Come scegliere uno strumento di test A/B conforme alla privacy (la nostra guida per ottimizzatori tedeschi)

I consumatori stanno acquisendo maggiore consapevolezza e controllo sulle proprie informazioni personali, poiché le leggi sulla privacy entrano in vigore in tutto il mondo. L'UE, ad esempio, ha approvato lo storico Regolamento generale sulla protezione dei dati (GDPR) nel 2018, per rafforzare le normative sulla privacy dei dati e la California ha applicato il California Consumer Privacy Act (CCPA) nel 2020.

Le società di test A/B stanno ora adottando misure aggiuntive per conformarsi a queste nuove regole. Ad esempio, molti chiedono agli utenti il ​​consenso prima di aggiungerli a una mailing list, fornendo informative e informative sulla privacy facilmente accessibili e dando agli utenti la possibilità di accedere, modificare o eliminare le proprie informazioni personali.

Nonostante la mancanza di privacy digitale nel mondo di oggi, la Germania rimane impegnata nella protezione dei dati personali dei suoi cittadini, con leggi come l'ex legge federale tedesca sulla protezione dei dati (BDSG) considerata una delle più severe al mondo.

La seguente guida ti guiderà attraverso ciascuna delle leggi sulla privacy dei dati in Germania, in modo da poter prendere la decisione più informata quando selezioni uno strumento di test A/B.

Criteri di selezione per la privacy dei dati

La legge sulla protezione dei dati, adottata per la prima volta in Germania nel 1970, da allora è diventata un diritto umano fondamentale, sostenuto dalle autorità per la protezione dei dati dei 16 stati e federazioni tedesche. È importante rispettare le seguenti leggi quando si seleziona una piattaforma di test A/B:

• Il regolamento generale sulla protezione dei dati dell'UE (GDPR) (2018)
  
  
  • Messa in atto per proteggere i dati dei cittadini dell'UE.
• Legge federale sulla protezione dei dati (BDSG) (2018)
  
  
  • Modifica il GDPR, consentendo eccezioni ai diritti individuali nel trattamento dei dati personali dei dipendenti.
• La legge federale sulla regolamentazione della protezione dei dati e della privacy nelle telecomunicazioni e nei telemedia (TTDSG) (2021)
  
  
  • Combina il Telecommunications Act (1996) e il Telemedia Act (2007), che vietano l'accesso ai dati delle telecomunicazioni (come account e-mail aziendali, telefoni aziendali o cronologia dei browser Internet) e stabiliscono requisiti per il consenso dei cookie in conformità con l'articolo 5, paragrafo 3. di ePrivacy.
• ePrivacy (Legge sui cookie) (2002)
  
  
  • Garantisce “privacy e riservatezza, rispetto al trattamento dei dati personali nel settore delle comunicazioni elettroniche”.

I seguenti criteri serviranno da guida nella scelta di una piattaforma di test A/B conforme in Germania

1. Come si è preparata la società di test A/B per la conformità dei dati?

Come si sono preparati per le leggi GDPR, BDSG e TTDSG?

Una volta che hai ristretto le tue scelte principali, assicurati che siano in grado di descrivere brevemente la procedura, quali aree sono state coinvolte e quali misure sono state avviate. Se non tutte le misure pianificate sono state completamente attuate, devono essere in grado di spiegare il loro stato di attuazione.

Questo ti fornirà una panoramica degli approcci utilizzati, nonché la loro autovalutazione in merito alla loro posizione su come attuare le varie leggi.

Domande comuni a cui rispondere sono

1. Sono stati coinvolti tutti i dipartimenti aziendali essenziali che lavorano con i dati personali (ad es. risorse umane, IT, vendite/assistenza clienti, marketing)?
2. Ci sono prove che sia stata condotta una formazione su queste leggi?
3. Sono state attuate tutte le misure previste dall'azienda?

Ad esempio, Convert ha pubblicato una roadmap pubblica, in cui indichiamo chiaramente quali azioni sono state intraprese per diventare conformi al GDPR (per ogni articolo richiesto).

Una tabella di marcia simile dovrebbe essere presente per ogni piattaforma di test A/B che consideri.

2. Lo strumento di test A/B ha registrazioni delle attività di elaborazione?

È importante che lo strumento selezionato abbia incluso tutte le operazioni commerciali relative al trattamento dei dati personali all'interno di un registro delle attività di trattamento.

Chiediti quanto segue:

1. È chiaro che il registro delle attività di trattamento viene regolarmente rivisto e aggiornato ove necessario?
2. Questo record corrisponde ai requisiti legali dell'articolo 30 GDPR?
   
   
   1. Forniscono il nome e i dettagli di contatto della persona responsabile?
   2. Sono dichiarate le finalità del trattamento?
   3. Sono descritte le categorie di persone interessate (ad es. dipendenti, clienti, ecc.) e le categorie di dati personali (ad es. dati anagrafici dei dipendenti, dati dei candidati, dati di contatto con i clienti, dati sull'affidabilità creditizia, ecc.)?
   4. Viene rilasciata una dichiarazione sul trasferimento di dati personali a un paese terzo o a un'organizzazione interna?
   5. Sono indicati i termini previsti per la cancellazione delle varie categorie di dati?

Di seguito è riportato un esempio dei record conservati da Convert per ciascuna attività di elaborazione dati.

3. Su quale base giuridica lo strumento di test A/B elabora i dati personali?

Secondo l'articolo 6 del GDPR, dovrebbero esistere basi legali su cui l'azienda fa affidamento per trattare i dati personali.

Poni le seguenti domande:

1. Le basi legali sono menzionate nella loro Informativa sulla privacy?
2. Le dichiarazioni di consenso sono di facile comprensione (ossia il contenuto dell'interessato è reso chiaro e semplice quando si spiega il rilascio del consenso)?

Esistono diverse basi legali su cui si basa Convert, che sono pubblicate nella nostra politica sulla privacy. Sono incentrati sul GDPR e includono

• Contratto : adempiamo alle nostre responsabilità contrattuali nei tuoi confronti (quando ti registri come cliente, acquisti da noi o utilizzi i nostri servizi, ad esempio).
• Consenso : i clienti devono essere d'accordo prima che possiamo utilizzare le loro informazioni personali in un modo specifico (ad esempio quando si abilita il monitoraggio tra domini, si aggiungono più domini a un progetto, si attiva la segmentazione del pubblico o si richiede la registrazione aggiuntiva).
• Obbligo legale : siamo legalmente tenuti a fornire determinati documenti (ad esempio copie di fatture e informazioni sui pagamenti).
• Interesse legittimo: utilizziamo i tuoi dati personali solo nei modi che ti aspetteresti ragionevolmente, con un impatto minimo sulla privacy o dove esiste una giustificazione convincente.

4. Lo strumento di test A/B ha una valutazione dell'impatto sulla protezione dei dati ?

Le DPIA (valutazioni dell'impatto sulla protezione dei dati) aiutano le organizzazioni a identificare, valutare e mitigare o ridurre al minimo i rischi per la privacy associati all'elaborazione dei dati. Sono particolarmente importanti quando si introduce una nuova tecnica, sistema o tecnologia di elaborazione dati.

Le DPIA promuovono anche il principio di responsabilità perché aiutano le organizzazioni a conformarsi agli standard del GDPR e dimostrano che sono state adottate misure sufficienti per garantire la conformità.

Sapevi che la mancata conduzione di una DPIA quando necessario è una violazione del GDPR che può comportare sanzioni fino al 2% delle entrate globali annuali di un'organizzazione o 10 milioni di euro, a seconda di quale sia il valore più alto?

Nell'ambito del progetto GDPR di Convert, Convert ha sviluppato una guida per il personale e un modello da utilizzare per eseguire le DPIA. Ciò serve a garantire che le operazioni di trattamento con un rischio elevato previsto per i diritti e le libertà delle persone interessate siano identificate.

5. È nominato un responsabile della protezione dei dati?

La responsabilità principale del Responsabile della protezione dei dati (DPO) è garantire che i dati personali dei dipendenti, dei clienti, dei fornitori o di altri soggetti della sua organizzazione (noti anche come interessati) siano elaborati in conformità con le norme sulla protezione dei dati applicabili. Il GDPR richiede che ogni organizzazione e organismo dell'UE istituisca un DPO.

Per chiarire le qualifiche del Responsabile della protezione dei dati di un'azienda e come sono integrate nell'organizzazione, chiediti:

1. È possibile dedurre dagli atti le attuali e sufficienti conoscenze specialistiche del DPO? (Valutare la loro formazione e perfezionamento in materia di protezione dei dati, la portata/durata della loro esperienza in materia di protezione dei dati, la loro formazione professionale (ad es. avvocato, informatico) e la loro partecipazione a reti consolidate di protezione dei dati.
2. È prevista la pubblicazione dei recapiti del DPO? sul sito dell'azienda? I dettagli di contatto del DPO sono facili da trovare lì?

6. In che modo la società di test A/B garantisce di segnalare tempestivamente le violazioni della protezione dei dati all'Autorità di controllo?

Ogni organizzazione tedesca è obbligata, ai sensi dell'articolo 33 del GDPR, a mantenere i dati personali al sicuro e a rispondere in modo appropriato, entro 72 ore, alle violazioni della sicurezza dei dati (che in alcuni casi possono includere la segnalazione di violazioni al responsabile della protezione dei dati).

Per evitare il pericolo di lesioni alle persone, danni alle attività operative e gravi costi finanziari, legali e reputazionali, è fondamentale agire rapidamente in caso di violazioni effettive, possibili o sospette della sicurezza o della riservatezza dei dati.

Quando cerchi uno strumento di test A/B conforme alla privacy, poni queste domande:

1. Il processo di segnalazione delle violazioni della protezione dei dati è stato presentato in modo comprensibile?
2. Le responsabilità (chi fa cosa) sono chiaramente regolate nel processo di rendicontazione?
3. Il periodo di 72 ore è stato preso in considerazione in modo significativo?
4. È chiaro che i dipendenti sono stati informati di questo processo?

Convert dispone di una propria politica di escalation della violazione dei dati personali che può essere richiesta all'indirizzo [email protected].

7. Dove memorizza i dati lo strumento di test A/B?

L'Austria ha recentemente vietato l'uso di Google Analytics perché i suoi dati sono archiviati negli Stati Uniti, dove la protezione della privacy è più limitata. Trovare una piattaforma di test A/B che memorizzi i dati legalmente nell'UE è la soluzione più sicura.

Dovresti essere in grado di scoprire dove sono conservati i dati nell'informativa sulla privacy dell'organizzazione. In generale, le informazioni sulla conservazione dei dati si trovano nelle sezioni “sub-responsabili” e “servizi di terze parti”. Se non riesci a trovare queste informazioni facilmente o non sono chiare, contatta l'organizzazione per chiarimenti.

8. Lo strumento di test A/B rispetta le impostazioni di non tracciamento (DNT)?

Per gli utenti preoccupati per la propria privacy, diversi browser dispongono di una funzione "Do Not Track", che può essere attivata per indicare ai siti Web e agli strumenti di analisi di interrompere il monitoraggio del comportamento degli utenti.

In linea di principio, questa impostazione dovrebbe impedire al browser di un visitatore di accettare "cookie" che informano gli esperti di marketing e altre attività sulle loro abitudini e interessi online. Tuttavia, i siti Web non sono tecnicamente vincolati da queste restrizioni. Pertanto, è importante trovare uno strumento di test A/B che si prenda cura della privacy degli utenti e faccia il possibile per garantire che i loro sistemi siano conformi a questi requisiti.

Convert supporta Do Not Track perché riteniamo fondamentale disporre di un metodo semplice per controllare il modo in cui vengono utilizzate le informazioni dell'utente finale. Prendiamo seriamente DNT come un segnale da te e dai tuoi utenti finali su come dovremmo usare i dati.

Converti offre agli utenti le seguenti opzioni:

1. Do Not Track (Disattiva il monitoraggio)
2. Traccia (attiva il monitoraggio)
3. Null (nessuna preferenza)

Per impostazione predefinita, i browser Web utilizzano "Null", a indicare che l'utente finale non ha espresso se desidera essere tracciato o meno. Quando si sceglie "Do Not Track", Converti non carica gli script/le esperienze e carica invece le altre due opzioni.

Nella configurazione del tuo progetto, c'è una riga che dice: "Rispetta non tenere traccia delle impostazioni del browser", che è disattivata per impostazione predefinita, ma può essere modificata utilizzando il menu a discesa.

9. Lo strumento di test A/B consente il monitoraggio anonimo?

L'anonimizzazione consente agli strumenti di test A/B di conformarsi al GDPR, pur continuando a tenere traccia dei dati per la reportistica. Secondo le linee guida del GDPR, gli strumenti di test A/B possono raccogliere determinati dati purché siano "resi anonimi in modo tale che l'interessato non sia o non sia più identificabile". Questo è importante per le aziende che vogliono tenere traccia dei dati demografici che non sono personalmente identificabili.

L'opzione di anonimizzazione dei dati in Converti esperienze consente al tuo sito Web di ripulire tutti i dati in entrata e storici sui nomi delle esperienze/variazioni in bucket dei tuoi visitatori, consentendo ai team di marketing e IT di conservare i dati di tracciamento essenziali senza compromettere la privacy.

10. Cosa conserva lo strumento di test A/B nei registri del server?

Secondo il GDPR, un indirizzo IP è considerato un dato personale. Se i registri del server del tuo strumento di test A/B contengono gli indirizzi IP dei tuoi visitatori, essi contengono dati personali.

Di seguito sono riportate le linee guida di base per i registri del server conformi al GDPR:

1. La soluzione più semplice per mantenere i registri conformi al GDPR è non tenere alcun registro.
2. Se sono necessari i registri del server, conservarli per il minor tempo possibile. Creare un criterio di rotazione dei registri del server che elimini automaticamente i registri meno recenti.
3. Se raccolgono registri senza indirizzi IP o altri dati personali, sono conformi al GDPR.
4. Possono raccogliere registri senza consenso a determinate condizioni, ma devono informarti di ciò nella loro politica sulla privacy.

I log in tempo reale nelle esperienze di conversione tengono traccia del modo in cui gli utenti finali interagiscono con le pagine Web in tempo reale. Acquisiscono informazioni come il timestamp quando viene attivato un obiettivo, il tipo di evento che è stato attivato, la variazione mostrata all'utente finale e molto altro. I log in tempo reale sono considerati conformi al GDPR, in quanto non memorizzano indirizzi IP o altri dati PII.

11. Chi possiede i dati?

Uno dei requisiti primari del GDPR è che siano in atto misurazioni adeguate per il trattamento dei dati personali. I dati collegati a una transazione di consumo nell'UE devono essere fisicamente archiviati nell'UE o in una nazione con misure di protezione dei dati che il GDPR ritiene adeguate (a meno che l'utente non acconsenta a conservare i propri dati altrove).

Questa regola pone alcune sfide per le aziende che non hanno sede nell'UE, sebbene alcuni di questi problemi possano essere mitigati utilizzando un pacchetto di analisi con una chiara politica di proprietà dei dati.

Convert offre agli utenti tranquillità grazie alla presenza di una dichiarazione di proprietà definita. Ciò sottolinea che "non condivideremo alcun dato con terzi senza l'espresso consenso scritto del cliente" e "cancelleremo tutti i dati relativi ai clienti che si cancellano dal servizio su richiesta".

12. Lo strumento di test A/B può integrarsi con il tuo attuale stack tecnologico?

Ti consigliamo di assicurarti che un nuovo strumento di test A/B funzioni bene con il resto del tuo stack tecnologico, come il tuo CMS (sistema di gestione dei contenuti) e la piattaforma di eCommerce. Collegare il tuo attuale stack tecnologico a una nuova soluzione potrebbe essere costoso, quindi assicurati di fare un elenco di tutti gli strumenti attuali che utilizzi e verifica se puoi ricreare le stesse integrazioni con il nuovo strumento, tramite integrazioni o API.

Quando conduci il tuo studio, tieni a mente le seguenti domande:

1. Quanto bene e quanto velocemente si integrerà lo strumento scelto con il resto del tuo sistema, come il tuo CRM?
2. Esistono integrazioni autorizzate per rendere possibili tali collegamenti? In caso negativo, sei autorizzato a modificare il codice per farlo funzionare per te?
3. È possibile convertire facilmente i dati in un altro strumento in caso di necessità?
4. Ci sono prove di vincoli del fornitore o problemi con lo spostamento dei dati a un fornitore diverso?

13. Esiste un'opzione per ospitare autonomamente lo script di test A/B?

Scegliere tra Software-as-a-Service (SaaS) e self-hosting può essere difficile. Quando si considerano costi, facilità e convenienza, ha senso avere la maggior parte del software fornita tramite il cloud. Tuttavia, SaaS potrebbe non essere la scelta migliore per alcune aziende e organizzazioni, come governi e banche.

Una soluzione di test A/B in sede sarà l'opzione preferita per le aziende che desiderano il controllo completo sui propri dati e sulla posizione di archiviazione. Sarà anche il più semplice, in termini di compliance al GDPR.

Porsi queste domande chiarificatrici:

1. Il tuo strumento di test A/B è autorizzato a utilizzare una soluzione ospitata su cloud?
2. Hai le risorse per ospitare lo strumento sulla tua infrastruttura?
3. Sai quali limiti di dati sono inclusi nel tuo piano?

14. Sono consentiti trasferimenti internazionali di dati?

I trasferimenti di dati ora sono così comuni che la maggior parte delle persone non si rende nemmeno conto che stanno avvenendo. Tuttavia, possono essere difficili da gestire e dovrebbero essere concordati nell'accordo originale sulla raccolta dei dati (proprio come la posizione dei dati).

Fino a poco tempo, le società utilizzavano il quadro dello scudo per la privacy per trasmettere dati dall'UE e dalla Svizzera agli Stati Uniti senza richiedere l'approvazione preventiva. Tuttavia, nel 2020, i giudici europei hanno stabilito che la protezione dei dati americana era insufficiente, rendendo il quadro non valido, sebbene questi trasferimenti di dati rischiosi avvengano ancora per altri motivi legali.

Per evitare potenziali minacce, le società di test A/B potrebbero utilizzare la strategia della protezione dei dati in base alla progettazione (di cui parleremo nella prossima sezione). In caso contrario, possono semplicemente richiedere il consenso e specificare dove verranno archiviati e spostati i dati.

15. La protezione dei dati in base alla progettazione e alle impostazioni predefinite viene rispettata?

Il concetto di privacy by design è al centro degli strumenti di test A/B rispettosi della privacy.

Preferiamo prevenire le invasioni della privacy piuttosto che affrontarle a posteriori e utilizziamo la minimizzazione dei dati e la limitazione delle finalità per rimanere proattivi.

La minimizzazione dei dati significa solo elaborare i dati necessari per raggiungere un obiettivo specifico, mentre la limitazione delle finalità si riferisce all'identificazione dell'obiettivo del trattamento dei dati, alla registrazione e all'informazione delle persone prima del trattamento.

Una volta raccolti ed elaborati, i dati devono essere conservati solo per la durata dell'attività per la quale sono stati ottenuti.

La protezione dei dati fin dalla progettazione richiede l'uso di garanzie tecniche e organizzative durante le fasi di pianificazione del trattamento. Ciò consente alle organizzazioni di garantire che i meccanismi di privacy e sicurezza siano in atto sin dall'inizio. Le procedure specifiche variano a seconda del caso d'uso, ma potrebbero includere l'anonimizzazione dei dati, il monitoraggio dei dati o l'aggiunta di nuove funzionalità di protezione della privacy al software di test A/B.

Quindi, quali piattaforme di test A/B sono rispettose della privacy?

Se stai cercando un modo per raccogliere e analizzare i dati dal tuo sito web, prodotto digitale o app mobile in Germania, la piattaforma che scegli è fondamentale.

La maggior parte delle soluzioni di test A/B non sono state create pensando alla privacy e, sebbene le piattaforme principali ottengano alcune cose giuste (come l'anonimizzazione dei dati e la proprietà), non sono all'altezza in altre aree (come la posizione dei dati).

Fortunatamente, al giorno d'oggi c'è una forte richiesta di software di test A/B che ti consenta di eseguire esperienze sul tuo sito Web mantenendo la privacy dei dati. Ciò significa che oggi sono disponibili strumenti di test A/B più rispettosi della privacy che mai. Per un breve riepilogo, vedere la tabella seguente con le metriche più importanti.