L'impatto del GDPR sulla raccolta dei dati CRO: un breve riepilogo

La base per l'ottimizzazione del tasso di conversione su qualsiasi sito Web è la raccolta e l'analisi sistematica dei dati relativi ai visitatori che interagiscono con il sito Web.

La raccolta dei dati degli utenti è fondamentale per misurare il modo in cui i visitatori utilizzano, comprendono e apprezzano le diverse parti di un sito web. Tuttavia, ai sensi del Regolamento generale sulla protezione dei dati (GDPR) introdotto dal Parlamento europeo nell'aprile 2016 e infine applicato a maggio 2018, la raccolta e il trattamento dei dati personali nell'Unione europea sono diventati unificati e limitati.

In parole povere, le aziende non possono più raccogliere e accumulare dati senza un valido motivo. Inoltre, non possono elaborare i dati a loro piacimento. E infine, i dati ora hanno una data di scadenza. È necessario eliminare regolarmente i dati che non vengono utilizzati per migliorare l'esperienza di utenti e clienti in modo tangibile.

L'obiettivo del GDPR è armonizzare le leggi sulla privacy dei dati nell'Unione Europea, rafforzare i diritti alla privacy dei cittadini dell'UE e prevenire le violazioni dei dati. Le organizzazioni che non rispettano il GDPR possono essere multate fino al 4% del loro fatturato annuo o fino a 20 milioni di euro (a seconda di quale sia il valore più alto).

Le sanzioni sono già state inflitte. Ad esempio, l'Information Commissioner's Office (ICO) ha annunciato una multa di 183,39 milioni di sterline per British Airways a causa di una violazione dei dati che ha compromesso i dati personali di 500.000 clienti e una violazione del GDPR.

Pertanto, il motto generale ai sensi del GDPR è che meno informazioni personali sull'utente vengono raccolte, meglio è . Ma ciò significa che la raccolta dei dati degli utenti dai cittadini dell'UE allo scopo di ottimizzare il tasso di conversione è impossibile senza rischiare pesanti sanzioni ai sensi del GDPR?

Non necessariamente.

Se raccogli dati personali di un cittadino dell'UE attraverso strumenti di tracciamento, cookie, software di elaborazione o programmi di valutazione dei dati, devi sapere che tipo di dati vengono raccolti, dove verranno archiviati, come vengono elaborati e quando verranno eventualmente cancellati . La necessità di un cambiamento nella mentalità generale delle imprese e delle organizzazioni di possedere i dati personali delle persone si è intensificata negli ultimi anni.

La sezione sulla portabilità dei dati personali nel GDPR afferma che nessuna azienda può possedere i dati di un individuo e che l'interessato ha il diritto di condividere i propri dati con un'altra organizzazione. Pertanto, ai sensi del GDPR, le aziende e le organizzazioni sono legalmente obbligate a ottenere un accordo di consenso per la raccolta e l'elaborazione dei dati dei visitatori del loro sito web. Inoltre, devi scrivere il modulo di consenso in parole semplici per spiegare chiaramente perché stai raccogliendo i dati e per cosa li utilizzerai.

A prima vista, sembra travolgente e difficile da eseguire quotidianamente. Tuttavia, questo articolo ti aiuterà a gestire i requisiti GDPR.

Inoltre, l'articolo ti fornirà una panoramica di ciò che è considerato dati personali ai sensi del GDPR, come puoi diventare conforme al GDPR raccogliendo dati personali ai fini dell'ottimizzazione del tasso di conversione (CRO) e come il GDPR influisce sugli strumenti CRO comuni che sono utilizzato per ottimizzare i siti web.

Cosa costituiscono i dati personali?

L'articolo 4 del GDPR definisce cosa costituiscono i dati personali.

I dati personali sono qualsiasi forma di informazione in grado di identificare, direttamente o indirettamente, una persona fisica. Una persona fisica è un individuo che vive nell'UE. Il modo più semplice per identificare una persona è generalmente attraverso il nome completo. Ma possono esserci più persone con lo stesso nome che vivono nell'UE. Tuttavia, una combinazione di diversi punti dati può essere sufficiente per identificare un individuo specifico. I punti dati identificabili potrebbero essere, ad esempio, il nome, la posizione, l'indirizzo e-mail, le informazioni di accesso, l'indirizzo IP e gli identificatori univoci come ID utente o ID transazione.

Durante la lettura dell'ultima sezione, probabilmente hai notato che la maggior parte degli strumenti di ottimizzazione del tasso di conversione comunemente utilizzati raccolgono ed elaborano i punti dati identificabili menzionati. Ma sei responsabile di garantire che gli strumenti di elaborazione dati di terze parti siano conformi alle normative UE sulla protezione dei dati?

Strumenti CRO di terze parti: come utilizzarli

Il GDPR descrive che il processo di raccolta dei dati è condotto da due entità diverse: il "titolare" dei dati e il "responsabile del trattamento". Il titolare del trattamento decide lo scopo, la portata e l'intento dei dati raccolti. Pertanto, nella maggior parte dei casi, i titolari del trattamento sono i proprietari del sito web. I responsabili del trattamento, invece, trattano i dati raccolti per il raggiungimento di un obiettivo prefissato per conto del titolare del trattamento.

I responsabili del trattamento dei dati sono generalmente strumenti CRO di terze parti come mappe di calore, strumenti di test, analisi dei moduli o strumenti di test A/B. Prima che qualsiasi strumento di terze parti possa essere utilizzato, un accordo su ciò che lo strumento di terze parti è autorizzato a fare in nome del proprietario del sito web deve essere approvato dal proprietario del sito web.

Ciò significa che uno strumento di terze parti in qualità di responsabile del trattamento funge da estensione del titolare del trattamento.

Il regolamento generale sulla protezione dei dati stabilisce che un titolare del trattamento è legalmente responsabile delle azioni del responsabile del trattamento. Pertanto, se il responsabile del trattamento in forma di strumento CRO di terze parti non è conforme al GDPR, il titolare del trattamento a sua volta è ugualmente non conforme e può incorrere in sanzioni. Pertanto, è consigliabile verificare quale tipo di dati raccolgono per te gli strumenti di marketing e monitoraggio che utilizzi per il tuo sito web.

Ora probabilmente ti starai chiedendo: “Quali sono le mie responsabilità ai sensi del GDPR? E quali misure dovrebbero essere indicate nell'accordo tra il titolare del sito web e lo strumento di elaborazione dati di terze parti per garantire la conformità al GDPR?" La seguente lista di controllo ti fornirà una rapida panoramica dei più importanti requisiti GDPR per strumenti di terze parti, nonché dei tuoi requisiti.

Elenco di controllo per i requisiti GDPR degli strumenti di terze parti

• Accordo sul trattamento dei dati aggiornato con aggiunta di una sezione GDPR
• Il contratto dovrebbe indicare che agiranno solo in base alle tue indicazioni documentate
• La durata, la finalità, la conservazione e il processo delle modalità del trattamento dei dati
• Le registrazioni del consenso dei visitatori del sito Web devono essere conservate per un breve periodo di tempo previsto dai requisiti del GDPR
• Le misure di sicurezza dei dati devono essere indicate nell'accordo dello strumento di terze parti
• Il responsabile del trattamento deve assistere il titolare del trattamento nei diritti dell'utente di accedere ai dati memorizzati, nella revoca del consenso prestato e nel diritto all'oblio e alla cancellazione di determinate informazioni
• Lo strumento di terze parti dovrebbe indicare che tipo di dati personali verranno raccolti e trattati
• Nell'accordo tra il responsabile del trattamento e il titolare del trattamento dovrebbe essere inserita una sezione che descriva i diritti e gli obblighi di ciascuna parte

Elenco di controllo per i requisiti GDPR dei proprietari di siti Web

• Audit delle informazioni: quali dati personali raccogli/tratta/conservi?
• Avere una giustificazione legale per la raccolta di dati personali (Art. 6, 7-11)
• Non conservare i dati più a lungo del necessario (Art.5)
• Ottenere il consenso per la raccolta dei dati personali e conservare i consensi per la prova del consenso prestato attraverso un'opzione di opt-in attiva (Art. 4)
• Crittografare e pseudonimizzare i dati personali ove possibile (Art. 32)
• Facilita ai tuoi clienti la revoca del consenso, la raccolta e l'eventuale cancellazione dei dati raccolti (Art. 15, 17, 18, 21)
• Nomina gli strumenti di terze parti che hanno accesso o raccolgono dati personali a tuo nome
• Attenersi alle restrizioni per i trasferimenti di dati personali verso paesi al di fuori del SEE (Art. 44-50)

Conformità al GDPR: possibile impatto sull'esperienza e sul tasso di conversione

Ai sensi del GDPR, tutti i dati raccolti dovrebbero essere effettuati previa acquisizione del consenso esplicito dell'utente . Esistono due modi in cui ciò può essere potenzialmente dannoso per le aziende:

• I moduli non possono più essere forniti con il consenso incorporato (caselle preselezionate) e devono richiedere il consenso per ogni tipo separato di trattamento dei dati. Quindi, in breve, se un browser si è registrato per il tuo magnete guida, non iniziare automaticamente a visitare la sua casella di posta con la newsletter. Ciò non solo riduce il numero di punti di contatto con i potenziali clienti, ma se i moduli non sono progettati pensando alla UX, le opzioni di consenso possono indurre frustrazione e affaticamento portando a tassi di completamento/invio peggiori.

• Pop-up per il consenso dei cookie . Questo post di Convert analizza i diversi tipi di cookie che possono essere utilizzati su un sito e come ottenere l'autorizzazione per il loro utilizzo dal traffico. Nel caso in cui il cookie che hai in mente richieda un cenno dal browser del sito, allora i moduli di consenso dei cookie orribili sono la strada da percorrere. La maggior parte degli strumenti ha i propri banner di consenso ai cookie con opzioni di personalizzazione molto limitate. Gli strumenti aggregati che consentono di consolidare i consensi ai cookie per diverse soluzioni sono inadeguati e richiedono agli utenti di fare clic o di allontanarsi dalla pagina esistente per accettare o rifiutare.

Sebbene non sia stata condotta alcuna ricerca formale sulla diminuzione del traffico, del coinvolgimento o dei tassi di completamento degli obiettivi, prima e dopo il GDPR, la maggior parte delle aziende ha sofferto.

Tuttavia, questa sofferenza ha dato origine alla necessità di investire in tecniche di ottimizzazione del tasso di consenso e in una migliore progettazione e UX, elementi che alla fine miglioreranno il modo in cui le aziende interagiscono con i potenziali clienti e li guideranno attraverso il ciclo di acquisto/consumo.

Il GDPR e le leggi sulla privacy dei dati simili che stanno prendendo forma in tutto il mondo sono passi nella direzione di un futuro digitale più privato e libero, ma è fondamentale che le soluzioni tecniche per l'applicazione di queste leggi siano equilibrate e sfumate, in modo che non rompano le economie di Internet che ne finanziano le parti libere e universali, che tutti noi amiamo e desideriamo proteggere.

Daniel Johannsen, CEO di Cybot, creatori di Cookiebot.

Archiviazione, cancellazione e classificazione dei dati personali

Un altro requisito del GDPR che può influire sulla raccolta di dati per scopi CRO è la conservazione e l'elaborazione dei dati personali. Ciò può essere particolarmente complicato, poiché molti strumenti CRO memorizzano dati personali e molte parti possono essere coinvolte nel processo di analisi dei dati. Pertanto, dipende da quanti strumenti CRO utilizzi per il tuo sito Web, ma è principalmente possibile limitare la conservazione a lungo termine dei dati personali negli strumenti CRO utilizzati.

La necessità di cancellare i dati raccolti e conservati da organizzazioni o aziende è dibattuta da molti anni. Ai sensi del GDPR, un individuo può richiedere la cancellazione dei propri dati personali senza ulteriore ritardo. Tuttavia, non è del tutto chiaro come le organizzazioni debbano mostrare una prova dell'eliminazione dei dati, poiché ciò darebbe luogo a domande sulla privacy dei dati e sulle politiche aziendali.

Un altro punto che deve essere affrontato è l'appropriata classificazione dei dati personali. Come organizzazione, devi sapere quale tipo di dati devi raccogliere per gestire con successo la tua attività.

Le normative sulla raccolta dei dati del GDPR descrivono l'importanza per le aziende di raccogliere dati personali solo con una giustificazione legale. In totale, esistono 6 basi giuridiche per la raccolta dei dati: Consenso, contratto, obbligo legale, interessi vitali, compito pubblico e interessi legittimi. Una giustificazione legale comune per la raccolta e il trattamento dei dati personali è un interesse legittimo. Potrebbe trattarsi ad esempio del trattamento dei dati per finalità di retargeting o marketing diretto (considerando 47). Ciò limiterà anche l'uso non autorizzato dei dati personali da parte di strumenti di terze parti, riducendo così il rischio di furto dei dati.

Conclusione:

I requisiti obbligatori del GDPR possono influenzare parzialmente il processo di raccolta dei dati per l'ottimizzazione del tasso di conversione. In particolare il volume dei dati raccolti è influenzato dal modulo di consenso "opt-in" sui siti web. Inoltre, gli strumenti CRO di terze parti che raccolgono dati per te devono essere controllati in modo da poter verificare se i requisiti GDPR più importanti sono inclusi nell'accordo, poiché sei responsabile di potenziali violazioni del GDPR di terze parti.

Nel complesso, tuttavia, si tratta di cambiamenti positivi che daranno frutti sotto forma di interazioni più libere tra potenziali clienti e marchi, senza il timore di un uso improprio dei dati. Eventuali cali nei tassi di conversione nel presente saranno compensati poiché i marchi consapevoli prenderanno la conformità nel loro passo e investiranno nello sviluppo di pratiche che si concentrano sul rendere il processo di acquisizione del consenso il più indolore (e persino piacevole) possibile.