GDPR Deep Dive: Ce să faceți în privința cookie-urilor

Publicat: 2018-02-16
GDPR Deep Dive: Ce să faceți în privința cookie-urilor

Toate cookie-urile par să funcționeze mai mult sau mai puțin la fel. Fișier web mic, stocat de un utilizator, urmărește activitatea etc. etc.

Dar unele sunt mai „private” decât altele.

Și acum, mai mult ca niciodată, asta va face diferența pentru stiva dvs. de marketing.

Drumul către conformitatea cu GDPR și ePrivacy este unul accidentat. Le cere procesatorilor dvs. de date să se bazeze pe „confidențialitate prin proiectare” și să ceară consimțământul dacă folosesc ORICE date cu caracter personal. Asta înseamnă orice identificare personală. Asta înseamnă cookie-uri, sau adrese IP sau coduri poștale.

La Convert, am vrut să ne asigurăm că nu vor fi stocate date personale în sistemele noastre și că nicio persoană nu va fi identificată prin utilizarea cookie-urilor. A fost singura modalitate de a menține echilibrul dintre creșterea afacerii, cunoștințele strategice și confidențialitatea personală a vizitatorilor site-ului.

Pentru că, te-ai întrebat vreodată ce s-ar întâmpla atunci când ai nevoie de consimțământul explicit pentru instrumentul tău de testare A/B?

Pentru ca software-ul dvs. să ruleze, fiecare utilizator de pe site-ul dvs. web trebuia să dea consimțământul pentru testarea A/B.

Cum ai explica asta clar? Persuasiv?

Și câți dintre utilizatorii tăi crezi că ar da acordul?

Furnizori de software: Dacă doriți să vă salvați afacerea, este timpul să vă reproiectați aplicațiile

UE ne-a oferit orientări clare cu privire la modul în care cookie-urile ar trebui să fie gestionate în GDPR – chiar și fără noile reglementări privind confidențialitatea electronică.

Ne dorim cu adevărat să împărtășim un mesaj clar vizitatorilor noștri web: ne pasă de confidențialitatea dvs.

Și pentru a face asta, mă aștept, va trebui să anulăm 20% din cele 72 de instrumente software pe care le folosim.

DOAR din cauza lipsei de claritate cu privire la confidențialitate. Sau lipsa caracteristicilor ajustate GDPR. Sau lipsa dorinței de a gestiona datele clienților noștri, potențialii noștri și alte relații, în mod transparent.

Considerentul 30 al GDPR precizează:

Persoanele fizice pot fi asociate cu identificatori online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adrese de protocol de internet, identificatori cookie sau alți identificatori, cum ar fi etichetele de identificare a frecvenței radio.

Acest lucru poate lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru a crea profiluri ale persoanelor fizice și a le identifica.

Deci nu vor identificatori unici . Nici măcar în cookie-uri – și cu siguranță nu date personale.

Testare A/B pre-GDPR cu Directiva ePrivacy și versiunile localizate în Europa

Legea în vigoare în prezent, Directiva ePrivacy (care urmează să fie înlocuită în curând cu noi Regulamente ePrivacy) ne ajută să înțelegem pe ce fel de cookie-uri se bazează software-ul de testare A/B. Sunt cookie-uri de performanță:

Testarea variațiilor de design, utilizând de obicei testări A/B sau multivariate, pentru a asigura menținerea unui aspect și senzație consistentă pentru utilizatorul site-ului în sesiunile curente și ulterioare. Dacă se încadrează în această descriere, sunt cookie-uri de performanță.

 Aceste cookie-uri colectează informații despre modul în care vizitatorii folosesc un site web, de exemplu ce pagini accesează vizitatorii cel mai des și dacă primesc mesaje de eroare de pe paginile web. Aceste cookie-uri nu colectează informații care identifică un vizitator. Toate informațiile colectate de aceste cookie-uri sunt agregate și, prin urmare, anonime. Este folosit doar pentru a îmbunătăți modul în care funcționează un site web.

Aceste cookie-uri nu ar trebui să fie folosite pentru a redirecționa reclamele, dacă sunt, acestea ar trebui să fie plasate în categoria cookie-urilor de direcționare și cookie-uri de publicitate conform ghidului ICC UK Cookies Ediția a doua noiembrie 2012 [PDF] .

Cookie-urile din „segmentul de performanță” colectează doar informații despre utilizarea site-ului web în beneficiul operatorului site-ului web. Se bazează pe date agregate. Ei nu „identifică în mod direct un vizitator”. Consimțământul pentru utilizarea acestor tipuri de cookie-uri poate fi obținut, de exemplu, în termenii și condițiile site-ului sau atunci când utilizatorul modifică setările site-ului.

Metoda corectă de utilizat aici va depinde de natura site-ului web și de funcția precisă a cookie-urilor implicate. Dar, în cele mai multe cazuri, putem obține consimțământul cu cuvintele: „Prin utilizarea [site-ului nostru web][serviciul online], sunteți de acord cu utilizarea acestor tipuri de cookie-uri pe dispozitivul dumneavoastră.”

Deși noua lege (Regulamentele privind confidențialitatea electronică) este diferită, directiva veche/actuală privind confidențialitatea electronică ne ajută să înțelegem unde se afla software-ul de testare A/B când cookie-urile puteau fi plasate fără consimțământul utilizatorului. Ne-am putea face munca în mod normal, atâta timp cât am oferit informații clare utilizatorului final.

Fiecare țară poate avea o descriere ușor diferită, dar, în general, Europa a fost de acord cu testarea A/B. A ajutat performanța site-ului web (dacă nu l-ați folosit pentru direcționarea comportamentală și personalizarea. Și nu ați partajat informațiile altora sau nu ați urmărit pe site).

După GDPR avem nevoie de consimțământ pentru testarea A/B?

În mod interesant, PageFair a descoperit că doar 21% dintre consumatori ar opta pentru urmărirea analizelor primare.

Aceasta ar însemna că ⅕ din traficul actual ar accepta analize dacă s-ar încadra în parametrii de consimțământ.

Deci, veți avea nevoie de consimțământ pentru instrumentul dvs. de testare A/B?

Cel mai probabil da, veți avea nevoie de consimțământ dacă software-ul dvs. de testare A/B depinde de adresa IP, identificatori unici, cum ar fi ID-urile dispozitivului, ID-ul utilizatorului, ID-ul tranzacției, ID-ul cookie sau datele pseudonim (adică: date de nerecunoscut + o cheie stocată în altă parte, pentru a le face lizibilă). din nou). Acestea, conform GDPR, sunt identificatori unici și necesită înscrieri explicite.

Deci, când trebuie să începeți cu consimțământul explicit? Când Directiva privind confidențialitatea electronică trece la reglementările privind confidențialitatea electronică?

Avertisment: cuvinte latine și termeni legali.

Regulamentul ePrivacy este „principe lex specialis derogat legi generali” sau, pe scurt, „lex specialis” la GDPR.

Într-o engleză simplă, aceasta înseamnă: dacă GDPR și ePrivacy sunt în contradicție sau GDPR stabilește un ghid care necesită specificații suplimentare - regulile stabilite în ePrivacy sunt cele pe care trebuie să le urmați.

În acest moment avem în dezbatere doar un proiect (numele 1533) al Regulamentelor privind confidențialitatea electronică. Încă trebuie să vadă feedback de la delegații membri ai UE, așa că nu reflectă exact ceea ce va deveni în curând lege.

O prognoză „optimistă”: Gabriela Zanfir-Fortuna, consilierul pentru politica de viitor a forumului de confidențialitate, spune că se așteaptă la o dată de aprobare a ePrivacy spre sfârșitul anului 2018. În ceea ce privește data implementării, chiar habar nu avem.

Mai puțin optimist, el a sugerat, de asemenea, că Regulamentul privind confidențialitatea electronică „va necesita probabil o conformitate suplimentară”. Și, Alex Propes (Directorul Biroului de Publicitate Interactivă (IAB) de Politici Publice) a spus „că organizațiile pot viza doar GDPR în acest moment”.

Daniel Felz Associate la Alston & Bird împărtășește o opinie și mai deprimantă: „Negocierile trilogului privind reglementarea ePrivacy au fost amânate înapoi în toamna anului 2018; Regulamentul final privind confidențialitatea electronică ar putea să nu fie în vigoare până în 2020.” La o conferință sponsorizată de Societatea Federală Germană pentru Protecția Datelor, o purtătoare de cuvânt a Ministerului Economic al Germaniei a afirmat că negocierile în trilog nu vor începe până în toamna lui 2018.

Aparent, statele membre ale UE încă discută o serie de întrebări deschise cu privire la aspectele legate de reglementarea ePrivacy.

Între timp, evident, actuala Directivă privind confidențialitatea electronică (Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002) rămâne în vigoare, care este o chestiune de legislație națională.

Deci asta a fost multă lege pe care mi-ai aruncat-o. Ce înseamnă pentru afacerea mea?

GDPR este clar: nu există date personale fără consimțământ. Și dacă așteptați ca ePrivacy să intre cu o lacună, este posibil să vă uitați la o așteptare lungă.

Deci, dacă software-ul dvs. de testare A/B depinde de date personale: adresa IP, identificatori unici, cum ar fi ID-urile dispozitivului, ID-ul utilizatorului, ID-ul tranzacției, ID-ul cookie sau datele pseudonime (aceasta sunt date de nerecunoscut + cheie în alt loc pentru a le face din nou citite), atunci aceasta este personală date.

Rămâne esențial să includeți date și identificatori online, cum ar fi cookie-urile și multe altele, în strategia dvs. GDPR. Indiferent de unde și cum, textul va fi adaptat prin viitoarele discuții ale delegaților.

Vechea directivă privind confidențialitatea electronică ți-a dat obligația de a pune în aplicare o notificare „cookie wall” și se concentra doar pe companiile europene.

Acum GDPR se aplică tuturor celor care se referă la datele UE, în întreaga lume. Și datele personale sunt definite pentru a include tot felul de noi identificatori.

Dar vechea directivă ePrivacy spune altceva. Se spune „pentru acest tip de date, aveți nevoie doar de o notificare și de o oportunitate de a renunța”.

Deci bine ați venit într-un vid legal.

Marea întrebare este: vei fi amendat în acea zonă gri?

Și răspunsul este: vrei să riști?

Autoritățile de confidențialitate vor avea o distracție în implementarea GDPR. Și noile legi privind confidențialitatea electronică ar putea să nu fie puse în mișcare până în 2019, sau chiar în 2020.

Deci, nu mă aștept la amenzi uriașe pe 25 mai, dacă peretele tău de bază pentru cookie-uri este încă activ.

Dar este clar că în sfârșit, legile se schimbă. Și se vor schimba în continuare — pe măsură ce ne mutăm într-o lume în care datele valorează mai mult, iar persoanele vizate cer mai mult.

Deci, să începem acum.