[Actualizado] ¿Las herramientas de grabación de sesiones son un riesgo para la privacidad en Internet? 07 de marzo de 2018

La privacidad en Internet y, más concretamente, el uso de herramientas de grabación de sesiones ha sido un debate candente en los últimos meses. Si bien los reguladores y los líderes de la industria se preocupan por cómo los especialistas en marketing utilizarán las sesiones grabadas recopiladas de estas herramientas, también existen preocupaciones sobre el impacto social y criminal de almacenar datos personales confidenciales sin que el visitante lo sepa.

La perspectiva de que dichos datos sensibles a la privacidad queden expuestos o caigan en las manos equivocadas, así como el hecho de que los visitantes a menudo no se dan cuenta de que se están almacenando en primer lugar plantea una serie de preguntas diferentes. ¿Existen riesgos legales para las empresas que utilizan herramientas de grabación de sesiones en sus sitios web? ¿Estas herramientas están actualmente en línea con las leyes de privacidad? ¿Cómo están cambiando estas leyes y cuáles serán las consecuencias para las empresas en el futuro?

En este artículo, Mopinion analiza más de cerca las herramientas de grabación de sesiones y lo que se avecina. Abordaremos qué diferencia a estas herramientas de otras herramientas de marketing en línea, como dónde sobresalen y dónde se quedan cortas. Habiendo consultado a varios expertos en privacidad, incluidos Frank Wijnans (portavoz de Piratenpartij, miembro de Pirate Parties International - PPI) y Arnoud Engelfriet (abogado de TI y privacidad), también profundizaremos en los posibles riesgos de privacidad y las consecuencias legales del uso de dichos herramientas.

¿Qué son las herramientas de grabación y reproducción de sesiones?

La grabación y reproducción de sesiones es esencialmente la capacidad de grabar, guardar y reproducir las interacciones que sus visitantes tienen en su sitio web. Una repetición de sesión valiosa es aquella que proporcionará a los especialistas en marketing en línea y a los diseñadores de UX información profunda sobre la experiencia de usuario de los visitantes del sitio web. Esto se hace registrando a los visitantes en el sitio web a medida que hacen clic, se desplazan, escriben o navegan por diferentes páginas web.


Fuente: Hotjar

Después de analizar las grabaciones de sesiones individuales e identificar los puntos débiles, los usuarios pueden optimizar su sitio web en consecuencia para aumentar las conversiones y las ventas, así como mejorar la experiencia general del usuario. Algunos ejemplos de tales herramientas incluyen Hotjar, Mouseflow e Inspectlet.

Para obtener una descripción general completa de las herramientas de grabación de visitantes y reproducción de sesiones, haga clic aquí.

Informe técnico gratuito: El futuro de los comentarios de los clientes en línea

Descubra cómo puede aprovechar el poder de los comentarios de los clientes en línea para optimizar los sitios web y las aplicaciones.

Descargar el papel

¿Cómo se comparan las herramientas de grabación de sesiones con otras herramientas de marketing en línea?

Cuando comparamos las herramientas de grabación de sesiones con otras herramientas de marketing en línea, la privacidad y la creación de perfiles son lo que realmente distingue a estas herramientas. Por ejemplo, herramientas como la publicidad en línea saben mucho sobre su comportamiento en línea y sobre usted como visitante. Un buen ejemplo de esto son los anuncios en Facebook. Sin embargo, la diferencia entre las herramientas de publicidad y las herramientas de grabación de sesiones es que el anunciante (usuario final) nunca ve datos personales o confidenciales, por ejemplo, nombres de usuario u otra información privada.



Con herramientas de marketing como el análisis web, los datos se basan en el comportamiento de los clics anónimos, lo que significa que el clic no puede revelar información confidencial sobre la persona y, en muchos casos, anonimiza las direcciones IP. La herramienta de análisis simplemente muestra que los visitantes hicieron clic en algo y mide las interacciones en línea, como sesiones en páginas web, o identifica dónde salieron los visitantes del sitio. Lo mismo ocurre con muchas otras herramientas de experiencia del usuario (UX) que rastrean el comportamiento del mouse y los clics, como el mapeo de calor y las herramientas de prueba A/B.

Otras herramientas de marketing en línea, como los comentarios de los clientes, también se diferencian de las herramientas de grabación de sesiones en que son 'iniciadas por el usuario'. Lo que esto significa es que la "suscripción" tiene lugar cuando el visitante del sitio web o el usuario de la aplicación móvil decide completar un formulario de comentarios.

Ventajas y desventajas de las herramientas de grabación de sesiones

Entonces, ¿por qué las empresas eligen trabajar con herramientas de grabación de sesiones? ¿Realmente los pros superan a los contras? La única manera de averiguarlo es mirando a ambos lados. Echemos un vistazo a continuación.

Ventajas:

• Muestra las interacciones reales de los visitantes en línea.
• Examina las sesiones de los visitantes a nivel individual.
• Revela dónde los visitantes se quedan atascados en embudos particulares (por ejemplo, el carrito de compras) o abandonan.
• Ayuda a descubrir y reproducir errores para mejorar la experiencia del usuario.
• Comprender y mejorar los procesos de onboarding. Vea específicamente dónde fallan los usuarios en los flujos de incorporación.
• Pruebe y mejore nuevas funciones o páginas. Por ejemplo, vea cómo reaccionan los visitantes a una nueva página de destino.

Contras:

• Carece de contexto. No hay explicación directamente del visitante con respecto a su actividad. Las acciones de los visitantes se dejan en manos de la empresa para que las interprete.
• Difícil de analizar un gran número de sesiones de visitantes individuales.
• Ver grabaciones individuales lleva mucho tiempo y no todas las grabaciones proporcionarán información valiosa.
• Introduce un riesgo de privacidad para los datos personales de los visitantes.

Nota: El último punto anterior puede percibirse como algo inquietante tanto para los consumidores como para las empresas que utilizan la grabación de sesiones. Esto se debe a que muchas empresas que utilizan herramientas de grabación de sesiones suelen ser las únicas responsables de proporcionar los controles necesarios para proteger los datos de sus clientes. Entonces, ¿cuáles son los riesgos involucrados?

Riesgos de privacidad del uso de herramientas de grabación de sesiones

Los visitantes en línea participan en varios procesos en línea todos los días. Desde completar formularios de contacto y consultar servicios de soporte hasta realizar pedidos en línea, sus acciones se registran en cada paso del camino. Es decir, si el sitio web tiene una herramienta de grabación de sesiones.

Un factor importante a reconocer aquí es que durante las grabaciones de sesiones, también se graban elementos como la entrada de texto y las selecciones de formularios. Aquí es donde parece residir la mayor cantidad de riesgo porque la información que se ingresa o selecciona puede contener detalles sobre el visitante que son sensibles a la privacidad, por ejemplo, datos personales sobre el visitante, datos financieros o incluso datos médicos.

Riesgos de datos médicos
Los datos médicos, por ejemplo, son cada vez más vulnerables a las filtraciones de datos. Según The Independent, los registros médicos son más valiosos para los delincuentes que los datos financieros, ya que el robo de dichos registros a menudo les da tiempo para planear lo que harán a continuación: crear avatares falsos para obtener acceso a seguros médicos o pagos, o aprovechar información personal. información contra alguien. Desafortunadamente, las víctimas de tales delitos normalmente no detectarán nada hasta que el plan ya esté en marcha.



Riesgos de datos financieros
Estas herramientas también presentan un riesgo importante en términos de filtración de datos financieros. Si los detalles financieros se ven comprometidos de alguna manera, los visitantes podrían estar sujetos a robo de identidad. Por ejemplo, los delincuentes pueden utilizar esta información para obtener préstamos, presentar declaraciones de impuestos falsas o alquilar un apartamento ilegalmente.



En un escenario fuera de línea, el equivalente cercano a las herramientas de grabación de sesiones sería tener una cámara en la habitación. Por ejemplo, durante una reunión con su asesor financiero, le proporciona detalles como su número de seguro social (o BSN), número de identificación fiscal y número de cuenta. Todo esto se grabaría en la cámara y se almacenaría para su posterior revisión.

Riesgos de datos personales
Tenga en cuenta, sin embargo, que si bien los datos médicos y financieros son sin duda los tipos de datos más vulnerables y los más estrictos en términos de políticas de la industria, existen otros elementos de la grabación de sesiones que pueden no ser deseables para los visitantes en línea.

Imagine comprar en un sitio web minorista en línea sabiendo que cada movimiento que realiza se registra. La tienda minorista puede ver cómo ha buscado artículos específicos y qué productos ha colocado en su cesta. Y no solo eso, agregaron todas estas acciones a un perfil creado específicamente para usted en el momento en que se registró e inició sesión. Puede parecer bastante invasivo si estos clientes supieran que se están realizando tales grabaciones.



Quizás uno de los sucesos más recientes e inquietantes que ha afectado a muchas herramientas de reproducción de sesiones, como Mixpanel, UserReplay y SessionCam, es la recopilación involuntaria de datos de contraseñas de sus clientes. Un ejemplo de esto es la función 'Mostrar contraseña' que muchos de los clientes de estas empresas tienen en su sitio web. Ha habido casos en los que la función confundió las protecciones de redacción de contraseñas, de modo que cuando el usuario hizo clic en "Mostrar contraseña" y luego tomó cualquier otro curso de acción en la página, la herramienta registró automáticamente la contraseña. Lea más sobre cómo funciona esto aquí.

¿Qué medidas se deben tomar para proteger los datos de los visitantes?

Frank Wijnans, portavoz del Partido Pirata (NL) comparte sus pensamientos sobre el asunto:

Este debate [si las herramientas de grabación de sesiones son o no un riesgo para la privacidad en Internet] se reduce a una pregunta: ¿se consideran datos personales? Y puedo darte una respuesta rápida: sí, lo es. Por lo tanto, esta información debe tratarse con todas las precauciones necesarias.

Muchos especialistas en marketing y analistas se centran mucho en la cantidad de datos que pueden recopilar, lo que desafortunadamente hace que las herramientas de grabación de sesiones sean muy susceptibles a la fuga de funciones. 'Estas herramientas, por lo tanto, no son lo que cabría esperar en términos de 'manejo cuidadoso de la información personal'.

La fluencia de funciones es la ampliación gradual del uso de una tecnología o sistema más allá del propósito para el que se diseñó originalmente, especialmente cuando esto conduce a una posible invasión de la privacidad .

Wijnans continúa: 'Sería mejor si estas herramientas se centraran más en los datos que puede utilizar. Determinar de antemano lo que podrían significar los posibles resultados sería una buena práctica. Sin embargo, con los datos almacenados, en este caso, sesiones de grabación de usuarios individuales, tratar de destilar algo significativo es difícil y los resultados no son confiables.'

Afirma que su organización cree que se debe permitir la recopilación de datos personales si se necesitan para un propósito claro y específico y se recopilan con el conocimiento de esa persona. Esto significaría que con las herramientas de grabación de sesiones, la empresa que realiza las grabaciones debe decidir de antemano qué quiere saber y luego pedir permiso al visitante antes de recopilar estos datos.

*El 'Piratenpartij' es parte de Pirate Parties International (PPI), un movimiento político que se centra en cuatro claves: incluidos los derechos civiles, la democratización, la transparencia y una sociedad libre.

Curiosamente, otra organización conocida parece estar de acuerdo con la necesidad de optar por participar...

ESOMAR, anteriormente conocida como la Sociedad Europea de Investigación de Opinión y Mercados, es una organización de miembros que trabaja con grandes agencias de estudios de mercado como Ipsos, Gfk, TNS Nipo/KAntar y Maritz. En 2015, la organización publicó la Guía ESOMAR/GRBN para la investigación en línea. Bajo el artículo 7.11 (Prácticas Inaceptables), la organización prohibió lo siguiente:

• Usar registradores de pulsaciones de teclas sin obtener el consentimiento de participación del participante;
• Si el navegador del participante está configurado en modo privado, seguimiento del comportamiento sin consentimiento de suscripción; y
• Cuando el participante está en un sitio, que está configurado para vinculación segura (es decir, sitio SSL), recopila datos personales sin consentimiento de suscripción.

En resumen, todas las agencias miembros de ESOMAR deben obtener el consentimiento de aceptación antes de rastrear u obtener cualquier dato de comportamiento de los visitantes.

Una mirada más cercana a la 'perfilación'

Arnoud Engelfriet, abogado de TI y privacidad, señala que las herramientas de grabación de sesiones son realmente problemáticas sin el permiso adecuado, ya que se incluyen en la elaboración de perfiles, que es un tema legal muy complejo.

Es lógico y comprensible que las empresas quieran utilizar herramientas de grabación de sesiones. Saber cómo los visitantes utilizan su sitio web es una parte importante de la usabilidad, la conversión y la mejora general de su sitio web. Sin embargo, es una lástima que estas herramientas siempre intenten obtener la mayor cantidad de información posible sobre un visitante. Con una estrecha vigilancia sobre la privacidad por diseño, sin duda se podría pensar más en ello.

– Engelfriet

¿Son las funciones de enmascaramiento una solución?

Hay algunas herramientas de grabación de sesiones que ofrecen funciones de "enmascaramiento" como un consuelo para la posible exposición de datos sensibles a la privacidad. Para configurar esto, la empresa que utiliza la herramienta debe adaptar el front-end del sitio web (incluido el diseño y HTML) en todos los campos donde los visitantes pueden escribir texto o hacer selecciones de formulario. Al agregar este código HTML adicional, la empresa puede decidir qué elementos se rastrean en su sitio web.


Fuente: Hotjar

Desafortunadamente, esta es una tarea que requiere que el usuario cambie el diseño de cada página donde el visitante puede dejar información. Además, si la empresa utiliza herramientas de terceros, como chat, embudos de pago, CRM o formularios de contacto, es posible que estas etiquetas de "enmascaramiento" no siempre sean aplicables. Sin mencionar que estas empresas son, según los proveedores de herramientas de grabación de sesiones, las que corren el riesgo en caso de que no enmascaren datos sensibles a la privacidad.

Las consecuencias legales ahora y en el futuro

Engelfriet: 'La elaboración de perfiles y la captura de esta información es actualmente legal según la Ley de Privacidad, así como el Reglamento General de Protección de Datos - GDPR (en vigor desde el 25 de mayo de 2018), siempre que solo recopile lo que sea necesario para su propósito y garantice tanto protección a la privacidad de sus visitantes como sea posible.'

Nota: si bien este artículo se enfoca principalmente en cómo se verán afectadas las herramientas de grabación de sesiones, es importante reconocer que estos cambios legales (GDPR) también afectarán otras áreas, como Recursos Humanos y Reclutamiento. Lea más sobre esto aquí.

Esto significa que los usuarios deben tener un 'caso claro para su herramienta'. Entonces, en lugar de registrar todo y ver qué tipo de información arroja después, los usuarios deben saber de antemano qué datos recopilarán y también poder justificar que necesitan esa cantidad de datos. Además, los usuarios deberán configurar herramientas para que sean lo más amigables posible con la privacidad, mientras indican en su declaración de privacidad que están utilizando herramientas de grabación de sesiones.



Engelfriet continúa: 'El permiso no es estrictamente necesario si cumple con los requisitos anteriores. Sin embargo, está obligado a ofrecer una opción de exclusión porque las personas pueden oponerse legalmente a este tipo de elaboración de perfiles.

Si bien una simple obligación de optar por no participar ahora puede ser el caso con respecto a obtener permiso para usar herramientas de grabación de sesiones, se han establecido nuevas leyes que pueden cambiar estos permisos en un futuro muy cercano. Por ejemplo, podría resultar en una aceptación más estricta, similar a la Ley de Cookies, que puede requerir que los usuarios obtengan un permiso explícito de los visitantes a través de una ventana emergente destacada que indica cómo utilizarán los datos que desean recopilar. Alternativamente, solo podría requerir una referencia en los Términos y Condiciones u otro descargo de responsabilidad en el sitio web. Esto aún no se ha aclarado.

¿A dónde vamos desde aquí?

Esa es la pregunta del millón de dólares. Dados los posibles riesgos legales expuestos en este artículo, ¿es prudente utilizar herramientas de grabación de sesiones en su sitio web? Todo lo que podemos decir es que las empresas que opten por utilizar herramientas de grabación de sesiones deben ser conscientes de los riesgos y ramificaciones. Esto incluye leer detenidamente los Términos y condiciones de la herramienta de grabación de sesiones que desea utilizar y revisar las leyes locales de su país o región. También incluye tomar decisiones escrupulosas y cuidadosamente calculadas en lo que respecta a los datos que recopila.