O que está acontecendo com GDPR e ePR? Onde o CookiePro se encaixa?

(Este é um artigo patrocinado.) A privacidade é um problema na web? De acordo com este artigo do ConsumerMan da NBC News há alguns anos, é:

A Internet tornou-se uma séria ameaça à nossa privacidade.
— Jeff Chester do Centro para Democracia Digital

Seu perfil online está sendo vendido na web. É meio louco e não é inofensivo.
— Sharon Goott Nissim do Centro de Informações sobre Privacidade Eletrônica

Não há limites para os tipos de informações que podem ser coletadas, por quanto tempo podem ser retidas, com quem podem ser compartilhadas ou como podem ser usadas.
— Susan Grant da Federação do Consumidor da América

Embora se tenha falado em introduzir um programa “Do Not Track” na legislação dos EUA, a UE é a primeira a realmente tomar medidas para tornar a Internet um lugar mais seguro para os consumidores.

Em 25 de maio de 2018, foi promulgado o Regulamento Geral de Proteção de Dados (GDPR). Em breve será o Regulamento de Privacidade Eletrônica (ePR).

Com essas iniciativas responsabilizando as empresas pelas informações que rastreiam e usam online, os desenvolvedores da Web precisam adicionar outra coisa à sua lista de requisitos ao criar um site:

A proteção da privacidade do usuário.

Neste post, veremos:

• Onde estamos atualmente com o GDPR,
• Que mudanças vimos na Web como resultado,
• O que está por vir com o ePR,
• E dê uma olhada na ferramenta CookiePro Cookie Consent que ajuda os desenvolvedores da web a tornar seus sites compatíveis agora .

GDPR: Onde estamos agora?

Com o aniversário de um ano do GDPR, agora é um ótimo momento para falar sobre o que a legislação atualizada fez pela privacidade online.

Resumo do GDPR

Não é como se a UE não tivesse diretivas de privacidade antes. Como Heather Burns explicou em um artigo da Smashing Magazine no ano passado:

Todos os princípios existentes da Diretiva original permanecem conosco sob o GDPR. O que o GDPR adiciona são novas definições e requisitos para refletir mudanças na tecnologia que simplesmente não existiam na era discada. Também reforça os requisitos de transparência, divulgação e processo: lições aprendidas em 23 anos de experiência.

Uma outra mudança importante que vem com a mudança da diretiva de privacidade anterior para este regulamento de privacidade é que agora ela é implementada de forma consistente em todos os estados da UE. Isso torna mais fácil para as empresas implementar políticas de privacidade digital e para os órgãos governamentais aplicá-las, já que não há mais dúvidas sobre o que um país fez com a implementação da lei. É o mesmo para todos.

Além disso, há diretrizes mais claras para desenvolvedores web responsáveis ​​por implementar uma solução de privacidade e aviso nos sites de seus clientes.

O GDPR levou a mudanças na forma como os sites lidam com dados?

Parece que muitas empresas estão lutando para ficar em conformidade com o GDPR, com base em um teste feito pela Talend no verão de 2018. Eles enviaram solicitações de dados para mais de cem empresas para ver quais forneceriam as informações solicitadas, de acordo com o novo GDPR diretrizes.

Aqui está o que eles encontraram:

• Apenas 35% das empresas sediadas na UE cumpriram os pedidos, enquanto 50% fora da UE o fizeram.
• Apenas 24% das empresas de varejo responderam (o que é alarmante considerando o tipo de dados que coletam dos consumidores).
• As empresas financeiras pareciam ser as mais complacentes; ainda assim, apenas 50% responderam.
• 65% das empresas levaram mais de 10 dias para responder, sendo o tempo médio de resposta de 21 dias.

O que Talend sugere, então, é que os serviços digitais (por exemplo, SaaS, aplicativos móveis, e-commerce) são mais propensos a se alinharem com a conformidade com o GDPR. São as outras empresas – aquelas que não começaram como empresas digitais ou que possuem sistemas legados mais antigos – que estão lutando para embarcar.

Independentemente de quais ações foram tomadas pelas empresas, elas sabem que devem fazê-lo.

Um relatório de 2018 publicado por McDermott Will & Emery e Ponemon Institute mostrou que, apesar da incapacidade das empresas de cumprir a conformidade, elas estavam com medo do que aconteceria se não fossem:

Aqueles que disseram temer repercussões financeiras estavam certos em fazê-lo. O GDPR avalia as multas com base na gravidade da infração:

• As infrações de nível inferior resultam em multas de até € 10 milhões ou 2% da receita obtida no ano fiscal anterior.
• As infrações de nível superior resultam em multas de até € 20 milhões ou 4%.

Alguns casos de multas de alto perfil já apareceram nos noticiários também.

O Google recebeu uma multa de € 50 milhões por cometer várias violações.

Principalmente, o problema com o Google é que ele enterra suas políticas de privacidade e consentimento tão profundamente que a maioria dos consumidores nunca o encontra. Além disso, muitas de suas políticas de privacidade são ambíguas ou pouco claras, o que leva os usuários a “Aceitar” sem realmente entender o que estão aceitando.

O Facebook é outra empresa que não deveríamos nos surpreender ao ver na mira do GDPR.

Sua penalidade foi de apenas £ 500.000. Isso porque a multa foi avaliada por queixas emitidas entre 2007 e 2014 – antes da entrada em vigor do GDPR. Será interessante ver se o Facebook muda suas políticas de privacidade à luz da quantia muito maior de dinheiro que eles devem quando ocorrer outra violação inevitável.

Não são apenas as multas monetárias que as empresas devem ficar nervosas quando não cumprem o GDPR.

“

Stephen Eckersley, do Gabinete do Comissário de Informação do Reino Unido, disse que, depois que o GDPR entrou em vigor, a quantidade de relatórios de violação de dados aumentou exponencialmente.

Em junho de 2018, houve 1.700 denúncias de empresas em violação ao GDPR. Agora, a média é de cerca de 400 por mês. Mesmo assim, Eckersley estima que haverá o dobro de relatórios em 2019 do que em anos anteriores (36.000 vs. 18.000).

Assim, não são apenas os órgãos de governo dispostos a penalizar as empresas pelo descumprimento. Parece que os consumidores estão fartos o suficiente (e capacitados!) para relatar mais dessas violações agora.

Vamos falar sobre ePR por um segundo

O Regulamento de ePrivacy ainda não se tornou lei, mas espera-se que em breve. Isso porque o GDPR e o ePR foram elaborados para trabalhar juntos na atualização da antiga Diretiva de Proteção de Dados.

O ePR é uma atualização do Artigo 7 da Carta dos Direitos Humanos da UE. O GDPR é uma atualização do Artigo 8.

Embora sejam definidos separadamente, é melhor pensar no ePR como um aprimoramento do GDPR. Portanto, não apenas as empresas precisam tomar cuidado com os dados coletados de indivíduos, mas o ePR diz que também precisam ter cuidado com a proteção da identidade dos indivíduos.

Assim, quando o ePR for lançado, todas as comunicações digitais entre empresas e consumidores estarão protegidas. Isso inclui:

• Bate-papos do Skype
• mensagens do Facebook
• Chamadas VoIP
• Marketing de email
• Notificações via push
• E mais.

Se um consumidor não deu permissão expressa para uma empresa entrar em contato com ele, o ePR o proibirá de fazê-lo. De fato, o ePR dará um passo adiante e dará mais controle aos consumidores quando se trata de gerenciamento de cookies.

Em vez de exibir um aviso de consentimento pop-up que pergunta “Tudo bem se usarmos cookies para armazenar seus dados?”, os consumidores decidirão o que acontece por meio das configurações do navegador.

No entanto, ainda não chegamos a esse ponto , o que significa que é seu trabalho colocar esse aviso em seu site e garantir que você seja responsável pela forma como os dados são coletados, armazenados e usados.

O que os desenvolvedores da Web precisam fazer para proteger a privacidade do visitante

Faça uma busca por "Como evitar ser rastreado online":

Existem mais de 57 milhões de páginas que aparecem nos resultados de pesquisa do Google. Faça pesquisas de palavras-chave semelhantes e você também encontrará páginas infinitas e envios de fóruns onde os consumidores expressam sérias preocupações sobre as informações coletadas sobre eles on-line, querendo saber como “parar os cookies”.

Claramente, este é um assunto que mantém os consumidores acordados à noite.

O GDPR deve ser sua motivação para ir além e deixar suas mentes à vontade.

Embora você provavelmente não tenha uma mão no gerenciamento de dados real ou no uso de dados dentro da empresa, você pode pelo menos ajudar seus clientes a colocar seus sites em ordem. E, se você já fez isso quando o GDPR foi promulgado inicialmente, agora seria um bom momento para revisitar o que você fez e garantir que seus sites ainda estejam em conformidade.

Apenas certifique-se de que seu cliente esteja lidando com segurança com os dados do visitante e protegendo sua privacidade antes de fornecer qualquer tipo de declaração de consentimento de privacidade. Essas declarações e sua aceitação delas são inúteis se a empresa não estiver realmente cumprindo sua promessa.

Depois que essa parte da peça de conformidade estiver em vigor, veja o que você precisa fazer sobre os cookies:

1. Entenda como funcionam os cookies

Os sites permitem que as empresas coletem muitos dados dos visitantes. Os formulários de contato coletam informações sobre leads. Os gateways de comércio eletrônico aceitam métodos de pagamento. E depois há biscoitos:

Cookies são pedaços de dados, normalmente armazenados em arquivos de texto, que os sites colocam nos computadores dos visitantes para armazenar uma série de informações, geralmente específicas para aquele visitante – ou melhor, o dispositivo que eles estão usando para visualizar o site – como o navegador ou o celular .

Há alguns que coletam detalhes básicos que são necessários para proporcionar aos visitantes a melhor experiência. Como preservar uma sessão conectada à medida que os visitantes passam de uma página para outra. Ou não exibir um pop-up depois que um visitante o descartou em uma visita recente.

Existem outros cookies, geralmente de serviços de rastreamento de terceiros, que se aprofundam. Estes são os que rastreiam e depois segmentam os visitantes para fins de marketing e publicidade.

Independentemente de onde os cookies vêm ou para que finalidade eles servem, o fato é que os consumidores estão sendo rastreados. E, até recentemente, os sites não precisavam informá-los quando isso acontecia ou quanto de seus dados eram armazenados.

2. Não use cookies irrelevantes

Não há como contornar o uso de cookies. Sem eles, você não teria acesso a análises que informam quem está visitando seu site, de onde eles vêm e o que estão fazendo enquanto estão lá. Você também não poderá exibir conteúdo personalizado ou notificações para manter a experiência deles com o site atualizada.

Dito isto, você sabe quais tipos de cookies seu site usa agora?

Antes de implementar seu próprio aviso de consentimento de cookies para os visitantes, certifique-se de entender exatamente o que está coletando deles.

Acesse o site do CookiePro e execute uma varredura gratuita no site do seu cliente:

Depois de inserir seu URL e iniciar a verificação, você será solicitado a fornecer apenas alguns detalhes sobre você e a empresa. A verificação será iniciada e você receberá um aviso informando que receberá seu relatório gratuito em 24 horas.

Apenas para dar uma ideia do que você pode ver, aqui estão os resultados do relatório que recebi:

Como você pode ver, CookiePro faz mais do que apenas me dizer quantos ou quais cookies meu site possui. Também inclui formulários que coletam dados de visitantes, bem como tags.

Certifique-se de revisar seu relatório com cuidado. Se você está rastreando dados que são completamente desnecessários e injustificados para um site dessa natureza obter, isso precisa mudar o mais rápido possível. Por que colocar os negócios de seus clientes em risco e comprometer a confiança do visitante se você estiver coletando dados que não têm motivos para estar em suas mãos?

Observação: se você se inscrever para uma conta no CookiePro, poderá executar sua própria auditoria de cookies na ferramenta (que faz parte da próxima etapa).

3. Fornecer transparência sobre o uso de cookies

O GDPR não está tentando desencorajar as empresas de usar cookies em seus sites ou outros canais de marketing. O que está fazendo, em vez disso, é encorajá-los a serem transparentes sobre o que está acontecendo com os dados e, em seguida, serem responsáveis ​​com eles quando os tiverem.

Então, uma vez que você saiba que tipo de cookies você está usando e os dados que você está manipulando, é hora de informar seus visitantes sobre esse uso de cookies.

Lembre-se de que isso não deve ser servido apenas aos visitantes da UE. Embora esses sejam os únicos protegidos pelo regulamento, o que poderia prejudicar informar a todos que seus dados e identidade estão protegidos quando estão em seu site? O resto do mundo seguirá (espero), então por que não ser proativo e obter o consentimento de todos agora?

Para fornecer transparência, um simples aviso de entrada é tudo o que você precisa para exibir aos visitantes.

Por exemplo, aqui está um de Debenhams:

Como você pode ver, não é tão simples quanto pedir aos visitantes para “Aceitar” ou “Rejeitar” cookies. Eles também têm a opção de gerenciá-los.

Para adicionar seu próprio banner de entrada de cookies e opções avançadas, use a ferramenta de consentimento de cookies do CookiePro.

A inscrição é fácil - se você começar com o plano gratuito, leva apenas alguns segundos para se inscrever. Dentro de uma hora, você receberá suas credenciais de login para começar.

Antes de criar seu banner de consentimento de cookies, você deve adicionar seu site à ferramenta e executar uma verificação nele. (Você pode já ter concluído isso na etapa anterior).

Quando a verificação estiver concluída, você poderá começar a criar seu banner de cookies:

Ao publicar um banner de consentimento de cookies em seu site, você está dando o primeiro grande passo para garantir que os visitantes saibam que seus dados e identidade estão sendo protegidos.

4. Faça com que seu formulário de consentimento de cookies se destaque

Não pare de simplesmente adicionar um banner de cookie ao seu site. Como Vitaly Friedman explicou:

Em nossa pesquisa, a grande maioria dos usuários fornece consentimento de boa vontade sem ler o aviso de cookies. A razão é óbvia e compreensível: muitos clientes esperam que um site 'provavelmente não funcione ou o conteúdo não seja acessível de outra forma'. Claro, isso não é necessariamente verdade, mas os usuários não podem ter certeza, a menos que experimentem. Na realidade, porém, ninguém quer jogar pingue-pongue com o aviso de consentimento do cookie e, portanto, eles clicam no consentimento escolhendo a opção mais óbvia: 'OK'.

Embora o ePR acabará nos livrando desse problema, você pode fazer algo a respeito agora – e isso é projetar seu formulário de consentimento de cookies para se destacar.

Uma palavra de cautela : tenha cuidado ao usar pop-ups em um site móvel. Embora os formulários de consentimento sejam uma das exceções à penalidade do Google contra pop-ups de entrada, você ainda não quer comprometer a experiência do visitante para estar em conformidade com o GDPR.

Como tal, pode ser melhor usar um banner de cookie na parte superior ou inferior do site e, em seguida, projetá-lo realmente se destaca.

O que é bom no CookiePro é que você pode personalizar tudo, então é realmente seu para fazer o que quiser. Por exemplo, aqui está um que eu projetei:

Você pode mudar:

• Cor do texto
• Cor do botao
• Cor de fundo.

Você pode escrever sua própria cópia para cada elemento:

• Cabeçalho
• Mensagem
• Nota sobre a política de cookies
• Configurações de política de cookies
• botão Aceitar.

E você decide como o banner funcionará se ou quando os visitantes se envolverem com ele.

5. Eduque os visitantes sobre cookies

Além de dar ao seu banner de consentimento de cookies uma aparência única, use-o como uma ferramenta para educar os visitantes sobre o que são cookies e por que você os está usando. É para isso que serve a área de Configurações de Cookies.

Com o Cookie Consent, você pode informar os visitantes sobre os diferentes tipos de cookies que são usados ​​no site. Eles então têm a opção de ativar ou desativar diferentes com base em seu nível de conforto.

É por isso que o CookiePro cuida da verificação de cookies para você. Dessa forma, você sabe quais tipos de cookies você realmente tem. Tudo o que você precisa fazer é acessar sua Lista de Cookies e escolher quais descrições deseja exibir aos visitantes:

Apenas certifique-se de explicar a importância dos cookies mais básicos (“estritamente necessários” e “desempenho) e por que você recomenda que eles os deixem ativados. O resto você pode fornecer explicações na esperança de que a resposta seja: "Ok, sim, eu definitivamente gostaria de uma experiência personalizada neste site". Caso contrário, a escolha é deles para ativar/desativar quais tipos de cookies eles desejam que sejam exibidos. E a ferramenta Cookie Consent pode ajudar.

Em outras palavras, uma barra de consentimento de cookies não é uma tentativa superficial de obter consentimento. Você está tentando ajudá-los a entender o que os cookies fazem e dar a eles o poder de influenciar sua experiência no site.

Empacotando

Há muito a agradecer com a Internet. Ele fecha as lacunas geográficas. Apresenta novas oportunidades para fazer negócios. Ele permite que os consumidores comprem praticamente tudo o que quiserem com apenas alguns cliques.

Mas à medida que a Internet amadurece, as formas como construímos e usamos sites se tornam mais complexas. E não apenas complexo, mas arriscado também.

O GDPR e o ePR estão chegando há muito tempo. À medida que os sites coletam mais dados sobre os consumidores que podem ser usados ​​por terceiros ou para segui-los para outros sites, os desenvolvedores da Web precisam ter um papel mais ativo no cumprimento das novas regulamentações, além de deixar os visitantes à vontade. Começando com um banner de consentimento de cookies.