Análisis profundo de GDPR: qué hacer con las cookies

Todas las cookies parecen funcionar más o menos igual. Pequeño archivo web, almacenado por un usuario, rastrea la actividad, etc. etc.

Pero algunos son más "privados" que otros.

Y ahora, más que nunca, eso marcará la diferencia en su estrategia de marketing.

El camino hacia el cumplimiento de GDPR y ePrivacy está lleno de baches. Requiere que sus procesadores de datos confíen en la "privacidad por diseño" y que pidan consentimiento si están usando CUALQUIER dato personal. Eso significa cualquier identificador personal. Eso significa cookies, direcciones IP o códigos postales.

En Convert, queríamos asegurarnos de que no se almacenaran datos personales en nuestros sistemas y que ninguna persona fuera identificada con el uso de cookies. Era la única forma de mantener el equilibrio entre el crecimiento empresarial, el conocimiento estratégico y la privacidad personal de los visitantes del sitio web.

Porque, ¿alguna vez se preguntó qué sucedería cuando necesita solicitar un consentimiento explícito para su herramienta de prueba A/B?

Si para que su software funcione, todos y cada uno de los usuarios de su sitio web deben dar su consentimiento para las pruebas A/B.

¿Cómo explicarías eso claramente? ¿De modo convincente?

¿Y cuántos de tus usuarios crees que darían el visto bueno?

Proveedores de software: si desea salvar su negocio, es hora de rediseñar sus aplicaciones

La UE nos dio pautas claras sobre cómo se deben manejar las cookies en GDPR, incluso sin las nuevas Regulaciones de privacidad electrónica vigentes.

Realmente queremos compartir un mensaje claro con nuestros visitantes de la web: nos preocupamos por su privacidad.

Y para hacer eso, espero, tendremos que cancelar el 20% de las 72 herramientas de software que usamos.

SOLO por falta de claridad sobre la privacidad. O la falta de funciones ajustadas al RGPD. O la falta de voluntad para gestionar los datos de nuestros clientes, prospectos y otras relaciones, de forma transparente.

El Considerando 30 del RGPD establece:

Las personas físicas pueden estar asociadas a identificadores en línea proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores como etiquetas de identificación por radiofrecuencia.

Esto puede dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden usarse para crear perfiles de las personas físicas e identificarlas.

Así que no quieren ningún identificador único . Ni siquiera en las cookies, y seguramente tampoco en los datos personales.

Pruebas A/B previas al RGPD con la Directiva de privacidad electrónica y las versiones localizadas en Europa

La ley actualmente vigente, la Directiva de privacidad electrónica (que pronto será reemplazada por las nuevas Regulaciones de privacidad electrónica) nos ayuda a comprender en qué tipo de cookies se basa el software de prueba A/B. Son cookies de rendimiento:

Probar variaciones de diseño, generalmente usando pruebas A/B o multivariadas, para garantizar que se mantenga una apariencia uniforme para el usuario del sitio en las sesiones actuales y posteriores. Si se ajustan a esta descripción, son cookies de rendimiento.

Estas cookies recopilan información sobre cómo los visitantes usan un sitio web, por ejemplo, qué páginas visitan los visitantes con más frecuencia y si reciben mensajes de error de las páginas web. Estas cookies no recopilan información que identifique a un visitante. Toda la información que recopilan estas cookies es agregada y, por lo tanto, anónima. Solo se utiliza para mejorar el funcionamiento de un sitio web.

Estas cookies no deben utilizarse para redireccionar anuncios; si lo son, deben colocarse en la categoría de cookies de orientación y cookies publicitarias de acuerdo con la guía de cookies ICC UK, segunda edición, noviembre de 2012 [PDF] .

Las cookies en el "segmento de rendimiento" solo recopilan información sobre el uso del sitio web en beneficio del operador del sitio web. Se basan en datos agregados. No "identifican directamente a un visitante". El consentimiento para el uso de este tipo de cookies se puede obtener, por ejemplo, en los términos y condiciones del sitio, o cuando el usuario cambia la configuración del sitio.

El método correcto para usar aquí dependerá de la naturaleza del sitio web y la función precisa de las cookies involucradas. Pero en la mayoría de los casos, podemos obtener el consentimiento con las palabras: "Al usar nuestro [sitio web] [servicio en línea], usted acepta el uso de este tipo de cookies en su dispositivo".

Aunque la nueva ley (Regulaciones de privacidad electrónica) es diferente, la Directiva de privacidad electrónica de la ley anterior/actual nos ayuda a comprender dónde se encontraba el software de prueba A/B cuando se podían colocar cookies sin el consentimiento del usuario. Podríamos hacer nuestro trabajo con normalidad, siempre que brindemos información clara al usuario final.

Cada país puede tener una descripción ligeramente diferente, pero en general, Europa estuvo de acuerdo con las pruebas A/B. Ayudó al rendimiento del sitio web (si no lo usó para la personalización y la orientación por comportamiento. Y no compartió la información con otros ni realizó un seguimiento del sitio web).

Después de GDPR, ¿necesitamos consentimiento para las pruebas A/B?

Curiosamente, PageFair descubrió que solo el 21 % de los consumidores optaría por el seguimiento analítico propio.

Esto significaría que ⅕ del tráfico actual aceptaría análisis si estuviera dentro de los parámetros de consentimiento.

Entonces, ¿necesitará consentimiento para su herramienta de prueba A/B?

Lo más probable es que sí, necesitaría consentimiento si su software de prueba A/B depende de la dirección IP, identificadores únicos como ID de dispositivo, ID de usuario, ID de transacción, ID de cookie o datos seudónimos (es decir: datos irreconocibles + una clave almacenada en otro lugar, para que sea legible). otra vez). Estos, según el RGPD, son identificadores únicos y requieren suscripciones explícitas.

Entonces, ¿cuándo necesita comenzar con el consentimiento explícito? ¿Cuándo cambia la Directiva de privacidad electrónica a las Regulaciones de privacidad electrónica?

Advertencia: Palabras latinas y términos legales.

El Reglamento de privacidad electrónica es el "principe lex specialis derogat legi generali" o, en resumen, "lex specialis" del RGPD.

En lenguaje sencillo, esto significa: si el RGPD y la privacidad electrónica están en desacuerdo, o si el RGPD establece una directriz que necesita más especificaciones, las reglas establecidas en la privacidad electrónica son las que debe seguir.

En este momento solo tenemos un borrador (nombres 1533) del Reglamento de privacidad electrónica en debate. Todavía necesita ver los comentarios de los delegados miembros de la UE, por lo que no refleja exactamente lo que pronto se convertirá en ley.

Un pronóstico "optimista": Gabriela Zanfir-Fortuna, asesora de políticas del Future of Privacy Forum, dice que espera una fecha de aprobación de ePrivacy hacia fines de 2018. En cuanto a la fecha de implementación, realmente no tenemos idea.

De manera menos optimista, también sugirió que la regulación de privacidad electrónica "probablemente requerirá un cumplimiento adicional". Y, Alex Propes (Director de la Oficina de Publicidad Interactiva (IAB) de Políticas Públicas) ha dicho "que las organizaciones solo pueden apuntar a GDPR en este momento".

Daniel Felz, asociado de Alston & Bird, comparte una opinión aún más deprimente: “Las negociaciones tripartitas sobre la regulación de la privacidad electrónica se retrasaron hasta el otoño de 2018; Es posible que la regulación final de privacidad electrónica no esté vigente hasta 2020”. En una conferencia patrocinada por la Sociedad Federal Alemana para la Protección de Datos, se informó que una portavoz del Ministerio de Economía de Alemania afirmó que las negociaciones tripartitas no comenzarán hasta el otoño de 2018.

Aparentemente, los Estados miembros de la UE todavía están discutiendo una serie de preguntas abiertas con respecto a cuestiones de regulación de privacidad electrónica.

Mientras tanto, obviamente, sigue en vigor la actual Directiva de privacidad electrónica (Directiva 2002/58/EC del Parlamento Europeo y del Consejo de 12 de julio de 2002), que es una cuestión de legislación nacional.

Así que fue mucha ley lo que me lanzaste. ¿Qué significa para mi negocio?

El RGPD es claro: no hay datos personales sin consentimiento. Y si está esperando que ePrivacy se presente con una laguna, es posible que tenga que esperar mucho.

Entonces, si su software de prueba A/B depende de datos personales: dirección IP, identificadores únicos como ID de dispositivo, ID de usuario, ID de transacción, ID de cookie o datos seudónimos (esos son datos irreconocibles + clave en un lugar diferente para que vuelva a ser legible), entonces eso es personal datos.

Sigue siendo clave incluir datos e identificadores en línea, como cookies y muchos otros, en su estrategia GDPR. Independientemente de dónde y cómo, el texto será adaptado por futuras discusiones de delegados.

La antigua Directiva de privacidad electrónica le obligaba a implementar un aviso de "muro de cookies", y solo se enfocaba en las empresas europeas.

Ahora GDPR se aplica a todos los que tocan los datos de la UE, en todo el mundo. Y los datos personales se definen para incluir todo tipo de nuevos identificadores.

Pero la antigua directiva ePrivacy dice algo más. Dice "para este tipo de datos, solo necesita un aviso y la oportunidad de optar por no participar".

Así que bienvenido a un vacío legal.

La gran pregunta es: ¿será multado dentro de esa zona gris?

Y la respuesta es: ¿quieres arriesgarte?

A las autoridades de privacidad les va a costar muchísimo implementar el RGPD. Y es posible que las nuevas leyes de privacidad electrónica no se pongan en marcha hasta 2019, o incluso 2020.

Por lo tanto, no espero grandes multas el 25 de mayo, si su muro de cookies básico todavía está activo.

Pero está claro que finalmente, las leyes están cambiando. Y van a seguir cambiando, a medida que avanzamos hacia un mundo en el que los datos valen más y los interesados ​​exigen más.

Así que empecemos ahora.