Конкретные шаги, которые должны предпринять маркетологи сейчас, чтобы подготовиться к CPRA CA в 2023 году


Закон Калифорнии о правах на неприкосновенность частной жизни и обеспечении соблюдения не вступит в силу еще два года, но не ждите, чтобы подготовиться.

На прошлой неделе избиратели Калифорнии приняли Предложение 24 Закона Калифорнии о правах на неприкосновенность частной жизни и обеспечении соблюдения (CPRA). Он основан на Законе о конфиденциальности потребителей Калифорнии (CCPA), который вступил в силу только в этом году. CPRA планирует заменить его в 2023 году.

Среди прочего, CPRA расширяет типы охватываемых данных (любые данные, «переданные» третьим лицам); в нем также указаны определенные категории конфиденциальной личной информации, требующие особого внимания. Это позволяет потребителям (и сотрудникам) отказаться от «технологии автоматизированного принятия решений» (машинного обучения). И он создает специальное правоприменительное агентство для обеспечения соблюдения.

Мы попросили ряд цифровых маркетологов и технологических компаний дать конкретные советы брендам, издателям и рекламодателям о том, что они могут или должны сделать сейчас, чтобы подготовиться к CPRA. Среди наших экспертов Киллиан Киран, Генеральный директор Ethyca; Саймон Поултон, Вице-президент по цифровому интеллекту в Wpromote; Кристина Поднар, Консультант по цифровой политике; Гаутаман Раготаман, Генеральный директор Aqilliz; а также Хайди Баллок, Директор по маркетингу в Tealium.

Кристина Поднар, консультант по цифровой политике и автор

Ввести / повысить прозрачность. CPRA вводит множество новых требований к использованию данных, направленных на повышение прозрачности. Это будет своего рода возвратом к GDPR для маркетологов, которые прошли адаптацию к этому правилу. Но для любого маркетолога пока не подлежат GDPR, это будет трудный подъем. Компаниям следует обратить внимание на конфиденциальность данных с помощью методов проектирования и управления. В частности, обратите внимание на минимизацию данных. Другими словами, собирайте только ту информацию, которая вам нужна для того, чтобы делать то, что вы обещаете сделать для пользователя, сообщайте пользователю, как долго вы будете хранить их данные, не выходите за рамки этого срока для собственных маркетинговых нужд и только выполняйте с данными, что вы сказали пользователю, что вы будете с ними делать. Маркетологам нужно будет начать обращать внимание на то, какие данные они собирают, для чего они их собирают и как они управляют этими данными на протяжении всего их жизненного цикла.

Покажите, что вы делаете, а что не контролируете. Большинство маркетологов, занимающихся цифровым маркетингом, не обращают внимания на достижения ИИ и машинного обучения в маркетинговом стеке, сосредотачиваясь только на интерфейсной функциональности и желаемом результате для клиентов. Это необходимо будет изменить в результате CPRA, которая теперь признает необходимость усиления регулирования в отношении этой управляемой машиной возможности. Маркетологи теперь должны будут сообщить пользователям, профилируют ли они их и предоставляют ли они рекламу и продвижение, используя эти возможности. Компаниям необходимо приспособиться к кросс-девайсному, кросс-канальному, кросс-бизнес-отслеживанию и продажам, которые существуют сегодня. Зачем? Потому что теперь пользователи CPRA могут сказать: «Не отслеживайте меня таким образом». Это должно убрать «жуткий» шум из маркетинговой системы с точки зрения пользователя. Однако это, безусловно, усложнит задачу для маркетологов и заставит больше бизнеса перейти на нулевую и первую модель данных.

Прекратите контролировать пользователей. В связи с вышеизложенным, CPRA специально ограничивает предприятия от вовлечения пользователей в любую кросс-контекстную поведенческую рекламу. Другими словами, маркетологи должны быть прозрачными и больше не могут подталкивать пользователей к услугам или продуктам пассивным способом (например, маркетологи не могут использовать темные шаблоны для сбора согласия / согласия). Задача маркетологов – переосмыслить структуры согласия, включая CMP, чтобы избежать темных шаблонов и подразумеваемых согласий, которые сегодня повсеместны.

Саймон Поултон, вице-президент по цифровому интеллекту в Wpromote

Будьте совместимы с CCPA. Поскольку CPRA не вступит в силу до 2023 года, сосредоточьтесь на соблюдении требований CCPA в ближайшем будущем (если вы еще этого не сделали). Во многих случаях CPRA расширяет то, что покрывается CCPA, поэтому соблюдение требований по-прежнему будет шагом в правильном направлении. Следует отметить, что все правила, охватываемые CPRA, будут применяться ко всем данным, собранным с 1 января 2022 года.

Обмен = Продажа. Согласно CCPA, некоторые бренды (например, Starbucks) прямо заявили, что не рассматривают обмен данными как продажу. Теперь это четко определено, и бренды должны помнить обо всех аспектах обмена данными.

Проведите инвентаризацию файлов cookie. Если вы еще этого не сделали, сейчас прекрасное время, чтобы просмотреть все файлы cookie и функции обмена данными, которые существуют на вашем веб-сайте, и каталогизировать то, что они делают. Скорее всего, вашим юридическим группам нужно будет рассмотреть их раньше, чем позже.

Киллиан Киран, основатель и генеральный директор Ethyca

Проверьте свою способность классифицировать данные, которые вы собираете, обрабатываете или храните. В CPRA есть еще много нюансов о том, как категоризируются пользовательские данные, и обработчики, включая маркетологов, должны иметь возможность незаметно обрабатывать различные категории личной информации. Очевидным примером является введение конфиденциальной личной информации (SPI). CPRA позволяет пользователям указать, что их SPI будет использоваться только для необходимой доставки товара или услуги. Это требует более детального управления потоками данных в серверных системах.

Просмотрите все контракты, независимо от того, являетесь ли вы подрядчиком или подрядчиком. CPRA требует гораздо большего уровня конкретизации в отношении ваших отношений данных с партнерами. Любой субподрядчик, используемый бизнесом, связанным с CPRA, также должен иметь возможность предлагать защиту конфиденциальности на уровне CPRA. За IAPP, «Третьи стороны, поставщики услуг или подрядчики [must] заключить соглашение, обязывающее получателя соблюдать тот же уровень защиты конфиденциальности, который предусмотрен законом, предоставляя бизнесу права принимать разумные и соответствующие меры для устранения несанкционированного использования и требуя от получателя уведомлять бизнес, если он больше не может соблюдать ».

Мы оставим вам тот, который, на первый взгляд, немного проще (хотя вам придется потратить много времени на повторное изучение данных «продажи» и «обмен данными»). Ссылку «Не продавать мою личную информацию», которую вы разместили на главной странице, измените так, чтобы она гласила: «Не продавайте и не делитесь моей личной информацией».

Гаутаман Раготаман, генеральный директор Aqilliz

Оставить сторонние данные – навсегда. Существенный пересмотр CPRA касается поправки к пункту CCPA «Не продавать», который теперь охватывает практику обмена данными, часто используемую в рамках межсайтовой поведенческой рекламы и таргетинга на аудиторию.

Для маркетологов и крупных технологических компаний, которые уже начинают бороться с надвигающимся устареванием сторонних файлов cookie, это не должно вызывать удивления. На этом этапе маркетологи уже должны изучать альтернативы ограничению использования сторонних данных для таргетинга на аудиторию. Важное значение будет иметь инвестирование в стратегическое партнерство с сетями издателей, которые начали разрабатывать собственные пулы данных или присоединились к федерациям данных. Маркетологи также должны надлежащим образом проверять партнеров-издателей, чтобы гарантировать, что данные получены на видном и этичном уровне.

Ведем счет. Как и в случае с Общим регламентом по защите данных Европейского союза, CPRA требует гораздо более строгих требований к отчетности, отражая пункт GDPR о записи операций по обработке. Фирмы будут нести ответственность за раскрытие всей собранной информации о конкретном потребителе, прямо или косвенно, независимо от того, где имел место обмен данными.

В свете этого маркетологи должны быть готовы поддержать существующие инвестиции в технологии, чтобы включить инструменты для ведения учета. Сейчас, более чем когда-либо, ключевую роль играет комплексная проверка. Наличие исторической записи данных на протяжении всего их жизненного цикла будет иметь решающее значение для обеспечения достаточной подготовки маркетологов к более строгой отчетности и раскрытию информации, требуемой в соответствии с CPRA.

Сосредоточьтесь на том, что необходимо, а не на том, что приятно иметь. CPRA также расширил сферу действия того, что он определяет как «конфиденциальную личную информацию». Помимо информации о финансовых счетах, такой как номера кредитных карт и идентификаторы, выданные государством, теперь она также расширяется и включает расовое или этническое происхождение, сексуальную ориентацию, религиозные убеждения и, что, возможно, наиболее важно, «точную геолокацию», которая является ключевой для целевой аудитории. В соответствии с CPRA потребители теперь будут иметь возможность ограничивать как использование, так и раскрытие конфиденциальной личной информации.

Поскольку маркетологи смотрят в будущее в области сегментации аудитории и таргетинга, необходимо будет внести значительные изменения. Хотя отрасль исторически упивалась мышлением об изобилии данных, маркетологам необходимо будет кардинально изменить мышление, серьезно отнеслись к минимизации данных. Чтобы обеспечить адекватные методы минимизации данных, предприятиям следует не только пересмотреть свои методы хранения данных для определения подходящего времени хранения, но также рассмотреть возможность интеграции данных, хранилища и минимизации целей в свои стратегии управления данными. Также должны быть включены варианты отказа от сбора и использования конфиденциальной личной информации. Стратегии взаимодействия с аудиторией необходимо будет пересмотреть и сделать еще один шаг вперед. Поставщики технологий и инфраструктуры также должны теперь выбираться на основе более благоприятной культуры минимизации данных.

Хайди Баллок, директор по маркетингу в Tealium

Понимайте свои данные вместе с согласием. Брендам необходимо знать точное содержание и источник своих данных, тем более что нас ждет будущее, наполненное множеством новых правил. Это включает в себя определение типов собираемых данных – от центра обработки вызовов до данных электронной почты и веб-сайтов – и того, как эти данные передаются по компании. К другим факторам, которые следует учитывать, относятся: откуда поступают данные, как они хранятся и как используются брендом. Все это необходимо делать в контексте индивидуального согласия, полученного с его помощью, в котором излагаются правила использования данных каждого человека.

Обновите политику бренда. Хорошо пересмотреть политики CCPA и убедиться, что все процессы обновлены в соответствии с новейшими правилами, включая новое право CPRA на исправления. Обеспечение того, чтобы политики согласовывались с сотрудниками и потребителями и были понятны для них, помогает поддерживать всеобъемлющее понимание конфиденциальности в рамках всего бренда.

Поддерживайте доверие потребителей. Это имеет решающее значение, особенно потому, что эти правила служат наилучшим интересам потребителей. Недавнее исследование Tealium показало, что до COVID 91% потребителей хотели, чтобы правительство штата или федеральное правительство приняло строгие правила для защиты их данных.

Признавайте новые концепции управления. CPRA теперь ограничивает время, в течение которого бренды могут хранить личную информацию в новом требовании ограничения хранения, поэтому важно учитывать этот график при сборе, использовании или обмене данными потребителей, чтобы гарантировать, что они остаются в разумных пределах. Возможность управлять данными на индивидуальном уровне в автоматическом режиме в реальном времени будет иметь решающее значение для компаний, чтобы соответствовать этим новым концепциям.

Назначьте эксперта по конфиденциальности. По мере того, как появляется все больше и больше правил, для брендов становится критически важным распределять внутренние задачи, чтобы оставаться подотчетными и организованными. Внутренние процессы так же важны, как и общение с потребителями. Специалисты по конфиденциальности, глубоко разбирающиеся в Martech, сейчас нужны как никогда, поскольку сложность одной только Martech заранее заставляла компании быть занятыми.