Como escolher uma ferramenta de teste A/B compatível com a privacidade (nosso guia para otimizadores alemães)

Os consumidores estão ganhando mais consciência e controle sobre suas informações pessoais, à medida que as leis de privacidade entram em vigor em todo o mundo. A UE, por exemplo, aprovou o marco do Regulamento Geral de Proteção de Dados (GDPR) em 2018, para reforçar os regulamentos de privacidade de dados e a Califórnia aplicou a Lei de Privacidade do Consumidor da Califórnia (CCPA) em 2020.

As empresas de testes A/B estão agora tomando medidas extras para cumprir essas novas regras. Por exemplo, muitos estão solicitando o consentimento dos usuários antes de adicioná-los a uma lista de e-mails, fornecendo declarações e divulgações de privacidade facilmente acessíveis e dando aos usuários a capacidade de acessar, modificar ou excluir suas informações pessoais.

Apesar da falta de privacidade digital no mundo de hoje, a Alemanha continua comprometida com a proteção dos dados pessoais de seus cidadãos, com leis como a antiga Lei Federal de Proteção de Dados Alemã (BDSG) sendo considerada uma das mais rigorosas do mundo.

O guia a seguir o guiará por cada uma das leis de privacidade de dados na Alemanha, para que você possa tomar a decisão mais informada ao selecionar uma ferramenta de teste A/B.

Critérios de Seleção para Privacidade de Dados

A lei de proteção de dados, adotada pela primeira vez na Alemanha em 1970, desde então se tornou um direito humano fundamental, apoiada pelas autoridades de proteção de dados dos 16 estados e federações alemãs. É importante cumprir as seguintes leis ao selecionar uma plataforma de teste A/B:

• O Regulamento Geral de Proteção de Dados da UE (GDPR) (2018)
  
  
  • Implementado para proteger os dados dos cidadãos da UE.
• A Lei Federal de Proteção de Dados (BDSG) (2018)
  
  
  • Modifica o GDPR, permitindo exceções a direitos individuais ao lidar com dados pessoais de funcionários.
• A Lei Federal sobre o Regulamento de Proteção de Dados e Privacidade em Telecomunicações e Telemídia (TTDSG) (2021)
  
  
  • Combina a Lei de Telecomunicações (1996) e a Lei de Telemídia (2007), que proíbe o acesso a dados de telecomunicações (como contas de e-mail comercial, telefones comerciais ou histórico de navegadores de internet) e estabelece requisitos de consentimento de cookies de acordo com o Artigo 5(3) de privacidade eletrônica.
• ePrivacy (Lei de Cookies) (2002)
  
  
  • Garante “privacidade e confidencialidade, no que diz respeito ao tratamento de dados pessoais no setor das comunicações eletrónicas”.

Os critérios a seguir servirão como guia ao escolher uma plataforma de teste A/B compatível na Alemanha

1. Como a empresa de testes A/B se preparou para a conformidade de dados?

Como eles se prepararam para as leis GDPR, BDSG e TTDSG?

Depois de restringir suas principais opções, certifique-se de que elas sejam capazes de descrever brevemente o procedimento, quais áreas foram envolvidas e quais medidas foram iniciadas. Se nem todas as medidas planejadas foram totalmente implementadas, elas precisam ser capazes de explicar seu status de implementação.

Isso fornecerá uma visão geral das abordagens usadas, bem como sua autoavaliação sobre sua posição sobre como implementar as várias leis.

As perguntas comuns a serem respondidas são

1. Foram envolvidos todos os departamentos essenciais da empresa que trabalham com dados pessoais (por exemplo, recursos humanos, TI, vendas/suporte ao cliente, marketing)?
2. Há evidências de que o treinamento sobre essas leis foi realizado?
3. Todas as medidas planejadas pela empresa foram implementadas?

Por exemplo, a Convert postou um roteiro público, onde indicamos claramente quais ações foram tomadas para se tornar compatível com o GDPR (por cada artigo necessário).

Um roteiro semelhante deve estar presente para cada plataforma de teste A/B que você considerar.

2. A ferramenta de teste A/B possui registros de atividades de processamento?

É importante que a ferramenta selecionada inclua todas as suas operações comerciais de processamento de dados pessoais em um registro de atividades de processamento.

Pergunte a si mesmo o seguinte:

1. Está claro que o registro das atividades de processamento é revisado e atualizado regularmente quando necessário?
2. Este registro corresponde aos requisitos legais do Artigo 30 GDPR?
   
   
   1. Eles fornecem o nome e detalhes de contato da pessoa responsável?
   2. As finalidades do processamento são indicadas?
   3. As categorias de pessoas envolvidas (por exemplo, funcionários, clientes, etc.) e as categorias de dados pessoais (por exemplo, dados cadastrais de funcionários, dados de candidatos, dados de contato de clientes, dados de solvência, etc.) estão descritas?
   4. É feita uma declaração sobre a transferência de dados pessoais para um país terceiro ou para uma organização interna?
   5. Estão indicados os prazos previstos para a eliminação das várias categorias de dados?

Abaixo está um exemplo dos registros que o Convert mantém para cada atividade de processamento de dados.

3. Com que base legal a ferramenta de teste A/B processa dados pessoais?

De acordo com o Artigo 6 do GDPR, deve haver bases legais nas quais a empresa se baseia para processar dados pessoais.

Faça as seguintes perguntas:

1. As bases legais são mencionadas em sua Política de Privacidade?
2. As declarações de consentimento são fáceis de entender (ou seja, o conteúdo do titular dos dados é claro e simples ao explicar a concessão do consentimento)?

Existem várias bases legais nas quais a Convert se baseia, que são publicadas em nossa política de privacidade. Eles estão centrados em torno do GDPR e incluem

• Contrato : Cumprimos nossas responsabilidades contratuais com você (quando você se registra como cliente, compra de nós ou usa nossos serviços, por exemplo).
• Consentimento : Os clientes devem concordar antes que possamos usar suas informações pessoais de uma maneira específica (ou seja, ao ativar o rastreamento de vários domínios, adicionar vários domínios em um projeto, ativar a segmentação de público ou solicitar registro adicional).
• Obrigação legal : Somos legalmente obrigados a fornecer determinados documentos (ou seja, cópias de faturas e informações sobre pagamentos).
• Interesse legítimo: Usamos seus dados pessoais apenas da maneira que você esperaria, com impacto mínimo na privacidade ou quando houver uma justificativa convincente.

4. A ferramenta de teste A/B tem uma avaliação de impacto de proteção de dados ?

DPIAs (avaliação de impacto de proteção de dados) ajudam as organizações a identificar, avaliar e mitigar ou minimizar os riscos de privacidade associados ao processamento de dados. Eles são especialmente importantes ao introduzir uma nova técnica, sistema ou tecnologia de processamento de dados.

Os DPIAs também promovem o princípio de responsabilidade porque auxiliam as organizações a cumprir os padrões do GDPR e a demonstrar que foram tomadas medidas suficientes para garantir a conformidade.

Você sabia que deixar de realizar um DPIA quando necessário é uma violação do GDPR que pode resultar em multas de até 2% da receita global anual de uma organização ou € 10 milhões, o que for maior?

Como parte do Projeto GDPR da Convert, a Convert desenvolveu orientações para a equipe e um modelo a ser usado para realizar DPIAs. Isso serve para garantir que as operações de processamento com alto risco esperado para os direitos e liberdades das pessoas afetadas sejam identificadas.

5. Foi nomeado um responsável pela proteção de dados?

A principal responsabilidade do Diretor de Proteção de Dados (DPO) é garantir que os dados pessoais de funcionários, clientes, fornecedores ou outros indivíduos de sua organização (também conhecidos como titulares de dados) sejam processados ​​de acordo com as regras de proteção de dados aplicáveis. O GDPR exige que cada organização e órgão da UE estabeleça um DPO.

Para esclarecer as qualificações do Encarregado de Proteção de Dados de uma empresa e como elas estão integradas na organização, pergunte-se:

1. O conhecimento especializado atual e suficiente do DPO pode ser inferido dos documentos? (Avaliar a sua formação e formação em proteção de dados, a extensão/duração da sua experiência em proteção de dados, a sua formação profissional (por exemplo, advogado, cientista informático) e a sua participação em redes de proteção de dados estabelecidas.
2. Existe uma publicação dos detalhes de contato do DPO? no site da empresa? Os detalhes de contato do DPO são fáceis de encontrar lá?

6. Como a empresa de teste A/B garante que relata violações de proteção de dados à autoridade supervisora ​​em tempo hábil?

Todas as organizações alemãs são obrigadas, de acordo com o Artigo 33 do GDPR, a manter os dados pessoais seguros e protegidos e a responder adequadamente, dentro de 72 horas, a violações de segurança de dados (que podem incluir relatar violações ao Diretor de Proteção de Dados em alguns casos).

Para evitar o perigo de lesões a indivíduos, danos aos negócios operacionais e custos financeiros, legais e de reputação severos, é fundamental agir rapidamente no caso de qualquer violação real, possível ou suspeita de segurança ou confidencialidade de dados.

Ao procurar uma ferramenta de teste A/B compatível com privacidade, faça estas perguntas:

1. O processo de denúncia de violações de proteção de dados foi apresentado de forma compreensível?
2. As responsabilidades (quem faz o quê) estão claramente regulamentadas no processo de comunicação?
3. O período de 72 horas é visivelmente levado em consideração?
4. Está claro que os funcionários foram informados sobre esse processo?

A Convert tem sua própria Política de Escalação de Violação de Dados Pessoais que pode ser solicitada em [email protected].

7. Onde a ferramenta de teste A/B armazena os dados?

A Áustria proibiu recentemente o uso do Google Analytics porque seus dados são armazenados nos Estados Unidos, onde a proteção da privacidade é mais limitada. Encontrar uma plataforma de teste A/B que armazene dados legalmente na UE é sua aposta mais segura.

Você deve ser capaz de descobrir onde os dados são mantidos na política de privacidade da organização. Em geral, as informações de armazenamento de dados estão localizadas nas seções “subprocessadores” e “serviços de terceiros”. Se você não conseguir encontrar essas informações facilmente ou não estiver claro, entre em contato com a organização para obter esclarecimentos.

8. A ferramenta de teste A/B respeita as configurações de Não rastrear (DNT)?

Para usuários preocupados com sua privacidade, vários navegadores têm um recurso “Não rastrear”, que pode ser ativado para informar sites e ferramentas de análise para parar de rastrear o comportamento do usuário.

Em princípio, essa configuração deve impedir que o navegador de um visitante aceite “cookies” que informam profissionais de marketing e outras empresas sobre seus hábitos e interesses online. No entanto, os sites não estão tecnicamente vinculados a essas restrições. Portanto, é importante encontrar uma ferramenta de teste A/B que se preocupe com a privacidade do usuário e se esforce para garantir que seus sistemas cumpram esses requisitos.

O Convert suporta Do Not Track porque acreditamos que é fundamental ter um método simples de controlar como as informações do usuário final são utilizadas. Levamos o DNT a sério como um sinal de você e seus usuários finais sobre como devemos usar os dados.

O Convert oferece aos usuários as seguintes opções:

1. Não rastrear (desativar o rastreamento)
2. Rastrear (Ativar o rastreamento)
3. Nulo (Sem preferência)

Por padrão, os navegadores da Web usam “Null”, indicando que o usuário final não expressou se deseja ser rastreado ou não. Quando “Do Not Track” é escolhido, o Convert não carrega os scripts/experiências e, em vez disso, carrega as outras duas opções.

Na sua configuração do projeto, há uma linha que diz: “Respeitar as configurações do navegador de não rastrear”, que está DESATIVADA por padrão, mas pode ser alterada usando o menu suspenso.

9. A ferramenta de teste A/B permite rastreamento anônimo?

A anonimização permite que as ferramentas de teste A/B estejam em conformidade com o GDPR, enquanto ainda rastreiam dados para relatórios. De acordo com as diretrizes do GDPR, as ferramentas de teste A/B podem coletar determinados dados, desde que sejam “tornados anônimos de forma que o titular dos dados não seja ou não seja mais identificável”. Isso é importante para empresas que desejam acompanhar dados demográficos que não são pessoalmente identificáveis.

A opção de anonimização de dados no Convert Experiences permite que seu site limpe todos os dados de entrada e históricos sobre os nomes das experiências/variações agrupadas de seus visitantes, permitindo que as equipes de marketing e de TI mantenham dados de rastreamento essenciais sem comprometer a privacidade.

10. O que a ferramenta de teste A/B mantém em seus logs de servidor?

De acordo com o GDPR, um endereço IP é considerado um dado pessoal. Se os logs do servidor da sua ferramenta de teste A/B contiverem os endereços IP de seus visitantes, eles conterão dados pessoais.

Aqui estão as diretrizes básicas para logs de servidor compatíveis com GDPR:

1. A solução mais simples para manter logs compatíveis com GDPR é não manter nenhum log.
2. Se os logs do servidor forem necessários, mantenha-os pelo menor tempo possível. Crie uma política de rotação de log do servidor que exclua os logs mais antigos automaticamente.
3. Se eles coletarem logs sem endereços IP ou outros dados pessoais, eles estarão em conformidade com o GDPR.
4. Eles podem coletar logs sem consentimento sob certas condições, mas devem informá-lo sobre isso em sua política de privacidade.

Live Logs em Convert Experiences rastreiam como os usuários finais estão interagindo com as páginas da web em tempo real. Eles capturam informações como carimbo de data/hora quando uma meta é acionada, o tipo de evento que foi acionado, a variação exibida para o usuário final e muito mais. Os logs ao vivo são considerados compatíveis com GDPR, pois não armazenam endereços IP ou quaisquer outros dados PII.

11. Quem é o proprietário dos dados?

Um dos principais requisitos do GDPR é que medidas adequadas para o processamento de dados pessoais estejam em vigor. Os dados vinculados a uma transação do consumidor na UE devem ser armazenados fisicamente na UE ou em um país com medidas de proteção de dados que o GDPR considere adequadas (a menos que o usuário consinta em manter seus dados em outro lugar).

Essa regra apresenta alguns desafios para empresas não sediadas na UE, embora alguns desses problemas possam ser mitigados usando um pacote de análise com uma política clara de propriedade de dados.

O Convert oferece tranquilidade aos usuários ao ter uma declaração de propriedade definida no local. Isso descreve que “não compartilharemos nenhum dado com terceiros sem a aprovação expressa por escrito do cliente” e “excluiremos quaisquer dados relacionados a clientes que cancelem a assinatura do serviço mediante solicitação”.

12. A ferramenta de teste A/B pode se integrar com sua pilha de tecnologia atual?

Você deve garantir que uma nova ferramenta de teste A/B funcione bem com o restante de sua pilha de tecnologia, como seu CMS (sistema de gerenciamento de conteúdo) e plataforma de comércio eletrônico. Conectar sua pilha de tecnologia atual a uma nova solução pode ser caro, portanto, certifique-se de fazer uma lista de todas as ferramentas atuais que você usa e veja se pode recriar as mesmas integrações com a nova ferramenta, seja por meio de integrações ou APIs.

Ao conduzir seu estudo, tenha em mente as seguintes perguntas:

1. Quão bem e com que rapidez sua ferramenta escolhida se integrará ao restante do seu sistema, como seu CRM?
2. Existem integrações autorizadas para possibilitar tais conexões? Se não, você tem permissão para modificar o código para fazê-lo funcionar para você?
3. É possível converter sem esforço seus dados para outra ferramenta se for necessário?
4. Existe alguma evidência de dependência de fornecedor ou problemas com a transferência de dados para um fornecedor diferente?

13. Existe uma opção para hospedar automaticamente o script de teste A/B?

Escolher entre software como serviço (SaaS) e auto-hospedagem pode ser difícil. Ao considerar custo, facilidade e conveniência, faz sentido ter a maioria dos softwares fornecidos por meio da nuvem. No entanto, o SaaS pode não ser a melhor escolha para algumas empresas e organizações, como governos e bancos.

Uma solução de teste A/B no local será a opção mais preferida para empresas que desejam controle total sobre seus dados e local de armazenamento. Também será o mais simples, em termos de conformidade com o GDPR.

Faça a si mesmo estas perguntas esclarecedoras:

1. Sua ferramenta de teste A/B tem permissão para usar uma solução hospedada na nuvem?
2. Você tem os recursos para hospedar a ferramenta em sua infraestrutura?
3. Você sabe quais limites de dados vêm com seu plano?

14. As Transferências Internacionais de Dados são permitidas?

As transferências de dados agora são tão comuns que a maioria das pessoas nem sabe que estão acontecendo. Mesmo assim, eles podem ser problemáticos de se lidar e devem ser acordados no contrato de coleta de dados original (assim como a localização de dados).

Até recentemente, as corporações usavam a estrutura Privacy Shield para transmitir dados da UE e da Suíça para os EUA sem exigir aprovação prévia. No entanto, em 2020, juízes europeus decidiram que as proteções de dados americanas eram insuficientes, tornando a estrutura inválida, embora essas transferências de dados arriscadas ainda ocorram por outros motivos legais.

Para evitar ameaças potenciais, as empresas de teste A/B podem usar a estratégia de proteção de dados desde o projeto (que discutiremos na próxima seção). Caso contrário, elas podem simplesmente solicitar consentimento e especificar onde os dados serão armazenados e movidos.

15. A proteção de dados por design e padrão está sendo respeitada?

O conceito de privacidade por design está no centro das ferramentas de teste A/B amigáveis ​​à privacidade.

Preferimos evitar invasões de privacidade do que lidar com elas após o fato, e usamos a minimização de dados e a limitação de propósitos para nos mantermos proativos.

A minimização de dados significa apenas o processamento de dados necessários para atingir um objetivo específico, enquanto a limitação de finalidade refere-se a identificar o objetivo do processamento de dados, registrá-los e informar as pessoas antes do processamento.

Uma vez coletados e processados, os dados devem ser mantidos apenas pela duração da tarefa para a qual foram obtidos.

A proteção de dados desde o projeto exige o uso de salvaguardas técnicas e organizacionais durante os estágios de planejamento do processamento. Isso permite que as organizações garantam que os mecanismos de privacidade e segurança estejam em vigor desde o início. Os procedimentos específicos variam dependendo do caso de uso, mas podem incluir anonimização de dados, monitoramento de dados ou a adição de novos recursos de proteção de privacidade ao software de teste A/B.

Então, quais plataformas de teste A/B são amigáveis ​​à privacidade?

Se você está procurando uma maneira de coletar e analisar dados de seu site, produto digital ou aplicativo móvel na Alemanha, a plataforma escolhida é fundamental.

A maioria das soluções de teste A/B não foi criada com a privacidade em mente e, embora as principais plataformas acertem certas coisas (como anonimização e propriedade de dados), elas ficam aquém em outras áreas (como localização de dados).

Felizmente, hoje em dia, há uma grande demanda por software de teste A/B que permite executar experiências em seu site, mantendo a privacidade dos dados. Isso significa que há mais ferramentas de teste A/B amigáveis ​​à privacidade disponíveis hoje do que nunca. Para um breve resumo, veja a tabela abaixo com as métricas mais importantes.