Login

GDPR, ePrivacy & Awin

33 minutos de leitura

O GDPR foi uma oportunidade única em uma geração para repensar as leis
de proteção de dados em toda a Europa.

Partilhar

Two people in office, informing themselves about GDPR and ePrivacy guidelines provided by Awin

Para as empresas que trabalham dentro das indústrias digitais, é crucial que elas compreendam as complexidades do GDPR e ePrivacy. Neste whitepaper, tentamos explicar as implicações para o marketing de afiliados e oferecer orientação prática para afiliados e anunciantes.

Awin & o GDPR
GDPR em resumo
O quadro completo com ePrivacy
Como o GDPR impacta a indústria de marketing de afiliados?
Preparação da Awin para o GDPR
Uso de dados pessoais
Dados do consumidor
Controlador de dados ou processador?
Mas e quanto às redes e aos afiliados? Eles são processadores ou controladores conjuntos com o anunciante?
Como isso difere das posições de outras redes?
Quais são as disposições de privacidade da Awin?
Interesse legítimo e teste de equilíbrio
Por que não consentir?
Respeitando o consentimento
A Diretiva ePrivacy
Então, por que estamos falando sobre Consentimento de Cookies novamente?
Como o GDPR impacta o Consentimento de Cookies?
Então, como o Consentimento de Cookies e o Consentimento de Dados são diferentes?
Como isso impacta a maneira como os afiliados e anunciantes trabalham com a Awin?
A posição da Awin em resumo
O que tudo isso significa se eu sou um anunciante ou afiliado trabalhando com a Awin?
Onde posso encontrar mais informações?

Awin & o GDPR

O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor em 25 de maio de 2018. Representou uma mudança significativa na forma como os dados pessoais são regulados na UE, substituindo um quadro legal existente que não previa o rápido aumento do uso de dados pessoais por empresas que se tornou comum nos últimos 20 anos ou mais.

O GDPR representou uma mudança significativa na forma como os os dados pessoais são regulados na UE.

No período que antecedeu a entrada em vigor do GDPR, todas as redes de marketing de afiliados e plataformas SaaS realizaram sua própria diligência prévia e buscaram orientação jurídica sobre sua posição legal para o processamento de dados e como acreditam se encaixar no ecossistema de anunciante/editor.

Porque não há consistência em como as redes de afiliados usam os dados, ainda não há consenso, o que inevitavelmente pode criar confusão dentro da indústria. Este documento procura esboçar a lógica por trás da posição da Awin e nossas expectativas das empresas com as quais nos associamos.

1. GDPR em resumo

O GDPR, incluindo o UK GDPR, foi projetado para capacitar os consumidores da UE/Reino Unido e consagrar seus direitos sobre como seus dados são usados. Para as indústrias digitais, isso assume uma importância ainda maior porque a definição do que é considerado dado pessoal foi ampliada para incluir qualquer coisa que possa identificar um indivíduo, mas que não seja necessariamente identificável pessoalmente de forma explícita. Portanto, enquanto um endereço de e-mail é obviamente um dado pessoal, o escopo também inclui identificadores pseudônimos, como um endereço IP ou ID de pedido.

Para processar esses dados, as empresas precisam escolher uma base legal, das quais existem seis. Para algumas atividades é óbvio, mas para muitas empresas de marketing digital, elas normalmente escolhem entre 'consentimento' ou 'interesse legítimo'. Falaremos mais sobre isso mais tarde.

A privacidade por design exige que as empresas repensem fundamentalmente como desenvolvem novas ferramentas e tecnologias, garantindo que a privacidade e os controles de dados sejam parte do DNA de atualizações e lançamentos

A minimização de dados exige que as empresas rastreiem apenas os dados de que precisam para realizar a função de processamento descrita.

Além disso, o treinamento de funcionários e a nomeação de indivíduos dedicados à fiscalização são duas considerações importantes

Além da base legal, também existem alguns princípios fundamentais consagrados no GDPR.

O não cumprimento das regras pode resultar na sanção máxima; multas significativas.

O GDPR, portanto, tem um alcance amplo e abrangente. Mas além desta legislação, as regras existentes sobre marketing digital, consagradas nas leis dos estados membros que implementam a Diretiva ePrivacy, também devem ser consideradas em profundidade.

2. O panorama completo com o
ePrivacy

A Diretiva ePrivacy (ou ePrivacy, para abreviar), concede às pessoas direitos específicos de privacidade em relação às comunicações eletrônicas, sendo a área mais significativa para o marketing de afiliados o uso de cookies e tecnologias similares. No Reino Unido, essas regras estão estabelecidas no PECR, as Regulamentações de Privacidade e Comunicações Eletrônicas. Aqui, nos referiremos à Diretiva ePrivacy para manter a consistência

A Diretiva ePrivacy complementa as leis gerais de proteção de dados e estabelece direitos de privacidade mais específicos sobre comunicações eletrônicas. Há complexidade em entender o que ePrivacy significa para a Awin e qualquer empresa que opera na UE, que decorre da natureza da lei.

Enquanto o GDPR, como o próprio nome indica, é um regulamento e, como tal, é diretamente aplicável como está, o ePrivacy em sua forma atual é apenas uma diretiva, deixando a implementação a cargo dos estados membros. O texto final da lei ePrivacy foi, portanto, determinado pelos estados membros individuais e, como resultado, os requisitos em torno de cookies (e tecnologias similares) estão sujeitos a diferentes requisitos em toda a Europa.

Portanto, embora o GDPR seja adotado universalmente, o ePrivacy está sujeito à interpretação local.

Essa incerteza jurídica será resolvida assim que a tão esperada Regulação ePrivacy entrar em vigor, até lá, no entanto, as empresas que operam em várias jurisdições devem considerar a busca de orientação local para garantir a conformidade.

Para adicionar uma camada adicional de confusão, o GDPR e o ePrivacy não podem ser interpretados isoladamente.

Em algumas jurisdições, o ePrivacy pode exigir o consentimento ao nível do GDPR para cookies (independentemente de se os dados pessoais são ou não coletados por meio desse cookie). Tentamos fazer uma distinção clara entre os dois ao abordar o consentimento de dados e o consentimento de cookies abaixo.

Portanto, embora este guia seja destinado a abordar o impacto do GDPR no marketing de afiliados, também faremos referências ao ePrivacy para lidar com a regulamentação de dados em sua totalidade.

3. Como o GDPR impacta a indústria de marketing de afiliados?

O aumento do escopo e da aplicação do GDPR a tipos de dados pessoais significou que, dependendo do contexto, certos tipos de dados que podem ter sido anteriormente não regulamentados pelas leis de privacidade, passaram a ser sujeitos à regulamentação. Isso inclui IDs de dispositivos, ID de membro cashback, números de referência do cliente e outros identificadores técnicos. Além disso, o GDPR impõe requisitos mais rigorosos para a obtenção do consentimento do usuário para o processamento de dados pessoais.

É importante notar que, em sua forma mais pura e em relação aos serviços específicos da Awin, a natureza dos dados pessoais processados para o marketing de afiliados é não sensível e amplamente técnica.

Compare o canal com outros que usam dados pessoais para construir perfis de consumidores para direcionar através de anúncios; normalmente, o marketing de afiliados não se envolve com técnicas de remarketing ou programáticas.

No entanto, algumas marcas trabalharão com afiliados que executam esse tipo de atividade em uma base CPA através do canal de afiliados e, em alguns casos, a publicidade comportamental e outras formas de marketing baseadas em desempenho, que dependem fortemente do perfil do usuário para o envio de publicidade direcionada, estão sujeitas a maiores obrigações regulatórias.

Algumas outras redes de afiliados usam dados gerados pelos afiliados para construir perfis para serviços de personalização e remarketing. Portanto, eles podem sentir que precisam de uma base legal diferente do interesse legítimo para fazer isso, o que por sua vez carrega diferentes obrigações regulatórias às quais os afiliados devem aderir.

Portanto, os afiliados inevitavelmente se encontrarão em uma posição onde as obrigações de uma rede são diferentes das de outra. Quando o GDPR entrou em vigor pela primeira vez em março de 2018, as redes de afiliados, lideradas pela Awin, tentaram criar um consenso na indústria ao se reunirem para concordar com uma abordagem consistente. Embora isso não tenha sido possível, todos os participantes concordaram em colocar seu nome em uma declaração da indústria.

A recomendação da Awin para os afiliados é entrar em contato com todas as redes com as quais estão trabalhando e entender claramente quais são os requisitos de privacidade dessas redes e por quê.

4. Preparação da Awin para o GDPR

Um dos principais impactos do GDPR foi que todas as empresas foram obrigadas a examinar seus usos de dados pessoais no contexto do escopo, princípios e direitos fornecidos pelo GDPR. A Awin realizou essa avaliação no decorrer de uma detalhada Avaliação de Impacto à Privacidade (AIP). A AIP da Awin tem vários objetivos, entre outros para:

  1. Crie uma visão detalhada de todos os dados coletados no decorrer das atividades de rastreamento da Awin
  2. Avalie se a Awin atua como controladora ou processadora em relação a esses dados
  3. Avalie o propósito e a base legal de cada atividade de processamento
  4. Realize um 'teste de equilíbrio' onde o interesse legítimo foi identificado como a base legal do processamento.*
  5. Identifique as salvaguardas necessárias para proteger os dados
  6. Minimize o uso de dados pessoais sempre que possível

*Este teste é usado para avaliar se as suposições da Awin ao escolher o interesse legítimo são válidas.

Ao interpretar a posição da Awin sob o GDPR, é importante entender como a Awin processa dados pessoais e qual o impacto disso na privacidade dos indivíduos.

5. Uso de dados pessoais

No curso regular de seus negócios, a Awin processa dados das seguintes categorias de indivíduos:

  1. Afiliado, anunciante e pessoal do fornecedor
  2. Afiliados onde o afiliado é um indivíduo
  3. Consumidores cujas compras são rastreadas pela Awin

Para os propósitos deste artigo, detalharemos apenas a atividade de rastreamento através da qual os dados pessoais são processados em relação aos consumidores. Isso ocorre porque todas as outras atividades de processamento são realizadas apenas para administrar negócios e, de acordo com as diretrizes regulatórias, esses dados são considerados improváveis de resultar em um alto risco para os indivíduos.

6. Dados do consumidor

A Awin usa principalmente dados do consumidor para rastreamento. O rastreamento permite à Awin entender a jornada online de um consumidor em sites específicos após visualizar ou clicar em um anúncio. O objetivo do rastreamento é atribuir vendas e esforços de marketing de um afiliado a uma transação específica, para permitir que os anunciantes recompensem os afiliados por transação. O rastreamento também permite que a Awin forneça relatórios relacionados a afiliados e anunciantes.

O Rastreamento Entre Dispositivos permite que a Awin entenda a jornada do consumidor quando ela começa em um dispositivo, com uma transação sendo concluída em outro.

Para realizar o rastreamento, a Awin usa cookies de domínio de rastreamento, tags de jornada e impressões digitais de dispositivos. Aqui está uma breve explicação de como essas tecnologias funcionam:

  • Rastreamento de cookies de domínio:Cookies servidos pelo domínio Awin quando um consumidor clica em um anúncio exibido em um serviço de afiliado.
  • Etiquetas de viagem: Código JavaScript integrado no site do anunciante, para permitir que a Awin receba informações de transações.
  • Identificação de dispositivo: Método pelo qual a Awin é capaz de identificar unicamente um dispositivo ao considerar certos atributos (incl. tamanho/resolução da tela e configurações do usuário).

O Rastreamento entre Dispositivos faz uso dos cookies do domínio de rastreamento e da tag de jornada, da mesma forma, e para os mesmos propósitos, que o rastreamento. Além disso, o Rastreamento entre Dispositivos desenvolve perfis de consumidores pseudônimos, que são então usados para associar vários dispositivos a um único consumidor.


Todos os dados que a Awin usa para rastreamento são pseudônimos, não sensíveis, em grande parte técnicos e não relacionados ao comportamento, ou previsões ou avaliações de interesse do consumidor ou personalidades.

7. Controlador ou processador de dados?

Toda empresa que lida com dados deve decidir qual papel desempenha no processamento desses dados.
Esta é uma consideração importante porque existem diferentes implicações com base no papel desempenhado. Decidir se você é um 'controlador' ou 'processador' de dados está logicamente ligado ao que você faz com os dados rastreados e as decisões que você toma sobre eles.

Você será um controlador se determinar:

  • Por que os dados devem ser processados; e/ou
  • Como deve ser processado para alcançar o objetivo pretendido.

Processadores, por outro lado, nunca decidem por que processar dados, eles deixam isso para o controlador que os instruiu. Os processadores podem tomar decisões limitadas sobre como proceder com o processamento de dados para os fins determinados pelo controlador, mas essas só podem ser decisões 'não essenciais'.

Isso significa que decisões essenciais devem sempre ser deixadas para o controlador, incluindo decisões sobre quais dados processar para alcançar o objetivo do controlador ou o modelo econômico do propósito perseguido.

A principal coisa a se ter em mente é que os papéis são atribuídos com base em fatos.

Não é possível firmar um contrato que diga, por exemplo, "X será o controlador, Y será o processador", se, na prática, Y tem tomado decisões sobre quais dados processar para os propósitos de X; neste caso, Y acabará no papel de controlador conjunto ao lado de X. Se Y decide processar dados para seus próprios fins, eles serão um controlador único para esse novo propósito.

No marketing de afiliados, o anunciante é sempre um controlador porque apenas o anunciante pode decidir 'por que' processar dados; apenas o anunciante pode decidir, por exemplo "Vamos fazer algum marketing online e pagar comissões em uma base CPA".

8. Mas e quanto às redes e aos afiliados? Eles são processadores ou controladores conjuntos com o anunciante?

A posição da Awin é que a Awin é um controlador conjunto com o anunciante, juntamente com os afiliados. Na verdade, existe uma relação de controle conjunto entre todas as três partes.

Isso ocorre porque a Awin decidiu o modelo econômico, e tanto a Awin quanto os afiliados decidem quais dados processar para entregar a campanha de marketing de afiliados do anunciante.

Isso ocorre devido à maneira como as transações são rastreadas, consultadas e relatadas.

Acreditamos que esta conclusão é a única que reflete com precisão como as coisas funcionam na prática.

Se, digamos, a Awin ou os afiliados tentassem trabalhar dentro das restrições de um papel de processador de dados, eles precisariam obter a aprovação de cada anunciante respectivo com antecedência todas as vezes. Eles não podem tomar essas decisões por conta própria; isso parece tanto impraticável quanto inviável.

9. Como isso difere das posições de outras redes?

Algumas redes escolheram uma posição de processador de dados, o que significa que elas não precisam determinar uma base legal para o processamento de dados e, portanto, são incapazes de determinar uma base legal para seus afiliados.

Eles podem optar por garantir que os anunciantes envolvam os afiliados diretamente para garantir que não sejam responsáveis por qualquer possível violação de dados por um afiliado, removendo-se diretamente da relação afiliado/anunciante.

Um dos desafios adicionais de ser um processador de dados é o impacto potencial na sua capacidade de tomar decisões sobre o desenvolvimento futuro dos seus serviços e tecnologia.

Por exemplo, a Awin precisaria informar aos anunciantes se entrássemos em um acordo de processamento de dados com eles, que eles não poderiam fazer uso de correções de bugs, atualizações, upgrades ou recursos adicionais dos produtos ou serviços da Awin até que o anunciante instruísse a Awin por escrito para fazer isso.

É importante lembrar que a interpretação da Awin sobre a posição de processador/controlador difere de outras redes. Tendo buscado aconselhamento jurídico, estamos confiantes de que nossa posição reflete o status correto.

Essencialmente, acreditamos que as seguintes declarações delineiam nossa posição de controlador:

  1. Os anunciantes não decidem o que rastrear. Eles escolhem uma rede, mas a rede decide como a tecnologia funciona e quais dados são utilizados. Sem este status, uma rede nunca seria capaz de implementar qualquer nova tecnologia sem obter um novo acordo de processador de cada parceiro.
  2. As redes determinam o modelo econômico.
  3. As redes instruem os anunciantes, como por exemplo, a manter o rastreamento ativo e funcionando.

O marketing direto pode ser feito com um único dado (como um endereço de e-mail). ). Isso torna possível para o controlador dizer ao processador/negócio de marketing direto, "envie e-mails para esta lista de endereços de e-mail".O marketing de afiliados é mais complexo, o que torna inviável garantir que o anunciante dê todas as instruções a todos os seus editores.

10. Quais são as disposições de privacidade da Awin?

Como controladores conjuntos, as partes respectivas são obrigadas a entrar em um acordo no qual os papéis e responsabilidades de todos os jogadores são definidos. Em contraste com os acordos de processamento de dados onde uma parte atua como controladora e a outra como processadora, as partes têm mais liberdade para determinar a forma e o conteúdo do acordo e não são obrigadas a incluir as obrigações de nível GDPR de um processador.

Para anunciantes, a Awin fornece um aditamento de processamento de dados de controlador conjunto ao contrato do anunciante que aborda especificamente o processamento de dados necessário para os serviços da Awin.

Para os afiliados, os termos de processamento de dados estão contidos em anexos ao nosso contrato padrão de afiliado, para que fique claro qual parte é responsável pelo quê. Esses termos cobrem, por exemplo, como a Awin e os afiliados lidarão com consultas de consumidores sobre dados, ou como eles lidarão com uma violação de dados, caso isso ocorra.

Ao deixar essas responsabilidades claras, ajuda a prevenir que anunciantes, afiliados e Awin sejam responsáveis pelas violações de cada um ao GDPR.

Isso também significa que, como controladores, os afiliados precisarão cumprir mais obrigações do GDPR. No entanto, todas as partes envolvidas já precisam fazer isso ao processar dados para seus próprios fins. A consequência é que agora também precisarão aplicar essas obrigações aos dados processados ao atrair clientes para um anunciante.

O principal benefício é que na rede Awin, se for feito de acordo com o GDPR e os acordos ou termos relevantes, as partes podem decidir por si mesmas como processar os dados. Acreditamos fortemente que este é o caso de qualquer maneira e as autoridades nos considerariam controladores conjuntos. Ao criar uma obrigação contratual que corresponde à realidade factual, todos devem estar claros sobre quais obrigações devem assumir sob o GDPR.

Finalmente, ao decidir nossa posição, consideramos como as autoridades de dados provavelmente categorizarão a Awin e seus anunciantes e afiliados.

11. Interesse legítimo e teste de equilíbrio

Como controladora, a Awin é obrigada a justificar o processamento de dados pessoais antes que seja considerado legal. Existem seis bases legais sob as quais isso pode ser feito:

  • Consentimento
  • Contrato
  • Obrigação legal
  • Interesse vital
  • Funções públicas

  • Interesse legítimo

Ao avaliar o interesse legítimo da Awin, os interesses de todo o ecossistema de afiliados foram levados em conta.

Em seguida, foi realizado um teste de equilíbrio no qual foi confirmado que o rastreamento apresenta um risco muito baixo de impacto negativo indevido nos interesses ou direitos e liberdades fundamentais dos titulares dos dados.

Isso significa que a Awin não dependerá do consentimento individual como base legal para o processamento de dados pessoais sob o GDPR, como parte de seus serviços de rastreamento.

12. Por que não consentir?

É inicialmente importante afirmar que ainda há muita confusão em torno do consentimento.

Isso se deve em parte porque não há consenso na indústria sobre o tópico, mas principalmente porque, além do consentimento do GDPR, também existe consentimento relacionado à atual Diretiva ePrivacy.

Essas leis são separadas, mas também coexistem. No contexto de privacidade de dados, pense no GDPR como sendo amplo e abrangente em todos os aspectos da regulamentação de dados pessoais. Em contraste, o ePrivacy está especificamente preocupado com o marketing direto e as funções de rastreamento online, como o uso de cookies ou tecnologias similares.

Inevitavelmente, há alguma sobreposição que surge porque os cookies geralmente contêm dados pessoais, mas é um erro assumir que cookies e dados pessoais são a mesma coisa.

Sob o GDPR, existem muitas maneiras de processar legalmente dados pessoais sem depender do consentimento de dados e, de fato, é justo dizer que o consentimento de dados é a base legal menos conveniente e mais onerosa para o processamento de dados.

Sob a Diretiva ePrivacy, o consentimento para cookies é sempre necessário para definir cookies, a menos que os cookies sejam estritamente necessários para fornecer um serviço solicitado pelo indivíduo. Portanto, afiliados de cashback e recompensas, por exemplo, podem não precisar do consentimento para cookies de afiliados porque os cookies de afiliados são necessários para que um serviço baseado em cashback ou recompensas funcione.

Obter consentimento para dados não é sem seus desafios. Ao fazer isso, a experiência do usuário no local pode ser negativamente impactada e o indivíduo pode se recusar a consentir de qualquer maneira.

Quando os dados pessoais são processados com base no consentimento de dados, o indivíduo recebe maiores direitos de dados, que precisarão ser respeitados no futuro. Além disso, o consentimento de dados deve ser gerenciado e registrado com um determinado nível de detalhe. Adicionalmente, não se pode negar um serviço ou conteúdo aos consumidores e usuários porque eles se recusaram a dar consentimento de dados, a menos que o serviço dependa desse consentimento de dados.

Talvez o mais importante, para obter o consentimento de dados válido, o indivíduo deve receber informações suficientes para tomar uma decisão informada.

Porque a Awin é uma rede de afiliados, usamos dados pessoais limitados para rastrear referências para sites de anunciantes, as transações consequentes e nossos relatórios, mas nunca reutilizamos esses dados para criar perfis de usuários comportamentais ou para outros fins de marketing. Também não coletamos nenhum outro dado para:

  1. Construindo perfis comportamentais de usuários
  2. Comportamentalmente direcionando
  3. Marketing para quaisquer outros fins

Para serem realizados de forma legal, esses tipos de processamento tendem a exigir um consentimento de dados, pois são percebidos como tendo um maior impacto na privacidade dos indivíduos. Ao evitar esse tipo de processamento, a Awin pode confiar no interesse legítimo para justificar seu processamento e evitar a necessidade de consentimento de dados de afiliados ou anunciantes para rastrear transações legalmente.

Isso se aplica ao processamento de dados pessoais à medida que os indivíduos navegam do site do afiliado para os sites do anunciante, através de nossos domínios, rastreando a confirmação da transação e o subsequente relatório disponível na interface do usuário.

13. Respeitando o consentimento

É importante considerar que se um controlador escolher o consentimento como base legal, ele pode não ser capaz de usar outra base legal caso o consentimento se prove problemático de se obter.

De acordo com as Diretrizes do Grupo de Trabalho do Artigo 29 sobre consentimento sob o Regulamento 2016/679:

Se o consentimento for escolhido como base legal para qualquer parte do processamento, o controlador deve respeitar isso e interromper essa parte do processamento se um indivíduo retirar o consentimento.

Acrescenta-se, "Enviar a mensagem de que os dados serão processados com base no consentimento, enquanto na verdade se baseia em outra base legal, seria fundamentalmente injusto para os indivíduos. Em outras palavras, o controlador não pode mudar do consentimento para outras bases legais. Por exemplo, não é permitido utilizar retrospectivamente a base de interesse legítimo para justificar o processamento, onde foram encontrados problemas com a validade do consentimento."

Devido à necessidade de divulgação prévia de uma base legal, um controlador deve decidir antecipadamente qual das seis bases será adotada.

14. A Diretiva ePrivacy

Desde que a Diretiva ePrivacy foi implementada nas leis nacionais em toda a UE, todos são obrigados a obter o consentimento para cookies ao configurar cookies.

A Awin exige que os afiliados obtenham consentimento para cookies de acordo com nossos termos com os afiliados desde 2012. Isso é para garantir que os afiliados cumpram essas regras, mas também para obter consentimento para os cookies da Awin, em nome da Awin. Isso é típico de redes como a nossa, que não têm uma oportunidade natural ou conveniente para interagir com indivíduos para obter consentimento para cookies.

15. Então, por que estamos falando sobre Consentimento de Cookies novamente?

O consentimento de cookies voltou a ser discutido nos últimos anos porque, na maioria dos estados membros da UE, as leis que implementam a Diretiva de Privacidade Eletrônica se baseiam na definição de consentimento nas leis locais de dados para a definição de consentimento de cookies.

Portanto, quando o GDPR substituiu as leis locais de dados, a definição usada para o consentimento de cookies também foi substituída.

Isso é significativo porque o padrão de consentimento necessário para o GDPR é maior do que em algumas leis de dados locais pré-existentes e isso foi ainda mais esclarecido na jurisprudência e nas orientações emitidas desde que o GDPR entrou em vigor.

16. Como o GDPR impacta o Consentimento de Cookies?

O resultado é que obter o consentimento para cookies agora é mais complexo. A diferença específica é que, como o consentimento para cookies deve ser inequívoco, a abordagem comum de usar o consentimento implícito não é suficiente. O consentimento para cookies também deve ser dado antes que os cookies sejam configurados.

Para obter um consentimento válido de cookie sob a nova definição de consentimento, o indivíduo deve fazer algo ativo para indicar sua concordância. Você certamente está familiarizado com ferramentas universais de consentimento ou plataformas de gerenciamento de consentimento (CMPs); tecnologia que apresenta uma mensagem quando um usuário chega a um site e solicita permissão para rastrear a atividade do consumidor no site.

A maioria dos operadores de sites, incluindo afiliados e anunciantes, usam tais ferramentas de consentimento para obter consentimento para os cookies servidos em seu site, incluindo os cookies da Awin ao trabalhar na plataforma Awin.

17. Então, como o Consentimento de Cookies e o Consentimento de Dados são diferentes?

Porque os cookies são inerentemente menos complicados do que todas as coisas que podem ser feitas com dados pessoais, cumprir com os padrões de consentimento aumentados é muito mais fácil ao obter consentimento para cookies do que ao obter consentimento para dados.

Isso ocorre porque há menos para explicar ao indivíduo, menos obrigações de manutenção de registros e menos direitos adicionais para oferecer ao indivíduo.

O risco de conformidade também é menor, porque as enormes multas trazidas pelo GDPR não se aplicam ao consentimento de cookies, ao contrário dos consentimentos de dados usados para cookies.

Embora as leis que implementam a Diretiva ePrivacy dependam do GDPR para a definição de consentimento, elas ainda têm suas próprias multas e penalidades para não conformidade.

18. Como isso impacta a maneira como os afiliados e anunciantes trabalham com a Awin?

Obter o consentimento de cookies continua sendo necessário pela Awin para seus afiliados e anunciantes, tanto para obter o consentimento de cookies para si mesmos quanto para os cookies da Awin.

Também revisamos a conformidade dos afiliados e anunciantes com esses requisitos e pedimos que obtenham o consentimento do cookie corretamente se parecer para nós que eles não estão.

No entanto, a Awin não determina como o consentimento para cookies deve ser obtido.

A Awin oferece uma ferramenta de consentimento que pode ser usada para consentimento de cookies, mas também estamos felizes em permitir que afiliados e anunciantes usem outras ferramentas de consentimento, ou obtenham consentimento válido de outras maneiras.

Reconhecemos que o GDPR não é simples, especialmente para pequenos afiliados ou anunciantes, e tentamos minimizar os encargos de conformidade para nossos parceiros da maneira que for possível.

Uma maneira é justificar nosso processamento de dados com base em interesse legítimo, então não precisamos pedir aos afiliados ou anunciantes para obter qualquer consentimento de dados para nós. Isso não é uma opção para o consentimento de cookies; se um operador de site não precisa definir o cookie para entregar um serviço solicitado por um indivíduo, o consentimento do cookie não pode ser evitado.

19. A posição da Awin em resumo

A Awin é um controlador conjunto com anunciantes e a maioria dos afiliados.

Isso elimina a necessidade de assinar acordos de processamento de dados.

Isso dá à rede a flexibilidade para desenvolver novas tecnologias e decidir a base para futuras atualizações e lançamentos de tecnologia.

A Awin está usando o interesse legítimo como base legal para o processamento de dados.

A Awin não exige que seus parceiros busquem consentimento para o GDPR.

A Awin exige que todos os anunciantes e afiliados busquem o consentimento válido de cookies em conformidade com as leis de dados aplicáveis.

Afiliados e anunciantes são livres para obter consentimento da maneira que acharem melhor, no entanto, a Awin oferece uma ferramenta de consentimento fácil de instalar.

20. O que tudo isso significa se eu sou um anunciante ou afiliado trabalhando com a Awin?

Como uma empresa que opera sob o GDPR, você tem certas obrigações como controlador. Além disso, ao trabalhar com a Awin, você tem algumas tarefas para garantir que o rastreamento de afiliados seja realizado de forma legal em seu site. Criamos uma lista de verificação com as coisas mais importantes a considerar:

  • Verifique se você precisa se registrar junto à sua autoridade local de proteção de dados;
  • Atualize seus termos e condições e política de privacidade, se necessário;
  • Entre em acordos ou arranjos com todas as terceiras partes com quem você processa dados;
  • Certifique-se de ter permissões para contato onde as pessoas possam entrar em contato com você para questões relacionadas à privacidade;
  • Certifique-se de que você tem uma base legal para todas as atividades de processamento;
  • Obtenha consentimento para cookies onde a ePrivacy exige que você faça isso e certifique-se de que seu mecanismo de consentimento cobre todas as suas atividades.

21. Onde eu posso saber mais?

A Awin possui um hub GDPR, encontrado aqui.

Perguntas frequentes da Awin sobre proteção de dados e segurança

Ao longo dos últimos anos, vimos um aumento constante no número de consultas que recebemos sobre nossas atividades de processamento de dados. As perguntas variam desde a conformidade com o GDPR até consultas mais técnicas sobre segurança de dados. Abaixo, listamos as perguntas mais frequentes de ambos, anunciantes e afiliados.

A Awin está em conformidade com o GDPR?

Como uma empresa sediada e operando na Europa e lidando com dados pessoais diariamente, a conformidade com o GDPR é fundamental para o negócio da Awin. A Awin passou por uma Avaliação de Impacto de Privacidade para garantir a conformidade com o GDPR e implementou uma série de salvaguardas para garantir a conformidade contínua. A Awin está monitorando continuamente orientações e decisões legais e está comprometida em garantir que todas as suas operações permaneçam em conformidade à luz de quaisquer desenvolvimentos.

Faça vocês têm um encarregado de proteção de dados designado? Como podemos contatá-los?

Sim, a Awin nomeou um encarregado de proteção de dados. Você pode entrar em contato com o DPO em global-privacy@awin.com.

Quais dados pessoais você captura, armazena ou processa no decorrer do rastreamento?

Os dados que a Awin usa para rastreamento são pseudônimos, não sensíveis, em grande parte técnicos e não relacionados ao comportamento, ou previsões ou avaliações de interesse do consumidor ou personalidades.

Um cookie de rastreamento, por exemplo, coletaria os seguintes dados:

  • Data do Cookie
  • Data de Expiração do Cookie

  • Endereço IP (truncado)

  • IP Hash
  • GeoIP
  • ID do Anunciante
  • ID do afiliado
  • ID do Banner
  • ID do Grupo
  • ID do Produto
  • Referência de Clique / Rede
  • Referenciador

  • ID do Afiliado Sobrescrito

  • Platforma

A Awin coleta algum dado pessoal sensível?

Não, a Awin não coleta nenhum dado sensível durante o rastreamento ou administração de seus negócios com anunciantes, afiliados e fornecedores. A Awin pode coletar dados sensíveis de seus funcionários quando exigido por lei.

Qual é o fluxo de dados que a Awin rastreia?

Onde você armazena fisicamente esses dados?

Dentro da UE/UK.

Para hospedar o aplicativo e os dados, você utiliza os serviços de um host ou de um provedor de nuvem?

Sim, Equinix (Londres/Slough) que são nossos centros de dados co-localizados. Provedores de nuvem: AWS

(Irlanda e Frankfurt, Alemanha) e Azure (Amsterdã).

Por quanto tempo você armazena os dados? Você tem processos para deletar automaticamente os dados?

A Awin retém dados de acordo com sua política de retenção. A menos que especificado de outra forma na política (e permitido por lei), os dados pessoais são excluídos após 36 meses. Implementamos rotinas de exclusão automatizadas para garantir que os dados sejam excluídos após o término do período de retenção aplicável.

Você possui certificação ISO 27001?

Em fevereiro de 2022, passamos com sucesso pela auditoria de Fase 2 da certificação de avaliação ISO 27001 contra os sistemas e serviços dentro do escopo, por auditores independentes da BSI, e em março a certificação ISO 27001 foi obtida. Auditorias de vigilância anuais e auditorias de recertificação serão implementadas.

Descreva o processo para monitoramento regular, revisão e auditoria do serviço fornecido pelos seus fornecedores terceirizados.

Os fornecedores estão sujeitos à gestão de risco do fornecedor, que inclui a devida diligência do fornecedor ao embarcar e revisões regulares a partir de então.

Você separa os dados do cliente?

Separados logicamente os dados. ACLs são usadas na Interface de Usuário Awin para garantir que os dados estejam segregados logicamente e que não possam ser acessados ou corrompidos por outros clientes.

Você realiza testes de penetração?

Sim, testes de penetração são realizados por uma terceira parte de boa reputação anualmente. Nós também temos um Programa de Recompensa por Bugs em vigor.

Você possui controles para restringir e monitorar a instalação de softwares não autorizados em seus sistemas?

Todo o software precisa ser integrado através do processo de revisão de Segurança da Informação do Fornecedor.

Os usuários recebem uma biblioteca na Microsoft Store de aplicativos permitidos. Qualquer outro software é instalado pelo IT interno após aprovação.

Você utiliza alguma organização terceirizada como sub-processadora dos dados pessoais?

Sim, a Awin utiliza vários processadores; uma lista completa de processadores pode ser compartilhada mediante solicitação.

Esses provedores de serviço passaram por revisões de privacidade e segurança da informação e um acordo de processamento de dados está em vigor quando necessário.

Você transfere algum dos dados para fora da UE?

A Awin realiza transferências fora da UE apenas quando existem salvaguardas adequadas para isso.

Por favor, descreva as medidas técnicas e organizacionais que você tem em vigor para proteger os dados.

As medidas técnicas e organizacionais (TOMs) da Awin incluem:

  • Pseudonimizando e anonimizando dados sempre que possível (a truncagem de endereços IP foi implementada, os endereços de e-mail são codificados quando utilizados, as informações de ID do cliente são pseudonimizadas)
  • Medidas de segurança física (proteção de cartão, acesso restrito a convidados)
  • O uso de direitos de acesso baseados em credenciais, onde os direitos são concedidos com base na necessidade de saber. O direito de acessar dados é concedido quando há um caso de negócio para que essa pessoa tenha acesso.
  • Um programa de treinamento obrigatório para funcionários sobre proteção de dados e segurança de dados.

Políticas atualizadas sobre segurança de dados, incluindo o Plano de Continuidade de Negócios da Awin, Política de Relatório de Incidentes, Política de Manuseio de Informações, etc.

Você testa/avalia/atualiza regularmente os TOMs?

Sim, os TOMs são revisados anualmente e no improvável evento de qualquer violação de segurança ou de dados.

Você criptografa, anonimiza ou pseudonimiza dados pessoais para garantir que eles não possam ser lidos por partes não intencionadas?

Os dados coletados durante o rastreamento são pseudônimos (endereços IP são truncados, endereços de e-mail usados para rastreamento entre dispositivos são criptografados por padrão). Todos os dados em trânsito são criptografados ao atravessar redes públicas (utilizando criptografia TLS ou IPSec com base nos padrões industriais atuais). Dispositivos removíveis, laptops e dispositivos móveis têm criptografia de disco completa ativada.

Por favor, descreva a segurança física dos seus edifícios.

O acesso a todos os sites (escritórios e centro de dados) é controlado por acesso por cartão-chave. Visitantes não têm permissão para acessar esses sites sem a companhia de um membro da equipe. O acesso aos locais do Centro de Dados é limitado ao pessoal pré-aprovado dentro das equipes de TI. Todo o acesso a esses locais é registrado e possui controles de segurança física líderes do setor.

Você tem proteção de firewall integrada aos seus sistemas?

Todos os serviços internos da Awin estão conectados à internet por firewalls, que protegem os serviços contra-ataques externos, internamente os firewalls adicionais segregam e protegem ainda mais nossos serviços. Nossa equipe de operações realiza varreduras de vulnerabilidade em nossos sistemas externos toda semana.

Quais medidas você tem em vigor para limitar o acesso aos dados?

Como parte de nossa preparação para o GDPR, revisamos nossa política de controle de acesso e reforçamos compromissos como:
• As disposições de controle de acesso são seguidas para restringir o acesso às instalações da Awin, aplicações de negócios, sistemas de informação, redes e dispositivos de computação.
• Todos os indivíduos com acesso a sistemas de TI, sistemas de informação, aplicações, redes e dispositivos de computação são autorizados antes de lhes serem concedidos privilégios de acesso.
• O princípio do mínimo privilégio deve ser seguido.
• A separação de funções deve ser considerada.
• O acesso às instalações da Awin deve ser estritamente controlado, com acesso concedido individualmente a pessoal autenticado e autorizado usando controles de segurança física apropriados.
• Os direitos de acesso não podem ser concedidos coletivamente ou compartilhados dentro de um grupo.
• Em geral, o acesso a sistemas de informação que contêm informações pessoais ou confidenciais deve exigir autenticação de dois fatores.

Você tem notificações de violação de segurança em vigor?

Violações são tratadas e relatadas de acordo com nosso plano de resposta a incidentes. Em caso de violação de dados pessoais (ou divulgação ilegal de informações confidenciais), notificações são feitas às partes impactadas e/ou autoridade relevante, em conformidade com as obrigações legais.

Como você garante que a autoridade de proteção de dados seja notificada dentro de 72 horas em caso de violação de dados?

Qualquer violação precisa ser relatada ao DPO da Awin imediatamente. Este é um elemento crítico para garantir que o prazo de 72 horas seja cumprido e, portanto, é enfatizado em todos os treinamentos, materiais informativos e políticas para os funcionários. Uma vez que a informação chegou ao DPO, o DPO cuidará da notificação à autoridade de proteção de dados, conforme necessário.

Como você garante os direitos dos indivíduos?

A Awin possui processos para garantir o cumprimento dos direitos dos indivíduos, conforme estabelecido no GDPR. Todas as solicitações devem ser encaminhadas para global-privacy@awin.com onde o pedido será processado de acordo com o processo relevante.

Todos os seus funcionários envolvidos no processamento de dados do cliente receberam treinamento sobre Proteção de Dados e Segurança da Informação?

Sim, nós fornecemos treinamento obrigatório sobre Privacidade e Segurança da Informação ao integrar novos funcionários. Além disso, implementamos treinamentos de reciclagem anuais. Note que nosso treinamento é concluído com um teste no final, para garantir conhecimento suficiente.

Por favor, forneça um link para a sua política de privacidade.

https://www.awin.com/gb/privacy

Você pode fornecer um exemplo de texto para referir-se à Awin dentro de nossas políticas de privacidade?

Você pode usar qualquer redação de nossa política para os fins de suas divulgações.

Podemos assinar um acordo de processamento de dados como anunciante?

Sim, isso já faz parte automaticamente do seu acordo de anunciante de marketing de afiliados com a Awin.

Podemos assinar um acordo de processamento de dados como um afiliado?

Isso não é necessário, pois todas as disposições relevantes já estão incluídas nos termos do afiliado, como anexos a esses termos. Por favor, revise esses termos.

Para quem posso recorrer se tiver mais perguntas?

Nossos gerentes de conta poderão responder a perguntas gerais sobre proteção de dados. Caso você queira falar diretamente com nosso DPO, você pode enviar um email para global-privacy@awin.com

Partilhar

Artigos Relacionados

Awin e a Lei Europeia GDPR

A Awin sempre levou as obrigações de proteção de dados a sério e continuará dando importância para esse fator no novo quadro jurídico europeu.