GDPR vs ePrivacy: cosa devi sapere

Pubblicato: 2018-02-15
GDPR vs ePrivacy: cosa devi sapere

Il regolamento generale sulla protezione dei dati (GDPR) sostituisce la direttiva sulla protezione dei dati 95/46/CE...

…E, porta con sé il nuovo Regolamento ePrivacy (ePR) per i cittadini dell'UE…

...anche se tali dati sono conservati e trattati al di fuori dell'Europa...

…in un'epoca in cui i dati personali sono sempre più preziosi dal punto di vista economico.

Quindi è incredibilmente importante.

Ma anche... eh?

E gli articoli sul GDPR sembrano solo rendere le cose più complicate.

Per esempio….

  • Il GDPR sostituisce la Direttiva sulla protezione dei dati 95/46/CE. Tutto chiaro?
  • Il GDPR si occupa di MOLTO più della semplice privacy digitale. E quindi c'è un sotto-legge chiamato Regolamento ePrivacy per dare regole più specifiche. Ancora chiaro?
  • Il Regolamento ePrivacy sostituisce la Direttiva ePrivacy, ancora con me?
  • Il GDPR è approvato e diventerà legge il 25 maggio 2018, pronto?
  • Ogni paese europeo può creare il proprio "sapore" di GDPR e solo due paesi hanno fatto quello di due dozzine ... dire cosa?
  • Le normative ePrivacy molto probabilmente non saranno nemmeno pronte entro il 25 maggio 2018….ehhh vieni di nuovo?
    Quindi, laddove i cookie sono menzionati una volta nel GDPR, i regolamenti ePrivacy sono pieni di descrizioni dettagliate di cosa è consentito e cosa non è consentito... ma ci manca quella legge finale (è nella bozza n. 1533). Pratico vero?

Quindi cosa facciamo? Quali regole seguiamo?

Quindi è un pasticcio, ma nessuno te lo dice. Dal momento che i soldi devono essere fatti.

Di articolo in articolo leggerai delle spaventose multe da 20 milioni di euro (24 milioni di dollari).

Il prezzo del fallimento è, ma le regole non sono chiare. Quindi cosa facciamo?

Attuiamo ciò che dice il GDPR, è quello che facciamo.

Perché non importa che non tutte le leggi siano fatte. Conosciamo la struttura centrale e ciò significa che ogni legge nazionale può variare leggermente. Ma abbiamo le basi.

E quelli sono….

Marketing digitale e GDPR cosa sappiamo?

Nel GDPR sappiamo che i cookie vengono menzionati solo una volta. Il considerando 30 afferma:

Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza.

Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

Quindi non vogliono identificatori univoci . Nemmeno nei cookie e sicuramente nessun dato personale.

I dati personali sono una versione europea delle PII. Ma ohhh ragazzo è diverso. Qui una tabella di confronto.

Dati personali identificativi (PII)
Dati personali
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle

+

  • Indirizzo IP
  • Identificatori univoci come ID dispositivo, UserID, TransactionID, CookieID
  • Dati pseudonimi (questi sono dati irriconoscibili + chiave in un punto diverso per renderlo nuovamente leggibile)

Per ora, questo è quello che sappiamo.

L'intenzione della legge europea GDPR

Ora puoi prendere una squadra legale e puoi trovare tutte le aree grigie di cosa e cosa non è consentito. Ma prima capiamo solo l'idea centrale, l'intenzione, dietro il regolamento.

Se capisci la legge puoi capire molto chiaramente quando ti stai avventurando in hack di blackhat-privacy e grayhat-privacy. E puoi determinare quali strumenti rimuovere dal tuo stack e quali interessanti hack di marketing puoi davvero mantenere. Leggi il considerando 26 del GDPR.

(Oppure salta il corsivo e fidati del riassunto che ho scritto dopo di loro).

I principi di protezione dei dati dovrebbero applicarsi a qualsiasi informazione riguardante una persona fisica identificata o identificabile.

I dati personali che sono stati oggetto di pseudonimizzazione, che potrebbero essere attribuiti a una persona fisica mediante l'uso di informazioni aggiuntive, dovrebbero essere considerati informazioni su una persona fisica identificabile.

Per determinare se una persona fisica è identificabile, dovrebbero essere presi in considerazione tutti i mezzi che ragionevolmente possono essere utilizzati, come l'individuazione, dal responsabile del trattamento o da un'altra persona per identificare la persona fisica direttamente o indirettamente.

Per accertare se è ragionevolmente probabile che i mezzi vengano utilizzati per identificare la persona fisica, si dovrebbe tener conto di tutti i fattori oggettivi, come i costi e il tempo necessario per l'identificazione, tenendo conto della tecnologia disponibile al momento dell'identificazione elaborazione e sviluppi tecnologici.

I principi di protezione dei dati non dovrebbero pertanto applicarsi alle informazioni anonime, vale a dire le informazioni che non si riferiscono a una persona fisica identificata o identificabile o ai dati personali resi anonimi in modo tale che l'interessato non sia o non sia più identificabile.

Il presente Regolamento non riguarda pertanto il trattamento di tali informazioni anonime, anche per fini statistici o di ricerca.

In breve, la mia versione: i dati personali (e questo è molto) dovrebbero essere raccolti solo con interesse legittimo (in un altro articolo, più su quello), o in cambio del consenso, come parte di un contratto. Ci sono un altro paio di eccezioni che non si applicheranno al 90% dei marketer digitali, ma puoi leggerle tutte qui.

Quando raccogli dati personali, questi devono essere...

  • immagazzinato al sicuro in Europa.
  • protetto.
  • cancellabile o modificabile su richiesta.

Dovresti anche essere pronto a segnalare una violazione della sicurezza su quei dati entro 72 ore dal verificarsi. Quindi assicurati di essere in grado di informare gli interessati e le autorità, se dovesse verificarsi.

Gli europei vogliono questa legge, va ben oltre l'Europa e tocca ogni database nel mondo in cui gli europei sono archiviati con una qualche forma di dati personali.

"Ma Dennis ti stai dimenticando..."

Ovviamente, sto dimenticando tonnellate e tonnellate di cose. Sono oltre 300 pagine di legge GDPR e oltre 100 sulla bozza 1533 di ePrivacy Regulations. Ma l'idea è chiara.

La conservazione dei dati personali ti riguarderà come titolare del marketing digitale perché devi chiedere il consenso.

L'intenzione della legge europea GDPR

Che cosa? Consenso? Sì, consenso esplicito!

Sì. Devi spiegare ai visitatori del sito web, ai lead e ai clienti come raccogli e memorizzi i loro dati. Non usarlo in nessun altro modo se non nei modi in cui condividi.

Quindi no...iscrivendoti a questo whitepaper accetti i termini bla bla nessuno lo leggerà.

Invece….

“<casella di controllo non selezionata> Acconsento che scaricando questo whitepaper, ricevo un'e-mail con il whitepaper.
<casella di controllo non selezionata>, acconsento a una telefonata da un rappresentante dell'azienda X."

Dannazione... questo abbasserà i tassi di conversione, giusto?

Sì probabilmente.

Scusa, non la mia legge...

Cosa puoi fare senza il consenso?

Puoi utilizzare qualsiasi strumento nel tuo stack che non memorizzi ID cookie e non memorizzi dati personali. Nessuna impronta digitale e altri brutti hack per evitare i cookie...

Quindi nessun ID cookie, identificatori univoci e nessuna memorizzazione di dati personali sui siti Web sono consentiti da questi strumenti.

Convert Experiences (il nostro software di test A/B) verrà eseguito senza ID cookie e identificatori univoci e senza archiviazione di dati personali. Quindi è qualcosa da cercare mentre valuti i tuoi strumenti di marketing.

Sembra che l'analisi web (contando i visitatori) sarà consentita, ma non è chiaro al 100% quali strumenti e funzionalità di analisi sono consentiti. Questo dipende dalle normative ePrivacy: una legge, ancora una volta, non è finita.

Quindi vale la pena chiedere il consenso? Forse…

Quindi devi chiedere un consenso chiaro, per tipo (gruppo) di strumenti.

Il che ti mette in una posizione imbarazzante.

Se esegui 10 strumenti di retargeting che combinano ricerche storiche, visite alle pagine ecc...? Mettili in un gruppo e vedi se riesci a spiegare chiaramente il vantaggio ai visitatori, in modo che acconsentano.

Nessuna casella preselezionata... nessuna corruzione, nessun muro di biscotti...

E quegli strumenti possono essere eseguiti SOLO se un visitatore dà loro il via libera. Anche per i marketer più intelligenti, stai osservando una riduzione del traffico.

C'è molto altro da imparare.

E quindi stiamo documentando le aree grigie.

Ecco alcuni buoni punti di partenza:

  • Come eseguire una campagna di riautorizzazione GDPR di successo: una guida passo passo
  • L'hacking della crescita ti porta a multe pesanti? Modifica la tua strategia in uscita per il GDPR.
  • Come acquistare un software di test A/B conforme al GDPR
  • Come convertire in e-commerce nell'era del GDPR