Privacidad de Optimizely: ¿Cómo maneja Optimizely la privacidad?
Publicado: 2022-02-09
A medida que las plataformas de pruebas A/B se vuelven más sofisticadas, también lo hacen las preocupaciones de privacidad que las rodean.
Optimizely es una de las plataformas de optimización más populares en el espacio de pruebas A/B, por lo que es importante comprender su postura sobre la privacidad. Con un gran poder viene una gran responsabilidad. Y con una gran responsabilidad viene una mayor necesidad de privacidad.
En este artículo, evaluamos cómo Optimizely aborda la privacidad y lo que necesita saber antes de elegir esta plataforma de experiencia digital.
Comencemos analizando si Optimizely cumple con las principales leyes de privacidad de la actualidad.
¿Cumple Optimizely con el RGPD?
El Reglamento General de Protección de Datos (GDPR) es una regulación clave que tiene como objetivo fortalecer y unificar la protección de datos y la privacidad en la Unión Europea y el Espacio Económico Europeo. Optimizely utiliza los controles de privacidad empresarial y tecnológico necesarios para proteger los datos y cumplir con el RGPD.
¿Cómo está listo Optimizely GDPR?
El cumplimiento de GDPR es una parte esencial del servicio y diseño de Optimizely. Aquí hay algunos pasos que ha tomado para cumplir con GDPR:
- Áreas comerciales y de productos identificados afectados por el RGPD
- Nombrado Delegado de Protección de Datos (DPO)
- Reescribió su Acuerdo de procesamiento de datos
- Mejoró y cambió sus productos, servicios, procesos y procedimientos para cumplir con los requisitos de GDPR
- Revisó sus subprocesadores
- Finalizó y comunicó el pleno cumplimiento a la Autoridad de Protección de Datos (DPA)
¿Está Optimizely listo para manejar la regulación de privacidad electrónica?
El Reglamento de privacidad electrónica (ePR) es una próxima ley de privacidad para transformar las reglas sobre el consentimiento de cookies, el marketing directo y las comunicaciones de empresa a empresa (B2B). A diferencia de GDPR, regulará incluso los datos no personales en las comunicaciones electrónicas.
A medida que las empresas lidian con el RGPD, es interesante ver si están listas para esta nueva regulación. Para determinar si Optimizely está equipado para manejar la privacidad electrónica, primero debemos evaluar los datos que recopila.
Datos del visitante
Optimizely realiza un seguimiento de las visitas a un sitio web y recopila información sobre el comportamiento del usuario. Esta información agregada se conoce como "datos de visitantes" e incluye:
- Datos de agente de usuario: datos basados en las propiedades de un dispositivo, incluidos detalles sobre el tipo de navegador web y los sistemas operativos que utilizan los visitantes.
- Dirección web: información sobre la ubicación de una página web.
- Datos de eventos: registra el comportamiento del usuario y examina si un visitante hizo clic en un botón en un sitio web o realizó una acción similar. Esto también puede incluir atributos personalizados y etiquetas de eventos.
- Marca de tiempo: La fecha y hora en que ocurre un evento.
- ID de usuario final (o ID de visitante): un número de identificación (ID) generado aleatoriamente asignado a un visitante por proyecto. Esto corresponde a la cookieoptimlyEndUserId para experimentación y personalización.
- ID de experimento y variación: determine dónde se ubicó el visitante mientras visitaba un sitio web.
- Geodatos externos: Elementos asociados con la dirección IP de un visitante, incluidos el país, la ciudad, la región, etc.
Optimizely organiza sus servicios para que sus clientes puedan especificar las categorías de datos que desean compartir y recibir. Estas categorías no necesariamente revelan la identidad del usuario. Sin embargo, si las URL que recopila Optimizely contienen información de identificación personal (PII), como el nombre o el número de teléfono, o si se vincula a páginas que contienen PII, también puede recopilar esta información.
Como plataforma abierta, Optimizely le proporciona datos de visitantes adicionales, como atributos de compradores habituales. Recopila datos en función de funciones y configuraciones específicas, como:
- Perfiles de clientes dinámicos (DCP)
- Atributos de lista
- Audiencias adaptables
- Indicadores de características
- integraciones
Para minimizar la cantidad de datos personales que recopila, Optimizely prohíbe a los visitantes proporcionar información personal o confidencial adicional, como información de salud.
Datos de usuario del producto
Optimizely recopila cierta información básica, como el nombre de usuario, el nombre, el correo electrónico del trabajo, el contacto del trabajo, el título del trabajo, etc., cuando los usuarios crean una cuenta o se registran en su seminario web o boletín informativo. Esto se denomina Datos de usuario del producto y se detalla de la siguiente manera:
- Al registrarse y crear una cuenta: los visitantes de Optimizely pueden leer las descripciones de productos y servicios sin revelar ninguna información de identificación personal. Sin embargo, debe crear una cuenta y configurar un perfil para realizar transacciones con Optimizely y convertirse en cliente. Al registrarse, le solicita su nombre, el nombre de su organización, su dirección postal y su dirección de correo electrónico. También requiere que seleccione una contraseña. Una vez que sea un usuario registrado, puede actualizar su perfil y proporcionar más información, como un apodo y ciertas preferencias de usuario.
- Al registrarse para un seminario web o solicitar un boletín informativo: tanto los visitantes como los clientes pueden registrarse en un seminario web de Optimizely o solicitar un boletín informativo. Optimizely almacena solo direcciones de correo electrónico como referencia.
ePrivacy restringe la recopilación de datos PII, y dado que Optimizely permite a los usuarios pasar estos datos a URL a través de datos de visitantes, en realidad no cumple con ePrivacy. En cambio, todavía tiene un largo camino por recorrer para prepararse para muchas regulaciones futuras.
¿Es Optimizely una buena opción para las marcas conscientes de la privacidad en la UE?
Como se mencionó anteriormente, el Reglamento de privacidad electrónica aún no es una ley de protección de datos. Sin embargo, una vez aprobado, se adoptará dentro de los 20 días posteriores a su publicación en el Diario Oficial de la UE, seguido de un período de gracia de dos años antes de la entrada en vigor.
Por lo tanto, contrariamente a lo que piensa la mayoría de las empresas, el Reglamento de privacidad electrónica complementará, no reemplazará, el RGPD, cuando entre en vigor.
Por lo tanto, hasta la fecha de vigencia, todas las marcas conscientes de la privacidad en la UE y en todo el mundo pueden usar Optimizely. Sin embargo, Optimizely necesita abrocharse el cinturón y hacer algunos cambios coherentes en los datos que recopila para seguir siendo relevante y adecuado para empresas con altos estándares de privacidad.
¿Qué proveedor de herramientas de pruebas A/B tiene el mejor historial cuando se trata de respetar la privacidad del usuario? Vea cómo le va a Optimizely frente a Convert Experiences, VWO y AB Tasty.
Cumplimiento optimizado de HIPAA
Los proveedores de atención médica luchan por entregar contenido personalizado a través de plataformas digitales debido a los riesgos de seguridad de datos asociados con la información de atención médica. La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA, por sus siglas en inglés) elimina la presión de las compañías de atención médica y les brinda una orientación muy necesaria.
Protege la información de salud protegida (PHI, por sus siglas en inglés), como el nombre, la dirección, los detalles de contacto y más divulgada a un proveedor de servicios externo.
¿Cumple Optimizely con HIPAA?
Para cumplir con HIPAA, todos los proveedores externos y los proveedores de atención médica deben celebrar un Acuerdo de asociación comercial (BAA), un contrato por escrito diseñado para proteger los datos confidenciales de atención médica.
¿Optimizely debe cumplir con HIPAA?
Si Optimizely requiere el cumplimiento de HIPAA depende del tipo de datos que recopila y utiliza. Esencialmente, Optimizely no cumple con HIPAA y establece específicamente el incumplimiento en su Acuerdo de términos de servicio.
Incumplimiento de HIPAA . El cliente reconoce que Optimizely no es un socio comercial ni un subcontratista (según se definen esos términos en HIPAA) y que el servicio Optimizely no cumple con HIPAA. “HIPAA” significa la Ley de Portabilidad y Responsabilidad de Seguros Médicos y las enmiendas y reglamentos relacionados actualizados o reemplazados. Los "datos regulados" incluyen los datos regulados por HIPAA y los datos cubiertos por la Ley Gramm-Leach-Bliley (o las normas o reglamentos relacionados) actualizados o reemplazados.
¿Cómo compensa Optimizely el incumplimiento de HIPAA?
Las recomendaciones de contenido de Optimizely abordan las preocupaciones sobre la seguridad de los datos y compensan su incumplimiento de la HIPAA de las siguientes maneras:
- Almacenamiento de PHI: su personalización en sesión no requiere PHI para personalizar el contenido.
- Personalización cruzada: la personalización se detiene cuando caduca una sesión.
- Inteligencia de contenido de Episerver: le brinda datos de intención propios en cada visita al sitio para que pueda escalar el impacto de su participación.
- Escalamiento de la personalización : las reglas no pueden seguir el ritmo del panorama cambiante de los pacientes y los avances médicos. Optimizely utiliza algoritmos de aprendizaje automático (ML) para decidir quién obtiene qué contenido sin atascar a su equipo con interminables reglas de "si/si no".
Las recomendaciones de contenido de Optimizely-Episerver vienen al rescate y brindan una solución efectiva para la personalización cruzada y la atención médica dinámica.
¿Pueden los visitantes optar por no participar en el seguimiento de Optimizely?
Los visitantes pueden cancelar fácilmente el seguimiento de Optimizely a través de la llamada a la API de Optimizely.
¿Qué significa darse de baja?
- El usuario no será incluido en un experimento.
- No verán ningún cambio de variación.
- Project JS no se ejecutará en la página
- El usuario no será rastreado.
- Permanecerán excluidos (es decir, se aplican todos los puntos anteriores) dondequiera que se ejecute Optimizely
Uso de Optimizely Web sin un administrador de etiquetas
Si no utiliza un administrador de etiquetas en su sitio, puede indicarle a Optimizely que no rastree a un visitante del sitio configurando una cookie llamada OptimizelyOptOut en "verdadero". Optimizely comprueba esta cookie antes de ejecutar el contenido del fragmento de JavaScript. Es mejor usar la API optOut con soporte oficial en lugar de configurar la cookie directamente.
Debe agregar el código sobre el fragmento de Optimizely en su página. De lo contrario, el fragmento de Javascript se ejecuta y configura las cookies de seguimiento y los elementos de almacenamiento de sus visitantes.
Veamos cómo usar la API optOut.
<script>
ventana["optimizar"] = ventana["optimizar"] || [];
ventana["optimizar"].push({
"tipo": "optar por no",
"isOptOut": verdadero
});
</script>
<script src=”https://cdn.optimizely.com/js/{project_id].js”></script>Si un visitante opta por el seguimiento de cookies, puede volver a habilitar el seguimiento de ese visitante reescribiendo el valor de cookie de optoutlyoptout a "falso".
Por ejemplo, si muestra un banner de cookies (un elemento superpuesto que busca el consentimiento de seguimiento del visitante), puede volver a escribir el valor de la cookie de exclusión voluntaria en falso después de obtener el consentimiento con el siguiente código.
ventana["optimizar"] = ventana["optimizar"] || [];
ventana["optimizar"].push({
"tipo": "optar por no",
"isOptOut": falso
});Técnicamente, vincule esta API a la lógica que se ejecuta cuando el visitante da su consentimiento para el seguimiento.
Uso de Optimizely Web con un administrador de etiquetas
Con Tag Manager, puede usar la lógica condicional para cargar el fragmento de JavaScript de Optimizely solo cuando un visitante da su consentimiento.
Dado que no se requiere una aceptación de cookies en todas las regiones o para todas las cookies, Optimizely no configura la cookie OptimizelyOptOut de manera predeterminada. Como propietario del sitio, usted es responsable de determinar si necesita configurar esta cookie o utilizar uno de los métodos anteriores cuando sea necesario.
Si estableceoptimlyOptOut en "verdadero" de forma predeterminada (como se indicó anteriormente), el fragmento de Optimizely se ejecuta "normalmente" (rastrea a los visitantes en su sitio) solo cuando la API de exclusión voluntaria está configurada en "falso".
Con las soluciones de suscripción, el fragmento de Optimizely Javascript se activa en la recarga de la página después de que un visitante se suscribe, ya que está deshabilitado en la carga inicial de la página.
Pila completa optimizada
Optimizely Full Stack no se basa en cookies para experimentos, por lo que los requisitos relacionados con las cookies del Reglamento de privacidad electrónica no afectarán a esta función.
Sin embargo, los usuarios de Full Stack en la UE deben asegurarse de cumplir con el RGPD. Requiere que las empresas tengan "intereses legítimos" para procesar datos personales dentro de la UE.
Como controlador de datos, es responsabilidad de la empresa cumplir con las obligaciones legales para procesar el consentimiento antes de incluir datos personales en un experimento de Optimizely Full Stack.
Para ello, debe indicar claramente que sus experimentos implican esfuerzos de primera parte para mejorar la experiencia del usuario y que no compartirá datos de usuario con terceros (como socios publicitarios).
También debe excluir a los usuarios de los experimentos completos si retiran el consentimiento.
¿Cómo se compara Optimizely con sus competidores en privacidad?
Optimizely puede ser un gigante de la experiencia digital, pero aún debe tener cuidado con sus alternativas, especialmente cuando se trata de privacidad. También tiene un historial de dejar a los clientes en la oscuridad sobre los cambios repentinos de precios. Así que no es de extrañar que muchas empresas busquen proveedores alternativos.
Como referencia, compararemos las opciones de privacidad de Optimizely con las de Convert Experiences y VWO. También examinamos:
- La ubicación del servidor de cada herramienta
- Cómo tratan las cookies de terceros
- Seguimiento multidominio predeterminado
- Si permiten a los usuarios optar por no seguir el seguimiento
| de forma optimizada | Convertir Experiencias | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Inicio de sesión único (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Servidores basados en la UE | X | ✓ | X | ||||||||||||||||||||
| Duración de la cookie que no es PII | 6 meses | 6 meses | 100 días | ||||||||||||||||||||
| Cookies de terceros | ✓ | X | ✓ | ||||||||||||||||||||
| No rastrear la configuración del navegador | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Función de exclusión voluntaria | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Orientación en la aplicación para el cumplimiento del RGPD | X | ✓ | X | ||||||||||||||||||||
| Acuerdo de procesamiento de datos (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Cumplimiento PCI-DSS | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Cumplimiento de privacidad electrónica | X | ✓ | X | ||||||||||||||||||||
| Anonimización de datos | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Seguimiento entre dominios permitido de forma predeterminada | ✓ | X | ✓ | ||||||||||||||||||||
| Segmentación permitida por defecto | ✓ | X | ✓ | ||||||||||||||||||||
| derecho al olvido | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Notificaciones de violación de datos | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Designación de un Delegado de Protección de Datos | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Transferencias de datos transfronterizas | EU-US y SwissU.S. Marcos de protección de la privacidad | EU-US y SwissU.S. Marcos de protección de la privacidad | EU-US y SwissU.S. Marcos de protección de la privacidad | ||||||||||||||||||||
| Protección de datos por diseño y por defecto | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Datos personales confidenciales | X | X | X |
¿Qué cambios ha realizado Optimizely en la privacidad posterior a la adquisición de Episerver?
En septiembre de 2020, Episerver anunció la adquisición de Optimizely. Un año después, Episerver se reintrodujo como Optimizely para aumentar el reconocimiento de la marca.
La adquisición y el cambio de marca de Optimizely crearon oportunidades para los clientes de Episerver y Optimizely a medida que la necesidad de funcionalidades de personalización y comercio se hizo más evidente.
En términos de privacidad, Optimizely ha crecido significativamente desde la adquisición.
- Episerver respeta la privacidad por diseño y por defecto. Publica nuevas políticas cada semana para garantizar que cumple con el RGPD y otras leyes de privacidad aplicables.
- Organiza reuniones anuales, capacitación, seminarios, seminarios web y series educativas sobre protección de datos, seguridad, privacidad e información personal.
- Episerver también actualizó el Acuerdo de procesamiento de datos (DPA) de Optimizely para que todos los nuevos proveedores aplicables firmen y garanticen el cumplimiento de las normas de privacidad y protección de datos.
- Episerver mejoró la política y la declaración de privacidad de Optimizely para el acceso de los interesados y las solicitudes de eliminación en virtud del RGPD y la Ley de Privacidad del Consumidor de California (CCPA), ofreciendo derechos de acceso y eliminación a los residentes de la UE y California. Ahora tiene un modelo claro para obtener el consentimiento y eliminar información cuando sea necesario.
- El Equipo de Respuesta a Incidentes de Seguridad (SIRT) de Episerver puede manejar posibles incidentes de seguridad o privacidad. Clasifica todos los incidentes de seguridad como de alta prioridad (P1) y los escala al equipo dedicado.
- Episerver lanzó Episerver Trust Center, destacando los controles unificados de seguridad, cumplimiento y privacidad para proteger los datos de los clientes.
Episerver renovó Optimizely, elevando el nivel de cumplimiento de GDPR y prácticas de privacidad para proporcionar una base legal sólida.
Episerver ha hecho del cumplimiento de GDPR una prioridad diaria tanto en el desarrollo de productos como en los servicios administrados a nivel mundial.
Peter Yeung, vicepresidente, consejero general y responsable global de protección de datos, Episerver
Peter agregó además que Episerver tiene una larga historia de ser pionero en industrias y países altamente regulados, lo que da como resultado soluciones diseñadas teniendo en cuenta el cumplimiento. Combina años de amplia experiencia y conocimiento de la infraestructura de la nube con un profundo compromiso con la protección de datos, la seguridad y el cumplimiento.
Avanzando hacia los desafíos futuros
Optimizely ha realizado grandes esfuerzos para cumplir con el RGPD, la CCPA, la Ley General de Protección de Datos Personales (LGPD) y otras leyes de privacidad aplicables.
Es posible que haya dado un paso adelante para garantizar la privacidad y la seguridad de los datos después de su adquisición, pero apenas está considerando el próximo Reglamento de privacidad electrónica. Optimizely necesita subir de nivel para la experimentación y la recopilación de datos.
Los datos impulsan todo, desde el desarrollo de una hipótesis de prueba hasta la entrega de una experiencia de usuario más personalizada y el seguimiento de la eficacia de una prueba. Esto significa que los equipos de experimentación deben priorizar la privacidad de los datos.
El RGPD solo se ocupa de datos generales (personales), mientras que ePrivacy tiene la intención de complementar el RGPD, cubriendo y auditando la privacidad de los datos de manera amplia. El Reglamento de privacidad electrónica cubre el marketing, una lista completa de tecnologías de seguimiento (incluidas, entre otras, las cookies) y tiene como objetivo combatir la elaboración de perfiles y la publicidad conductual con transparencia y consentimiento afirmativo.
Mientras Optimizely no tenga en cuenta la privacidad electrónica, le falta una pieza esencial del rompecabezas. E incluso si comienza hoy, colocar esta pieza en su lugar no será fácil.
