Cookie di analisi e test A/B: solo dopo il consenso in Europa?

Aggiornato il 19 febbraio 2020: un nuovo aggiornamento della CNIL afferma che i test A/B e la misurazione dell'audience sono ora esenti dal consenso .

Potresti pensare che il GDPR abbia causato un'interruzione solo quando è entrato in vigore a maggio 2018.

La verità è che l'Europa è stata in subbuglio per tutto il 2019 e non è una buona notizia.

Le autorità francesi e britanniche per la protezione dei dati (CNIL e ICO) hanno aggiornato le loro note di orientamento pubblicate nel luglio 2019, evidenziando che i cookie analitici (inclusi test A/B e personalizzazione) necessitano di un consenso esplicito prima di essere collocati sul dispositivo di un visitatore. Si riferiscono specificamente al GDPR quando si parla di consenso (come opt-in). Deve essere basato sull'azione attiva dell'utente, non sulle impostazioni predefinite.

Nel febbraio 2020 la CNIL ha cambiato posizione in merito (grazie Paul Schmitt per avermelo fatto notare). Anche se l'ICO e la CNIL hanno precedentemente affermato che i cookie per i test A/B e le analisi richiedono il consenso, le ultime linee guida (in francese) dicono il contrario:

Beneficiano dell'esenzione dal consenso, subordinatamente a un certo numero di condizioni, i cookie utilizzati per la misurazione dell'audience sono esenti dal consenso. Queste condizioni, come specificato nelle linee guida sui cookie e altri tracker, sono (1) informare gli utenti del loro utilizzo; (2) conferire loro il potere di opporsi; (3) limitare il sistema alle sole finalità seguenti: misurazione dell'audience e test A/B.

Ciò significa che gli strumenti di analisi che sono impostati solo per la raccolta di dati da parte di un'organizzazione (e non condivisi in alcun modo con terze parti) possono essere installati senza consenso. Questo cambiamento potrebbe essere difficile per Google Analytics. Questo accordo speciale di Mozilla ha spinto Google Analytics a non condividere i suoi dati con altri servizi. Al momento, non è certo che questa impostazione sia disponibile per tutti gli utenti. Tuttavia, se l'Europa apre le porte all'analisi senza consenso, presumo che Google dovrà seguire il corso e fornire questa funzionalità alla sua base di clienti europei.

Sebbene nessun'altra autorità nazionale europea per la privacy abbia introdotto tali aggiunte alle leggi della Direttiva ePrivacy (che erano in vigore prima del GDPR), ciò potrebbe aver creato un vuoto giuridico tra luglio 2020 e il momento in cui i nuovi Regolamenti ePrivacy sostituiranno l'attuale Direttiva.

Quello che è successo? Cosa è cambiato?

Per un riepilogo delle principali modifiche alle leggi sulla privacy in Europa, guarda il video qui sotto ( disclaimer : nel video ho erroneamente citato le modifiche sono state implementate nel 2018, quando in realtà sono state apportate nel 2019).

La Direttiva Europea ePrivacy "cookie Law" del 2011 e la versione britannica, The Privacy and Electronic Communications (EC Directive) Regulations of 2003 ("PECR"), sono state recentemente reinterpretate dall'ICO. Questa modifica significa chiedere il "consenso" per eliminare eventuali cookie "non essenziali", indipendentemente dal fatto che vengano raccolti o meno dati personali.

Nel 2012, l'ICO ha dichiarato che il consenso implicito (cioè un opt-out piuttosto che un opt-in) era consentito:

Il consenso implicito è sempre stato una proposta ragionevole nel contesto della legge sulla protezione dei dati e della regolamentazione della privacy e rimane tale nel contesto della memorizzazione di informazioni o dell'accesso alle informazioni tramite cookie e dispositivi simili.

Il 18 luglio 2019, l'autorità francese per la privacy (CNIL) ha pubblicato le sue nuove linee guida sull'uso dei cookie. Le regole applicabili ai cookie HTTP si applicano anche a molte altre tecnologie di tracciamento ("tracker"), inclusi oggetti condivisi locali, impronte digitali delle apparecchiature terminali, identificatori hardware e identificatori generati dai sistemi operativi. Proprio come le linee guida ICO e GDPR, anche qui non c'è una decisione separata sull'uso dei cookie, ma il fingerprinting ora cade sotto il consenso.

Ma poi la CNIL rende tutto un po' confuso aggiornando la loro pagina Github. Le ultime linee guida della CNIL affermano che la misurazione dell'audience e il test A/B sono esenti da consenso e possono essere inseriti immediatamente (opt-out).

L'European Data Protection Board (EDPB) ha emesso un parere scritto nel marzo 2019 affrontando l'interazione tra la direttiva ePrivacy e il GDPR, perché il GDPR non menziona i cookie e c'è un divario tra le due leggi.

Alcuni hanno interpretato il parere dell'EDPB nel senso che tutti i riferimenti al "consenso" nella Direttiva ePrivacy significano consenso come definito dal GDPR. Per i cookie, ciò significa che non puoi inserire cookie senza che le persone abbiano attivamente acconsentito.

Allora perché l'ICO e anche la CNIL hanno cambiato le loro linee guida un anno dopo l'entrata in vigore del GDPR? Perché l'informativa relativa alla "opt-out" dei cookie è cambiata in 13 mesi per consentire l'opt-in?

Dobbiamo ringraziare Planet49 per questo.

Il 30 novembre 2017, Planet49, un sito Web e società tedesca, è stata portata in tribunale per molteplici pratiche discutibili in considerazione del GDPR e della direttiva e-privacy.

Anche se abbiamo dovuto attendere i risultati (allegati per intero in fondo all'articolo), la sentenza ha dato il tono che erano necessarie linee guida più chiare per ciascun paese.

A causa di questa sentenza, la CNIL e l'ICO hanno iniziato ad aggiornare le loro linee guida per riflettere il modo in cui le attuali leggi sulla privacy coprono il consenso, la condivisione delle informazioni e i cookie (analitici e di tracciamento). Dovremo aspettare e vedere se la CNIL influenzerà altri paesi europei per consentire la misurazione dell'audience e i cookie di test A/B.

La battaglia dell'esenzione dai cookie "strettamente necessari".

Quando le nostre società di test A/B hanno adattato le pratiche GDPR, i cookie di analisi e test A/B potrebbero essere presentati ai clienti come essenziali per un'azienda. Invece, l'attenzione si è concentrata maggiormente sugli annunci tracker.

Al giorno d'oggi, ci si potrebbe nascondere dietro l'esenzione dai cookie strettamente necessaria. Ho anche sentito qualcuno dire "ma il nostro team legale ha detto che possiamo inserire il cookie di Google Analytics senza consenso". Ero anche in quel campo finché non ho letto le nuove linee guida dell'ICO. Il loro sito fornisce alcuni buoni esempi di quali cookie sono essenziali per il funzionamento del sito Web e la corretta interazione dell'utente. Con le nuove linee guida che escono continuamente, aderire rigorosamente da una parte o dall'altra può creare confusione. Alcune aziende stanno ora seguendo le più recenti raccomandazioni della CNIL.

Negli esempi seguenti, un cookie è "strettamente necessario" per fornire un servizio agli utenti. In ogni caso si applicano esenzioni e non è richiesto alcun consenso:

• Un cookie utilizzato per ricordare i prodotti che un utente desidera acquistare quando va alla cassa o aggiunge merci al carrello,
• Cookie essenziali per conformarsi al principio di sicurezza del GDPR per un'attività richiesta dall'utente , ad esempio in connessione con servizi bancari online,
• Cookie che aiutano a garantire che il contenuto di una pagina venga caricato in modo rapido ed efficace distribuendo il carico di lavoro su numerosi computer (questo viene spesso definito "bilanciamento del carico" o "proxy inverso").

È importante ricordare che ciò che è "strettamente necessario" deve essere valutato dal punto di vista dell'utente o dell'abbonato, non dal proprio. Quindi, ad esempio, mentre potresti considerare i cookie pubblicitari come "strettamente necessari" perché generano entrate che finanziano il tuo servizio, non sono "strettamente necessari" dal punto di vista dell'utente.

I cookie che secondo l'ICO richiedono il consenso dell'utente (opt-in proattivo tramite l'azione dell'utente) sono ad esempio:

• Cookie utilizzati per analisi , ad esempio per contare il numero di visite uniche a un sito Web (che includerebbe la personalizzazione e il test A/B),
• Cookie pubblicitari di prima e terza parte (compresi quelli utilizzati per scopi operativi relativi alla pubblicità di terze parti, come rilevamento di frodi sui clic, ricerca, miglioramento del prodotto, ecc.),
• Cookie utilizzati per riconoscere un utente quando torna su un sito Web in modo che il saluto che riceve possa essere personalizzato (la personalizzazione è specificatamente menzionata dall'ICO).

La sentenza della Corte di giustizia “Planet49” del 1 ottobre 2019

Nell'ottobre 2019, la Corte di giustizia dell'Unione Europea (la 'CGUE') ha stabilito nella sentenza “Planet49” che il consenso standard GDPR si applica anche all'impostazione dei cookie ai sensi della Direttiva ePrivacy , seguendo l'interpretazione che la CNIL e l'ICO era stato implementato da luglio 2019.

Pertanto, è richiesto un consenso attivo e informato per l'immissione di cookie e tecnologie di profilazione (come il fingerprinting), inclusi i cookie pubblicitari (ma non quelli strettamente necessari).

Le caselle preselezionate, come quelle con cui Planet49 ha cercato di farla franca, non sono un mezzo valido per ottenere il consenso.

Come azienda, abbiamo ricostruito la nostra intera infrastruttura per assicurarci di essere conformi al GDPR e di non memorizzare dati personali nei cookie.

La sentenza della CGUE afferma che non importa se i dati personali vengono raccolti tramite i cookie. Il consenso deve essere ottenuto anche quando l'inserimento di cookie non comporta il trattamento di dati personali. Il titolare del trattamento dovrebbe informare gli utenti della durata di ciascun cookie e dell'accesso di eventuali terze parti alle informazioni raccolte tramite tali cookie, prima di ottenere il loro consenso.

Qualche speranza di mancato consenso per i cookie di analisi e test A/B?

L'ICO non distingue tra i cookie utilizzati per l'analisi e quelli utilizzati per altri scopi, ma la CNIL lo fa.

I cookie analitici non rientrano nell'esenzione "strettamente necessaria" per l'ICO. Ciò significa che le aziende devono informare gli utenti sui cookie analitici e ottenere il consenso per il loro utilizzo nel Regno Unito, mentre in Francia la CNIL consente analisi (con limitazioni) e test A/B senza consenso.

L'ICO (Regno Unito) descrive i cookie utilizzati per la pubblicità online o l'analisi web come non essenziali, quindi richiedono il consenso preventivo. Ciò include i cookie proprietari e i cookie proprietari impostati da fornitori di terze parti (leggi Converti o Google Analytics). Convert è conforme anche alle normative della CNIL e non condivide i set di dati tra i clienti e le installazioni sono solo per cliente, quindi è consentito il test A/B e la personalizzazione con holdback per il test.

La guida dell'ICO afferma chiaramente:

Il consenso è necessario per i cookie analitici proprietari, anche se potrebbero non sembrare invadenti come altri che potrebbero tracciare un utente su più siti o dispositivi.

Il consenso è necessario per i cookie analitici proprietari, anche se potrebbero non sembrare invadenti come altri che potrebbero tracciare un utente su più siti o dispositivi.

Sebbene l'ICO non possa escludere la possibilità di un'azione formale in nessuna area, questo potrebbe non essere sempre il caso in cui l'impostazione di un cookie analitico di prima parte si traduce in un basso livello di invadenza e basso rischio di danni alle persone. Tuttavia, dovresti anche notare che quando utilizzi cookie analitici proprietari forniti da una terza parte, questo non sarà necessariamente il caso.

Dovresti sapere che esiste un periodo di grazia per seguire le linee guida PECR dell'ICO fino a luglio 2020.

Se le informazioni raccolte sull'utilizzo del sito Web vengono trasmesse a terzi, ciò dovrebbe essere chiarito agli utenti. Dovrebbe anche essere chiaro cosa fa questa terza parte con le informazioni .

A seconda del servizio, puoi anche offrire agli utenti la possibilità di modificare le impostazioni dell'account per limitare la condivisione di informazioni con terze parti, inclusi i fornitori di analisi. (Un servizio di analisi può anche fornire questa funzionalità, valutare la possibilità di abilitarla, ove appropriato.) I controlli forniti all'utente devono essere visualizzati in modo visibile e non nascosti.

In definitiva, fornire agli utenti informazioni chiare sui cookie analytics e chiedere il loro consenso o condividere le informazioni (vecchi cookie banner). È probabile che ciò implichi mostrare agli utenti perché questi cookie sono utili per loro, ma devi assicurarti di non spingere l'utente a scegliere un'opzione piuttosto che un'altra.

Su alcuni aspetti, tali documenti di orientamento vanno oltre l'attuale bozza del nuovo Regolamento ePrivacy (dd. 4 ottobre 2019), che sostituirà l'attuale Direttiva ePrivacy (e le attuali normative PECR e francesi). Nella bozza attuale consente agli operatori di inserire cookie di prima o di terza parte sui dispositivi degli utenti senza consenso per la “misurazione dell'audience” (cioè per analizzare il traffico in transito sui propri siti web per ottimizzare il servizio).

Se hai ancora dei dubbi, ecco un diagramma dell'ICO che spiega molto bene l'uso dei cookie.

Dammela direttamente

Un problema che potrebbe sorgere qui è che le aziende che collocano i cookie cercheranno di interpretare la legge a modo loro. Ma anche se realizziamo analisi, test A/B e software di personalizzazione, te lo forniremo direttamente.

1. Le autorità per la privacy del Regno Unito (ICO) e della Francia (CNIL) hanno modificato le loro linee guida nel luglio 2019 affermando che analisi, test A/B e software di personalizzazione come Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize e il resto tutti devono acconsentire utilizzando il consenso per inserire cookie di prima e terza parte per i propri cittadini.
2. La Francia (CNIL) ha modificato la propria pagina Github con linee guida che esentano i test A/B e le analisi di base dal consenso ai cookie.
3. Germania e Spagna stanno seguendo il Regno Unito (ICO) o la Francia (CNIL) e puoi aspettarti aggiornamenti sulle loro linee guida a breve.
4. La Corte di giustizia dell'Unione Europea (la "CGUE") ha stabilito nella sentenza "Planet49" dell'ottobre 2019 che il consenso standard del GDPR si applica anche all'impostazione dei cookie ai sensi della Direttiva ePrivacy. La sentenza ribadisce che le linee guida britanniche e francesi devono essere adottate da tutte le autorità nazionali per la privacy.
5. La nuova legge in bozza denominata Regolamento ePrivacy che sostituirà la Direttiva ePrivacy prevede un'eccezione per i cookie per i test A/B, la personalizzazione e l'analisi.
6. È improbabile che l'ICO o la CNIL perseguano attivamente le aziende che utilizzano analisi proprietarie, test A/B e personalizzazione in questo momento. È probabile che i regolamenti ePrivacy entreranno in vigore a (metà) 2021 e c'è un periodo di grazia fino a luglio 2020. L'ambito del lavoro di queste organizzazioni è molto ampio.
7. Trai le tue conclusioni sulla base di ciò che consideriamo un'equa rappresentazione di ciò che è accaduto da luglio 2019 in Europa. Parla con il tuo consulente legale. Non basare i tuoi consigli su uno strumento che vende piattaforme di gestione del consenso (vogliono tutti i consensi), ma nemmeno da fornitori di strumenti di analisi, test A/B e personalizzazione... noi e loro.

Spero che questo articolo abbia contribuito a far luce sui cambiamenti che stanno avvenendo in questo momento in Europa.

Sebbene danneggi il nostro modello di business, ci sforziamo sempre di condividere la verità.

Vogliamo che i nostri strumenti di ottimizzazione siano utilizzati per fornire la migliore esperienza utente, in modo che gli utenti ottengano la migliore pagina del prodotto, il menu meno confuso, il modulo che consente loro di risparmiare tempo per completarlo.

Consideriamo l'ottimizzazione del sito web come un mestiere nobile, nel migliore interesse sia dei visitatori del sito web che dei proprietari (i nostri clienti paganti). Vogliamo che i nostri clienti prendano sul serio la privacy e inseriscano avvisi e privacy in ogni livello dei nostri strumenti. Archiviamo solo dati aggregati, e nessun dato personale, nei nostri strumenti, per motivi di conformità e privacy.

Ci interessa davvero . Anche se potremmo trovarci in una situazione difficile a causa dell'attuale ICO e delle linee guida CNIL in continua evoluzione e dei regolamenti ePrivacy, sappiamo che con la massima trasparenza, saremo l'azienda preferita dai marchi che tengono alla privacy e di cui i consumatori possono fidarsi .

A tale scopo, abbiamo lanciato un piccolo pop-up che mostra ai visitatori del sito web di quali personalizzazioni e test A/B fanno parte.

È un codice opzionale che i clienti possono aggiungere al loro Javascript globale all'interno dello strumento di test e personalizzazione di Convert Experiences A/B (vedi l'immagine qui sotto su come funziona).

Se desideri discutere della privacy, delle soluzioni CNAME su cui stiamo lavorando o di nuovi sviluppi legali, contattami su LinkedIn.