Privacidade do Optimizely: como o Optimizely lida com a privacidade?
Publicados: 2022-02-09
À medida que as plataformas de teste A/B se tornam mais sofisticadas, o mesmo acontece com as preocupações com a privacidade em torno delas.
Optimizely é uma das plataformas de otimização mais populares no espaço de testes A/B, por isso é importante entender sua posição sobre privacidade. Com grandes poderes vem grandes responsabilidades. E com grande responsabilidade vem uma maior necessidade de privacidade.
Neste artigo, avaliamos como a Optimizely aborda a privacidade e o que você precisa saber antes de escolher essa plataforma de experiência digital.
Vamos começar analisando se o Optimizely está em conformidade com as principais leis de privacidade atuais.
O Optimizely é compatível com GDPR?
O Regulamento Geral de Proteção de Dados (GDPR) é um regulamento fundamental que visa fortalecer e unificar a proteção e a privacidade de dados na União Europeia e no Espaço Econômico Europeu. A Optimizely usa os controles de privacidade de negócios e tecnologia necessários para proteger os dados e cumprir o GDPR.
Como o Optimizely GDPR está pronto?
A conformidade com o GDPR é uma parte essencial do serviço e design da Optimizely. Aqui estão algumas etapas que foram tomadas para se tornar compatível com GDPR:
- Produtos identificados e áreas de negócios impactadas pelo GDPR
- Nomeado um Diretor de Proteção de Dados (DPO)
- Reescreveu seu Contrato de Processamento de Dados
- Melhorou e alterou seus produtos, serviços, processos e procedimentos para atender aos requisitos do GDPR
- Revisou seus subprocessadores
- Finalizou e comunicou a conformidade total à Autoridade de Proteção de Dados (DPA)
A Optimizely está pronta para lidar com a regulamentação de privacidade eletrônica?
O ePrivacy Regulation (ePR) é uma futura lei de privacidade para transformar as regras sobre consentimento de cookies, marketing direto e comunicações business-to-business (B2B). Ao contrário do GDPR, ele regulará até os dados não pessoais nas comunicações eletrônicas.
À medida que as empresas lidam com o GDPR, é interessante ver se elas estão prontas para essa nova regulamentação. Para determinar se o Optimizely está equipado para lidar com ePrivacy, primeiro precisamos avaliar os dados que ele coleta.
Dados do visitante
O Optimizely rastreia as visitas a um site e coleta informações sobre o comportamento do usuário. Essas informações agregadas são conhecidas como “dados do visitante” e incluem:
- Dados do agente do usuário: dados baseados nas propriedades de um dispositivo, incluindo detalhes sobre o tipo de navegador da Web e os sistemas operacionais usados pelos visitantes.
- Endereço da Web: Informações sobre a localização de uma página da Web.
- Dados do evento: registra o comportamento do usuário e examina se um visitante clicou em um botão em um site ou executou uma ação semelhante. Isso também pode incluir atributos personalizados e tags de evento.
- Timestamp: A data e hora em que um evento ocorre.
- ID do usuário final (ou ID do visitante): um número de identificação (ID) gerado aleatoriamente atribuído a um visitante por projeto. Isso corresponde ao cookie optimizelyEndUserId para experimentação e personalização.
- IDs de experiência e variação: determine para onde o visitante se concentra ao visitar um site.
- Dados geográficos externos: elementos associados ao endereço IP de um visitante, incluindo país, cidade, região e assim por diante.
A Optimizely organiza seus serviços para que seus clientes possam especificar as categorias de dados que desejam compartilhar e receber. Essas categorias não revelam necessariamente a identidade do usuário. No entanto, se os URLs que o Optimizely coleta contiverem informações de identificação pessoal (PII), como nome ou número de telefone, ou se vincular a páginas que contenham PII, ela também poderá coletar essas informações.
Como uma plataforma aberta, o Optimizely fornece dados adicionais de visitantes, como atributos de compradores repetidos. Ele coleta dados com base em recursos e configurações específicos, como:
- Perfis Dinâmicos de Clientes (DCP)
- Listar atributos
- Públicos-alvo adaptáveis
- Sinalizadores de recursos
- Integrações
Para minimizar a quantidade de dados pessoais que coleta, a Optimizely proíbe os visitantes de fornecer informações pessoais ou confidenciais adicionais, como informações de saúde.
Dados do usuário do produto
O Optimizely coleta algumas informações básicas, como nome de usuário, nome, e-mail profissional, contato profissional, cargo e assim por diante, quando os usuários criam uma conta ou se inscrevem em seu webinar ou boletim informativo. Isso é chamado de Dados do usuário do produto e é detalhado da seguinte forma:
- Ao se registrar e criar uma conta: Optimizelyvisitors podem ler descrições de produtos e serviços sem divulgar nenhuma informação de identificação pessoal. No entanto, você precisa criar uma conta e configurar um perfil para realizar transações com o Optimizely e se tornar um cliente. Ao se inscrever, ele pede seu nome, o nome da sua organização, seu endereço e seu endereço de e-mail. Também requer que você selecione uma senha. Uma vez registrado, você pode atualizar seu perfil e fornecer mais informações, como um apelido e determinadas preferências do usuário.
- Ao se registrar em um webinar ou solicitar um boletim informativo: Visitantes e clientes podem se inscrever em um webinar da Optimizely ou solicitar um boletim informativo. O Optimizely armazena apenas endereços de e-mail para referência.
O ePrivacy restringe a coleta de dados PII e, como o Optimizely permite que os usuários passem esses dados para URLs por meio de dados de visitantes, ele não é realmente compatível com ePrivacy. Em vez disso, ainda há um longo caminho a percorrer na preparação para muitos regulamentos futuros.
A Optimizely é uma boa escolha para marcas preocupadas com a privacidade na UE?
Como mencionado anteriormente, o Regulamento ePrivacy ainda não é uma lei de proteção de dados. No entanto, uma vez aprovado, será adotado no prazo de 20 dias após a sua publicação no Jornal Oficial da UE, seguido de um período de carência de dois anos antes da aplicação.
Portanto, ao contrário do que a maioria das empresas pensa, o Regulamento de Privacidade Eletrônica complementará, não substituirá o GDPR, quando entrar em vigor.
Portanto, até a data efetiva, todas as marcas preocupadas com a privacidade na UE e em todo o mundo podem usar o Optimizely. No entanto, o Optimizely precisa se esforçar e fazer algumas alterações coerentes nos dados que coleta para permanecer relevante e adequado para empresas com altos padrões de privacidade.
Qual fornecedor de ferramentas de teste A/B tem o melhor histórico quando se trata de respeitar a privacidade do usuário? Veja como o Optimizely se compara ao Convert Experiences, VWO e AB Tasty.
Conformidade otimizada com HIPAA
Os provedores de assistência médica lutam para fornecer conteúdo personalizado em plataformas digitais devido aos riscos de segurança de dados associados às informações de assistência médica. A Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) tira a pressão das empresas de saúde e fornece algumas orientações muito necessárias.
Ele protege informações de saúde protegidas (PHI), como nome, endereço, detalhes de contato e muito mais divulgadas a um provedor de serviços terceirizado.
O Optimizely é compatível com HIPAA?
Para estar em conformidade com a HIPAA, todos os fornecedores terceirizados e prestadores de serviços de saúde devem firmar um Contrato de Associado de Negócios (BAA), um contrato escrito projetado para proteger dados confidenciais de saúde.
O Optimizely precisa ser compatível com HIPAA?
O fato de o Optimizely exigir conformidade com HIPAA depende do tipo de dados que ele coleta e usa. Essencialmente, o Optimizely não é compatível com HIPAA e declara especificamente a não conformidade em seu Contrato de Termos de Serviço.
Não conformidade com HIPAA . O Cliente reconhece que a Optimizely não é um Associado de Negócios ou subcontratado (como esses termos são definidos na HIPAA) e que o Serviço da Optimizely não é compatível com a HIPAA. “HIPAA” significa a Lei de Portabilidade e Responsabilidade de Seguros de Saúde e alterações e regulamentos relacionados, conforme atualizados ou substituídos. “Dados regulamentados” incluem dados regulamentados pela HIPAA e dados cobertos pela Lei Gramm-Leach-Bliley (ou regras ou regulamentos relacionados) atualizados ou substituídos.
Como o Optimizely compensa a não conformidade com a HIPAA?
As recomendações de conteúdo da Optimizely abordam as preocupações de segurança de dados e compensam a não conformidade com a HIPAA das seguintes maneiras:
- Armazenando PHI: Sua personalização na sessão não requer PHI para personalizar o conteúdo.
- Personalização cruzada: a personalização é interrompida quando uma sessão expira.
- Inteligência de conteúdo do Episerver: fornece dados de intenção primários em cada visita ao site para que você possa dimensionar o impacto do seu envolvimento.
- Personalização de dimensionamento : as regras não podem acompanhar o cenário em constante mudança do paciente e os avanços médicos. O Optimizely usa algoritmos de aprendizado de máquina (ML) para decidir quem recebe qual conteúdo sem sobrecarregar sua equipe com infinitas regras "se/senão".
O Optimizely-Episerver Content Recommendations vem em socorro e fornece uma solução eficaz para personalização cruzada e assistência médica dinâmica.
Os visitantes podem optar por não participar do Optimizely Tracking?
Os visitantes podem desativar facilmente o rastreamento do Optimizely por meio da chamada da API do Optimizely.
O que significa optar por sair?
- O usuário não será incluído em um experimento
- Eles não verão nenhuma alteração de variação
- O Project JS não será executado na página
- O usuário não será rastreado
- Eles permanecerão desativados (ou seja, todos os pontos acima se aplicam) sempre que o Optimizely for executado
Usando o Optimizely Web sem um gerenciador de tags
Se você não usa um Gerenciador de tags em seu site, pode instruir o Optimizely a não rastrear um visitante do site definindo um cookie chamado optimizelyOptOut como “true”. O Optimizely verifica esse cookie antes de executar o conteúdo do snippet JavaScript. É melhor usar a API optOut com suporte oficial em vez de definir o cookie diretamente.
Você precisa adicionar o código acima do snippet do Optimizely em sua página. Caso contrário, o snippet de Javascript é executado e define os cookies de rastreamento e itens de armazenamento de seus visitantes.
Vamos ver como usar a API optOut.
<script>
window["otimizar"] = janela["otimizar"] || [];
window["otimizar"].push({
"type": "optOut",
"isOptOut": verdadeiro
});
</script>
<script src=”https://cdn.optimizely.com/js/{project_id].js”></script>Se um visitante optar pelo rastreamento de cookies, você poderá reativar o rastreamento desse visitante reescrevendo o valor do cookie optimizelyOptOut para "false".
Por exemplo, se você exibir um banner de cookie (um elemento de sobreposição que busca o consentimento de rastreamento do visitante), poderá reescrever o valor do cookie optOut para false após obter o consentimento com o código a seguir.
window["otimizar"] = janela["otimizar"] || [];
window["otimizar"].push({
"type": "optOut",
"isOptOut": falso
});Tecnicamente, vincule essa API à lógica que é executada quando o visitante consente no rastreamento.
Usando Optimizely Web com um Gerenciador de Tags
Usando um Gerenciador de tags, você pode usar a lógica condicional para carregar o snippet de JavaScript do Optimizely somente quando um visitante fornecer consentimento.
Como a ativação de um cookie não é necessária em todas as regiões ou para todos os cookies, o Optimizely não define o cookie optimizelyOptOut por padrão. Como proprietário do site, você é responsável por determinar se precisa definir esse cookie ou usar um dos métodos acima, quando necessário.
Se você definir optimizelyOptOut como "true" por padrão (conforme indicado acima), o snippet do Optimizely será executado "normalmente" (rastreia visitantes em seu site) somente quando a API optOut estiver definida como "false".
Com as soluções opt-in, o snippet Optimizely Javascript é ativado no recarregamento da página após um visitante aceitar, pois é desativado no carregamento inicial da página.
Full Stack otimizado
O Optimizely Full Stack não depende de cookies para experimentos, portanto, os requisitos relacionados a cookies do regulamento de privacidade eletrônica não afetarão esse recurso.
No entanto, os usuários do Full Stack na UE devem garantir que estejam em conformidade com o GDPR. Exige que as empresas tenham “interesses legítimos” para processar dados pessoais na UE.
Como controlador de dados, é responsabilidade da empresa cumprir as obrigações legais para processar o consentimento antes de incluir quaisquer dados pessoais em um experimento Optimizely Full Stack.
Para isso, você precisa declarar claramente que seus experimentos envolvem esforços próprios para melhorar a experiência do usuário e que você não compartilhará dados do usuário com terceiros (como parceiros de publicidade).
Você também deve excluir usuários de experimentos full-stack se eles retirarem o consentimento.
Como a Optimizely se compara a seus concorrentes em privacidade?
A Optimizely pode ser uma gigante da experiência digital, mas ainda precisa ficar atenta às suas alternativas, principalmente quando se trata de privacidade. Ele também tem um histórico de deixar os clientes no escuro sobre mudanças repentinas de preços. Portanto, não é de admirar que muitas empresas procurem fornecedores alternativos.
Para referência, compararemos as opções de privacidade do Optimizely com as do Convert Experiences e do VWO. Também examinamos:
- A localização do servidor de cada ferramenta
- Como eles tratam cookies de terceiros
- Acompanhamento padrão de vários domínios
- Se eles permitem que os usuários desativem o rastreamento
| Otimizar | Converter experiências | VWO | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Logon único (SSO) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Servidores baseados na UE | X | ✓ | X | ||||||||||||||||||||
| Vida útil do cookie sem PII | 6 meses | 6 meses | 100 dias | ||||||||||||||||||||
| Cookies de terceiros | ✓ | X | ✓ | ||||||||||||||||||||
| Não rastrear configuração do navegador | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Recurso de desativação | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Orientação no aplicativo de conformidade com GDPR | X | ✓ | X | ||||||||||||||||||||
| Contrato de Processamento de Dados (DPA) | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Conformidade PCI-DSS | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Conformidade de privacidade eletrônica | X | ✓ | X | ||||||||||||||||||||
| Anonimização de dados | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Acompanhamento de vários domínios permitido por padrão | ✓ | X | ✓ | ||||||||||||||||||||
| Segmentação permitida por padrão | ✓ | X | ✓ | ||||||||||||||||||||
| Direito de ser esquecido | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Notificações de violação de dados | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Designação de um Encarregado de Proteção de Dados | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Transferências de dados internacionais | UE-EUA e SuíçaEUA Estruturas do Escudo de Privacidade | UE-EUA e SuíçaEUA Estruturas do Escudo de Privacidade | UE-EUA e SuíçaEUA Estruturas do Escudo de Privacidade | ||||||||||||||||||||
| Proteção de dados por design e padrão | ✓ | ✓ | ✓ | ||||||||||||||||||||
| Dados pessoais confidenciais | X | X | X |
Quais mudanças o Optimizely fez na privacidade após a aquisição do Episerver?
Em setembro de 2020, a Episerver anunciou a aquisição da Optimizely. Um ano depois, o Episerver se reintroduziu como Optimizely para aumentar o reconhecimento da marca.
A aquisição e rebranding da Optimizely criaram oportunidades para os clientes Episerver e Optimizely, pois a necessidade de funcionalidades de personalização e comércio se tornou mais evidente.
Em termos de privacidade, a Optimizely cresceu significativamente desde a aquisição.
- O Episerver respeita a privacidade por design e padrão. Ele lança novas políticas toda semana para garantir que permaneça em conformidade com o GDPR e outras leis de privacidade aplicáveis.
- Ele hospeda reuniões anuais, treinamentos, seminários, webinars e séries educacionais sobre proteção de dados, segurança, privacidade e informações pessoais.
- A Episerver também atualizou o Data Processing Agreement (DPA) da Optimizely para que todos os novos fornecedores aplicáveis assinem e garantam a conformidade com os regulamentos de privacidade e proteção de dados.
- A Episerver aprimorou a declaração de privacidade e a política da Optimizely para acesso de titulares de dados e solicitações de exclusão sob o GDPR e a Lei de Privacidade do Consumidor da Califórnia (CCPA), oferecendo direitos de acesso e exclusão para residentes da UE e da Califórnia. Agora tem um modelo claro para obter consentimento e remover informações quando necessário.
- A equipe de resposta a incidentes de segurança (SIRT) do Episerver pode lidar com possíveis incidentes de segurança ou privacidade. Ele categoriza todos os incidentes de segurança como de alta prioridade (P1) e os encaminha para a equipe dedicada.
- A Episerver lançou o Episerver Trust Center, destacando controles unificados de segurança, conformidade e privacidade para proteger os dados dos clientes.
O Episerver reformulou o Optimizely, elevando o nível de conformidade com GDPR e práticas de privacidade para fornecer uma base legal sólida.
A Episerver tornou a conformidade com o GDPR uma prioridade diária no desenvolvimento de produtos e serviços gerenciados globalmente.
Peter Yeung, vice-presidente, conselheiro geral e diretor de proteção de dados global, Episerver
Peter acrescentou ainda que a Episerver tem um longo histórico de pioneirismo em indústrias e países altamente regulamentados, resultando em soluções projetadas com a conformidade em mente. Ele combina anos de ampla experiência e conhecimento em infraestrutura de nuvem com um profundo compromisso com a proteção de dados, segurança e conformidade.
Preparando-se para os Desafios Futuros
A Optimizely fez grandes esforços para cumprir o GDPR, CCPA, a Lei Geral de Proteção de Dados Pessoais (LGPD) e outras leis de privacidade aplicáveis.
Pode ter intensificado para garantir a privacidade e a segurança dos dados após sua aquisição, mas dificilmente está considerando o próximo Regulamento de privacidade eletrônica. O Optimizely precisa subir de nível para experimentação e coleta de dados.
Os dados impulsionam tudo, desde o desenvolvimento de uma hipótese de teste até a entrega de uma experiência de usuário mais personalizada e o rastreamento da eficácia de um teste. Isso significa que as equipes de experimentação devem priorizar a privacidade dos dados.
O GDPR lida apenas com dados gerais (pessoais), enquanto o ePrivacy pretende complementar o GDPR, abrangendo e auditando amplamente a privacidade dos dados. O Regulamento ePrivacy abrange o marketing, uma lista completa de tecnologias de rastreamento (incluindo, mas não se limitando a cookies) e visa combater a criação de perfis e a publicidade comportamental com transparência e consentimento afirmativo.
Desde que o Optimizely não leve em conta a ePrivacy, está faltando uma peça essencial do quebra-cabeça. E mesmo que comece hoje, colocar essa peça no lugar não será fácil.
