O impacto do GDPR na coleta de dados do CRO: uma recapitulação rápida

Publicados: 2019-11-13
O impacto do GDPR na coleta de dados do CRO: uma recapitulação rápida

A base para otimizar a taxa de conversão em qualquer site é a coleta e análise sistemática dos dados referentes aos visitantes que interagem com o site.

A coleta de dados do usuário é crucial para avaliar como os visitantes usam, entendem e gostam das diferentes partes de um site. No entanto, sob o Regulamento Geral de Proteção de Dados (GDPR), que foi introduzido pelo Parlamento Europeu em abril de 2016 e finalmente aplicado em maio de 2018, a coleta e o processamento de dados pessoais na União Europeia tornaram-se unificados e confinados.

Em termos leigos, as empresas não podem mais coletar e acumular dados sem um motivo válido. Eles também não podem processar dados como desejam. E, finalmente, os dados agora vêm com uma data de validade. Há uma necessidade de limpar regularmente os dados que não estão sendo usados ​​para melhorar a experiência do usuário e do cliente de maneira tangível.

O objetivo do GDPR é harmonizar as leis de privacidade de dados na União Europeia, fortalecer os direitos de privacidade de dados dos cidadãos da UE e evitar violações de dados. As organizações que não cumprirem o GDPR podem ser multadas em até 4% do seu faturamento anual ou até 20 milhões de euros (o que for maior).

As multas já foram aplicadas. Por exemplo, o Information Commissioner's Office (ICO) anunciou uma multa de £ 183,39 milhões para a British Airways devido a uma violação de dados que comprometeu os dados pessoais de 500.000 clientes e uma violação do GDPR.

Assim, o lema geral do GDPR é quanto menos informações pessoais do usuário você coletar, melhor . Mas isso significa que a coleta de dados de usuários de cidadãos da UE com o objetivo de otimizar a taxa de conversão é impossível sem o risco de multas pesadas sob o GDPR?

Princípios para o tratamento de dados pessoais ao abrigo do RGPD
Leia o artigo completo em www.talacka.com.

Não necessariamente.

Se você coleta dados pessoais de um cidadão da UE por meio de ferramentas de rastreamento, cookies, software de processamento ou programas de avaliação de dados, você precisa saber que tipo de dados são coletados, onde serão armazenados, como serão processados ​​e quando serão eventualmente excluídos . A necessidade de uma mudança na mentalidade geral das empresas e organizações de possuir os dados pessoais de indivíduos se intensificou nos últimos anos.

A seção de portabilidade de dados pessoais no GDPR afirma que nenhuma empresa pode possuir os dados de um indivíduo e que o titular dos dados tem o direito de compartilhar seus dados com outra organização. Assim, de acordo com o GDPR, empresas e organizações são legalmente obrigadas a obter um acordo de consentimento para coletar e processar dados de visitantes de seus sites. Além disso, você precisa escrever o formulário de consentimento em palavras simples para explicar claramente por que está coletando os dados e para que os usará.

À primeira vista, isso parece esmagador e difícil de executar diariamente. No entanto, este artigo o ajudará a lidar com os requisitos do GDPR.

Além disso, o artigo fornecerá uma visão geral do que é considerado dados pessoais sob o GDPR, como você pode se tornar compatível com o GDPR enquanto coleta dados pessoais para fins de otimização da taxa de conversão (CRO) e como o GDPR afeta ferramentas CRO comuns que são usado para otimizar sites.

O que constitui dados pessoais?

O artigo 4.º do RGPD define o que são dados pessoais.

Dados pessoais são qualquer forma de informação que possa identificar direta ou indiretamente uma pessoa física. Uma pessoa singular é um indivíduo que vive na UE. A maneira mais fácil de identificar uma pessoa é geralmente através do nome completo. Mas pode haver vários indivíduos com o mesmo nome que vivem na UE. No entanto, uma combinação de diferentes pontos de dados pode ser suficiente para identificar um indivíduo específico. Os pontos de dados identificáveis ​​podem ser, por exemplo, o nome, localização, endereço de e-mail, informações de login, endereço IP e identificadores exclusivos, como IDs de usuário ou IDs de transação.

Ao ler a última seção, você provavelmente notou que a maioria das ferramentas de otimização de taxa de conversão comumente usadas coleta e processa os pontos de dados identificáveis ​​mencionados. Mas você é responsável por garantir que as ferramentas de processamento de dados de terceiros estejam em conformidade com os regulamentos de proteção de dados da UE?

Ferramentas de CRO de terceiros: como trabalhar com elas

O GDPR descreve que o processo de coleta de dados é conduzido por duas entidades diferentes: o “controlador” de dados e o “processador” de dados. O controlador de dados decide a finalidade, o escopo e a intenção dos dados coletados. Portanto, os controladores de dados são os proprietários do site na maioria dos casos. Os processadores de dados, por outro lado, processam os dados coletados para atender a uma meta predeterminada em nome do controlador de dados.

Os processadores de dados geralmente são ferramentas de CRO de terceiros, como mapas de calor, ferramentas de teste, análise de formulário ou ferramentas de teste A/B. Antes que qualquer ferramenta de terceiros possa ser usada, um acordo sobre o que a ferramenta de terceiros pode fazer em nome do proprietário do site deve ser aprovado pelo proprietário do site.

Isso significa que uma ferramenta de terceiros como processador de dados atua como uma extensão do controlador de dados.

O regulamento geral de proteção de dados afirma que um controlador de dados é legalmente responsável pelas ações do processador de dados. Assim, se o processador de dados na forma de uma ferramenta CRO de terceiros não estiver em conformidade com o GDPR, o controlador de dados, por sua vez, também não estará em conformidade e poderá sofrer penalidades. Assim, é recomendável verificar que tipo de dados as ferramentas de marketing e rastreamento que você usa para o seu site coletam para você.

Agora você provavelmente está se perguntando: “Quais são minhas responsabilidades sob o GDPR? E quais medidas devem ser declaradas no acordo entre o proprietário do site e a ferramenta de processamento de dados de terceiros para garantir a conformidade com o GDPR?” A lista de verificação a seguir fornecerá uma visão geral rápida dos requisitos mais importantes do GDPR para ferramentas de terceiros, bem como seus próprios requisitos.

Lista de verificação para requisitos GDPR de ferramentas de terceiros

  • Contrato de processamento de dados atualizado com uma seção GDPR adicionada
  • O contrato deve declarar que eles só agirão de acordo com suas instruções documentadas
  • A duração, finalidade, armazenamento e o processo do método de processamento de dados
  • Os registros do consentimento dos visitantes do site devem ser mantidos por um curto período de tempo previsto pelos requisitos do GDPR
  • As medidas de segurança de dados devem ser declaradas no acordo da ferramenta de terceiros
  • O processador de dados deve auxiliar o controlador de dados nos direitos do usuário de acessar os dados armazenados, na retirada do consentimento dado e no direito de ser esquecido e apagar certas informações
  • A ferramenta de terceiros deve indicar que tipo de dados pessoais serão coletados e processados
  • No contrato entre o processador de dados e o controlador de dados, deve ser incluída uma seção que descreve os direitos e obrigações de cada parte

Lista de verificação para requisitos de GDPR dos proprietários de sites

  • Auditoria de informações: Quais dados pessoais você coleta/processa/armazena?
  • Ter uma justificativa legal para coletar dados pessoais (Art. 6, 7-11)
  • Não guarde os dados por mais tempo do que o necessário (Art.5)
  • Obter o consentimento para a coleta de dados pessoais e armazenar os consentimentos para comprovação do consentimento dado por meio de uma opção ativa de opt-in (Art. 4)
  • Criptografar e pseudonimizar dados pessoais sempre que possível (Art. 32)
  • Facilite para seus clientes a retirada do consentimento, a coleta e a possível exclusão de seus dados coletados (Art. 15, 17, 18, 21)
  • Nomeie as ferramentas de terceiros que têm acesso ou coletam dados pessoais em seu nome
  • Siga as restrições para transferências de dados pessoais para países fora do EEE (Art. 44-50)

Conformidade com GDPR: possível impacto na experiência e na taxa de conversão

De acordo com o GDPR, todos os dados coletados devem ser feitos após a obtenção do consentimento explícito do usuário . Existem duas maneiras pelas quais isso pode ser potencialmente prejudicial para as empresas:

  • Os formulários não podem mais vir com consentimento integrado (caixas pré-marcadas) e precisam solicitar consentimento para cada tipo separado de processamento de dados. Então, resumindo, se um navegador se inscreveu na sua isca digital, não comece a visitar automaticamente sua caixa de entrada com o boletim informativo. Isso não apenas reduz o número de pontos de contato com clientes em potencial, mas se os formulários não forem projetados com UX em mente, as opções de consentimento podem induzir frustração e fadiga, levando a piores taxas de conclusão/envio.
Converter consentimento
  • Pop-ups de consentimento de cookies . Esta postagem da Convert detalha os diferentes tipos de cookies que podem ser usados ​​em um site e como obter permissão para uso do tráfego. Caso o cookie que você tem em mente exija um aceno dos navegadores do site, os formulários de consentimento de cookies hediondos são o caminho a seguir. A maioria das ferramentas tem seus próprios banners de consentimento de cookies com opções de personalização muito limitadas. As ferramentas agregadas que permitem a consolidação de consentimentos de cookies para diferentes soluções são inadequadas e exigem que os usuários cliquem ou saiam da página existente para ativar ou desativar.

Embora nenhuma pesquisa formal tenha sido realizada sobre a diminuição das taxas de tráfego, engajamento ou conclusão de metas, antes e depois do GDPR, a maioria das empresas sofreu.

No entanto, esse sofrimento fez surgir a necessidade de investir em técnicas de Otimização da Taxa de Consentimento e melhor design e UX – elementos que acabarão por melhorar a forma como as empresas interagem com os prospects e os conduzem pelo ciclo de compra/consumo.

O GDPR e as leis de privacidade de dados que estão tomando forma em todo o mundo são passos na direção de um futuro digital mais privado e livre – mas é vital que as soluções técnicas para a aplicação dessas leis sejam equilibradas e diferenciadas, para que eles não quebrem as economias da Internet que financiam suas partes gratuitas e universais, que todos nós prezamos e desejamos proteger.

Daniel Johannsen, CEO da Cybot, criadores do Cookiebot.

Armazenar, apagar e classificar dados pessoais

Outro requisito do GDPR que pode afetar a coleta de dados para fins de CRO é o armazenamento e processamento de dados pessoais. Isso pode ser especialmente complicado, pois muitas ferramentas de CRO armazenam dados pessoais e muitas partes podem estar envolvidas no processo de análise de dados. Assim, depende de quantas ferramentas CRO você usa para o seu site, mas na maioria das vezes é possível restringir o armazenamento de dados pessoais a longo prazo nas ferramentas CRO usadas.

A necessidade de apagar dados coletados e mantidos por organizações ou empresas tem sido debatida há muitos anos. De acordo com o GDPR, um indivíduo pode solicitar que seus dados pessoais sejam apagados sem mais demora. No entanto, não está totalmente claro como as organizações devem apresentar uma prova da exclusão de dados, pois isso geraria dúvidas sobre privacidade de dados e políticas da empresa.

Outro ponto que precisa ser abordado é a classificação adequada dos dados pessoais. Como organização, você precisa saber que tipo de dados deve coletar para administrar seus negócios com sucesso.

Os regulamentos de coleta de dados do GDPR descrevem a importância de as empresas coletarem dados pessoais apenas com uma justificativa legal. No total, existem 6 bases legais para a coleta de dados: Consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos. Uma justificativa legal comum para coletar e processar dados pessoais é um interesse legítimo. Isso pode ser, por exemplo, o processamento de dados para fins de redirecionamento ou marketing direto (considerando 47). Isso também restringirá o uso não autorizado de dados pessoais por ferramentas de terceiros e, assim, reduzirá o risco de roubo de dados.

Conclusão:

Os requisitos obrigatórios do GDPR podem afetar parcialmente o processo de coleta de dados para a otimização da taxa de conversão. Especialmente o volume dos dados coletados é afetado pelo formulário de consentimento “opt-in” nos sites. Além disso, as ferramentas de CRO de terceiros que coletam dados para você precisam ser verificadas para que você possa verificar se os requisitos mais importantes do GDPR estão incluídos no contrato, pois você é responsável por possíveis violações do GDPR de terceiros.

No geral, porém, essas são mudanças positivas que darão frutos na forma de interações mais livres entre clientes em potencial e marcas – sem o medo subjacente do uso indevido de dados. Quaisquer quedas nas taxas de conversão no presente serão compensadas à medida que marcas conscientes aceitam a conformidade e investem no desenvolvimento de práticas que se concentram em tornar o processo de aquisição de consentimento o mais indolor (e até prazeroso) possível.