Cookies de análise e teste A/B — somente após consentimento na Europa?

Atualizado em 19 de fevereiro de 2020: uma nova atualização da CNIL afirma que os testes A/B e a medição de público agora estão isentos de consentimento .

Você pode pensar que o GDPR só causou uma interrupção quando entrou em vigor em maio de 2018.

A verdade é que a Europa esteve em turbulência ao longo de 2019 e não é uma boa notícia.

As autoridades de proteção de dados da França e do Reino Unido (CNIL e ICO) atualizaram suas notas de orientação emitidas em julho de 2019, destacando que os cookies analíticos (incluindo testes A/B e personalização) precisam de consentimento explícito antes de serem colocados no dispositivo de um visitante. Eles se referem especificamente ao GDPR ao mencionar o consentimento (como opt-ins). Deve ser baseado na ação do usuário ativo, não nas configurações padrão.

Em fevereiro de 2020, o CNIL mudou sua posição sobre este assunto (obrigado Paul Schmitt por apontar isso para mim). Embora a ICO e a CNIL tenham declarado anteriormente que os cookies para testes e análises A/B precisavam de consentimento, as diretrizes mais recentes (em francês) dizem o contrário:

“Beneficiando da isenção de consentimento, sujeito a um certo número de condições, os cookies utilizados para medição de audiência estão isentos de consentimento. Essas condições, conforme especificado nas diretrizes sobre cookies e outros rastreadores, são (1) informar os usuários sobre seu uso; (2) dar-lhes o poder de se opor; (3) limitar o sistema apenas aos seguintes propósitos: medição de audiência e testes A/B.”

Isso significa que as ferramentas de análise configuradas apenas para coleta de dados por uma organização (e não compartilhadas de forma alguma com terceiros) podem ser instaladas sem consentimento. Essa mudança pode ser difícil para o Google Analytics. Este acordo especial da Mozilla pressionou o Google Analytics a não compartilhar seus dados com outros serviços. No momento, não é certo que essa configuração esteja disponível para todos os usuários. Ainda assim, se a Europa estiver abrindo as portas para análises sem consentimento, presumo que o Google terá que seguir o curso e fornecer esse recurso para sua base de clientes europeia.

Embora nenhuma outra autoridade nacional europeia de privacidade tenha adicionado tais adições às leis da Diretiva de Privacidade Eletrônica (que estavam em vigor antes do GDPR), isso pode ter criado um vácuo legal entre julho de 2020 e o momento em que os novos Regulamentos de Privacidade Eletrônica substituirão a Diretiva atual.

O que aconteceu? O que mudou?

Para um resumo das principais mudanças nas leis de privacidade na Europa, assista ao vídeo abaixo ( aviso : no vídeo mencionei erroneamente que as mudanças foram implementadas em 2018, quando na verdade foram realizadas em 2019).

A “lei de cookies” da Diretiva Europeia de Privacidade Eletrônica de 2011 e a versão do Reino Unido, os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva EC) de 2003 (“PECR”), foram recentemente reinterpretados pela ICO. Essa mudança significa pedir 'consentimento' para descartar quaisquer cookies 'não essenciais', independentemente de os dados pessoais serem coletados ou não.

Em 2012, a OIC declarou que o consentimento implícito (ou seja, um opt-out em vez de um opt-in) era permitido:

O consentimento implícito sempre foi uma proposta razoável no contexto da lei de proteção de dados e regulamentação de privacidade e permanece assim no contexto de armazenamento de informações ou acesso a informações usando cookies e dispositivos similares.

Em 18 de julho de 2019, a autoridade de privacidade francesa (a CNIL) divulgou suas novas diretrizes sobre o uso de cookies. As regras aplicáveis ​​aos cookies HTTP também se aplicam a muitas outras tecnologias de rastreamento (“rastreadores”), incluindo objetos compartilhados locais, impressões digitais de equipamentos terminais, identificadores de hardware e identificadores gerados por sistemas operacionais. Assim como as diretrizes da ICO e GDPR, aqui também não há decisão separada sobre o uso de cookies, mas a impressão digital agora está sob consentimento.

Mas então o CNIL torna tudo um pouco confuso ao atualizar sua página do Github. As últimas diretrizes da CNIL afirmam que a medição de audiência e os testes A/B estão isentos de consentimento e podem ser colocados imediatamente (opt-out).

O Conselho Europeu de Proteção de Dados (EDPB) emitiu um parecer por escrito em março de 2019 abordando a interação entre a Diretiva de Privacidade Eletrônica e o GDPR, porque o GDPR não menciona cookies e há uma lacuna entre as duas leis.

Alguns interpretaram a opinião do EDPB como significando que todas as referências a “consentimento” na Diretiva de Privacidade Eletrônica significam consentimento conforme definido pelo GDPR. Para cookies, isso significa que você não pode colocar cookies sem que as pessoas aceitem ativamente.

Então, por que a ICO e também o CNIL mudaram suas orientações um ano após a entrada em vigor do GDPR? Por que as informações sobre “opt-out” de cookies mudaram para consentimento opt-in em 13 meses?

Temos que agradecer ao Planet49 por isso.

Em 30 de novembro de 2017, Planet49, um site e empresa alemã, foi levado ao tribunal por várias práticas questionáveis, considerando o GDPR e a Diretiva de Privacidade Eletrônica.

Embora tenhamos que esperar pelos resultados (anexos na íntegra no final do artigo), a decisão deu o tom de que eram necessárias diretrizes mais claras para cada país.

Por causa dessa decisão, a CNIL e a ICO começaram a atualizar suas diretrizes para refletir como as leis de privacidade atuais abrangem consentimento, compartilhamento de informações e cookies (análise e rastreamento). Teremos que esperar e ver se a CNIL influencia outros países europeus para permitir a medição de audiência e cookies de teste A/B.

A batalha da isenção de cookies 'estritamente necessária'

Quando nós, empresas de teste A/B, adaptamos as práticas do GDPR, cookies de análise e teste A/B podem ser apresentados aos clientes como essenciais para um negócio. Em vez disso, o foco estava mais nos rastreadores de anúncios.

Hoje em dia, pode-se esconder atrás da isenção de cookies estritamente necessária. Até ouvi alguém dizer “mas nossa equipe jurídica disse que podemos colocar o cookie do Google Analytics sem consentimento”. Eu também estava nesse campo até ler as novas diretrizes da ICO. O site deles fornece alguns bons exemplos de quais cookies são essenciais para o funcionamento do site e a interação adequada do usuário. Com novas diretrizes surgindo o tempo todo, aderir estritamente a um lado ou ao outro pode ser confuso. Algumas empresas estão agora seguindo as recomendações mais recentes do CNIL.

Nos exemplos abaixo, um cookie é 'estritamente necessário' para fornecer um serviço aos usuários. Em cada caso, aplicam-se isenções e não é necessário consentimento:

• Um cookie usado para lembrar os produtos que um usuário deseja comprar quando vai ao caixa ou adiciona mercadorias ao carrinho de compras,
• Cookies que são essenciais para cumprir o princípio de segurança do GDPR para uma atividade que o usuário solicitou - por exemplo, em conexão com serviços bancários online,
• Cookies que ajudam a garantir que o conteúdo de uma página seja carregado de forma rápida e eficaz , distribuindo a carga de trabalho por vários computadores (isso geralmente é chamado de 'balanceamento de carga' ou 'proxy reverso').

É importante lembrar que o que é 'estritamente necessário' deve ser avaliado do ponto de vista do usuário ou assinante, não do seu. Assim, por exemplo, embora você possa considerar cookies de publicidade como 'estritamente necessários' porque eles trazem receitas que financiam seu serviço, eles não são 'estritamente necessários' do ponto de vista do usuário.

Os cookies que a ICO afirma que precisam do consentimento do usuário (aceitação proativa por ação do usuário) são, por exemplo:

• Cookies usados ​​para análise , por exemplo, para contar o número de visitas únicas a um site (que inclui personalização e teste A/B),
• Cookies de publicidade próprios e de terceiros (incluindo aqueles usados ​​para fins operacionais relacionados a publicidade de terceiros, como detecção de fraude de cliques, pesquisa, melhoria de produtos etc.),
• Cookies usados ​​para reconhecer um usuário quando ele retorna a um site para que a saudação recebida possa ser personalizada (a personalização é mencionada especificamente pela ICO).

Acórdão do TJCE “Planet49” de 1 de outubro de 2019

Em outubro de 2019, o Tribunal de Justiça da União Europeia (o 'TJUE') decidiu em seu julgamento “Planet49” que o consentimento padrão GDPR também se aplica à configuração de cookies sob a Diretiva ePrivacy , seguindo a interpretação de que o CNIL e a OIC havia implementado desde julho de 2019.

Portanto, o consentimento ativo e informado é necessário para colocar cookies e tecnologias de criação de perfil (como impressão digital), incluindo cookies de publicidade (mas não cookies estritamente necessários).

As caixas pré-marcadas, como as que Planet49 tentou se safar, não são um meio válido para obter consentimento.

Nós, como empresa, reconstruímos toda a nossa infraestrutura para garantir que cumprimos o GDPR e não armazenamos dados pessoais em cookies.

A decisão do TJUE afirma que não importa se os dados pessoais são coletados por meio de cookies. O consentimento deve ser obtido mesmo quando a colocação de cookies não envolve o processamento de dados pessoais. O controlador deve informar os usuários sobre a vida útil de cada cookie e sobre o acesso de terceiros às informações coletadas por meio desses cookies, antes de obter seu consentimento.

Alguma esperança de não consentimento para cookies de análise e teste A/B?

O ICO não faz distinção entre cookies usados ​​para análise e aqueles usados ​​para outros fins, mas o CNIL sim.

Os cookies analíticos não se enquadram na isenção 'estritamente necessária' para o ICO. Isso significa que as empresas precisam informar os usuários sobre cookies de análise e obter consentimento para seu uso no Reino Unido, enquanto na França, o CNIL permite análises (com limitações) e testes A/B sem consentimento.

A ICO (Reino Unido) descreve os cookies usados ​​para publicidade online ou análise da web como não essenciais, portanto, exigem consentimento prévio. Isso inclui cookies primários e cookies primários conforme definidos por provedores de terceiros (leia Convert ou Google Analytics). O Convert também está em conformidade com os regulamentos da CNIL e não compartilha conjuntos de dados entre clientes e as instalações são apenas por cliente, portanto, testes A/B e personalização com retenção para testes são permitidos.

A orientação da ICO afirma claramente:

O consentimento é necessário para cookies de análise primários, mesmo que eles não pareçam tão intrusivos quanto outros que podem rastrear um usuário em vários sites ou dispositivos.

O consentimento é necessário para cookies de análise primários, mesmo que eles não pareçam tão intrusivos quanto outros que podem rastrear um usuário em vários sites ou dispositivos.

Embora o ICO não possa descartar a possibilidade de ação formal em qualquer área, isso nem sempre pode ser o caso quando a configuração de um cookie de análise primário resulta em um baixo nível de intrusão e baixo risco de danos a indivíduos. No entanto, você também deve observar que, quando você usa cookies de análise primários fornecidos por terceiros, isso não será necessariamente o caso.

Você deve saber que há um período de carência para seguir as diretrizes PECR da ICO até julho de 2020.

Se as informações coletadas sobre o uso do site forem repassadas a terceiros, isso deve ficar claro para os usuários. Também deve ficar claro o que esse terceiro faz com as informações .

Dependendo do seu serviço, você também pode oferecer aos usuários a capacidade de alterar as configurações da conta para limitar o compartilhamento de informações com terceiros, incluindo provedores de análise. (Um serviço de análise também pode fornecer essa funcionalidade, considere habilitá-la, sempre que apropriado.) Os controles fornecidos ao usuário devem ser exibidos em destaque e não ocultos.

Por fim, forneça informações claras aos usuários sobre cookies de análise e solicite seu consentimento ou compartilhe as informações (banners de cookies antigos). Isso provavelmente envolverá mostrar aos usuários por que esses cookies são úteis para eles, mas você deve garantir que não esteja forçando o usuário a escolher uma opção em vez de outra.

Em certos aspectos, esses documentos de orientação vão mais longe do que o atual projeto do novo Regulamento de Privacidade Eletrônica (dd. 4 de outubro de 2019), que substituirá a Diretiva de Privacidade Eletrônica existente (e as leis PECR e francesas atuais). Na versão atual, permite que os operadores coloquem cookies próprios ou de terceiros nos dispositivos dos usuários sem consentimento para “medição de audiência” (ou seja, para analisar o tráfego que passa por seus sites para otimizar o serviço).

Se ainda estiver em dúvida, aqui está um diagrama da ICO que explica muito bem o uso de cookies.

Dá-me Direto

Um problema que pode surgir aqui é que as empresas que colocam cookies tentarão interpretar a lei à sua maneira. Mas mesmo que façamos análises, testes A/B e softwares de personalização, nós os daremos diretamente a você.

1. As autoridades de privacidade do Reino Unido (ICO) e da França (CNIL) alteraram suas diretrizes em julho de 2019, afirmando que softwares de análise, teste A/B e personalização como Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize e o resto, todos precisam optar por usar o consentimento para colocar cookies próprios e de terceiros para seus cidadãos.
2. A França (CNIL) alterou sua página do Github com diretrizes isentando testes A/B e análises básicas do consentimento de cookies.
3. A Alemanha e a Espanha estão seguindo o Reino Unido (ICO) ou a França (CNIL) e você pode esperar atualizações sobre suas diretrizes em breve.
4. O Tribunal de Justiça da União Europeia (o 'TJUE') decidiu em seu julgamento “Planet49” de outubro de 2019 que o consentimento do padrão GDPR também se aplica à configuração de cookies sob a Diretiva de Privacidade Eletrônica. A decisão reafirma que as diretrizes do Reino Unido e da França precisam ser adotadas por todas as autoridades nacionais de privacidade.
5. A nova lei em rascunho, chamada de Regulamentos de privacidade eletrônica, que substituirá a Diretiva de privacidade eletrônica, tem uma exceção de cookie para testes A/B, personalização e análise.
6. É improvável que a ICO ou a CNIL busquem ativamente empresas que usam análises primárias, testes A/B e personalização neste momento. Os regulamentos de privacidade eletrônica provavelmente entrarão em vigor em (meados) de 2021 e há um período de carência até julho de 2020. O escopo do trabalho dessas organizações é muito amplo.
7. Tire suas próprias conclusões com base no que consideramos uma representação justa do que aconteceu desde julho de 2019 na Europa. Converse com seu consultor jurídico. Não baseie seus conselhos em uma ferramenta que vende plataformas de gerenciamento de consentimento (eles querem todo o consentimento), mas também de fornecedores de análises, testes A/B e ferramentas de personalização... nós e eles.

Espero que este artigo tenha ajudado a esclarecer as mudanças que estão acontecendo agora na Europa.

Embora isso prejudique nosso modelo de negócios, sempre nos esforçamos para compartilhar a verdade.

Queremos que nossas ferramentas de otimização sejam usadas para fornecer a melhor experiência do usuário, para que os usuários obtenham a melhor página de produto, o menu menos confuso, o formulário que economize tempo para preenchê-lo.

Vemos a otimização de sites como um ofício nobre, no melhor interesse dos visitantes e proprietários do site (nossos clientes pagantes). Queremos que nossos clientes levem a privacidade a sério e criem avisos e privacidade diretamente em todas as camadas de nossas ferramentas. Armazenamos apenas dados agregados – e nenhum dado pessoal – em nossas ferramentas, por uma questão de conformidade e privacidade.

Nós realmente nos importamos. Embora possamos estar em uma situação difícil por causa da ICO atual e das diretrizes CNIL em constante mudança e dos Regulamentos de privacidade eletrônica, sabemos que, com total transparência, seremos a empresa escolhida para marcas que se preocupam com a privacidade e nas quais os consumidores podem confiar .

Para isso, lançamos um pequeno pop-up que mostra aos visitantes do site de quais personalizações e testes A/B eles fazem parte.

É um código opcional que os clientes podem adicionar ao Javascript global dentro da ferramenta de teste e personalização Convert Experiences A/B (veja a imagem abaixo sobre como isso funciona).

Se você quiser discutir privacidade, as soluções CNAME em que estamos trabalhando ou novos desenvolvimentos legais, entre em contato comigo no LinkedIn.