GDPR vs. ePrivacy: o que você precisa saber

O Regulamento Geral de Proteção de Dados (GDPR) substitui a Diretiva de Proteção de Dados 95/46/EC…

…E, traz consigo, novos Regulamentos de Privacidade Eletrônica (ePR) para cidadãos da UE…

…mesmo que esses dados sejam armazenados e tratados fora da Europa…

…em uma época em que os dados pessoais são cada vez mais valiosos economicamente.

Então é incrivelmente importante.

Mas também... hein?

E os artigos sobre GDPR parecem apenas torná-lo mais complicado.

Por exemplo….

• O GDPR substitui a Diretiva de Proteção de Dados 95/46/EC. Tudo limpo?
• O GDPR lida com MUITO mais do que apenas privacidade digital. E então existe uma sub-lei chamada ePrivacy Regulations para dar regras mais específicas. Ainda claro?
• ePrivacy Regulations substitui a ePrivacy Directive, ainda comigo?
• GDPR é aprovado e se tornará lei em 25 de maio de 2018, pronto?
• Cada país europeu pode fazer seu próprio “sabor” do GDPR e apenas dois países fizeram isso de duas dúzias… dizer o quê?
• Os regulamentos de privacidade eletrônica provavelmente não estarão prontos até 25 de maio de 2018….ehhh vem de novo?
  Então, onde os cookies são mencionados uma vez no GDPR, os Regulamentos de Privacidade Eletrônica estão cheios de descrições detalhadas do que é e do que não é permitido... mas nos falta essa lei final (está no rascunho nº 1533). Útil certo?

Então, o que fazemos? Que regras seguimos?

Então é uma bagunça, mas ninguém está lhe dizendo isso. Desde que o dinheiro seja feito.

De artigo em artigo, você lerá sobre as assustadoras multas de 20 milhões de euros (24 milhões de dólares).

O preço é do fracasso é, mas as regras não são claras. Então, o que fazemos?

Implementamos o que o GDPR diz, é isso que fazemos.

Porque realmente não importa que nem todas as leis sejam feitas. Conhecemos a estrutura central, e isso significa que a legislação de cada país pode variar um pouco. Mas temos o básico.

E esses são….

Marketing Digital e GDPR o que sabemos?

No GDPR, sabemos que os cookies são mencionados apenas uma vez. O considerando 30 declara:

Portanto, eles não querem identificadores exclusivos . Nem mesmo em cookies – e certamente sem dados pessoais.

Os dados pessoais são uma versão europeia das PII. Mas ohhh menino é diferente. Aqui uma tabela de comparação.

Por enquanto, é o que sabemos.

A intenção da lei GDPR da Europa

Agora você pode contratar uma equipe jurídica e encontrar todas as áreas cinzentas do que e do que não é permitido. Mas vamos primeiro entender a ideia central, a intenção, por trás do regulamento.

Se você entende a lei, pode entender muito claramente quando está se aventurando em hacks de privacidade blackhat e grayhat. E você pode determinar quais ferramentas remover da sua pilha e quais truques de marketing legais você realmente pode manter. Leia o considerando 26 do GDPR.

(Ou pule os itálicos e confie no resumo que escrevi depois deles).

Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável.

Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular através da utilização de informações adicionais, devem ser considerados informações sobre uma pessoa singular identificável.

Para determinar se uma pessoa singular é identificável, devem ser tidos em conta todos os meios razoavelmente susceptíveis de serem utilizados, como a identificação, pelo responsável pelo tratamento ou por outra pessoa para identificar a pessoa singular direta ou indiretamente.

Para determinar se os meios são razoavelmente susceptíveis de serem utilizados para identificar a pessoa singular, devem ser tidos em conta todos os factores objectivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível no momento da processamento e evolução tecnológica.

Os princípios de proteção de dados não devem, portanto, aplicar-se a informações anónimas, nomeadamente informações que não digam respeito a uma pessoa singular identificada ou identificável ou a dados pessoais tornados anónimos de tal forma que o titular dos dados não seja ou deixe de ser identificável.

Portanto, o presente regulamento não diz respeito ao processamento de tais informações anônimas, inclusive para fins estatísticos ou de pesquisa.

Resumindo, minha versão: Dados pessoais (e isso é muito) só devem ser coletados com interesse legítimo (em outro artigo, mais sobre isso), ou em troca de consentimento, como parte de um contrato. Existem mais algumas exceções que não se aplicam a 90% dos profissionais de marketing digital, mas você pode ler todas aqui.

Quando você coleta dados pessoais, eles precisam ser…

• armazenados com segurança na Europa.
• protegido.
• podem ser apagados ou modificados a pedido.

Você também deve estar pronto para sinalizar uma violação de segurança nesses dados dentro de 72 horas após a ocorrência. Portanto, certifique-se de ser capaz de informar os titulares dos dados e as autoridades, se ocorrer.

Os europeus querem esta lei, ela vai muito além da Europa e atinge todos os bancos de dados do mundo onde os europeus são armazenados com algum tipo de dados pessoais.

“Mas Dennis você está esquecendo…”

Obviamente, estou esquecendo toneladas e toneladas de coisas. São mais de 300 páginas da lei GDPR e mais de 100 no esboço 1533 dos Regulamentos de Privacidade Eletrônica. Mas a ideia é clara.

Armazenar dados pessoais afetará você como proprietário de marketing digital porque você precisa pedir consentimento.

O que? Consentimento? Sim, consentimento explícito!

Sim. Você precisa explicar aos visitantes do site, leads e clientes, como você coleta e armazena seus dados. Não o use de nenhuma outra maneira além das maneiras que você compartilha.

Então não... ao se inscrever neste whitepaper você aceita os termos blá blá ninguém vai ler isso.

Em vez de….

“<caixa de seleção desmarcada> Eu concordo que, ao baixar este whitepaper, receberei um e-mail com o whitepaper.
<caixa de seleção desmarcada>, concordo com uma ligação de um representante da empresa X.”

Caramba… isso vai diminuir as taxas de conversão, certo?

Sim, Provavelmente.

Desculpe, não é minha lei...

O que você pode fazer sem consentimento?

Você pode usar qualquer ferramenta em sua pilha que não armazene IDs de cookies e não armazene dados pessoais. Sem impressões digitais e outros hacks desagradáveis ​​para evitar cookies…

Portanto, não há IDs de cookies, identificadores exclusivos e nenhum armazenamento de dados pessoais nos sites que essas ferramentas são permitidas.

O Convert Experiences (nosso software de teste A/B) será executado sem IDs de cookies e identificadores exclusivos e sem armazenamento de dados pessoais. Então, isso é algo a se buscar ao avaliar suas ferramentas de marketing.

Parece que a análise da web (contagem de visitantes) será permitida, mas não está 100% claro sobre quais ferramentas e recursos de análise são permitidos. Isso depende dos Regulamentos de privacidade eletrônica – uma lei, novamente, não está terminada.

Então vale a pena pedir consentimento? Pode ser…

Então você tem que pedir consentimento claro, por tipo (grupo) de ferramentas.

O que o coloca em uma posição desconfortável.

Se você executar 10 ferramentas de retargeting que combinam pesquisas históricas, visitas à página etc…? Coloque-os em um grupo e veja se você pode explicar o benefício claramente aos visitantes, para que eles concordem.

Sem caixas pré-marcadas... sem suborno, sem paredes de biscoitos...

E essas ferramentas SÓ podem ser executadas se um visitante lhes der luz verde. Mesmo para os profissionais de marketing mais inteligentes, você está olhando para um corte de tráfego.

Há muito mais para aprender.

E então estamos documentando as áreas cinzentas.

Aqui estão alguns bons lugares para começar:

• Como executar uma campanha de repermissão de GDPR bem-sucedida: um guia passo a passo
• Growth Hacking seu caminho para multas pesadas? Ajuste sua estratégia de saída para GDPR.
• Como comprar um software de teste A/B compatível com GDPR
• Como converter no comércio eletrônico na era GDPR