Consentimento e cookies: como o GDPR e o regulamento de privacidade eletrônica afetarão os sites?

Consentimento e cookies: como o GDPR e o regulamento de privacidade eletrônica afetarão os sites?

Se você deseja personalizar o conteúdo do seu site com base nos dados dos visitantes do seu site, você deve entender muito bem duas leis: 1) o GDPR e 2) o Regulamento de privacidade eletrônica.

Estas leis regem o consentimento e os cookies:

• O GDPR informa como você precisa obter o “consentimento” inequívoco de seus visitantes antes de coletar, armazenar ou usar seus dados.
• E o Regulamento ePrivacy informa como você pode trabalhar com cookies (que são usados ​​para coletar dados de visitantes).

GDPR vs Regulamento de privacidade eletrônica:

O GDPR regula o tratamento geral de dados pessoais e não aborda diretamente os cookies.

O Regulamento de Privacidade Eletrônica, por outro lado, se concentra no uso de cookies, e é por isso que também é conhecido como “Lei de Cookies”. As empresas na Europa devem obter consentimento explícito para usar cookies e fornecer desativações claras aos usuários sob a nova lei proposta.

GDPR + Regulamento de privacidade eletrônica = Cookies + Consentimento

Embora o GDPR não aborde diretamente os cookies, ele redefine o consentimento para dizer que qualquer consentimento dado deve ser “inequívoco”.

E como o “consentimento” sob o Regulamento de Privacidade Eletrônica é interpretado por referência à definição de “consentimento” sob o GDPR, o GDPR exige implicitamente que os banners de consentimento de cookies pós-GDPR agora devem coletar o consentimento inequívoco dos visitantes.

Em geral, podemos usar o consentimento para servir os cookies (nos termos do Regulamento ePrivacy), mas confiar em interesses legítimos (ou outro fundamento legal, por exemplo, consentimento, contrato, obrigação legal, interesses vitais, interesse público) para processar os dados pessoais coletados usando o cookies (sob o GDPR).

Vamos agora entender como você deve abordar os cookies e consentir sob essas duas leis, para que você possa oferecer experiências de site poderosas, personalizadas e em conformidade.

Quais são os diferentes tipos de cookies usados ​​pelos sites?

Cookies são pequenos arquivos de dados que um site armazena no computador, celular ou tablet de um usuário.

Os sites usam cookies para melhorar a experiência de navegação do usuário e para saber mais sobre as preferências e interesses do usuário.

Essas informações de cookies são usadas para personalizar as futuras visitas do usuário ao mesmo site, para que as experiências do site pareçam mais relevantes. Os dados de cookies podem ser usados ​​para oferecer conteúdo e publicidade alinhados com as preferências já estabelecidas dos navegadores.

Existem quatro tipos de cookies com base na duração em que são armazenados ou na sua origem. Estes são:

• Cookies persistentes : são cookies armazenados no dispositivo de um usuário entre as sessões do navegador. Esses cookies ajudam a lembrar as preferências ou ações de um usuário em um site (ou, em alguns casos, em sites diferentes). Os cookies persistentes podem ser usados ​​para várias finalidades, incluindo lembrar as preferências e escolhas dos usuários ao usar um site ou para executar campanhas publicitárias direcionadas.
• Cookies de sessão : são cookies que expiram quando uma sessão de navegação termina. Esses cookies permitem que os sites vinculem as ações de um usuário durante uma sessão do navegador (desde quando um usuário abre a janela do navegador até quando sai do navegador). Eles podem ser usados ​​para diversos fins, como lembrar o que um usuário colocou em seu carrinho de compras ou permitir o acesso ao internet banking ou facilitar o uso do webmail. Esses cookies de sessão não são armazenados por um longo prazo. Por esse motivo, os cookies de sessão podem às vezes ser considerados menos invasivos à privacidade do que os cookies persistentes.
• Cookies de primeira parte São cookies que são definidos pelo site que está sendo visitado pelo usuário.
• Cookies de terceiros : são cookies definidos por um domínio diferente daquele que está sendo visitado pelo usuário. Se um usuário visitar um site e uma empresa separada (o provedor de serviços do site principal) definir um cookie por meio desse site, esse será um cookie de terceiros.

As diferentes categorias de cookies:

Você pode categorizar vagamente esses cookies em quatro categorias usando as recomendações da Câmara de Comércio Internacional neste Guia de Cookies da ICC UK. (Alguns cookies podem aparecer em mais de uma categoria.)

Categoria 1: Cookies estritamente necessários

Esses cookies são essenciais para permitir que você navegue pelo site e use seus recursos, como acessar áreas seguras do site — por exemplo, para fazer login em sua conta em uma loja de compras online.

Sem esses cookies, não é possível acessar os serviços que um site oferece.

Regras de consentimento para cookies estritamente necessários: Não é necessário consentimento para usar cookies estritamente necessários. No entanto, é importante ajudar os usuários a entender esses cookies e os motivos para usá-los.

Aqui estão alguns cookies estritamente necessários que o New York Times usa:

Categoria 2: Cookies de desempenho

Esses cookies coletam informações sobre como os visitantes usam um site.

Soluções de análise como Google Analytics, Clicky Analytics, Adobe Analytics e outras usam esses cookies. Esses cookies não coletam informações que identificam um visitante e todas as informações que esses cookies coletam são agregadas e, portanto, anônimas. É usado apenas para melhorar o funcionamento de um site.

Regras de consentimento para cookies de desempenho:

O consentimento pode ser escrito em termos e condições - ao usar o site, você concorda com o uso desses tipos de cookies.

Como o GDPR se concentra no processamento de dados privados ou de identificação pessoal e porque não é possível identificar o titular dos dados a partir de dados que sofreram pseudonimização, os cookies de desempenho (como os de dados do Google Analytics) não dizem respeito ao GDPR em grande medida grau. Você pode incluir as regras de consentimento para esses cookies em seus termos e condições. Essencialmente, você obtém o consentimento dos usuários para trabalhar com esses cookies quando eles usam seu site.

“Portanto, este regulamento não diz respeito ao processamento de tais informações anônimas, inclusive para fins estatísticos ou de pesquisa.” — Considerando 26 do GDPR

Aqui estão alguns exemplos de cookies de desempenho da National Geographic:

Categoria 3: Cookies de funcionalidade

Esses cookies permitem que um site se lembre das escolhas que você faz (como seu nome de usuário, idioma ou região em que você está) e forneça experiências aprimoradas e mais pessoais no site. Por exemplo, um site pode fornecer boletins meteorológicos locais ou notícias de trânsito armazenando detalhes da região em um cookie.

Esses cookies também podem ser usados ​​para lembrar as alterações feitas no tamanho do texto, fontes e outras partes personalizáveis ​​das páginas da web que você visita. Eles também podem ser usados ​​para fornecer serviços que você solicitou, como assistir a um vídeo ou comentar em um blog. As informações que esses cookies coletam podem ser anonimizadas e não podem rastrear sua atividade de navegação em outros sites.

Regras de consentimento para cookies de funcionalidade: Assim como no caso de cookies de desempenho, o consentimento para cookies de funcionalidade também pode ser escrito em termos e condições - ao usar um site, você concorda com o uso desses tipos de cookies ou um aviso pode ser aplicado quando um usuário faz alterações nas configurações de um site. Mas muitas empresas permitem proativamente que seus usuários ativem ou desativem os cookies de funcionalidade.

Aqui estão alguns exemplos de cookies funcionais que o Clym usa:

Os cookies funcionais também são chamados de cookies de preferência.

Categoria 4: cookies de segmentação ou cookies de publicidade

Esses cookies são usados ​​para executar promoções e campanhas publicitárias personalizadas com base em interesses e preferências pessoais.

Eles também são usados ​​para limitar o número de vezes que você vê um anúncio, além de ajudar a acompanhar o desempenho de uma campanha.

Eles geralmente são colocados por redes de publicidade com a permissão do operador do site. Esses cookies lembram suas visitas ao site e essas informações são compartilhadas com outras organizações, como anunciantes. Muitas vezes, os cookies de segmentação ou publicidade serão vinculados à funcionalidade do site fornecida pela outra organização.

Regras de consentimento para cookies de segmentação ou marketing ou publicidade: O consentimento específico deve ser buscado para esses tipos de cookies porque eles coletam a maioria das informações sobre os usuários.

Aqui estão alguns exemplos de cookies de publicidade/segmentação que a HTC usa:

Quer um guia prático dos diferentes tipos de cookies e como usá-los para evitar problemas de privacidade? Transformamos este blog em um infográfico para você. Baixe aqui

Cookies da Convert: equilibrando privacidade e inovação

Na Convert, usamos apenas cookies de desempenho primários descritos abaixo:

_conv_v

• Nome do cookie: _conv_v
• Finalidade: Este cookie é um cookie centrado no visitante. É uma sequência de peças separadas por estrela(*); cada peça é uma string que contém strings de chave e valor coladas por dois pontos (:).
• Duração: 6 meses
• Origem do domínio: convert.com
• Categoria: Desempenho
• Dados armazenados: contagem de sessões, carimbo de data/hora da sessão atual, carimbo de data/hora de início da primeira sessão, número de visualizações de página, carimbo de data/hora de início da sessão anterior, IDs de segmento no nível do projeto, estrutura json com todas as metas de experiência apresentadas ao visitante
• A Política de Privacidade menciona este cookie: Sim

_conv_s

• Nome do cookie: _conv_s
• Objetivo: Este é o cookie centrado na sessão. É uma sequência de peças separadas por estrela(*); cada peça é uma string que contém strings de chave e valor coladas por dois pontos (:).
• Duração: 20 minutos
• Origem do domínio: convert.com
• Categoria: Desempenho
• Dados armazenados: ID da sessão, número de visualizações de página na sessão atual, hash da sessão para problemas de desempenho
• A Política de Privacidade menciona este cookie: Sim

_conv_r

• Nome do cookie: _conv_r
• Finalidade: Este cookie contém os dados de referência do visitante atual.
• Duração: Isso é substituído cada vez que o visitante vem de um novo referenciador.
• Origem do domínio: convert.com
• Categoria: Desempenho
• Dados armazenados: nome da fonte, meio de referência, termos de pesquisa do referenciador
• A Política de Privacidade menciona este cookie: Sim

7 Práticas recomendadas da política de cookies para qualquer site: regras relativas ao uso de cookies

Tanto o GDPR quanto o ePrivacy Regulation se concentram no consentimento dos usuários sobre a coleta ou uso de seus dados. E como os cookies são as principais ferramentas para coletar dados do usuário, uma boa política de cookies pode ajudar você a cumpri-los.

Além disso, explicando quais cookies você usa, quais dados você armazena e como usa seus dados, você pode ganhar a confiança de seus usuários e mostrar a eles que a privacidade deles realmente importa.

Aqui estão 7 maneiras de criar uma ótima página de política de cookies.

Use uma linguagem amigável

Uma política de cookies compatível deve fornecer ao usuário uma imagem clara e precisa de como os cookies são usados ​​em seu site a qualquer momento. É um requisito real que a política de cookies seja escrita em linguagem simples e compreensível.

Confira os exemplos da página de políticas acima e você verá como essas organizações escreveram versões fáceis de usar das políticas que, de outra forma, podem soar como jargão jurídico e ser muito difíceis de entender para usuários em geral.

Diga não ao consentimento implícito – obtenha-o com uma ação afirmativa

A maior mudança para cookies e rastreamento online em relação ao GDPR é que o consentimento deve ser dado por uma ação afirmativa clara.

Os cidadãos da UE se acostumaram - embora provavelmente um pouco incomodados - com os banners em todos os sites, informando o uso de cookies, às vezes pedindo para você verificar o botão ok, mas não dando uma escolha verdadeira.

Com o regulamento, isso não é suficiente. O consentimento deve ser dado como uma ação afirmativa e positiva, e a rejeição de cookies deve ser uma opção real.

Muitas empresas já começaram a permitir que seus usuários rejeitem os cookies com os quais não se sentem confortáveis. No Clym, por exemplo, todos os cookies não são permitidos por padrão. Um usuário pode optar por permitir os que deseja:

Permita que seus usuários retirem o consentimento a qualquer momento

Os usuários devem ter o poder de retirar seu consentimento sempre que quiserem — afinal, o consentimento é deles para dar ou retirar!

Portanto, é importante garantir que seus usuários tenham acesso ao estado de consentimento atual o tempo todo e possam alterar as configurações ou retirar totalmente o consentimento.

Se você der outra olhada na página de cookies da National Geographic, verá que eles permitem que os usuários os excluam com apenas um clique.

O Clicky Analytics também oferece a opção de desativação de um clique para que os usuários deixem de ser rastreados por qualquer site usando sua solução de análise.

Portanto, pense em adicionar uma página de desativação ao seu site e permitir que seus usuários gerenciem seu consentimento.

Renovar o consentimento todos os anos

Isso é bastante simples, mas pode ser fácil de perder. A cada 12 meses, renove o consentimento do usuário para permitir todos os cookies e dados.

Não presuma que o consentimento é “eterno!”

Peça consentimento antes de usar os cookies

Com o GDPR e a Diretiva ePrivacy, o consentimento do usuário deve ser dado antes da configuração dos cookies.

De acordo com o GDPR, você precisa de consentimento prévio para configurar cookies que rastreiam dados pessoais , enquanto a Diretiva de privacidade eletrônica é ainda mais abrangente e exige que você obtenha consentimento para configurar todos, exceto os cookies estritamente necessários .

Portanto, verifique se você não está usando nenhum “consentimento implícito” para configurar cookies.

Registre o consentimento de seus usuários (como evidência … apenas no caso!)

Todos os consentimentos devem ser armazenados de forma segura para que possam ser usados ​​como prova, em caso de controle.

Mais do que qualquer outra coisa, seja responsável por todos os cookies em seu site:

Cada site usa uma série de provedores de soluções. E muitos desses provedores de serviços usam cookies. Não importa se você usa cookies primários ou de terceiros, de acordo com as mais recentes e rigorosas leis de privacidade, você pode estar sujeito a controles e ser obrigado a prestar contas exaustivamente dos processos de dados que estão acontecendo em relação ao seu site .

Isso é mais fácil dizer do que fazer, pois a maioria dos sites possui um grande número de cookies de terceiros fluindo em seu sistema.

Mas uma mensagem dizendo “ Nós não somos responsáveis ​​por qualquer... ” ou “ Nossos provedores de serviços têm seus próprios dados... ” ou “ Nós não somos responsáveis ​​por... ” pode lhe dar alguma paz de espírito... mas eles podem não ser bons defesas.

Uma dica que podemos dar a você sobre isso é fazer parceria apenas com um provedor de serviços que entenda e respeite as leis de privacidade do usuário com a mesma diligência que você demonstra.

Esse é o único caminho a seguir para um negócio progressivo e consciente da privacidade.