• Pagina inicial
  • Artigos
  • SEO
  • Passos concretos que os profissionais de marketing devem tomar agora para se preparar para o CPRA da CA em 2023

Passos concretos que os profissionais de marketing devem tomar agora para se preparar para o CPRA da CA em 2023

Publicados: 2020-11-19

Na semana passada, os eleitores da Califórnia aprovaram a Proposta 24, a Lei de Direitos e Execução de Privacidade da Califórnia (CPRA). Ele se baseia na Lei de Privacidade do Consumidor da Califórnia (CCPA), que só entrou em vigor este ano. O CPRA está programado para substituí-lo em 2023.

Entre outras coisas, o CPRA expande os tipos de dados cobertos (quaisquer dados “compartilhados” com terceiros); também descreve categorias específicas de informações pessoais confidenciais que requerem atenção especial. Ele permite que os consumidores (e funcionários) optem pela “tecnologia de tomada de decisão automatizada” (aprendizado de máquina). E cria uma agência de fiscalização dedicada para garantir a conformidade.

Pedimos a vários profissionais de marketing digital e empresas de tecnologia que oferecessem conselhos concretos para marcas, editores e anunciantes sobre o que eles poderiam ou deveriam fazer agora para se preparar para o CPRA. Nossos especialistas incluíram Cillian Kieran , CEO da Ethyca; Simon Poulton , VP de Inteligência Digital da Wpromote; Kristina Podnar , consultora de política digital; Gowthaman Ragothaman , CEO da Aqilliz; e Heidi Bullock , CMO da Tealium.

Kristina Podnar, consultora de política digital e autora

Apresente / aumente a transparência. CPRA apresenta uma série de novos requisitos em torno do uso de dados com o objetivo de aumentar a transparência. Isso será um retrocesso do GDPR para os profissionais de marketing que passaram por uma adaptação para esse regulamento. Mas, para qualquer profissional de marketing que ainda não esteja sujeito ao GDPR, essa será uma colina difícil de escalar. As empresas devem começar a prestar atenção à privacidade de dados nas práticas de design e governança. Especificamente, preste atenção à minimização de dados. Em outras palavras, apenas colete as informações de que você precisa para fazer as coisas que você diz que fará pelo usuário, diga ao usuário por quanto tempo você manterá seus dados, não se estenda além desse período para suas próprias necessidades de marketing e apenas faça com os dados o que você disse ao usuário que faria com eles. Os profissionais de marketing precisarão começar a prestar atenção a quais dados coletam, por que os coletam e como gerenciam esses dados em todo o seu ciclo de vida.

Mostre o que você faz e não controla. A maioria dos profissionais de marketing digital ignora os avanços de IA e ML na pilha de marketing, focando apenas na funcionalidade de front-end e no resultado desejado para a experiência do cliente. Isso precisará mudar como resultado do CPRA, que agora reconhece a necessidade de maior regulamentação em torno dessa capacidade acionada por máquina. Os profissionais de marketing agora precisarão informar aos usuários se eles estão traçando seu perfil e veiculando anúncios e promoções usando esses recursos. As empresas precisam se ajustar ao rastreamento e vendas entre dispositivos, canais e negócios que já existem hoje. Por quê? Porque sob o CPRA, os usuários agora podem dizer "não me rastreie dessa maneira". Isso deve remover o ruído “assustador” do sistema de marketing da perspectiva do usuário. No entanto, certamente tornará mais difícil para os profissionais de marketing e fará com que mais negócios migrem para um modelo de dados zero e original.

Pare de controlar os usuários. Com relação ao acima exposto, o CPRA limita especificamente as empresas de envolver os usuários em qualquer publicidade de comportamento em contexto cruzado. Em outras palavras, os profissionais de marketing precisam ser transparentes e não podem mais empurrar os usuários para serviços ou produtos de maneira passiva (por exemplo, os profissionais de marketing não podem usar padrões obscuros para coletar acordo / consentimento). A tarefa aqui é que os profissionais de marketing repensem as estruturas de consentimento, incluindo CMPs, para evitar padrões obscuros e consentimentos implícitos que são onipresentes hoje.

Simon Poulton, VP de Inteligência Digital da Wpromote

Seja compatível com CCPA. Como o CPRA não entrará em vigor até 2023, concentre-se em ser compatível com o CCPA no futuro imediato (se ainda não estiver). Em muitos casos, o CPRA expande o que é coberto pelo CCPA, portanto, a conformidade aqui ainda será um passo na direção certa. Deve-se observar que todas as regulamentações cobertas pelo CPRA serão aplicadas a todos os dados coletados a partir de 1º de janeiro de 2022.

Compartilhando = vendendo. De acordo com o CCPA, algumas marcas (por exemplo, Starbucks) declararam explicitamente que não viam o compartilhamento de dados como uma venda. Isso agora está claramente definido e as marcas devem estar cientes de todos os pontos de compartilhamento de dados.

Faça um inventário de seus cookies. Se ainda não o fez, agora é um ótimo momento para revisar todos os cookies e funções de compartilhamento de dados que existem em seu site e catalogar o que eles fazem. É provável que suas equipes jurídicas precisem revisá-los mais cedo ou mais tarde.

Cillian Kieran, fundador e CEO da Ethyca

Reveja sua capacidade de categorizar os dados que você coleta, processa ou armazena. Há muito mais nuances no CPRA sobre como os dados do usuário são categorizados, e os processadores - incluindo profissionais de marketing - precisam ser capazes de tratar diferentes categorias de informações pessoais discretamente. Um exemplo óbvio é a introdução de informações pessoais confidenciais (SPI). O CPRA permite que os usuários designem que seu SPI seja usado apenas para a entrega essencial de um bem ou serviço. Isso requer controle mais refinado para fluxos de dados em sistemas back-end.

Reveja todos os contratos, seja você o empreiteiro ou o contratado. O CPRA requer um nível muito maior de especificidade em relação aos relacionamentos de dados com parceiros. Qualquer subcontratado usado por uma empresa vinculada ao CPRA também deve ser capaz de oferecer proteções de privacidade no nível do CPRA. De acordo com o IAPP, "terceiros, prestadores de serviços ou contratados [devem] entrar em um acordo vinculando o destinatário ao mesmo nível de proteção de privacidade conforme previsto na lei, concedendo aos negócios direitos de tomar as medidas cabíveis e adequadas para remediar o uso não autorizado, e exigindo que o destinatário notifique a empresa se não puder mais cumprir. ”

Vamos deixá-lo com um que é, na superfície, um pouco mais simples (embora você precise gastar muito tempo reexaminando “vendas” versus “compartilhamento” de dados). O link “Não venda minhas informações pessoais” que você colocou na página inicial, altere-o para ler: “Não venda ou compartilhe minhas informações pessoais”.

Gowthaman Ragothaman, CEO da Aqilliz

Deixando dados de terceiros - para sempre. Uma revisão significativa no CPRA diz respeito à alteração da cláusula “Do Not Sell” do CCPA, que agora cobre a prática de compartilhamento de dados, muitas vezes aproveitada como parte da publicidade comportamental entre sites e segmentação de público.

Para profissionais de marketing e grandes empresas de tecnologia, que já estão começando a lidar com a obsolescência iminente de cookies de terceiros, isso não deve ser nenhuma surpresa. Nesse estágio, os profissionais de marketing já devem estar explorando alternativas para limitar o uso de dados de terceiros para segmentação de público. Investir em parcerias estratégicas com redes de editores que desenvolveram seus próprios pools de dados próprios ou ingressar em federações de dados será essencial. Os profissionais de marketing também devem examinar adequadamente os parceiros editores para garantir que os dados sejam obtidos de maneira ética e visível.

Manter a contagem. Semelhante ao Regulamento Geral de Proteção de Dados da União Europeia, o CPRA exige requisitos de relatórios muito mais rigorosos, refletindo a cláusula do GDPR no Registro de Atividades de Processamento. As empresas serão responsáveis ​​por divulgar todas as informações coletadas sobre um determinado consumidor, direta ou indiretamente, independentemente de onde ocorreu o compartilhamento de dados.

Diante disso, os profissionais de marketing devem estar preparados para apoiar os investimentos existentes em tecnologia para incorporar ferramentas de manutenção de registros. Agora, mais do que nunca, a devida diligência será a chave. Ter um registro histórico dos dados ao longo de todo o seu ciclo de vida será crucial para garantir que os profissionais de marketing estejam suficientemente preparados para os relatórios e divulgações mais rigorosos exigidos pelo CPRA.

Focando no que é necessário, em vez do que é bom ter. O CPRA também ampliou o escopo do que define como "informações pessoais confidenciais". Além das informações de contas financeiras, como números de cartão de crédito e identificadores emitidos pelo governo, agora também se expande para incluir origem racial ou étnica, orientação sexual, crenças religiosas e, talvez o mais significativo, "geolocalização precisa", que é fundamental para a segmentação do público. Sob o CPRA, os consumidores agora terão a capacidade de limitar o uso e a divulgação de informações pessoais confidenciais.

Conforme os profissionais de marketing olham para o futuro dos esforços de segmentação e direcionamento de público, mudanças significativas precisam ser feitas. Embora a indústria tenha historicamente se revelado em uma mentalidade de abundância de dados, os profissionais de marketing precisarão fazer uma mudança crucial no pensamento levando a minimização de dados a sério. Para garantir práticas adequadas de minimização de dados, as empresas não devem apenas reexaminar suas práticas de retenção de dados para tempos de retenção apropriados, mas também considerar a integração de dados, armazenamento e minimização de propósito em suas estratégias de gerenciamento de dados. Opções de exclusão para a coleta e uso de informações pessoais confidenciais também devem ser incluídas. As estratégias de engajamento do público precisarão ser redefinidas e dar um passo adiante. Os fornecedores de tecnologia e infraestruturas também devem agora ser selecionados com base em uma melhor habilitação de uma cultura de minimização de dados.

Heidi Bullock, CMO da Tealium

Compreenda seus dados juntamente com o consentimento. As marcas precisam saber o conteúdo exato e a fonte de seus dados, especialmente porque enfrentamos um futuro repleto de inúmeras novas regulamentações. Isso inclui identificar os tipos de dados que estão sendo coletados - do call center aos dados de e-mail e site da Web - e como esses dados fluem pela empresa. Outros fatores a serem considerados incluem a origem dos dados, como são armazenados e como estão sendo usados ​​pela marca. Tudo isso precisa ser feito no contexto do consentimento individual coletado com ele, que estabelece as regras de como os dados de cada pessoa podem ser usados.

Atualize as políticas da marca. É bom revisar as políticas do CCPA e garantir que todos os processos sejam atualizados para cumprir os regulamentos mais recentes, incluindo o novo direito de correção do CPRA. Garantir que as políticas ainda estejam alinhadas e sejam claras para funcionários e consumidores ajuda a manter uma compreensão abrangente da privacidade em toda a marca.

Mantenha a confiança do consumidor. Isso é fundamental, especialmente porque essas regulamentações são do interesse dos consumidores. Um estudo recente da Tealium descobriu que, antes do COVID, 91% dos consumidores queriam que o governo estadual ou federal adotasse regulamentações rígidas para proteger seus dados.

Reconhecer novos conceitos de governança. CPRA agora limita o tempo que as marcas podem reter informações pessoais em um novo requisito de limitação de armazenamento, portanto, é importante considerar esse cronograma ao coletar, utilizar ou compartilhar dados do consumidor para garantir que permaneçam dentro de uma janela razoável. A capacidade de controlar os dados em um nível individual de maneira automatizada e em tempo real será crítica para que as empresas cumpram esses novos conceitos.

Designe um especialista em privacidade. À medida que mais e mais regulamentações surgem, torna-se crucial para as marcas atribuir tarefas internamente para permanecerem responsáveis ​​e organizadas. Os processos internos são tão importantes quanto as comunicações voltadas para o consumidor. Especialistas em privacidade com profundo conhecimento da Martech são agora mais necessários do que nunca, já que a complexidade da Martech por si só mantinha as empresas ocupadas de antemão.