Controles de Dados, Processadores de Dados e Contratos de Processamento de Dados
Escrito por Larissa Olival em 4 minutos de leitura
Antes que seja possível entender suas obrigações sob o GDPR, é importante entender se você é um controlador de dados ou um processador de dados.
Isso ocorre porque os controladores têm muito mais a fazer quando se trata de conformidade com o GDPR. Sob GPDR processadores terão suas próprias obrigações diretas, mas estes são muito menos do que para os controladores. Atualmente, os controladores precisam obrigar contratualmente os processadores a tratar os dados de uma determinada maneira, mas o GDPR agora declara explicitamente exatamente o que esse contrato deve conter.
O que é um controlador de dados e o que é um processador de dados?
Então, como você sabe se você é um controlador ou um processador?
Tudo se resume a tomada de decisão. Você será um controlador se você determinar:
- Por que os dados devem ser processados
- Como deve ser processado para atingir a finalidade prevista, ou ambos.
Processadores, por outro lado, nunca decidem por que processar dados, eles deixam isso para o controlador que os instruiu. Os processadores podem tomar decisões limitadas sobre como proceder para o processamento de dados para as finalidades determinadas pelo controlador, mas estas só podem ser decisões "não essenciais".
Isso significa que as decisões essenciais devem sempre ser deixadas para o controlador, incluindo decisões sobre quais dados processar para atingir o propósito do controlador ou o modelo econômico do objetivo perseguido.
Um fator principal a ter em mente é que os papéis são alocados com base em fatos.
Não é possível entrar em um contrato que diz, por exemplo, “X será controlador, Y será processador” e certifique-se de que este será o caso. Se, de fato, Y tiver tomado decisões sobre quais dados processar para os propósitos de X, Y terminará no papel de controlador conjunto ao lado de X. Se Y decidir processar os dados para seus próprios propósitos, eles serão um único controlador para esse novo propósito.
Quem é quem no marketing de afiliação?
No marketing de afiliados, o anunciante é sempre um controlador porque somente o anunciante pode decidir "por que" processar dados; somente o anunciante pode decidir, por exemplo, "Vamos fazer um marketing on-line e pagar comissões com base em CPA".
Mas e as redes e afiliados? Eles são processadores ou controladores conjuntos com o anunciante?
A posição da Awin é que a Awin é uma controladora conjunta com o anunciante, juntamente com os afiliados. Existe, de fato, uma relação de controladora articular dividade em três partes.
Isso ocorre porque Awin decidiu o modelo econômico, e tanto Awin quanto os afiliados decidem quais dados serão processados para exibir a campanha de marketing de afiliados do anunciante.
Isso ocorre pelo modo como as transações são rastreadas, consultadas e relatadas.
Como chegamos a essa conclusão?
Pensamos que essa conclusão é a unica que reflete com precisão sobre como as coisas funcionam na prática.
Digamos que, se Awin ou afiliados tentassem trabalhar dentro das restrições de um processador de dados, eles teriam que obter qualquer novo processamento de dados aprovado por cada anunciante respectivo antecipadamente todas as vezes. Eles não podem tomar essas decisões por si mesmos.
Do ponto de vista de um afiliado, há também uma questão de quando eles começariam a processar em nome do anunciante do controlador. Os afiliados já são controladores de dados processados para adquirir seus próprios usuários do site; só eles decidiram o propósito separado "Vamos obter algum tráfego para que eles possam ver os anúncios que publicamos".
Se os afiliados fossem processadores para anunciantes, em que ponto da jornada do consumidor para, ao redor e depois para longe do site do afiliado, o papel muda? Isso varia por anúncio, muito menos por afiliado ou por modelo de afiliado.
O que isso significa para os afiliados?
O benefício disso é que a Awin não exige que os afiliados entrem em contratos de processamento de dados.
No entanto, estamos adicionando novos termos ao nosso contrato de afiliado padrão para que possamos entender com clareza qual controlador em conjunto é responsável pelo que. Esses termos abrangem, por exemplo, como a Awin e os afiliados lidarão com consultas de consumidores sobre dados, ou como eles lidarão com uma violação de dados, caso isso aconteça.
Esclarecendo essas responsabilidades, evita que os afiliados e Awin sejam responsabilizados pelas violações de GDPR um do outro.
Isso também significa que, como um controlador, os afiliados precisarão cumprir mais as obrigações do GDPR. No entanto, os afiliados já precisam fazer isso ao processar dados para seus próprios fins. A consequência é que eles também precisarão aplicar essas obrigações aos dados processados para indicar um consumidor a um anunciante.
O principal benefício é que, na rede Awin, desde que seja feito de acordo com o GDPR e os acordos ou termos relevantes, os afiliados podem decidir por si mesmos como processar dados ao direcionar o tráfego para os anunciantes.