Kantor Jaksa Agung California telah mencapai sebuah kesepakatan dengan DoorDash setelah perusahaan pengiriman makanan tersebut menjual data pelanggan tanpa pemberitahuan yang tepat atau kontrol untuk keluar. DoorDash dihukum denda sebesar $375.000 (untuk konteks, harga saham DoorDash adalah $120 dan sedikit), namun jangan menganggap ini hanya sekali dan selesai. Analisis lebih mendalam terhadap kesepakatan tersebut menimbulkan pertanyaan penting mengenai data pihak kedua.
Dalam inti kasus DoorDash adalah koperasi pemasaran. Keluhan asli menyatakan bahwa DoorDash adalah anggota dari dua koperasi pemasaran, dengan siapa DoorDash berbagi nama-nama pelanggan, alamat, dan riwayat pesanan sehingga anggota koperasi lain dapat memasarkannya kepada mereka. DoorDash terdeteksi setelah seorang pelanggan mengeluh di media sosial bahwa dia menerima surat langsung yang ditujukan ke “sebuah alias yang dia gunakan hanya dengan DoorDash […] Dia dengan sengaja menggunakan alias untuk melindungi privasinya, terutama untuk menyembunyikan alamat rumahnya yang sebenarnya […]”.
DoorDash harus memperbarui kebijakan privasi untuk mengungkapkan nama-nama dan deskripsi dari setiap koperasi pemasaran yang diikuti dan memberikan konsumen kemampuan untuk melaksanakan hak “jangan bagikan atau jual data saya”. Meskipun terdengar mudah, ada tiga hal penting yang harus diperhatikan bagi pemasar B2C:
1. Definisi yang luas dari “penjualan” akan tetap ada bagi penduduk California. Penyelesaian dengan Sephora mengklarifikasi bahwa jaksa agung mendefinisikan penjualan dengan lebih luas daripada hanya “pertukaran uang”, dan kasus DoorDash memperkuat hal tersebut. Meskipun perusahaan adtech secara historis berargumen bahwa mereka tidak menjual data karena mereka tidak dibayar sebagai pertukaran untuk file data, regulator California memiliki pandangan yang berbeda.
2. Persetujuan bukanlah latihan “atur dan lupakan”. Koperasi pemasaran, dan perjanjian berbagi data pihak kedua secara umum, biasanya bergantung pada asumsi bahwa data telah “disetujui”. Orang-orang telah memilih menjadi pelanggan DoorDash dan dengan demikian menyediakan informasi pribadi mereka untuk melakukan pemesanan. Namun di bawah hukum California, mereka juga memiliki hak untuk mencabut persetujuan data mereka untuk dibagikan atau dijual. Perlu diperhatikan bahwa ini tidak hanya unik untuk California: Setiap undang-undang privasi negara bagian AS mencakup hak untuk keluar dari penjualan data. Namun negara bagian mendefinisikan penjualan secara berbeda, mulai dari definisi Iowa sebagai “pertukaran data pribadi untuk pertimbangan moneter” hingga Montana, yang memperluas itu untuk termasuk “pertimbangan moneter atau berharga lainnya”. (Inilah mengapa kita membutuhkan undang-undang privasi federal). Jangan terjebak dalam berpikir bahwa satu bentuk persetujuan mencakup semua kasus penggunaan anda di semua yurisdiksi.
3. Jangan kehilangan fokus atas siapa yang memiliki akses kepada data pihak pertama Anda, bahkan dalam sebuah koperasi. Meskipun ingin melakukannya, DoorDash tidak dapat memenuhi permintaan konsumen untuk keluar dari penjualan karena tidak mengetahui siapa di dalam koperasi yang mengakses datanya. Lebih buruk lagi, setidaknya satu pialang data dalam koperasi menjual data DoorDash kepada sejumlah mitra yang tidak diketahui. Model koperasi pemasaran tidak diatasi dalam penyelesaian akhir, meninggalkan pertanyaan yang belum terpecahkan. Pemasar yang menggunakan koperasi saat ini harus mengevaluasi kemampuan mereka untuk memproses dan menyebarkan permintaan opt-out serta seberapa transparan mereka terhadap siapa yang telah mengakses data mereka, kapan, dan kontrol apa yang mereka miliki untuk mencegah penjualan kembali.
Tahun 2024 akan menjadi tahun yang sibuk, dengan lebih banyak denda dan investigasi. Jaksa agung California sudah menyoroti layanan streaming sebagai area fokus, dan Komisi Perdagangan Federal juga telah sibuk: Baru-baru ini mereka melarang perusahaan antivirus Avast dari menjual data penjelajahan pengguna dan dikabarkan sedang bersiap untuk melarang penggabungan Kroger-Albertsons, yang akan berdampak pada jaringan media ritel mereka. Bersiaplah untuk tahun yang sibuk lagi di depan privasi.
Tulisan ini ditulis oleh Analis Senior Stephanie Liu dan awalnya muncul di sini.