Approfondimento GDPR: cosa fare sui cookie
Pubblicato: 2018-02-16
Tutti i cookie sembrano funzionare più o meno allo stesso modo. File web minuscolo, memorizzato da un utente, tiene traccia dell'attività, ecc. ecc.
Ma alcuni sono più “privati” di altri.
E ora, più che mai, questo farà la differenza per il tuo stack di marketing.
La strada verso la conformità al GDPR e alla ePrivacy è accidentata. Richiede ai responsabili del trattamento dei dati di fare affidamento sulla "privacy by design" e di chiedere il consenso se utilizzano QUALSIASI dato personale. Ciò significa qualsiasi identificatore personale. Ciò significa cookie, indirizzi IP o codici postali.
In Convert, volevamo assicurarci che nessun dato personale venisse memorizzato nei nostri sistemi e che nessuna persona sarebbe stata identificata con l'uso dei cookie. Era l'unico modo per mantenere l'equilibrio tra crescita aziendale, conoscenza strategica e privacy personale dei visitatori del sito web.
Perché, ti sei mai chiesto cosa accadrebbe quando hai bisogno di chiedere il consenso esplicito per il tuo strumento di test A/B?
Se per l'esecuzione del tuo software, tutti gli utenti del tuo sito Web devono fornire il consenso ai test A/B.
Come lo spiegheresti chiaramente? Persuasivamente?
E quanti dei tuoi utenti pensi che darebbero l'ok?
Fornitori di software: se vuoi salvare la tua azienda, è ora di riprogettare le tue app
L'UE ci ha fornito linee guida chiare su come gestire i cookie nel GDPR, anche senza i nuovi regolamenti ePrivacy in vigore.
Vogliamo davvero condividere un messaggio chiaro con i nostri visitatori del web: abbiamo a cuore la tua privacy.
E per farlo, prevedo, dovremo cancellare il 20% dei 72 strumenti software che utilizziamo.
SOLO per mancanza di chiarezza sulla privacy. O la mancanza di funzionalità regolate dal GDPR. O la mancanza di volontà di gestire i dati dei nostri clienti, potenziali clienti e altre relazioni, in modo trasparente.
Il considerando 30 del GDPR afferma:
Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza.
Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
Quindi non vogliono identificatori univoci . Nemmeno nei cookie e sicuramente non nei dati personali.
Test A/B pre-GDPR con Direttiva ePrivacy e versioni localizzate in Europa
La normativa attualmente in vigore, la Direttiva ePrivacy (che presto sarà sostituita con il nuovo Regolamento ePrivacy) ci aiuta a capire su che tipo di cookie si basa il software di test A/B. Sono cookie prestazionali:
Testare le variazioni del design, in genere utilizzando test A/B o multivariati, per garantire che un aspetto coerente sia mantenuto per l'utente del sito nelle sessioni correnti e successive. Se corrispondono a questa descrizione, sono cookie per le prestazioni.
Questi cookie raccolgono informazioni su come i visitatori utilizzano un sito web, ad esempio quali pagine visitano più spesso e se ricevono messaggi di errore dalle pagine web. Questi cookie non raccolgono informazioni che identificano un visitatore. Tutte le informazioni raccolte da questi cookie sono aggregate e quindi anonime. Viene utilizzato solo per migliorare il funzionamento di un sito web.
Questi cookie non dovrebbero essere utilizzati per reindirizzare gli annunci pubblicitari, se lo sono, dovrebbero essere inseriti nella categoria dei cookie di targeting e dei cookie pubblicitari secondo la guida ai cookie ICC UK Seconda edizione novembre 2012 [PDF] .
I cookie nel "segmento delle prestazioni" raccolgono solo informazioni sull'utilizzo del sito Web a vantaggio del gestore del sito Web. Si basano su dati aggregati. Non "identificano un visitatore" direttamente. Il consenso per l'uso di questi tipi di cookie può essere ottenuto, ad esempio, nei termini e condizioni del sito o quando l'utente modifica le impostazioni del sito.
Il metodo corretto da utilizzare qui dipenderà dalla natura del sito Web e dall'esatta funzione dei cookie coinvolti. Ma nella maggior parte dei casi, possiamo ottenere il consenso con le parole: "Utilizzando il nostro [sito web][servizio online], acconsenti all'uso di questi tipi di cookie sul tuo dispositivo".
Sebbene la nuova legge (Regolamenti ePrivacy) sia diversa, la vecchia/attuale Direttiva ePrivacy ci aiuta a capire dove si trovavano i software di test A/B quando i cookie potevano essere inseriti senza il consenso dell'utente. Potremmo svolgere il nostro lavoro normalmente, purché fornissimo informazioni chiare all'utente finale.
Ogni paese può avere una descrizione leggermente diversa, ma in generale, l'Europa era d'accordo con i test A/B. Ha aiutato le prestazioni del sito Web (se non lo hai utilizzato per il targeting comportamentale e la personalizzazione e non hai condiviso le informazioni con altri o tracciato attraverso il sito Web).
Dopo il GDPR abbiamo bisogno del consenso per i test A/B?
È interessante notare che PageFair ha rilevato che solo il 21% dei consumatori avrebbe accettato il monitoraggio delle analisi proprietarie.
Ciò significherebbe ⅕ del traffico attuale accetterebbe l'analisi se rientrasse nei parametri di consenso.
Quindi avrai bisogno del consenso per il tuo strumento di test A/B?
Molto probabilmente sì, avresti bisogno del consenso se il tuo software di test A/B dipende da indirizzo IP, identificatori univoci come Device ID, UserID, TransactionID, CookieID o dati pseudonimi (che significa: dati irriconoscibili + una chiave archiviata altrove, per renderlo leggibile ancora). Questi, ai sensi del GDPR, sono identificatori univoci e richiedono opt-in espliciti.
Quindi, quando è necessario iniziare con il consenso esplicito? Quando la Direttiva ePrivacy passa ai Regolamenti ePrivacy?
Attenzione: parole latine e termini legali.
Il Regolamento ePrivacy è il 'principe lex specialis derogat legi generali' o in breve 'lex specialis' del GDPR.
In parole povere questo significa: se GDPR ed ePrivacy sono in disaccordo, o GDPR stabilisce una linea guida che necessita di ulteriori specifiche, le regole stabilite in ePrivacy sono quelle che devi seguire.
In questo momento abbiamo solo una bozza (nomi 1533) del Regolamento ePrivacy in discussione. Ha ancora bisogno di ricevere feedback dai delegati membri dell'UE, quindi non rispecchia esattamente ciò che presto diventerà legge.
Una previsione "ottimista": la consulente politica del Future of Privacy Forum, Gabriela Zanfir-Fortuna, afferma di aspettarsi una data di approvazione della ePrivacy verso la fine del 2018. Per quanto riguarda la data di attuazione, non ne abbiamo davvero idea.
In modo meno ottimista, ha anche suggerito che il regolamento ePrivacy "probabilmente richiederà un'ulteriore conformità". E Alex Propes (Direttore dell'Interactive Advertising Bureau (IAB) of Public Policy) ha affermato che "al momento le organizzazioni possono prendere di mira solo il GDPR".
Daniel Felz Associate di Alston & Bird condivide un punto di vista ancora più deprimente: “Le negoziazioni del trilogo sul regolamento ePrivacy sono state rinviate all'autunno 2018; Il regolamento ePrivacy definitivo potrebbe non essere in vigore fino al 2020. In una conferenza sponsorizzata dalla Società federale tedesca per la protezione dei dati, una portavoce del ministero dell'Economia tedesco ha affermato che i negoziati del trilogo non inizieranno prima dell'autunno del 2018.
Apparentemente, gli Stati membri dell'UE stanno ancora discutendo una serie di questioni aperte in merito alle questioni relative al regolamento e-privacy.
Nel frattempo, ovviamente, resta in vigore l'attuale Direttiva ePrivacy (Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002), che è materia di legislazione nazionale.
Quindi era un sacco di legge che mi hai lanciato. Cosa significa per la mia attività?
Il GDPR è chiaro: nessun dato personale senza consenso. E se stai aspettando che ePrivacy si introduca con una scappatoia, potresti essere in attesa di una lunga attesa.
Quindi, se il tuo software di test A/B dipende da dati personali: indirizzo IP, identificatori univoci come Device ID, UserID, TransactionID, CookieID o dati pseudonimi (sono dati irriconoscibili + chiave in un punto diverso per renderlo nuovamente leggibile), allora quello è personale dati.
Rimane fondamentale includere i dati online e gli identificatori, come i cookie e molti altri, nella strategia GDPR. Indipendentemente da dove e come, il testo sarà adattato dalle future discussioni dei delegati.
La vecchia direttiva ePrivacy ti dava l'obbligo di mettere in atto un avviso "cookie wall" e si concentrava solo sulle società europee.
Ora il GDPR si applica a tutti coloro che toccano i dati dell'UE, in tutto il mondo. E i dati personali sono definiti per includere tutti i tipi di nuovi identificatori.
Ma la vecchia direttiva ePrivacy dice qualcos'altro. Dice "per questo tipo di dati, hai solo bisogno di un avviso e un'opportunità per rinunciare".
Quindi benvenuti in un vuoto legale.
La grande domanda è: verrai multato all'interno di quella zona grigia?
E la risposta è: vuoi rischiare?
Le autorità per la privacy avranno un sacco di tempo per implementare il GDPR. E le nuove leggi sulla ePrivacy potrebbero non essere messe in moto fino al 2019, o addirittura al 2020.
Quindi, non mi aspetto grandi multe il 25 maggio, se il tuo cookie wall di base è ancora attivo.
Ma è chiaro che finalmente le leggi stanno cambiando. E continueranno a cambiare, mentre ci spostiamo in un mondo in cui i dati valgono di più e gli interessati richiedono di più.
Quindi iniziamo ora.