[Aggiornato] Gli strumenti di registrazione delle sessioni rappresentano un rischio per la privacy di Internet? 07 marzo 2018

La privacy di Internet e, più specificamente, l'uso degli strumenti di registrazione delle sessioni sono stati un acceso dibattito negli ultimi mesi. Mentre le autorità di regolamentazione e i leader del settore si preoccupano di come i marketer utilizzeranno le sessioni registrate raccolte da questi strumenti, ci sono anche preoccupazioni per quanto riguarda l'impatto sociale e criminale dell'archiviazione di dati personali sensibili alla privacy all'insaputa del visitatore.

La prospettiva che detti dati sensibili alla privacy vengano esposti o cadano nelle mani sbagliate, nonché il fatto che i visitatori spesso non siano consapevoli del fatto che vengono archiviati in primo luogo solleva una serie di domande diverse. Ci sono rischi legali per le aziende che utilizzano strumenti di registrazione delle sessioni sui loro siti web? Tali strumenti sono attualmente in linea con le leggi sulla privacy? Come stanno cambiando queste leggi e quali saranno le conseguenze per le imprese in futuro?

In questo articolo, Mopinion esamina più da vicino gli strumenti di registrazione delle sessioni e ciò che ci aspetta. Affronteremo ciò che differenzia questi strumenti da altri strumenti di marketing online, ad esempio dove eccellono e dove non sono all'altezza. Dopo aver consultato diversi esperti di privacy, tra cui Frank Wijnans (portavoce di Piratenpartij, membro di Pirate Party International – PPI) e Arnoud Engelfriet (avvocato IT e privacy), analizzeremo anche i potenziali rischi per la privacy e le conseguenze legali dell'utilizzo di tali utensili.

Cosa sono gli strumenti di registrazione e riproduzione della sessione?

La registrazione e la riproduzione della sessione è essenzialmente la capacità di registrare, salvare e riprodurre le interazioni che i tuoi visitatori hanno sul tuo sito web. Un prezioso replay della sessione è quello che fornirà ai marketer online e ai designer UX approfondimenti sull'esperienza utente dei visitatori del sito web. Ciò avviene registrando i visitatori sul sito Web mentre fanno clic, scorrono, digitano o navigano tra diverse pagine Web.


Fonte: Hotjar

Dopo aver analizzato le registrazioni delle singole sessioni e identificato i punti deboli, gli utenti possono ottimizzare il proprio sito Web di conseguenza per aumentare le conversioni e le vendite e migliorare l'esperienza utente complessiva. Alcuni esempi di tali strumenti includono Hotjar, Mouseflow e Inspectlet.

Per una panoramica completa degli strumenti di registrazione dei visitatori e di riproduzione delle sessioni, fai clic qui.

White paper gratuito: Il futuro del feedback dei clienti online

Scopri come sfruttare la potenza del feedback dei clienti online per ottimizzare siti Web e app.

Scarica il foglio

Come si confrontano gli strumenti di registrazione delle sessioni con altri strumenti di marketing online?

Quando confrontiamo gli strumenti di registrazione delle sessioni con altri strumenti di marketing online, la privacy e la profilazione sono ciò che distingue davvero questi strumenti. Ad esempio, strumenti come la pubblicità online sanno molto del tuo comportamento online e di te come visitatore. Un buon esempio di questo sono gli annunci su Facebook. Tuttavia, la differenza tra gli strumenti pubblicitari e gli strumenti di registrazione delle sessioni è che l'inserzionista (utente finale) non vede mai dati personali o sensibili alla privacy, ad esempio nomi utente o altre informazioni private.



Con strumenti di marketing come l'analisi dei dati web, i dati si basano sul comportamento dei clic anonimi, il che significa che il clic non può rivelare alcuna informazione sensibile sulla persona e, in molti casi, anonimizza gli indirizzi IP. Lo strumento di analisi mostra semplicemente che i visitatori hanno fatto clic su qualcosa e misurano le interazioni online come le sessioni su pagine Web o identificano dove i visitatori sono usciti dal sito. Lo stesso vale per molti altri strumenti User Experience (UX) che tengono traccia del comportamento del mouse e dei clic, come la mappatura termica e gli strumenti di test A/B.

Anche altri strumenti di marketing online come il feedback dei clienti sono diversi dagli strumenti di registrazione delle sessioni in quanto sono "avviati dall'utente". Ciò significa che l'"opt-in" avviene quando il visitatore del sito Web o l'utente dell'app mobile decide di compilare un modulo di feedback.

Pro e contro degli strumenti di registrazione delle sessioni

Allora perché le aziende scelgono di lavorare con strumenti di registrazione delle sessioni? I pro superano davvero i contro? L'unico modo per scoprirlo è guardare entrambi i lati. Diamo un'occhiata qui sotto.

Professionisti:

• Mostra le effettive interazioni dei visitatori online.
• Esamina le sessioni dei visitatori a livello individuale.
• Rivela dove i visitatori rimangono bloccati in particolari canalizzazioni (ad es. il carrello degli acquisti) o si ritirano.
• Aiuta a scoprire e riprodurre bug per migliorare l'esperienza dell'utente.
• Comprendere e migliorare i processi di onboarding. Scopri in particolare dove gli utenti non riescono nei flussi di onboarding.
• Testare e migliorare nuove funzionalità o pagine. Ad esempio, guarda come i visitatori reagiscono a una nuova pagina di destinazione.

Contro:

• Manca il contesto. Non c'è alcuna spiegazione direttamente dal visitatore in merito alla sua attività. L'interpretazione delle azioni dei visitatori spetta all'azienda.
• Difficile analizzare un gran numero di sessioni dei singoli visitatori.
• Il dispendio di tempo per guardare le singole registrazioni e non tutte le registrazioni forniranno preziose informazioni.
• Introduce un rischio per la privacy per i dati personali dei visitatori.

Nota: l'ultimo punto sopra può essere percepito come alquanto inquietante sia dai consumatori che dalle aziende che utilizzano la registrazione delle sessioni. Questo perché molte aziende che utilizzano strumenti di registrazione delle sessioni sono spesso responsabili esclusivamente di fornire i controlli necessari per proteggere i dati dei propri clienti. Quindi quali sono i rischi?

Rischi per la privacy derivanti dall'utilizzo degli strumenti di registrazione delle sessioni

I visitatori online si impegnano in vari processi online ogni giorno. Dalla compilazione dei moduli di contatto e dalla consulenza ai servizi di supporto all'invio di ordini online, le loro azioni vengono registrate in ogni fase del processo. Cioè, se il sito Web dispone di uno strumento di registrazione della sessione.

Un fattore importante da riconoscere qui è che durante le registrazioni delle sessioni, vengono registrati anche elementi come l'immissione di testo e le selezioni dei moduli. È qui che sembra risiedere la maggiore quantità di rischio perché le informazioni digitate o selezionate possono contenere dettagli sul visitatore sensibili alla privacy, ad esempio dati personali sul visitatore, dati finanziari o persino dati medici.

Rischi dei dati medici
I dati medici, ad esempio, stanno diventando costantemente più vulnerabili alle violazioni dei dati. Secondo l'Independent, le cartelle cliniche sono più preziose per i criminali rispetto ai dati finanziari, poiché il furto di tali cartelle spesso dà loro il tempo di pianificare cosa faranno dopo: creare falsi avatar per ottenere l'accesso all'assicurazione medica o ai pagamenti, o sfruttare i dati personali informazioni contro qualcuno. Sfortunatamente le vittime di tali crimini in genere non rileveranno nulla fino a quando il piano non sarà già in atto.



Rischi sui dati finanziari
Questi strumenti presentano anche un grave rischio in termini di perdita di dati finanziari. Qualora i dettagli finanziari venissero compromessi in qualsiasi modo, i visitatori potrebbero essere potenzialmente soggetti a furto di identità. Ad esempio, i criminali possono utilizzare queste informazioni per contrarre prestiti, presentare false dichiarazioni dei redditi o affittare illegalmente un appartamento.



In uno scenario offline, l'equivalente quasi degli strumenti di registrazione delle sessioni sarebbe avere una telecamera nella stanza. Ad esempio, durante un incontro con il tuo consulente finanziario, gli fornisci dettagli come il numero di previdenza sociale (o BSN), il codice fiscale e il numero di conto. Tutto questo verrebbe registrato sulla fotocamera e archiviato per una revisione successiva.

Rischi per i dati personali
Tieni presente, tuttavia, che mentre i dati medici e finanziari sono sicuramente i tipi di dati più vulnerabili oltre che i più severi in termini di politiche del settore, ci sono altri elementi della registrazione delle sessioni che potrebbero essere indesiderabili per i visitatori online.

Immagina di acquistare su un sito Web di vendita al dettaglio online sapendo che ogni mossa che fai viene registrata. Il negozio al dettaglio può vedere come hai cercato articoli particolari e quali prodotti hai inserito nel carrello. E non solo, hanno aggiunto tutte queste azioni a un profilo creato appositamente per te nel momento in cui ti sei registrato e hai effettuato l'accesso. Potrebbe sembrare piuttosto invasivo se questi clienti fossero consapevoli che tali registrazioni stavano avvenendo.



Forse uno degli eventi più recenti e inquietanti che ha afflitto molti strumenti di riproduzione delle sessioni, come Mixpanel, UserReplay e SessionCam, è la raccolta involontaria dei dati delle password dai propri clienti. Un esempio di ciò è la funzione "Mostra password" che molti dei clienti di queste aziende hanno sul proprio sito web. Ci sono stati casi in cui la funzione ha confuso le protezioni per la redazione della password in modo che quando l'utente ha fatto clic su "Mostra password" e quindi ha intrapreso qualsiasi altra azione sulla pagina, lo strumento ha registrato automaticamente la password. Leggi di più su come funziona qui.

Quali misure dovrebbero essere adottate per proteggere i dati dei visitatori?

Frank Wijnans, portavoce del Partito Pirata (NL) condivide le sue opinioni sulla questione:

Questo dibattito [se gli strumenti di registrazione delle sessioni siano o meno un rischio per la privacy di Internet] si riduce a una domanda: sono considerati dati personali? E posso darti una rapida risposta: sì, lo è. Il che significa che queste informazioni dovrebbero quindi essere trattate con tutte le precauzioni necessarie.

Molti esperti di marketing e analisti sono molto concentrati sulla quantità di dati che possono raccogliere, il che purtroppo rende gli strumenti di registrazione delle sessioni altamente suscettibili allo scorrimento delle funzioni. "Questi strumenti non sono quindi ciò che ti aspetteresti in termini di "gestione attenta delle informazioni personali".

Il Function creep è il graduale ampliamento dell'uso di una tecnologia o di un sistema oltre lo scopo per cui era stato originariamente concepito, soprattutto quando ciò porta a una potenziale invasione della privacy .

Wijnans continua: 'Sarebbe meglio se questi strumenti si concentrassero maggiormente sui dati che puoi utilizzare. Determinare in anticipo cosa potrebbero significare i possibili risultati sarebbe una buona pratica. Tuttavia, con i dati archiviati, in questo caso le sessioni di registrazione dei singoli utenti, è difficile cercare di distillare qualcosa di significativo ei risultati non sono affidabili.'

Afferma che la sua organizzazione ritiene che la raccolta di dati personali dovrebbe essere consentita se necessaria per uno scopo chiaro e specifico e viene raccolta con la conoscenza di quella persona. Ciò significherebbe che con gli strumenti di registrazione delle sessioni, l'azienda che effettua le registrazioni deve decidere in anticipo cosa vuole sapere e quindi chiedere il permesso al visitatore prima di raccogliere questi dati.

*Il "Piratenpartij" fa parte di Pirate Party International (PPI), un movimento politico che si concentra su quattro chiavi: inclusi i diritti civili, la democratizzazione, la trasparenza e una società libera.

È interessante notare che un'altra organizzazione ben nota sembra concordare con la necessità di un opt-in...

ESOMAR, precedentemente nota come Società europea per l'opinione e la ricerca di marketing, è un'organizzazione di appartenenza che lavora con grandi agenzie di ricerche di mercato come Ipsos, Gfk, TNS Nipo/KAntar e Maritz. Nel 2015, l'organizzazione ha pubblicato le linee guida ESOMAR/GRBN per la ricerca online. Ai sensi dell'articolo 7.11 (Pratiche inaccettabili), l'organizzazione ha vietato quanto segue:

• Utilizzo di keystroke logger senza ottenere il consenso opt-in del partecipante;
• Se il browser del partecipante è impostato in modalità privata, tracciamento del comportamento senza consenso opt-in; e
• Quando il partecipante si trova su un sito, che è impostato per un collegamento sicuro (es. sito SSL), raccoglie dati personali senza il consenso opt-in.

In breve, tutte le agenzie membri di ESOMAR devono ottenere il consenso opt-in prima di tracciare o ottenere qualsiasi dato comportamentale dai visitatori.

Uno sguardo più da vicino alla "profilazione"

Arnoud Engelfriet, IT and Privacy Lawyer, sottolinea che gli strumenti di registrazione delle sessioni sono effettivamente problematici senza un'adeguata autorizzazione in quanto rientrano nella profilazione, che è una materia giuridica molto complessa.

È logico e comprensibile che le aziende vogliano utilizzare strumenti di registrazione delle sessioni. Sapere come il tuo sito web viene utilizzato dai tuoi visitatori è una parte importante dell'usabilità, della conversione e del miglioramento generale del tuo sito web. È comunque un peccato che questi strumenti cerchino sempre di spremere quante più informazioni possibili su un visitatore. Con un occhio attento alla privacy by design, sicuramente si potrebbe pensarci di più

– Engelfriet

Le caratteristiche di mascheramento sono una soluzione?

Esistono alcuni strumenti di registrazione delle sessioni che offrono funzionalità di "mascheramento" come consolazione per la potenziale esposizione di dati sensibili alla privacy. Per impostare ciò, l'azienda che utilizza lo strumento deve adattare il front-end del sito Web (incluso il layout e l'HTML) in tutti i campi in cui i visitatori possono digitare testo o effettuare selezioni di moduli. Aggiungendo questo codice HTML aggiuntivo, l'azienda può decidere quali elementi vengono tracciati sul proprio sito web.


Fonte: Hotjar

Sfortunatamente questa è un'attività che richiede all'utente di modificare il layout di ogni pagina in cui il visitatore può lasciare informazioni alle spalle. Inoltre, se l'azienda utilizza strumenti di terze parti, come chat, canalizzazioni di pagamento, CRM o moduli di contatto, questi tag "mascheramento" potrebbero non essere sempre applicabili. Per non parlare del fatto che queste aziende sono, secondo i fornitori di strumenti di registrazione delle sessioni, quelle che corrono il rischio nel caso in cui non riescano a mascherare i dati sensibili alla privacy.

Le conseguenze legali ora e in futuro

Engelfriet: "La profilazione e l'acquisizione di queste informazioni è attualmente legale ai sensi della legge sulla privacy, nonché del regolamento generale sulla protezione dei dati – GDPR (in vigore dal 25 maggio 2018), a condizione che tu raccolga solo ciò che è necessario per il tuo scopo e garantisca quanto protezione della privacy per i tuoi visitatori possibile.'

Nota: sebbene questo articolo si concentri principalmente su come saranno interessati gli strumenti di registrazione delle sessioni, è importante riconoscere che queste modifiche legali (GDPR) riguarderanno anche altre aree, come le risorse umane e il reclutamento. Leggi di più su questo qui.

Ciò significa che gli utenti devono avere una "causa chiara per il loro strumento". Quindi, invece di registrare tutto e vedere che tipo di informazioni produce in seguito, gli utenti devono sapere in anticipo quali dati raccoglieranno ed essere anche in grado di giustificare di aver bisogno di quella quantità di dati. Inoltre, gli utenti dovranno impostare strumenti in modo che siano il più rispettosi possibile della privacy, indicando al contempo nella loro informativa sulla privacy che stanno utilizzando strumenti di registrazione delle sessioni.



Engelfriet continua: 'L'autorizzazione non è strettamente necessaria se si soddisfano i requisiti di cui sopra. Tuttavia, sei obbligato a offrire un opt-out perché le persone possono opporsi legalmente a questo tipo di profilazione.'

Mentre un semplice obbligo di opt-out può essere ora il caso per quanto riguarda l'ottenimento dell'autorizzazione per utilizzare gli strumenti di registrazione delle sessioni, sono state stabilite nuove leggi che potrebbero modificare queste autorizzazioni in un futuro molto prossimo. Ad esempio, potrebbe comportare un opt-in più rigoroso, simile alla Cookie Law che potrebbe richiedere agli utenti di ottenere un'autorizzazione esplicita dai visitatori tramite un pop-up in evidenza che indica come utilizzeranno i dati che desiderano raccogliere. In alternativa, potrebbe richiedere solo un riferimento nei Termini e Condizioni o altro disclaimer sul sito web. Questo deve ancora essere chiarito.

Dove andiamo da qui?

Questa è la domanda da un milione di dollari. Dati i potenziali rischi legali illustrati in questo articolo, è saggio utilizzare gli strumenti di registrazione delle sessioni sul tuo sito web? Tutto ciò che possiamo dire è che le aziende che scelgono di utilizzare gli strumenti di registrazione delle sessioni dovrebbero essere consapevoli dei rischi e delle ramificazioni. Ciò include la lettura attenta dei Termini e condizioni dello strumento di registrazione della sessione che intendi utilizzare e la revisione delle leggi locali nel tuo paese o regione. Include anche prendere decisioni scrupolose e accuratamente calcolate quando si tratta di quali dati raccogliere.