Privacy ottimizzata: come gestisce la privacy in modo ottimale?
Pubblicato: 2022-02-09
Man mano che le piattaforme di test A/B diventano più sofisticate, aumentano anche i problemi di privacy che le circondano.
Optimizely è una delle piattaforme di ottimizzazione più popolari nello spazio dei test A/B, quindi è importante comprendere la sua posizione sulla privacy. Con un grande potere viene una grande responsabilità. E con una grande responsabilità deriva un maggiore bisogno di privacy.
In questo articolo, valutiamo come Optimizely si avvicina alla privacy e cosa devi sapere prima di scegliere questa piattaforma di esperienza digitale.
Iniziamo analizzando se Optimizely è oggi conforme alle principali leggi sulla privacy.
Ottimizzamente è conforme al GDPR?
Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento chiave che mira a rafforzare e unificare la protezione dei dati e la privacy nell'Unione europea e nello Spazio economico europeo. Optimizely utilizza i controlli sulla privacy aziendali e tecnologici necessari per proteggere i dati e conformarsi al GDPR.
In che modo è ottimizzato per il GDPR?
La conformità al GDPR è una parte essenziale del servizio e della progettazione di Optimizely. Ecco alcuni passaggi che ha adottato per diventare conforme al GDPR:
- Prodotto identificato e aree di business interessate dal GDPR
- Nominato un Responsabile della protezione dei dati (DPO)
- Ha riscritto il suo Accordo sul trattamento dei dati
- Migliorato e modificato i suoi prodotti, servizi, processi e procedure per soddisfare i requisiti GDPR
- Ha esaminato i suoi sub-responsabili
- Completato e comunicato il pieno adempimento al Garante per la Protezione dei Dati Personali (DPA)
Optimly è pronto a gestire la regolamentazione ePrivacy?
Il regolamento ePrivacy (ePR) è una legge sulla privacy in arrivo per trasformare le regole relative al consenso ai cookie, al marketing diretto e alle comunicazioni business-to-business (B2B). A differenza del GDPR, regolerà anche i dati non personali nelle comunicazioni elettroniche.
Mentre le aziende sono alle prese con il GDPR, è interessante vedere se sono pronte per questo nuovo regolamento. Per determinare se Optimizely è in grado di gestire la ePrivacy, dobbiamo prima valutare i dati che raccoglie.
Dati sui visitatori
Tiene traccia in modo ottimale delle visite a un sito Web e raccoglie informazioni sul comportamento degli utenti. Queste informazioni aggregate sono note come "dati dei visitatori" e includono:
- Dati user-agent: dati basati sulle proprietà di un dispositivo, inclusi i dettagli sul tipo di browser Web e sui sistemi operativi utilizzati dai visitatori.
- Indirizzo web: informazioni sulla posizione di una pagina web.
- Dati evento: registra il comportamento dell'utente ed esamina se un visitatore ha fatto clic su un pulsante su un sito Web o ha eseguito un'azione simile. Questo può includere anche attributi personalizzati e tag evento.
- Timestamp: la data e l'ora in cui si verifica un evento.
- ID utente finale (o ID visitatore): un numero di identificazione (ID) generato casualmente assegnato a un visitatore per progetto. Ciò corrisponde al cookieoptimlyEndUserId per la sperimentazione e la personalizzazione.
- ID esperimento e variante: determina dove il visitatore è stato inserito nel bucket durante la visita a un sito web.
- Geodati esterni: elementi associati all'indirizzo IP di un visitatore, inclusi paese, città, regione e così via.
Organizza in modo ottimizzato i suoi servizi in modo che i suoi clienti possano specificare le categorie di dati che desiderano condividere e ricevere. Queste categorie non rivelano necessariamente l'identità dell'utente. Tuttavia, se gli URL raccolti da Optimizely contengono informazioni di identificazione personale (PII), come nome o numero di telefono, o se si collega a pagine contenenti PII, potrebbe raccogliere anche queste informazioni.
In quanto piattaforma aperta, Optimizely ti fornisce dati aggiuntivi sui visitatori, come gli attributi degli acquirenti abituali. Raccoglie dati in base a caratteristiche e configurazioni specifiche, come ad esempio:
- Profili clienti dinamici (DCP)
- Elenca gli attributi
- Pubblico adattivo
- Flag di funzionalità
- Integrazioni
Per ridurre al minimo la quantità di dati personali raccolti, Optimizely vieta ai visitatori di fornire ulteriori informazioni personali o sensibili, come informazioni sulla salute.
Dati utente del prodotto
Raccoglie in modo ottimizzato alcune informazioni di base, come nome utente, nome, e-mail di lavoro, contatto di lavoro, titolo di lavoro e così via, quando gli utenti creano un account o si iscrivono al suo webinar o newsletter. Questo è chiamato Product User Data , ed è dettagliato come segue:
- Durante la registrazione e la creazione di un account: Optimizelyvisitors può leggere le descrizioni dei prodotti e dei servizi senza rivelare alcuna informazione di identificazione personale. Tuttavia, devi creare un account e impostare un profilo per effettuare transazioni con Optimizely e diventare un cliente. Quando ti iscrivi, ti chiede il tuo nome, il nome della tua organizzazione, la sua via e il tuo indirizzo email. Richiede anche la selezione di una password. Una volta che sei un utente registrato, puoi aggiornare il tuo profilo e fornire ulteriori informazioni come un nickname e alcune preferenze dell'utente.
- Quando si registra per un webinar o si richiede una newsletter: sia i visitatori che i clienti possono registrarsi per un webinar Optimizely o richiedere una newsletter. Memorizza in modo ottimale solo gli indirizzi e-mail come riferimento.
ePrivacy limita la raccolta di dati PII e, poiché Optimizely consente agli utenti di trasmettere questi dati agli URL tramite i dati dei visitatori, non è realmente conforme a ePrivacy. Invece, ha ancora molta strada da fare per prepararsi a molti regolamenti imminenti.
Optimizely è una buona scelta per i marchi attenti alla privacy nell'UE?
Come accennato in precedenza, il regolamento ePrivacy non è ancora una legge sulla protezione dei dati. Tuttavia, una volta approvato, sarà adottato entro 20 giorni dalla sua pubblicazione nella Gazzetta ufficiale dell'UE, seguito da un periodo di grazia di due anni prima dell'applicazione.
Pertanto, contrariamente a quanto pensa la maggior parte delle aziende, il regolamento ePrivacy integrerà, non sostituirà il GDPR, quando entrerà in vigore.
Quindi, fino alla data di entrata in vigore, tutti i marchi attenti alla privacy nell'UE e nel mondo possono utilizzare Optimizely. Tuttavia, Optimizely ha bisogno di allacciarsi le cinture e apportare alcune modifiche coerenti ai dati che raccoglie per rimanere pertinenti e adatti alle aziende con standard di privacy elevati.
Quale fornitore di strumenti di test A/B ha il miglior track record quando si tratta di rispettare la privacy degli utenti? Scopri come si comporta Optimizely rispetto a Convert Experiences, VWO e AB Tasty.
Conformità ottimale HIPAA
Gli operatori sanitari hanno difficoltà a fornire contenuti personalizzati su piattaforme digitali a causa dei rischi per la sicurezza dei dati associati alle informazioni sanitarie. L'Health Insurance Portability and Accountability Act (HIPAA) allevia la pressione sulle aziende sanitarie e fornisce loro alcune indicazioni tanto necessarie.
Salvaguarda le informazioni sanitarie protette (PHI), come nome, indirizzo, dettagli di contatto e altro divulgate a un fornitore di servizi di terze parti.
Optimizely HIPAA è conforme?
Per essere conformi all'HIPAA, tutti i fornitori di terze parti e gli operatori sanitari devono stipulare un Business Associate Agreement (BAA), un contratto scritto progettato per proteggere i dati sanitari sensibili.
Optimizely deve essere conforme a HIPAA?
Il fatto che Optimizely richieda la conformità HIPAA dipende dal tipo di dati che raccoglie e utilizza. In sostanza, Optimizely non è conforme a HIPAA e dichiara specificamente la non conformità nei suoi Termini di servizio.
Non conformità HIPAA . Il Cliente riconosce che Optimizely non è un socio in affari o un subappaltatore (come tali termini sono definiti in HIPAA) e che il Servizio Optimizely non è conforme a HIPAA. "HIPAA" indica l'Health Insurance Portability and Accountability Act e le relative modifiche e normative aggiornate o sostituite. I "Dati regolamentati" includono i dati regolamentati HIPAA e i dati coperti dal Gramm-Leach-Bliley Act (o norme o regolamenti correlati) come aggiornati o sostituiti.
In che modo compensa in modo ottimale la non conformità HIPAA?
Le raccomandazioni sui contenuti di Optimizely affrontano i problemi di sicurezza dei dati e compensano la loro non conformità con HIPAA nei seguenti modi:
- Memorizzazione di PHI: la personalizzazione in sessione non richiede PHI per personalizzare il contenuto.
- Personalizzazione incrociata: la personalizzazione si interrompe alla scadenza di una sessione.
- Intelligence sui contenuti di Episerver: ti fornisce dati sulle intenzioni proprietarie su ogni visita al sito in modo da poter scalare l'impatto del tuo coinvolgimento.
- Personalizzazione del ridimensionamento : le regole non possono tenere il passo con il panorama dei pazienti in evoluzione e con i progressi della medicina. Optimizely utilizza algoritmi di machine learning (ML) per decidere chi riceve quali contenuti senza impantanare il tuo team con infinite regole "se/altro".
Optimizely-Episerver Content Recommendations viene in soccorso e fornisce una soluzione efficace per la personalizzazione incrociata e l'assistenza sanitaria dinamica.
I visitatori possono disattivare il monitoraggio ottimizzato?
I visitatori possono facilmente disattivare il monitoraggio Optimizely tramite la chiamata API Optimizely.
Cosa significa rinunciare?
- L'utente non verrà inserito in un esperimento
- Non vedranno alcuna variazione di variazione
- Il progetto JS non verrà eseguito sulla pagina
- L'utente non verrà tracciato
- Rimarranno esclusi (vale a dire, si applicano tutti i punti precedenti) ovunque venga eseguito Optimizely
Utilizzo di Optimizely Web senza un Tag Manager
Se non utilizzi un Tag Manager sul tuo sito, puoi indicare a Optimizely di non tracciare un visitatore del sito impostando un cookie chiamato optimizationlyOptOut su "true". Verifica in modo ottimale la presenza di questo cookie prima di eseguire il contenuto dello snippet JavaScript. È meglio utilizzare l'API optOut ufficialmente supportata piuttosto che impostare direttamente il cookie.
Devi aggiungere il codice sopra lo snippet Optimizely sulla tua pagina. In caso contrario, lo snippet Javascript esegue e imposta i cookie di tracciamento e gli elementi di archiviazione dei visitatori.
Vediamo come utilizzare l'API optOut.
<script>
window["ottimizzare"] = window["ottimizzare"] || [];
window["ottimizzare"].push({
"type": "optOut",
"isOptOut": vero
});
</script>
<script src=”https://cdn.optimizely.com/js/{project_id].js”></script>Se un visitatore acconsente al monitoraggio dei cookie, è possibile riattivare il monitoraggio di quel visitatore riscrivendo il valore del cookieoptimlyOptOut su "false".
Ad esempio, se visualizzi un cookie banner (un elemento in sovrimpressione che richiede il consenso al monitoraggio dei visitatori), potresti riscrivere il valore del cookie optOut su false dopo aver ottenuto il consenso con il codice seguente.
window["ottimizzare"] = window["ottimizzare"] || [];
window["ottimizzare"].push({
"type": "optOut",
"isOptOut": falso
});Tecnicamente, collega questa API alla logica che viene eseguita quando il visitatore acconsente al tracciamento.
Utilizzo di Optimizely Web con un Tag Manager
Utilizzando un Tag Manager, puoi utilizzare la logica condizionale per caricare lo snippet JavaScript Optimizely solo quando un visitatore fornisce il consenso.
Poiché un cookie opt-in non è richiesto in tutte le regioni o per tutti i cookie, Optimizely non imposta il cookieoptimlyOptOut per impostazione predefinita. In qualità di proprietario del sito, sei responsabile di determinare se è necessario impostare questo cookie o utilizzare uno dei metodi sopra indicati, ove richiesto.
Se imposti optimizationlyOptOut su "true" per impostazione predefinita (come indicato sopra), lo snippet Optimizely viene eseguito "normalmente" (traccia i visitatori del tuo sito) solo quando l'API optOut è impostata su "false".
Con le soluzioni opt-in, lo snippet Optimizely Javascript si attiva al ricaricamento della pagina dopo che un visitatore ha accettato, poiché è disabilitato al caricamento iniziale della pagina.
Stack ottimizzato
Optimizely Full Stack non si basa sui cookie per gli esperimenti, quindi i requisiti relativi ai cookie del regolamento ePrivacy non influiranno su questa funzione.
Tuttavia, gli utenti di Full Stack nell'UE dovrebbero assicurarsi di essere conformi al GDPR. Richiede che le aziende abbiano "interessi legittimi" per il trattamento dei dati personali all'interno dell'UE.
In qualità di titolare del trattamento dei dati, è responsabilità dell'azienda adempiere agli obblighi legali per l'elaborazione del consenso prima di includere qualsiasi dato personale in un esperimento Optimizely Full Stack.
Per questo, devi dichiarare chiaramente che i tuoi esperimenti implicano sforzi di prima parte per migliorare l'esperienza dell'utente e che non condividerai i dati dell'utente con terze parti (come i partner pubblicitari).
Dovresti anche escludere gli utenti dagli esperimenti full-stack se ritirano il consenso.
In che modo si confronta in modo ottimale con i suoi concorrenti nella privacy?
Optimizely potrebbe essere un gigante dell'esperienza digitale, ma deve comunque fare attenzione alle sue alternative, soprattutto quando si tratta di privacy. Ha anche una storia di lasciare i clienti all'oscuro di improvvisi cambiamenti di prezzo. Quindi non c'è da stupirsi che molte aziende guardino a fornitori alternativi.
Per riferimento, confronteremo le opzioni sulla privacy di Optimizely con quelle di Converti esperienze e VWO. Esaminiamo inoltre:
- La posizione del server di ogni strumento
- Come trattano i cookie di terze parti
- Tracciamento interdominio predefinito
- Se consentono agli utenti di disattivare il monitoraggio
| In modo ottimale | Converti esperienze | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Single Sign-On (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Server con sede nell'UE | X | ✓ | X | ||||||||||||||||||||
| Cookie non PII a vita | 6 mesi | 6 mesi | 100 giorni | ||||||||||||||||||||
| Cookie di terze parti | ✓ | X | ✓ | ||||||||||||||||||||
| Non tenere traccia delle impostazioni del browser | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Funzione di rinuncia | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Guida in-app sulla conformità al GDPR | X | ✓ | X | ||||||||||||||||||||
| Accordo sul trattamento dei dati (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Conformità PCI-DSS | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Conformità alla ePrivacy | X | ✓ | X | ||||||||||||||||||||
| Anonimizzazione dei dati | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Monitoraggio interdominio consentito per impostazione predefinita | ✓ | X | ✓ | ||||||||||||||||||||
| Segmentazione consentita per impostazione predefinita | ✓ | X | ✓ | ||||||||||||||||||||
| Diritto all'oblio | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Notifiche di violazione dei dati | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Designazione di un responsabile della protezione dei dati | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Trasferimenti di dati transfrontalieri | UE-USA e Svizzera USA Quadri dello scudo per la privacy | UE-USA e Svizzera USA Quadri dello scudo per la privacy | UE-USA e Svizzera USA Quadri dello scudo per la privacy | ||||||||||||||||||||
| Protezione dei dati in base alla progettazione e impostazione predefinita | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Dati Personali Sensibili | X | X | X |
Quali modifiche sono state apportate in modo ottimale alla privacy dopo l'acquisizione di Episerver?
Nel settembre 2020, Episerver ha annunciato l'acquisizione di Optimizely. Un anno dopo, Episerver si è reintrodotto come Optimizely per aumentare il riconoscimento del marchio.
L'acquisizione e il rebranding di Optimizely hanno creato opportunità sia per i clienti di Episerver che per quelli di Optimizely, poiché la necessità di funzionalità di personalizzazione e commercio è diventata più evidente.
In termini di privacy, Optimizely è cresciuta in modo significativo dall'acquisizione.
- Episerver rispetta la privacy in base alla progettazione e impostazione predefinita. Rilascia nuove politiche ogni settimana per garantire che rimanga conforme al GDPR e ad altre leggi sulla privacy applicabili.
- Ospita riunioni annuali, formazione, seminari, webinar e serie educative sulla protezione dei dati, la sicurezza, la privacy e le informazioni personali.
- Episerver ha inoltre aggiornato il Data Processing Agreement (DPA) di Optimizely affinché tutti i nuovi fornitori applicabili firmino e garantiscano la conformità alle normative sulla protezione dei dati e sulla privacy.
- Episerver ha migliorato l'informativa sulla privacy e la politica di Optimizely per l'accesso degli interessati e le richieste di cancellazione ai sensi del GDPR e del California Consumer Privacy Act (CCPA), offrendo diritti di accesso e cancellazione ai residenti dell'UE e della California. Ora ha un modello chiaro per ottenere il consenso e rimuovere le informazioni quando necessario.
- Il Security Incident Response Team (SIRT) di Episerver può gestire potenziali incidenti di sicurezza o privacy. Classifica tutti gli incidenti di sicurezza come ad alta priorità (P1) e li inoltra al team dedicato.
- Episerver ha lanciato l'Episerver Trust Center, mettendo in evidenza i controlli unificati di sicurezza, conformità e privacy per proteggere i dati dei clienti.
Episerver ha rinnovato Optimizely, alzando il livello della conformità al GDPR e delle pratiche sulla privacy per fornire una solida base legale.
Episerver ha reso la conformità al GDPR una priorità quotidiana sia nello sviluppo dei prodotti che nei servizi gestiti a livello globale.
Peter Yeung, Vice President, General Counsel e Global Data Protection Officer, Episerver
Peter ha inoltre aggiunto che Episerver ha una lunga storia di pioniere in settori e paesi altamente regolamentati, risultando in soluzioni progettate pensando alla conformità. Combina anni di vasta esperienza e conoscenza dell'infrastruttura cloud con un profondo impegno per la protezione, la sicurezza e la conformità dei dati.
Affrontare le sfide future
Optimizely ha compiuto grandi sforzi per conformarsi al GDPR, al CCPA, alla Legge generale sulla protezione dei dati personali (LGPD) e ad altre leggi sulla privacy applicabili.
Potrebbe essersi intensificato per garantire la privacy e la sicurezza dei dati dopo la sua acquisizione, ma difficilmente sta prendendo in considerazione l'imminente regolamento ePrivacy. Optimizely deve salire di livello per la sperimentazione e la raccolta dei dati.
I dati guidano tutto, dallo sviluppo di un'ipotesi di test alla fornitura di un'esperienza utente più personalizzata e al monitoraggio dell'efficacia di un test. Ciò significa che i team di sperimentazione devono dare la priorità alla privacy dei dati.
Il GDPR si occupa solo di dati generali (personali), mentre ePrivacy intende integrare il GDPR, coprendo e controllando la privacy dei dati in generale. Il Regolamento ePrivacy copre il marketing, un intero elenco di tecnologie di tracciamento (inclusi, a titolo esemplificativo ma non esaustivo, i cookie) e mira a contrastare la profilazione e la pubblicità comportamentale con trasparenza e consenso affermativo.
Finché Optimizely non tiene conto dell'ePrivacy, manca un pezzo essenziale del puzzle. E anche se inizia oggi, mettere a posto questo pezzo non sarà facile.
