Cómo elegir una herramienta de prueba A/B compatible con la privacidad (nuestra guía para optimizadores alemanes)

Los consumidores están ganando más conciencia y control sobre su información personal, a medida que las leyes de privacidad entran en vigor en todo el mundo. La UE, por ejemplo, aprobó el histórico Reglamento General de Protección de Datos (GDPR) en 2018, para endurecer las regulaciones de privacidad de datos y California hizo cumplir la Ley de Privacidad del Consumidor de California (CCPA) en 2020.

Las empresas de pruebas A/B ahora están tomando medidas adicionales para cumplir con estas nuevas reglas. Por ejemplo, muchos solicitan el consentimiento de los usuarios antes de agregarlos a una lista de correo, brindan declaraciones y divulgaciones de privacidad de fácil acceso y brindan a los usuarios la capacidad de acceder, modificar o eliminar su información personal.

A pesar de la falta de privacidad digital en el mundo actual, Alemania sigue comprometida con la protección de los datos personales de sus ciudadanos, con leyes como la antigua Ley Federal Alemana de Protección de Datos (BDSG) considerada como una de las más estrictas del mundo.

La siguiente guía lo guiará a través de cada una de las leyes de privacidad de datos en Alemania, para que pueda tomar la decisión más informada al seleccionar una herramienta de prueba A/B.

Criterios de selección para la privacidad de datos

La ley de protección de datos, adoptada por primera vez en Alemania en 1970, se ha convertido desde entonces en un derecho humano clave, respaldado por las autoridades de protección de datos de los 16 estados y federaciones alemanes. Es importante cumplir con las siguientes leyes al seleccionar una plataforma de pruebas A/B:

• El Reglamento General de Protección de Datos de la UE (GDPR) (2018)
  
  
  • Puesta en marcha para proteger los datos de los ciudadanos de la UE.
• La Ley Federal de Protección de Datos (BDSG) (2018)
  
  
  • Modifica el RGPD, permitiendo excepciones a los derechos individuales en el manejo de datos personales de los empleados.
• La Ley Federal de Regulación de la Protección de Datos y Privacidad en Telecomunicaciones y Telemedios (TTDSG) (2021)
  
  
  • Combina la Ley de Telecomunicaciones (1996) y la Ley de Telemedios (2007), que prohíben el acceso a datos de telecomunicaciones (como cuentas de correo electrónico comerciales, teléfonos comerciales o el historial de navegadores de Internet) y establece requisitos de consentimiento de cookies de conformidad con el Artículo 5(3) de privacidad electrónica.
• ePrivacy (Ley de Cookies) (2002)
  
  
  • Garantiza “la privacidad y confidencialidad, respecto del tratamiento de datos personales en el sector de las comunicaciones electrónicas”.

Los siguientes criterios servirán como guía al elegir una plataforma de pruebas A/B que cumpla con los requisitos en Alemania

1. ¿Cómo se preparó la empresa de pruebas A/B para el cumplimiento de los datos?

¿Cómo se prepararon para las leyes GDPR, BDSG y TTDSG?

Una vez que reduzca sus opciones principales, asegúrese de que puedan describir brevemente el procedimiento, qué áreas estuvieron involucradas y qué medidas se iniciaron. Si no se han implementado completamente todas las medidas planificadas, deben poder explicar su estado de implementación.

Esto le proporcionará una visión general de los enfoques utilizados, así como su autoevaluación con respecto a su posición sobre cómo implementar las diversas leyes.

Las preguntas comunes que deben responderse son

1. ¿Participaron todos los departamentos esenciales de la empresa que trabajan con datos personales (p. ej., recursos humanos, TI, ventas/atención al cliente, marketing)?
2. ¿Existe evidencia de que se ha llevado a cabo capacitación sobre estas leyes?
3. ¿Se han implementado todas las medidas previstas por la empresa?

Por ejemplo, Convert publicó una hoja de ruta pública, donde indicamos claramente qué acciones se tomaron para cumplir con GDPR (por cada artículo requerido).

Debería haber una hoja de ruta similar para cada plataforma de prueba A/B que considere.

2. ¿La herramienta de prueba A/B tiene registros de actividades de procesamiento?

Es importante que la herramienta que seleccione haya incluido todas sus operaciones comerciales de procesamiento de datos personales dentro de un registro de actividades de procesamiento.

Pregúntate lo siguiente:

1. ¿Está claro que el registro de actividades de procesamiento se revisa y actualiza regularmente cuando es necesario?
2. ¿Este registro corresponde a los requisitos legales del artículo 30 del RGPD?
   
   
   1. ¿Proporcionan el nombre y los datos de contacto de la persona responsable?
   2. ¿Se indican las finalidades del tratamiento?
   3. ¿Se describen las categorías de personas afectadas (por ejemplo, empleados, clientes, etc.) y las categorías de datos personales (por ejemplo, datos maestros de empleados, datos de solicitantes, datos de contacto del cliente, datos de solvencia, etc.)?
   4. ¿Se hace una declaración sobre la transferencia de datos personales a un tercer país oa una organización interna?
   5. ¿Se indican los plazos previstos para la supresión de las distintas categorías de datos?

A continuación se muestra un ejemplo de los registros que Convert mantiene para cada actividad de procesamiento de datos.

3. ¿Sobre qué base legal procesa datos personales la herramienta de pruebas A/B?

De acuerdo con el artículo 6 del RGPD, debe haber bases legales en las que la empresa se base para procesar datos personales.

Haz las siguientes preguntas:

1. ¿Se mencionan las bases legales en su Política de Privacidad?
2. ¿Son fáciles de entender las declaraciones de consentimiento (es decir, el contenido del interesado se aclara y se simplifica al explicar el otorgamiento del consentimiento)?

Hay varias bases legales en las que se basa Convert, que se publican en nuestra política de privacidad. Se centran en GDPR e incluyen

• Contrato : Cumplimos con nuestras responsabilidades contractuales con usted (cuando se registra como cliente, nos compra o utiliza nuestros servicios, por ejemplo).
• Consentimiento : los clientes deben estar de acuerdo antes de que podamos usar su información personal de una manera específica (es decir, al habilitar el seguimiento entre dominios, agregar varios dominios en un proyecto, activar la segmentación de audiencia o solicitar un registro adicional).
• Obligación legal : estamos legalmente obligados a proporcionar ciertos documentos (es decir, copias de facturas e información sobre pagos).
• Interés legítimo: solo usamos sus datos personales de la manera que usted espera, con un impacto mínimo en la privacidad o cuando existe una justificación convincente.

4. ¿La herramienta de prueba A/B tiene una evaluación de impacto de protección de datos ?

Las DPIA (evaluaciones de impacto de protección de datos) ayudan a las organizaciones a identificar, evaluar y mitigar o minimizar los riesgos de privacidad asociados con el procesamiento de datos. Son especialmente importantes cuando se introduce una nueva técnica, sistema o tecnología de procesamiento de datos.

Las DPIA también promueven el principio de responsabilidad porque ayudan a las organizaciones a cumplir con los estándares del RGPD y demostrar que se tomaron medidas suficientes para garantizar el cumplimiento.

¿Sabía que no realizar una DPIA cuando es necesario es una violación del RGPD que puede resultar en multas de hasta el 2 % de los ingresos globales anuales de una organización o 10 millones de euros, lo que sea mayor?

Como parte del Proyecto GDPR de Convert, Convert desarrolló una guía para el personal y una plantilla que se usará para llevar a cabo las DPIA. Esto sirve para asegurar que se identifiquen las operaciones de procesamiento con un alto riesgo esperado para los derechos y libertades de los afectados.

5. ¿Se nombra un Delegado de Protección de Datos?

La responsabilidad principal del Oficial de Protección de Datos (DPO) es garantizar que los datos personales de los empleados, clientes, proveedores u otras personas de su organización (también conocidos como sujetos de datos) se procesen de acuerdo con las normas de protección de datos aplicables. El RGPD requiere que cada organización y organismo de la UE establezca un DPO.

Para aclarar las cualificaciones del Delegado de Protección de Datos de una empresa y cómo se integran en la organización, pregúntese:

1. ¿Puede deducirse de los documentos el conocimiento especializado actual y suficiente del DPO? (Evaluar su formación y educación superior en protección de datos, el alcance/duración de su experiencia en protección de datos, su formación profesional (por ejemplo, abogado, informático) y su participación en redes de protección de datos establecidas.
2. ¿Existe una publicación de los datos de contacto del DPD? en el sitio web de la empresa? ¿Son fáciles de encontrar allí los datos de contacto del DPO?

6. ¿Cómo se asegura la empresa de pruebas A/B de informar las violaciones de protección de datos a la autoridad de control de manera oportuna?

Toda organización alemana está obligada, según el artículo 33 del RGPD, a mantener la seguridad de los datos personales y a responder adecuadamente, en un plazo de 72 horas, a las infracciones de seguridad de los datos (lo que puede incluir la notificación de infracciones al responsable de la protección de datos en algunos casos).

Para evitar el peligro de lesiones a las personas, daños al negocio operativo y costos financieros, legales y reputacionales severos, es fundamental actuar con rapidez en el caso de cualquier violación real, posible o sospechada de la seguridad o confidencialidad de los datos.

Cuando busque una herramienta de prueba A/B compatible con la privacidad, haga estas preguntas:

1. ¿Se ha presentado de forma comprensible el proceso de notificación de violaciones de la protección de datos?
2. ¿Están claramente reguladas las responsabilidades (quién hace qué) en el proceso de presentación de informes?
3. ¿Se tiene en cuenta notablemente el período de 72 horas?
4. ¿Está claro que los empleados han sido informados de este proceso?

Convert tiene su propia Política de escalada de violación de datos personales que se puede solicitar en [email protected].

7. ¿Dónde almacena los datos la herramienta de prueba A/B?

Austria prohibió recientemente el uso de Google Analytics porque sus datos se almacenan en los Estados Unidos, donde la protección de la privacidad es más limitada. Encontrar una plataforma de pruebas A/B que almacene datos legalmente en la UE es su apuesta más segura.

Debería poder averiguar dónde se guardan los datos en la política de privacidad de la organización. En general, la información de almacenamiento de datos se encuentra en las secciones de “subprocesadores” y “servicios de terceros”. Si no puede encontrar esta información fácilmente o no está clara, comuníquese con la organización para obtener aclaraciones.

8. ¿La herramienta de prueba A/B respeta la configuración de No rastrear (DNT)?

Para los usuarios que están preocupados por su privacidad, varios navegadores tienen una función de "No rastrear", que se puede activar para indicar a los sitios web y las herramientas de análisis que dejen de rastrear el comportamiento del usuario.

En principio, esta configuración debería evitar que el navegador de un visitante acepte "cookies" que informan a los comerciantes y otras empresas sobre sus hábitos e intereses en línea. Sin embargo, los sitios web no están sujetos técnicamente a estas restricciones. Por lo tanto, es importante encontrar una herramienta de prueba A/B que se preocupe por la privacidad del usuario y haga un esfuerzo adicional para garantizar que sus sistemas cumplan con estos requisitos.

Convert es compatible con Do Not Track porque creemos que es fundamental contar con un método simple para controlar cómo se utiliza la información del usuario final. Tomamos DNT en serio como una señal de usted y sus usuarios finales sobre cómo debemos usar los datos.

Convert proporciona a los usuarios las siguientes opciones:

1. No rastrear (optar por dejar de rastrear)
2. Seguimiento (optar por el seguimiento)
3. Nulo (sin preferencia)

De forma predeterminada, los navegadores web usan "Nulo", lo que indica que el usuario final no ha expresado si desea que se le realice un seguimiento o no. Cuando se elige "No rastrear", Convert no carga los scripts/experiencias y, en cambio, carga las otras dos opciones.

En la configuración de su proyecto, hay una fila que dice: "Respetar la configuración del navegador No rastrear", que está desactivada de forma predeterminada, pero se puede cambiar usando el menú desplegable.

9. ¿La herramienta de prueba A/B permite el seguimiento anónimo?

La anonimización permite que las herramientas de prueba A/B cumplan con el RGPD, al mismo tiempo que rastrean los datos para la elaboración de informes. De acuerdo con las pautas de GDPR, las herramientas de prueba A/B pueden recopilar ciertos datos siempre que "se anonimicen de tal manera que el sujeto de los datos no sea o ya no sea identificable". Esto es importante para las empresas que desean realizar un seguimiento de los datos demográficos que no son de identificación personal.

La opción de anonimización de datos en Convert Experiences permite que su sitio web limpie todos los datos entrantes e históricos sobre los nombres de las experiencias/variaciones agrupadas de sus visitantes, lo que permite que los equipos de marketing y TI mantengan los datos de seguimiento esenciales sin poner en peligro la privacidad.

10. ¿Qué guarda la herramienta de prueba A/B en los registros del servidor?

De acuerdo con el RGPD, una dirección IP se considera información personal. Si los registros del servidor de su herramienta de prueba A/B contienen las direcciones IP de sus visitantes, contienen datos personales.

Aquí hay pautas básicas para los registros del servidor que cumplen con GDPR:

1. La solución más sencilla para mantener registros que cumplan con el RGPD es no mantener ningún registro.
2. Si se requieren registros del servidor, consérvelos durante el menor tiempo posible. Cree una política de rotación de registros del servidor que elimine los registros más antiguos automáticamente.
3. Si recopilan registros sin direcciones IP u otros datos personales, cumplen con el RGPD.
4. Pueden recopilar registros sin consentimiento bajo ciertas condiciones, pero deben informarle de esto en su política de privacidad.

Live Logs en Convert Experiences rastrea cómo los usuarios finales interactúan con las páginas web en tiempo real. Capturan información como la marca de tiempo cuando se activa un objetivo, el tipo de evento que se activó, la variación que se muestra al usuario final y mucho más. Los registros en vivo se consideran compatibles con GDPR, ya que no almacenan direcciones IP ni ningún otro dato PII.

11. ¿Quién es el propietario de los datos?

Uno de los requisitos principales de GDPR es que se implementen medidas adecuadas para procesar datos personales. Los datos vinculados a una transacción de consumidor en la UE deben almacenarse físicamente en la UE o en una nación con medidas de protección de datos que el RGPD considere adecuadas (a menos que el usuario dé su consentimiento para conservar sus datos en otro lugar).

Esta regla plantea algunos desafíos para las empresas que no tienen su sede en la UE, aunque algunos de estos problemas se pueden mitigar mediante un paquete de análisis con una política clara de propiedad de datos.

Convert brinda tranquilidad a los usuarios al tener una declaración de propiedad definida en placewill. Esto describe que "no compartiremos ningún dato con un tercero sin la aprobación expresa por escrito del cliente", y "eliminaremos cualquier dato relacionado con los clientes que se den de baja del servicio a pedido".

12. ¿Puede la herramienta de prueba A/B integrarse con su pila tecnológica actual?

Querrá asegurarse de que una nueva herramienta de prueba A/B funcione bien con el resto de su pila tecnológica, como su CMS (sistema de gestión de contenido) y su plataforma de comercio electrónico. Conectar su pila tecnológica actual a una nueva solución podría ser costoso, así que asegúrese de hacer una lista de todas las herramientas actuales que usa y vea si puede recrear las mismas integraciones con la nueva herramienta, ya sea a través de integraciones o API.

Al realizar su estudio, tenga en cuenta las siguientes preguntas:

1. ¿Qué tan bien y con qué rapidez se integrará la herramienta elegida con el resto de su sistema, como su CRM?
2. ¿Existen integraciones autorizadas para hacer posibles tales conexiones? Si no, ¿puede modificar el código para que funcione para usted?
3. ¿Es posible convertir sin esfuerzo sus datos a otra herramienta si surge la necesidad?
4. ¿Hay alguna evidencia de bloqueo de proveedor o problemas con el cambio de datos a un proveedor diferente?

13. ¿Existe una opción para autohospedar el script de prueba A/B?

Elegir entre software como servicio (SaaS) y alojamiento propio puede ser difícil. Al considerar el costo, la facilidad y la conveniencia, tiene sentido que la mayoría del software se suministre a través de la nube. Sin embargo, SaaS puede no ser la mejor opción para algunas empresas y organizaciones, como gobiernos y bancos.

Una solución de prueba A/B en las instalaciones será la opción más favorecida para las empresas que desean un control total sobre sus datos y la ubicación de almacenamiento. También será el más simple, en términos de cumplimiento de GDPR.

Hágase estas preguntas aclaratorias:

1. ¿Su herramienta de prueba A/B puede usar una solución alojada en la nube?
2. ¿Tiene los recursos para alojar la herramienta en su infraestructura?
3. ¿Sabes qué límites de datos vienen con tu plan?

14. ¿Están permitidas las transferencias internacionales de datos?

Las transferencias de datos ahora son tan comunes que la mayoría de las personas ni siquiera se dan cuenta de que están sucediendo. Aún así, pueden ser problemáticos de tratar y deben acordarse en el acuerdo de recopilación de datos original (al igual que la ubicación de datos).

Hasta hace poco, las corporaciones usaban el marco del Escudo de privacidad para transmitir datos de la UE y Suiza a los EE. UU. sin necesidad de aprobación previa. Sin embargo, en 2020, los jueces europeos dictaminaron que las protecciones de datos estadounidenses eran insuficientes, lo que invalidó el marco, aunque estas transferencias de datos riesgosas aún ocurren por otros motivos legales.

Para evitar amenazas potenciales, las empresas de pruebas A/B pueden usar la estrategia de protección de datos por diseño (que analizaremos en la siguiente sección). De lo contrario, simplemente pueden solicitar el consentimiento y especificar dónde se almacenarán y moverán los datos.

15. ¿Se está respetando la protección de datos por diseño y por defecto?

El concepto de privacidad por diseño está en el corazón de las herramientas de prueba A/B amigables con la privacidad.

Preferimos prevenir las invasiones de la privacidad que tratarlas después del hecho, y utilizamos la minimización de datos y la limitación de propósitos para mantenernos proactivos.

La minimización de datos significa solo procesar los datos necesarios para lograr un objetivo específico, mientras que la limitación del propósito se refiere a identificar el objetivo del procesamiento de datos, registrarlos e informar a las personas antes del procesamiento.

Una vez recopilados y procesados, los datos solo deben conservarse mientras dure la tarea para la que se obtuvieron.

La protección de datos desde el diseño requiere el uso de garantías técnicas y organizativas durante las etapas de planificación del procesamiento. Esto permite a las organizaciones garantizar que los mecanismos de privacidad y seguridad estén implementados desde el principio. Los procedimientos específicos varían según el caso de uso, pero podrían incluir anonimización de datos, monitoreo de datos o la adición de nuevas funciones de protección de la privacidad al software de prueba A/B.

Entonces, ¿qué plataformas de pruebas A/B son amigables con la privacidad?

Si está buscando una forma de recopilar y analizar datos de su sitio web, producto digital o aplicación móvil dentro de Alemania, la plataforma que elija es fundamental.

La mayoría de las soluciones de pruebas A/B no se crearon teniendo en cuenta la privacidad, y aunque las principales plataformas aciertan en ciertas cosas (como la anonimización y la propiedad de los datos), se quedan cortas en otras áreas (como la ubicación de los datos).

Afortunadamente, actualmente existe una gran demanda de software de prueba A/B que le permita ejecutar experiencias en su sitio web mientras mantiene la privacidad de los datos. Esto significa que hay más herramientas de prueba A/B amigables con la privacidad disponibles hoy que nunca. Para obtener un breve resumen, consulte la siguiente tabla con las métricas más importantes.