agli ospiti accedere a questi siti senza essere accompagnati da un membro del personale. L'accesso alle sedi del Centro Dati è limitato al personale pre-approvato all'interno dei team IT. Tutti gli accessi a queste sedi sono registrati e dotati di controlli di sicurezza fisica all'avanguardia nel settore.

Hai una protezione firewall integrata nei tuoi sistemi?

Tutti i servizi interni di Awin sono connessi a Internet tramite firewall, che proteggono i servizi da attacchi esterni, ulteriori firewall interni segregano e proteggono ulteriormente i nostri servizi. Il nostro team operativo esegue scansioni di vulnerabilità sui nostri sistemi esterni ogni settimana.

Quali misure avete adottato per limitare l'accesso ai dati?

Nell'ambito della nostra preparazione per il GDPR, abbiamo rivisto la nostra politica di controllo degli accessi e abbiamo rafforzato impegni come:

  • Le disposizioni di controllo degli accessi vengono seguite per limitare l'accesso alle strutture di Awin, alle applicazioni aziendali, ai sistemi informativi, alle networks e ai dispositivi di calcolo.
  • Tutti gli individui con accesso ai sistemi IT, ai sistemi informativi, alle applicazioni, alle networks e ai dispositivi di calcolo sono autorizzati prima che vengano loro concessi i privilegi di accesso.
  • Si dovrebbe seguire il principio del minimo privilegio.
  • Si dovrebbe considerare la separazione dei compiti.
  • L'accesso alle strutture di Awin deve essere strettamente controllato, con accesso concesso individualmente a personale autenticato e autorizzato utilizzando controlli di sicurezza fisica appropriati.
  • I diritti di accesso non possono essere concessi collettivamente o condivisi all'interno di un gruppo.
  • In generale, l'accesso ai sistemi informativi che contengono informazioni personali o confidenziali deve richiedere un'autenticazione a due fattori.

Avete in atto notifiche in caso di violazione della sicurezza?

Le violazioni sono gestite e segnalate in conformità con il nostro piano di risposta agli incidenti. In caso di violazione dei dati personali (o di divulgazione illecita di informazioni riservate), le notifiche vengono inviate alle parti interessate e/o all'autorità competente in conformità con gli obblighi legali.

Come garantite che l'autorità per la protezione dei dati venga notificata entro 72 ore in caso di violazione dei dati?

Qualsiasi violazione deve essere segnalata immediatamente al DPO di Awin. Questo è un elemento critico per garantire il rispetto della scadenza di 72 ore ed è quindi enfatizzato in tutti i corsi di formazione, materiali informativi e politiche per i dipendenti. Una volta che le informazioni sono pervenute al DPO, il DPO si occuperà della notifica all'autorità di protezione dei dati, come richiesto.

Come garantite i diritti degli individui?

Awin ha processi per garantire il rispetto dei diritti degli individui come sancito dal GDPR. Tutte le richieste devono essere indirizzate a global-privacy@awin.com dove la richiesta sarà gestita in conformità con il processo pertinente.

Tutto il tuo personale coinvolto nell'elaborazione dei dati dei clienti ha ricevuto formazione sulla Protezione dei Dati e sulla Sicurezza delle Informazioni?

Sì, forniamo sia la formazione obbligatoria sulla Privacy che sulla Sicurezza delle Informazioni durante l'assunzione dei dipendenti. Inoltre, implementiamo corsi di aggiornamento annuali. Si noti che la nostra formazione si conclude con un test finale, per garantire una conoscenza sufficiente.

Per favore, fornisci un link alla tua politica sulla privacy.

https://www.awin.com/fr/politique-de-confidentialite

Potete fornire un esempio di testo per riferirsi ad Awin nelle nostre politiche sulla privacy?

Puoi utilizzare qualsiasi formulazione della nostra politica per le tue divulgazioni.

Possiamo firmare un accordo di elaborazione dei dati come advertiser?

Sì, questo fa già automaticamente parte del tuo accordo con l'Advertiser di Affiliate marketing con Awin.

Possiamo firmare un accordo di elaborazione dei dati come publisher?

Questo non è necessario poiché tutte le disposizioni pertinenti sono già incluse nei termini del publisher, come allegati. Si prega di rivedere questi termini.

A chi posso rivolgermi per ulteriori domande?

I nostri responsabili account saranno in grado di rispondere a domande generali sulla protezione dei dati. Nel caso in cui desideri parlare direttamente con il nostro DPO, puoi inviare un'email a global-privacy@awin.com

Condividi