Consimțământ vs. interes legitim: pe ce ar trebui să alegi pentru marketing?

Articolul 6 din GDPR vă permite să procesați datele cu caracter personal ale utilizatorilor dvs. în baza a șase baze legale, inclusiv consimțământul și interesele legitime:

Articolul 6(1)(a) din GDPR – Consimțământul ca bază legală pentru prelucrarea datelor: persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale personale pentru unul sau mai multe scopuri specifice;

Articolul 6 alineatul (1) litera (f) din GDPR – Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de un terț, cu excepția cazului în care aceste interese sunt supuse intereselor sau drepturilor și libertăților fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, în special în cazul în care persoana vizată este un copil.

Aceste două sunt, de asemenea, cele mai discutate baze legale pentru prelucrarea datelor cu caracter personal în scopuri de marketing.

Dintre acestea, baza consimțământului funcționează destul de simplă... deoarece utilizatorul și-a „consimțit” procesării datelor dumneavoastră.

Problema, totuși, cu consimțământul este că nu este întotdeauna potrivit pentru procesul de marketing.

Ceea ce îi lasă pe marketeri cu prevederea Intereselor Legitime.

În față, interesele legitime arată ca un termen general care poate permite o mulțime de prelucrare a datelor cu caracter personal. Dar utilizarea intereselor legitime ca bază legală necesită o analiză atentă, deoarece acestea pot fi considerate drept bază legală pentru prelucrarea datelor DACĂ prelucrarea datelor este de fapt NECESARĂ.

Alegerea între consimțământ și interese legitime în scopuri de marketing

Prelucrarea datelor cu caracter personal folosind consimțământul ca bază legală este considerată destul de sigură, deoarece consimțământul este „standardul de aur”.

Este, de asemenea, un teren mult mai puternic pentru prelucrarea datelor decât temeiul Intereselor Legitime, deoarece nu este ambiguu. L-ați întrebat pe utilizator și acesta a spus „Da!”.

Dar obținerea consimțământului de fiecare dată când doriți să procesați un anumit tip de date cu caracter personal înseamnă să determinați utilizatorii să se înscrie pentru o serie de formulare de consimțământ diferite.

GDPR, de fapt, oferă câteva directive foarte clare și stricte cu privire la modul în care puteți solicita consimțământul în mod legitim:

[…] o indicație de consimțământ trebuie să fie neechivocă și să implice o acțiune afirmativă clară (o opt-in). Interzice în mod specific casetele de înscriere pre-bifate. De asemenea, necesită opțiuni de consimțământ distincte („granulare”) pentru operațiuni de prelucrare distincte. Consimțământul ar trebui să fie separat de alți termeni și condiții și, în general, nu ar trebui să fie o condiție prealabilă pentru înscrierea la un serviciu.

Baza legală a intereselor legitime, pe de altă parte, este destul de flexibilă.

În primul rând, GDPR permite agenților de marketing să justifice cazul prelucrării datelor cu caracter personal în scopuri de marketing direct în temeiul intereselor legitime:

… Prelucrarea datelor cu caracter personal în scopuri de marketing direct poate fi considerată ca fiind efectuată pentru un interes legitim.

În plus, ICO (Information Commissioner's Office, o autoritate independentă din Regatul Unit care ghidează companiile cu privire la modul de aplicare a legilor privind confidențialitatea datelor din Regatul Unit, cum ar fi GDPR) explică modul în care un astfel de interes legitim în marketing (cum ar fi cel pentru „creșterea vânzărilor”) poate a face un scop real pentru prelucrarea datelor:

[Avem un interes legitim în comercializarea produselor noastre către clienții existenți pentru a crește vânzările.

ICO explică, de asemenea, cum interesele legitime pot fi cea mai potrivită bază în mai multe cazuri, cum ar fi atunci când:

• prelucrarea nu este cerută de lege, dar este într-un avantaj clar pentru dumneavoastră sau pentru alții;
• există un impact limitat asupra confidențialității asupra individului;
• persoana ar trebui să se aștepte în mod rezonabil să-și folosești datele în acest fel; și
• nu puteți sau nu doriți să îi acordați individului control inițial complet (adică consimțământul) sau să îl deranjați cu cereri de consimțământ perturbatoare atunci când este puțin probabil să se opună procesării.

Pentru fiecare nevoie (sau scop) de marketing la îndemână, un agent de marketing trebuie să decidă cu atenție diferitele baze legale de utilizat (dintre cele șase baze legale în baza cărora GDPR permite prelucrarea datelor). Dintre acestea șase, consimțământul și interesele legitime sunt cele două baze legale care sunt adesea folosite pentru personalizarea site-ului web pentru vizitatorii generali (sau neconectați). (Acest articol se concentrează asupra modului în care puteți utiliza baza legală a intereselor legitime pentru personalizarea experiențelor dvs. pe site.)

În general, includerea unui caz în temeiul prevederii privind interesele legitime necesită multă gândire. Pentru a face acest lucru oarecum ușor, ICO a conceput un test din trei părți pentru a vă ajuta să identificați dacă scopul pe care îl aveți la îndemână are într-adevăr calitățile de a fi o bază legală conform prevederii privind interesele legitime.

Iată testul în trei părți al ICO pentru determinarea intereselor legitime conform GDPR:

1. Testul scopului – există un interes legitim în spatele prelucrării?
   Pentru a utiliza interesele legitime ca bază legală pentru prelucrarea datelor cu caracter personal, trebuie să explicați mai întâi nevoia dvs. de prelucrare a datelor cu caracter personal în cauză. Ai nevoie de un scop clar articulat în spatele dorinței de a-l procesa.
2. Test de necesitate – este necesară prelucrarea în acest scop?
   Pentru a utiliza interesele legitime ca bază legală pentru prelucrarea datelor cu caracter personal, trebuie să demonstrați că nu există nicio altă modalitate mai puțin invazivă de a vă atinge scopul și că prelucrarea dvs. este „ proporțională și direcționată în mod adecvat pentru a-și îndeplini obiectivele... ”
3. Testul de echilibrare – este interesul legitim depășit de interesele, drepturile sau libertățile individului?
   După ce cazul dvs. se califică în primele două teste, trebuie să vă asigurați că prelucrarea datelor cu caracter personal în cauză nu încalcă drepturile și libertățile persoanei ale cărei date cu caracter personal vor fi prelucrate.

Cu asta, să ne uităm acum la câteva exemple foarte comune de prelucrare a datelor cu caracter personal care ar putea intra sub incidența prevederii privind interesele legitime din GDPR.

10 Exemple de motive pentru prelucrarea datelor cu caracter personal folosind interese legitime

Înainte de a vedea exemplele reale, vă rugăm să înțelegeți că fiecare exemplu enumerat mai jos are o listă mare de avertismente. Aceste exemple sunt menite doar să vă ofere câteva sugestii de scopuri de marketing care ar putea fi explorate în temeiul prevederii privind interesele legitime.

Aici merge…

1. Prelucrarea datelor adresei IP

În funcție de câte date capturați, o adresă IP poate spune multe. De exemplu, îl puteți folosi pentru a găsi locația unui vizitator sau îl puteți folosi și pentru a afla pentru ce companie lucrează (citiți mai multe despre asta în articolul nostru ABM 101).

Interesele legitime reprezintă unul dintre temeiurile legale care pot fi utilizate pentru prelucrarea datelor despre adresa IP a unui utilizator (clasificate drept date personale). Un exemplu de scop de marketing conform prevederii privind interesele legitime care utilizează adresa IP ar putea fi oferirea de oferte localizate.

De exemplu, un magazin de comerț electronic poate promova o haină de ploaie cuiva care navighează dintr-o zonă în care este sezonul musonului. Ca alternativă, un magazin online poate folosi datele despre locația unui vizitator pentru a oferi o ofertă de livrare gratuită pe timp limitat în zona vizitatorului.

La fel, o companie B2B poate folosi compania unui vizitator (identificat din adresa lor IP) pentru a le arăta o anumită personalizare dinamică sub forma unei imagini sau conținut personalizat cu, să zicem, numele companiei sau industria.

Notă: dacă utilizați adresele IP ale vizitatorilor dvs. pentru a personaliza experiențele lor pe site, cel mai bine este să nu le stocați niciodată în baza de date dacă le-ați folosit pentru servicii meteo sau de localizare. În acest fel, aceste date nu vor reprezenta o problemă atunci când colectați mai multe puncte de date despre o persoană în același loc.

2. Prelucrarea datelor de analiză a site-ului web

Majoritatea site-urilor web colectează datele de navigare ale vizitatorilor lor în scopuri de optimizare a performanței. Acest lucru este de obicei acoperit de prevederea privind interesele legitime. În general, astfel de date nu reprezintă o problemă, deoarece sunt adesea anonimizate și majoritatea instrumentelor de analiză precum Google Analytics interzic procesarea/stocarea PII (Informații de identificare personală).

Tendințele de la o astfel de prelucrare a datelor pot fi folosite pentru a forma baza unei game largi de experiențe personalizate pe site.

De exemplu, folosind Google Analytics, puteți identifica paginile de pe site-ul dvs. în care vă pierdeți majoritatea clienților potențiali. De asemenea, puteți utiliza unele dintre opțiunile avansate de segmentare din Google Analytics pentru a identifica segmentele de public care scad. O astfel de prelucrare a datelor vă poate genera multe informații despre datele demografice și mai multe despre traficul pe care îl pierdeți.

Folosind aceste informații, puteți testa, de asemenea, oferind acestor segmente experiențe de site-uri web mai personalizate.

De exemplu, dacă un magazin de comerț electronic constată că o anumită pagină de produs are o rată ridicată de abandon, poate folosi informațiile demografice ale publicului său pentru a-și ajusta mesajele paginii de produs.

O astfel de personalizare nu este doar subtilă și semnificativă, dar și datele personale prelucrate nu par a fi intruzive.

3. Prelucrarea datelor de comunicații

Desfășurarea de comunicări de marketing personalizate prin e-mailuri sau SMS-uri necesită întotdeauna acordul explicit.

De asemenea, postați GDPR, adăugarea e-mailului unei persoane în CRM-ul dvs. și trimiterea e-mailurilor de marketing doar pentru că v-a contactat prin formularul dvs. de contact cu e-mailul lor nu este legal. Trebuie să utilizați casetele de consimțământ de sub formularul de contact care solicită în mod explicit permisiunea vizitatorului pentru a face acest lucru.

În plus, GDPR nu funcționează izolat. Și astfel, campaniile dvs. de marketing prin e-mail (sau SMS) trebuie să respecte reglementările legale relevante, cum ar fi oferirea utilizatorilor un link de dezabonare și multe altele.

Acestea fiind spuse, dacă ați obținut consimțământul pentru astfel de comunicări de la un abonat, atunci puteți personaliza experiența site-ului dvs. web pentru un astfel de abonat pe baza interacțiunii acestuia cu e-mailurile sau SMS-urile dvs. de marketing. Acest lucru ar trebui să fie acoperit în mod rezonabil de prevederea privind interesele legitime.

De exemplu, o companie de turism își poate folosi istoricul comunicațiilor cu abonații săi pentru a le afișa pagini personalizate. De exemplu, unui abonat care și-a manifestat interes (să zicem făcând clic pe un link) pentru călătoriile de lux i se poate afișa o pagină care promovează un pachet de ședere la un hotel de lux. Ca alternativă, unui călător cu buget redus i-ar putea fi afișate câteva oferte selectate la hoteluri cu buget redus.

4. Prelucrarea datelor comportamentale prin cookie-uri, web beacons etc.

Prelucrarea datelor comportamentale este foarte asemănătoare cu procesarea datelor de analiză a site-urilor web. La fel ca datele de analiză a site-urilor web, datele personale utilizate pentru a genera campanii bazate pe informații comportamentale sunt, de asemenea, anonimizate. Și GDPR este destul de flexibil cu procesarea datelor anonimizate.

Perspectivele din interacțiunea vizitatorilor cu un site web (de exemplu, paginile pe care le-au vizualizat și datele lor despre clicuri) pot fi folosite pentru a oferi experiențe de site bogate în context.

De exemplu, o companie de software la nivel de întreprindere poate urmări datele comportamentale ale vizitatorilor săi și le poate oferi experiențe mai personalizate în vizitele lor. De exemplu, unui vizitator care pare să exploreze o anumită soluție i se poate afișa pagina de încercare a aceleiași soluții sau formularul de înscriere la următoarea lor vizită pe site.

5. Prelucrarea datelor de profil

La fel ca analiza site-urilor web și prelucrarea datelor comportamentale, o companie poate folosi baza Intereselor Legitime pentru a utiliza date personale anonimizate pentru crearea profilurilor de utilizator (profilare).

De exemplu, un site web de comparare a gadgeturilor ar putea folosi datele personale anonime ale utilizatorilor săi pentru a identifica tipurile de public cheie. Apoi, poate oferi fiecăruia oferte personalizate și campanii promoționale (de exemplu, sugerând telefoane mobile de ultimă generație pentru segmentul său de audiență de ultimă generație și afișând reduceri la dispozitivele mobile cu buget redus pentru segmentul său prietenos cu bugetul).

Documentul cu privire la îndrumarea utilizării intereselor legitime nu sugerează doar o astfel de bază ca bază legală pentru prelucrarea datelor cu caracter personal în temeiul intereselor legitime, dar susține, de asemenea, o astfel de profilare a utilizatorilor folosind datele din rețelele sociale. Documentul precizează că o companie poate folosi:

… [Un] algoritm furnizat de furnizorul de rețele sociale pentru a-și direcționa mai bine publicitatea către „asemeni” – adică alte persoane care au caracteristici similare cu propriile clienți ai acelei companii. Compania încarcă datele personale minime necesare asupra clienților săi pentru a permite direcționarea pe rețelele sociale, dar îi exclude pe cei care s-au opus marketingului. Profilarea se efectuează în cadrul platformei de socializare pentru a permite direcționarea, totuși este exclusiv în scopuri de marketing și compania a evaluat că nu are ca rezultat niciun efect juridic sau semnificativ semnificativ asupra acelor persoane.

6. Prelucrarea datelor de la a doua parte și de la terți

Pe lângă datele primelor părți (adică datele pe care o companie le colectează singură - de exemplu, datele din contul său Google Analytics), destul de multe companii folosesc și date de la a doua parte și de la terți.

Aceste date – provenite de la parteneri și schimburi de date – oferă specialiștilor de marketing informații puternice despre psihografie, tehnografie și demografie ale publicului lor. De obicei, este folosit pentru a construi profiluri detaliate ale clienților. Care, la rândul lor, sunt folosite pentru a crea conținut și mesaje mai relevante și pentru a le livra segmentelor cheie din publicul general.

De exemplu, o afacere B2B poate folosi astfel de date pentru a identifica segmentele cheie din publicul său și pentru a viza fiecare segment cu recomandări de conținut personalizate.

Dacă trebuie să utilizați astfel de date din sursă, asigurați-vă că colaborați numai cu furnizorii de date și schimburile care urmează practici corecte și legale de colectare și prelucrare a datelor.

7. Procesarea datelor din istoricul achizițiilor

Un magazin de comerț electronic poate oferi vizitatorilor săi recomandări de produse personalizate pe baza istoricului lor tranzacțional.

DPN (Rețeaua de protecție a datelor, un organism cu sediul în Marea Britanie care oferă consultanță de specialitate în protecția datelor și a confidențialității) oferă o mulțime de îndrumări cu privire la utilizarea intereselor legitime. Acesta sugerează că utilizarea de către un magazin online a istoricului de achiziții al unui utilizator pentru a face recomandări de produse personalizate poate fi un temei bun pentru o bază legală a prelucrării datelor cu caracter personal:

Un comerciant cu amănuntul cu o gamă largă de produse efectuează procesare automată care se bazează pe istoricul tranzacțional al unui client, în scopul de a prezice ce alte produse și servicii ar putea fi interesat.

8. Prelucrarea datelor din istoricul contului

Procesarea datelor contului poate fi considerată echivalentul procesării datelor din istoricul achizițiilor, dar pentru o configurare B2B.

O companie B2B poate folosi datele din istoricul contului utilizatorului pentru a oferi experiențe de conținut contextual mai bogate. De exemplu, o companie B2B poate folosi datele clienților săi pentru a le oferi oferte de upgrade sau de vânzare încrucișată mai relevante și mai bune.

9. Prelucrarea datelor cookie

Există o mulțime de moduri în care datele cookie pot ajuta să ofere experiențe personalizate pe site-ul web, care sunt atât neintruzive, cât și relevante. Cele mai multe dintre tipurile de cookie-uri care pot genera experiențe eficiente nici măcar nu au nevoie de consimțământul explicit al utilizatorului, deoarece instrucțiunile de utilizare și de renunțare pot fi explicate pe paginile de confidențialitate ale unui site web.

De exemplu, un site web de afaceri poate folosi date cookie pentru a determina ce conținut să livreze unui client potențial pentru a-l muta mai departe în canalul de vânzări. Există nenumărate moduri în care datele cookie pot fi folosite chiar și în moduri favorabile confidențialității. De fapt, toate datele din exemplele de mai sus sunt în mare parte colectate și stocate în anumite forme de cookie-uri.

Pentru mai multe exemple despre prelucrarea datelor în temeiul clauzei privind interesele legitime, consultați Ghidul privind utilizarea intereselor legitime în conformitate cu Regulamentul general al UE privind protecția datelor.

Încheierea...

Alegerea oricăreia dintre cele două opțiuni — Interese legitime sau Consimțământ — în scopuri de marketing trebuie luată în considerare de la caz la caz. Deși interesele legitime pot fi (și sunt) cele mai comune motive legale pentru prelucrarea datelor cu caracter personal pentru majoritatea agenților de marketing, acestea trebuie utilizate cu grijă.

De asemenea, în timp ce prevederea intereselor legitime poate acoperi o mulțime de tactici de personalizare a site-ului web, trebuie totuși să luați Evaluarea intereselor legitime și să solicitați ajutor de la un practician legal de confidențialitate online pentru a fi dublu sigur înainte de a recurge la aceasta.

La Convert Experiences, dăm puterea specialiștilor de marketing la fel ca dvs. să ofere utilizatorilor dvs. experiențe personalizate de site-uri web sigure și prietenoase cu confidențialitatea. De asemenea, am efectuat un LIA amănunțit al tuturor datelor pe care le folosim în conformitate cu prevederile privind interesele legitime pentru a activa astfel de personalizări. Verificați aici. Și dacă doriți să oferi personalizări ale site-urilor web care să ofere confidențialitate prin design și confidențialitate în mod implicit, consultați Convert Experiences.