El impacto de GDPR en la recopilación de datos de CRO: un resumen rápido

La base para optimizar la tasa de conversión en cualquier sitio web es la recopilación y el análisis sistemáticos de los datos relacionados con los visitantes que interactúan con el sitio web.

La recopilación de datos del usuario es crucial para evaluar cómo los visitantes usan, entienden y les gustan las diferentes partes de un sitio web. Sin embargo, bajo el Reglamento General de Protección de Datos (GDPR) que fue presentado por el Parlamento Europeo en abril de 2016 y que finalmente se hizo cumplir en mayo de 2018, la recopilación y el procesamiento de datos personales en la Unión Europea se unificaron y limitaron.

En términos simples, las empresas ya no pueden recopilar y acumular datos sin una razón válida. Tampoco pueden procesar los datos como les gusta. Y finalmente, los datos ahora vienen con una fecha de vencimiento. Existe la necesidad de depurar regularmente los datos que no se utilizan para mejorar la experiencia del usuario y del cliente de manera tangible.

El objetivo del RGPD es armonizar las leyes de privacidad de datos en la Unión Europea, fortalecer los derechos de privacidad de datos de los ciudadanos de la UE y prevenir violaciones de datos. Las organizaciones que no cumplan con el RGPD pueden recibir multas de hasta el 4% de su facturación anual o hasta 20 millones de euros (lo que sea mayor).

Ya se han impuesto multas. Por ejemplo, la Oficina del Comisionado de Información (ICO) anunció una multa de £183,39 millones para British Airways debido a una violación de datos que comprometió los datos personales de 500 000 clientes y una infracción del RGPD.

Por lo tanto, el lema general bajo el RGPD es cuanto menos información personal del usuario recopile, mejor . Pero, ¿eso significa que la recopilación de datos de usuarios de ciudadanos de la UE con el fin de optimizar la tasa de conversión es imposible sin correr el riesgo de recibir fuertes multas según el RGPD?

No necesariamente.

Si recopila datos personales de un ciudadano de la UE a través de herramientas de seguimiento, cookies, software de procesamiento o programas de evaluación de datos, necesita saber qué tipo de datos se recopilan, dónde se almacenarán, cómo se procesarán y cuándo se eliminarán finalmente. . La necesidad de un cambio en la mentalidad general de las empresas y organizaciones de poseer los datos personales de las personas se intensificó en los últimos años.

La sección de portabilidad de datos personales en el RGPD establece que ninguna empresa puede ser propietaria de los datos de un individuo y que el interesado tiene derecho a compartir sus datos con otra organización. Por lo tanto, según el RGPD, las empresas y organizaciones están legalmente obligadas a obtener un acuerdo de consentimiento para recopilar y procesar datos de los visitantes de su sitio web. Además, debe escribir el formulario de consentimiento en palabras sencillas para explicar claramente por qué está recopilando los datos y para qué los va a utilizar.

A primera vista, esto suena abrumador y difícil de ejecutar a diario. Sin embargo, este artículo lo ayudará a lidiar con los requisitos de GDPR.

Además, el artículo le brindará una descripción general de lo que se considera como datos personales según el RGPD, cómo puede cumplir con el RGPD mientras recopila datos personales para fines de optimización de la tasa de conversión (CRO) y cómo el RGPD afecta las herramientas CRO comunes que son Se utiliza para optimizar sitios web.

¿Qué constituyen los datos personales?

El artículo 4 del RGPD define lo que constituyen datos personales.

Los datos personales son cualquier forma de información que puede identificar directa o indirectamente a una persona física. Una persona física es un individuo que vive en la UE. La forma más fácil de identificar a una persona es generalmente a través de su nombre completo. Pero puede haber varias personas con el mismo nombre viviendo en la UE. Sin embargo, una combinación de diferentes puntos de datos puede ser suficiente para identificar a un individuo específico. Los puntos de datos identificables podrían ser, por ejemplo, el nombre, la ubicación, la dirección de correo electrónico, la información de inicio de sesión, la dirección IP e identificadores únicos, como ID de usuario o ID de transacción.

Al leer la última sección, probablemente notó que la mayoría de las herramientas de optimización de la tasa de conversión comúnmente utilizadas recopilan y procesan los puntos de datos identificables mencionados. Pero, ¿es usted responsable de garantizar que las herramientas de procesamiento de datos de terceros cumplan con las normas de protección de datos de la UE?

Herramientas de CRO de terceros: cómo trabajar con ellas

El RGPD describe que el proceso de recopilación de datos lo llevan a cabo dos entidades diferentes: el "controlador" de datos y el "procesador" de datos. El controlador de datos decide el propósito, el alcance y la intención de los datos recopilados. Por lo tanto, los controladores de datos son los propietarios del sitio web en la mayoría de los casos. Los procesadores de datos, por otro lado, procesan los datos recopilados para cumplir con un objetivo predeterminado en nombre del controlador de datos.

Los procesadores de datos son generalmente herramientas CRO de terceros, como mapas de calor, herramientas de prueba, análisis de formularios o herramientas de prueba A/B. Antes de que se pueda utilizar cualquier herramienta de terceros, el propietario del sitio web debe aprobar un acuerdo sobre lo que se permite hacer con la herramienta de terceros en nombre del propietario del sitio web.

Eso significa que una herramienta de terceros como procesador de datos actúa como una extensión del controlador de datos.

El reglamento general de protección de datos establece que un controlador de datos es legalmente responsable de las acciones del procesador de datos. Por lo tanto, si el procesador de datos en forma de una herramienta de CRO de terceros no cumple con el RGPD, el controlador de datos a su vez también no cumple y puede enfrentar sanciones. Por lo tanto, es recomendable verificar qué tipo de datos recopilan para usted las herramientas de marketing y seguimiento que utiliza para su sitio web.

Ahora probablemente te estés preguntando: “¿Cuáles son mis responsabilidades según el RGPD? ¿Y qué medidas deben establecerse en el acuerdo entre el propietario del sitio web y la herramienta de procesamiento de datos de terceros para garantizar el cumplimiento del RGPD? La siguiente lista de verificación le brindará una descripción general rápida de los requisitos más importantes de GDPR para herramientas de terceros, así como sus propios requisitos.

Lista de verificación para los requisitos de GDPR de las herramientas de terceros

• Acuerdo de procesamiento de datos actualizado con una sección GDPR añadida
• El contrato debe indicar que solo actuarán según sus instrucciones documentadas
• La duración, el propósito, el almacenamiento y el proceso del método de procesamiento de datos.
• Los registros del consentimiento de los visitantes del sitio web deben mantenerse durante un breve período de tiempo previsto por los requisitos del RGPD
• Las medidas de seguridad de datos deben indicarse en el acuerdo de la herramienta de terceros.
• El encargado del tratamiento deberá asistir al responsable del tratamiento en los derechos del usuario a acceder a los datos almacenados, en la retirada del consentimiento prestado y en el derecho al olvido y a la supresión de determinada información.
• La herramienta de terceros debe indicar qué tipo de datos personales se recopilarán y procesarán
• En el acuerdo entre el procesador de datos y el controlador de datos, se debe incluir una sección que describa los derechos y obligaciones de cada parte.

Lista de verificación para los requisitos de GDPR de los propietarios de sitios web

• Auditoría de información: ¿Qué datos personales recopila/procesa/almacena?
• Tener una justificación legal para recopilar datos personales (Art. 6, 7-11)
• No conservar los datos más tiempo del necesario (Art.5)
• Obtener el consentimiento para recopilar datos personales y almacenar los consentimientos como prueba del consentimiento otorgado a través de una opción de suscripción activa (Art. 4)
• Cifrar y seudonimizar los datos personales siempre que sea posible (Art. 32)
• Facilite a sus clientes la retirada de su consentimiento, la recogida y la posible eliminación de sus datos recogidos (Art. 15, 17, 18, 21)
• Nombre las herramientas de terceros que tienen acceso o recopilan datos personales en su nombre
• Siga las restricciones para las transferencias de datos personales a países fuera del EEE (Art. 44-50)

Cumplimiento de GDPR: posible impacto en la experiencia y la tasa de conversión

Según el RGPD, todos los datos recopilados deben hacerlo después de adquirir el consentimiento explícito del usuario . Hay dos formas en las que esto puede ser potencialmente perjudicial para las empresas:

• Los formularios ya no pueden venir con el consentimiento incorporado (casillas previamente marcadas) y deben solicitar el consentimiento para cada tipo de procesamiento de datos por separado. En resumen, si un navegador se ha registrado en su lead magnet, no comience automáticamente a visitar su bandeja de entrada con el boletín. Esto no solo reduce la cantidad de puntos de contacto con los clientes potenciales, sino que si los formularios no se diseñan teniendo en cuenta la UX, las opciones de consentimiento pueden generar frustración y fatiga, lo que conduce a peores tasas de finalización/envío.

• Ventanas emergentes de consentimiento de cookies . Esta publicación de Convert desglosa los diferentes tipos de cookies que se pueden usar en un sitio y cómo obtener permiso para su uso del tráfico. En caso de que la cookie que tiene en mente requiera un asentimiento de los navegadores del sitio, entonces los horribles formularios de consentimiento de cookies son el camino a seguir. La mayoría de las herramientas tienen sus propios banners de consentimiento de cookies con opciones de personalización muy limitadas. Las herramientas agregadas que permiten la consolidación de los consentimientos de cookies para diferentes soluciones son inadecuadas y requieren que los usuarios hagan clic o naveguen fuera de la página existente para aceptar o rechazar.

Aunque no se ha llevado a cabo una investigación formal sobre la disminución en el tráfico, el compromiso o las tasas de cumplimiento de objetivos, antes y después del RGPD, la mayoría de las empresas han sufrido.

Sin embargo, este sufrimiento ha dado lugar a la necesidad de invertir en técnicas de optimización de la tasa de consentimiento y un mejor diseño y UX, elementos que eventualmente mejorarán la forma en que las empresas interactúan con los prospectos y los guiarán a través del ciclo de compra/consumo.

El RGPD y las leyes de privacidad de datos afines que están tomando forma en todo el mundo son pasos en la dirección hacia un futuro digital más privado y libre, pero es vital que las soluciones técnicas para la aplicación de estas leyes sean equilibradas y matizadas. para que no rompan las economías de Internet que financian las partes gratuitas y universales de la misma, que todos apreciamos y deseamos proteger.

Daniel Johannsen, CEO de Cybot, creadores de Cookiebot.

Almacenamiento, borrado y clasificación de datos personales

Otro requisito de GDPR que puede afectar la recopilación de datos para fines de CRO es el almacenamiento y procesamiento de datos personales. Esto puede ser especialmente complicado, ya que muchas herramientas de CRO almacenan datos personales y muchas partes pueden estar involucradas en el proceso de análisis de datos. Por lo tanto, depende de cuántas herramientas CRO utilice para su sitio web, pero en la mayoría de los casos es posible restringir el almacenamiento a largo plazo de datos personales en las herramientas CRO utilizadas.

La necesidad de borrar los datos recopilados y conservados por organizaciones o empresas se ha debatido durante muchos años. Según el RGPD, una persona puede solicitar que se eliminen sus datos personales sin más demora. Sin embargo, no está del todo claro cómo las organizaciones deben mostrar una prueba de la eliminación de datos, ya que esto generaría dudas sobre la privacidad de los datos y las políticas de la empresa.

Otro punto que debe abordarse es la clasificación adecuada de los datos personales. Como organización, necesita saber qué tipo de datos debe recopilar para administrar su negocio con éxito.

Las normas de recopilación de datos del RGPD describen la importancia de que las empresas solo recopilen datos personales con una justificación legal. En total, existen 6 bases legales para la recogida de datos: Consentimiento, contrato, obligación legal, intereses vitales, tarea pública e intereses legítimos. Una justificación legal común para recopilar y procesar datos personales es un interés legítimo. Esto podría ser, por ejemplo, el procesamiento de datos con fines de retargeting o marketing directo (Considerando 47). Esto también restringirá el uso no autorizado de datos personales por parte de herramientas de terceros y, por lo tanto, reducirá el riesgo de robo de datos.

Conclusión:

Los requisitos obligatorios de GDPR pueden afectar parcialmente el proceso de recopilación de datos para la optimización de la tasa de conversión. Especialmente el volumen de los datos recopilados se ve afectado por el formulario de consentimiento de "opt-in" en los sitios web. Además, las herramientas de CRO de terceros que recopilan datos para usted deben verificarse para que pueda verificar si los requisitos de GDPR más importantes están incluidos en el acuerdo, ya que usted es responsable de posibles violaciones de GDPR de terceros.

Sin embargo, en general, estos son cambios positivos que darán sus frutos en forma de interacciones más libres entre prospectos y marcas, sin el temor subyacente al mal uso de los datos. Cualquier caída en las tasas de conversión en el presente se compensará a medida que las marcas conscientes tomen el cumplimiento con calma e inviertan en el desarrollo de prácticas que se centren en hacer que el proceso de adquisición de consentimiento sea lo menos doloroso (e incluso agradable) posible.