[Atualizado] As ferramentas de gravação de sessão são um risco para a privacidade na Internet? 07 de março de 2018

A privacidade na Internet e, mais especificamente, o uso de ferramentas de gravação de sessões têm sido um debate acalorado nos últimos meses. Embora os reguladores e líderes do setor se preocupem com a forma como os profissionais de marketing usarão as sessões gravadas coletadas dessas ferramentas, também há preocupações com o impacto social e criminal do armazenamento de dados pessoais e confidenciais sem que o visitante saiba.

A perspectiva de que esses dados sensíveis à privacidade sejam expostos ou caiam em mãos erradas, bem como o fato de que os visitantes muitas vezes não estão cientes de que estão sendo armazenados em primeiro lugar, levanta várias questões diferentes. Existem riscos legais envolvidos para empresas que usam ferramentas de gravação de sessão em seus sites? Essas ferramentas estão atualmente de acordo com as Leis de Privacidade? Como essas leis estão mudando e quais serão as consequências para as empresas no futuro?

Neste artigo, a Mopinion analisa mais de perto as ferramentas de gravação de sessões e o que está por vir. Abordaremos o que diferencia essas ferramentas de outras ferramentas de marketing online, como onde elas se destacam e onde ficam aquém. Tendo consultado vários especialistas em privacidade, incluindo Frank Wijnans (porta-voz do Piratenpartij, membro do Pirate Parties International – PPI) e Arnoud Engelfriet (advogado de TI e privacidade), também abordaremos os possíveis riscos à privacidade e as consequências legais do uso de tais Ferramentas.

O que são ferramentas de gravação e reprodução de sessão?

A gravação e reprodução da sessão é essencialmente a capacidade de gravar, salvar e reproduzir as interações que seus visitantes têm em seu site. Um replay de sessão valioso é aquele que fornecerá aos profissionais de marketing on-line e designers de UX insights profundos sobre a experiência do usuário dos visitantes do site. Isso é feito gravando os visitantes no site conforme eles clicam, rolam, digitam ou navegam em diferentes páginas da web.


Fonte: Hotjar

Depois de analisar gravações de sessões individuais e identificar pontos fracos, os usuários podem otimizar seu site de acordo para aumentar as conversões e as vendas, além de aprimorar a experiência geral do usuário. Alguns exemplos dessas ferramentas incluem Hotjar, Mouseflow e Inspectlet.

Para obter uma visão geral completa das ferramentas de gravação de visitantes e reprodução de sessão, clique aqui.

White Paper Gratuito: O futuro do feedback online do cliente

Saiba como você pode aproveitar o poder do feedback dos clientes on-line para otimizar sites e aplicativos.

Baixe o papel

Como as ferramentas de gravação de sessão se comparam a outras ferramentas de marketing online?

Quando comparamos as ferramentas de gravação de sessão com outras ferramentas de marketing online, privacidade e perfil são o que realmente diferenciam essas ferramentas. Por exemplo, ferramentas como a publicidade online sabem muito sobre seu comportamento online e sobre você como visitante. Um bom exemplo disso são os anúncios no Facebook. No entanto, a diferença entre ferramentas de publicidade e ferramentas de gravação de sessão é que o anunciante (usuário final) nunca vê dados pessoais ou sensíveis à privacidade, por exemplo, nomes de usuário ou outras informações privadas.



Com ferramentas de marketing como web analytics, os dados são baseados no comportamento de cliques anônimos, o que significa que o clique não pode revelar nenhuma informação sensível sobre a pessoa e – em muitos casos – eles anonimizam os endereços IP. A ferramenta de análise simplesmente mostra que os visitantes clicaram em algo e mede as interações online, como sessões em páginas da web ou identifica onde os visitantes saíram do site. O mesmo vale para muitas outras ferramentas de experiência do usuário (UX) que rastreiam o comportamento do mouse e do clique, como mapeamento de calor e ferramentas de teste A/B.

Outras ferramentas de marketing on-line, como feedback do cliente, também são diferentes das ferramentas de gravação de sessão, pois são 'iniciadas pelo usuário'. O que isso significa é que o “opt-in” ocorre quando o visitante do site ou usuário do aplicativo móvel decide preencher um formulário de feedback.

Prós e contras das ferramentas de gravação de sessão

Então, por que as empresas optam por trabalhar com ferramentas de gravação de sessão? Os prós realmente superam os contras? A única maneira de descobrir é olhando para os dois lados. Vamos dar uma olhada abaixo.

Prós:

• Mostra as interações reais dos visitantes online.
• Analisa as sessões do visitante em um nível individual.
• Revela onde os visitantes estão ficando presos em funis específicos (por exemplo, o carrinho de compras) ou desembarcando.
• Ajuda a descobrir e reproduzir bugs para aprimorar a experiência do usuário.
• Entenda e melhore os processos de onboarding. Veja especificamente onde os usuários estão falhando nos fluxos de integração.
• Teste e aprimore novos recursos ou páginas. Por exemplo, veja como os visitantes reagem a uma nova página de destino.

Contras:

• Falta contexto. Não há explicação direta do visitante sobre sua atividade. As ações do visitante são deixadas para a empresa interpretar.
• Difícil analisar um grande número de sessões individuais de visitantes.
• Leva tempo para assistir a gravações individuais e nem todas as gravações fornecerão informações valiosas.
• Introduz um risco de privacidade para dados pessoais de visitantes.

Nota: O último ponto acima pode ser percebido como um tanto inquietante por consumidores e empresas que usam gravação de sessão. Isso ocorre porque muitas empresas que utilizam ferramentas de gravação de sessões muitas vezes são exclusivamente responsáveis ​​por fornecer os controles necessários para proteger os dados de seus clientes. Então, quais são os riscos envolvidos?

Riscos de privacidade do uso de ferramentas de gravação de sessão

Os visitantes online se envolvem em vários processos online todos os dias. Desde o preenchimento de formulários de contato e serviços de suporte de consultoria até a realização de pedidos on-line, suas ações estão sendo registradas a cada passo do caminho. Ou seja, se o site tiver uma ferramenta de gravação de sessão instalada.

Um fator importante a ser reconhecido aqui é que durante as gravações da sessão, elementos como entrada de texto e seleções de formulário também estão sendo gravados. É aqui que parece estar a maior quantidade de risco porque as informações digitadas ou selecionadas podem conter detalhes sobre o visitante que são sensíveis à privacidade, por exemplo, dados pessoais sobre o visitante, dados financeiros ou até mesmo dados médicos.

Riscos de dados médicos
Dados médicos, por exemplo, estão se tornando cada vez mais vulneráveis ​​a violações de dados. De acordo com o Independent, os registros médicos são mais valiosos para os criminosos do que os dados financeiros, pois o roubo desses registros geralmente lhes dá tempo para planejar o que farão a seguir – criar avatares falsos para obter acesso a seguros ou pagamentos médicos ou alavancar informações pessoais. informações contra alguém. Infelizmente, as vítimas de tais crimes normalmente não detectam nada até que o plano já esteja em andamento.



Riscos de dados financeiros
Essas ferramentas também apresentam um grande risco em termos de vazamento de dados financeiros. Caso os detalhes financeiros sejam comprometidos de alguma forma, os visitantes podem estar sujeitos a roubo de identidade. Por exemplo, os criminosos podem usar essas informações para fazer empréstimos, apresentar declarações fiscais falsas ou alugar um apartamento ilegalmente.



Em um cenário offline, o equivalente próximo às ferramentas de gravação de sessão seria ter uma câmera na sala. Por exemplo, durante uma reunião com seu consultor financeiro, você fornece a ele detalhes como seu número de seguro social (ou BSN), número de identificação fiscal e número da conta. Tudo isso seria gravado na câmera e armazenado para revisão posterior.

Riscos de dados pessoais
No entanto, lembre-se de que, embora os dados médicos e financeiros sejam certamente os tipos de dados mais vulneráveis, bem como os mais rigorosos em termos de políticas do setor, existem outros elementos de gravação de sessão que podem ser indesejáveis ​​para visitantes online.

Imagine fazer compras em um site de varejo online sabendo que cada movimento que você faz está sendo registrado. A loja de varejo pode ver como você pesquisou itens específicos e quais produtos você colocou em sua cesta. E não apenas isso, eles adicionaram todas essas ações a um perfil feito especificamente para você no momento em que você se inscreveu e fez login. Pode parecer bastante invasivo se esses clientes estiverem cientes de que essas gravações estão ocorrendo.



Talvez uma das ocorrências mais recentes e inquietantes que tem atormentado muitas ferramentas de repetição de sessão – como Mixpanel, UserReplay e SessionCam – seja a coleta não intencional de dados de senha de seus clientes. Um exemplo disso é o recurso 'Mostrar senha' que muitos clientes dessas empresas têm em seu site. Houve casos em que o recurso confundiu as proteções de redação de senha para que, quando o usuário clicasse em 'Mostrar senha' e fizesse qualquer outra ação na página, a ferramenta registrasse automaticamente a senha. Leia mais sobre como isso funciona aqui.

Que medidas devem ser tomadas para proteger os dados dos visitantes?

Frank Wijnans, porta-voz do Partido Pirata (NL) compartilha seus pensamentos sobre o assunto:

Este debate [se as ferramentas de gravação de sessão são ou não um risco para a privacidade na Internet] se resume a uma pergunta – isso é considerado dados pessoais? E posso lhe dar uma resposta rápida: sim, é. O que significa que esta informação deve, portanto, ser tratada com todas as precauções necessárias.

Muitos profissionais de marketing e analistas estão muito focados na quantidade de dados que podem coletar, o que, infelizmente, torna as ferramentas de gravação de sessão altamente suscetíveis ao deslizamento de funções. 'Essas ferramentas, portanto, não são o que você esperaria em termos de 'tratamento cuidadoso de informações pessoais'.

A fluência de função é a ampliação gradual do uso de uma tecnologia ou sistema além do propósito para o qual foi originalmente destinado – especialmente quando isso leva a uma possível invasão de privacidade .

Wijnans continua: “Seria melhor se essas ferramentas se concentrassem mais nos dados que você pode usar. Determinar antecipadamente o que os possíveis resultados podem significar seria uma boa prática. No entanto, com dados armazenados – neste caso, sessões de gravação de usuários individuais – tentar destilar algo significativo é difícil e os resultados não são confiáveis.'

Ele afirma que sua organização acredita que a coleta de dados pessoais deve ser permitida se for necessária para um propósito claro e específico e for coletada com o conhecimento dessa pessoa. Isso significaria que, com as ferramentas de gravação de sessão, a empresa que realiza as gravações deve decidir antecipadamente o que deseja saber e, em seguida, solicitar permissão ao visitante antes de coletar esses dados.

*O 'Piratenpartij' faz parte do Pirate Parties International (PPI), um movimento político que se concentra em quatro chaves: incluindo direitos civis, democratização, transparência e uma sociedade livre.

Curiosamente, outra organização bem conhecida parece concordar com a necessidade de um opt-in…

A ESOMAR, anteriormente conhecida como European Society for Opinion and Marketing Research, é uma organização associada que trabalha com grandes agências de pesquisa de mercado, como Ipsos, Gfk, TNS Nipo/KAntar e Maritz. Em 2015, a organização lançou a Diretriz ESOMAR/GRBN para Pesquisa Online. De acordo com o artigo 7.11 (Práticas Inaceitáveis), a organização proibiu o seguinte:

• Usar registradores de pressionamento de tecla sem obter o consentimento do participante;
• Se o navegador do participante estiver configurado para o modo privado, rastreando o comportamento sem consentimento; e
• Quando o participante está em um site, que está configurado para vinculação segura (ou seja, site SSL), coletando dados pessoais sem consentimento opt-in.

Em suma, todas as agências membros da ESOMAR devem obter consentimento opt-in antes de rastrear ou obter quaisquer dados comportamentais dos visitantes.

Um olhar mais atento sobre 'perfil'

Arnoud Engelfriet, advogado de TI e privacidade, aponta que as ferramentas de gravação de sessão são realmente problemáticas sem a devida permissão, pois se enquadram na criação de perfis, que é um assunto legal muito complexo.

É lógico e compreensível que as empresas queiram usar ferramentas de gravação de sessão. Saber como seu site é usado por seus visitantes é uma parte importante da usabilidade, conversão e melhoria geral do seu site. No entanto, é uma pena que essas ferramentas sempre tentem extrair o máximo possível de informações sobre um visitante. Com um olhar atento à privacidade por design, certamente mais reflexão poderia ser colocada nele

– Engelfriet

Os recursos de mascaramento são uma solução?

Existem algumas ferramentas de gravação de sessão que oferecem recursos de 'mascaramento' como um consolo para a exposição potencial de dados sensíveis à privacidade. Para configurar isso, a empresa que usa a ferramenta deve adaptar o front-end do site (incluindo o layout e o HTML) em todos os campos onde os visitantes podem digitar texto ou fazer seleções de formulários. Ao adicionar esse código HTML extra, a empresa pode decidir quais elementos são rastreados em seu site.


Fonte: Hotjar

Infelizmente esta é uma tarefa que exige que o usuário altere o layout de cada página onde o visitante pode deixar informações para trás. Além disso, se a empresa fizer uso de ferramentas de terceiros, como chat, funis de pagamento, CRM ou formulários de contato, essas tags de 'mascaramento' podem nem sempre ser aplicáveis. Sem mencionar que essas empresas são, de acordo com os fornecedores de ferramentas de gravação de sessões, as que correm o risco caso não consigam mascarar dados confidenciais.

As consequências jurídicas agora e no futuro

Engelfriet: 'A criação de perfis e a captura dessas informações são atualmente legais sob a Lei de Privacidade, bem como o Regulamento Geral de Proteção de Dados – GDPR (em vigor a partir de 25 de maio de 2018), desde que você colete apenas o necessário para sua finalidade e garanta o máximo proteção à privacidade de seus visitantes quanto possível.'

Observação: embora este artigo se concentre principalmente em como as ferramentas de registro de sessão serão afetadas, é importante reconhecer que essas mudanças legais (GDPR) também afetarão outras áreas, como RH e Recrutamento. Leia mais sobre isto aqui.

Isso significa que os usuários devem ter um 'caso claro para sua ferramenta'. Então, ao invés de registrar tudo e ver que tipo de informação ela produz depois, os usuários devem saber com antecedência quais dados vão coletar e também ser capazes de justificar que precisam dessa quantidade de dados. Além disso, os usuários terão que configurar ferramentas para que sejam o mais amigáveis ​​à privacidade possível, indicando em sua declaração de privacidade que estão usando ferramentas de gravação de sessão.



Engelfriet continua: “A permissão não é estritamente necessária se você atender aos requisitos acima. No entanto, você é obrigado a oferecer um opt-out porque as pessoas podem se opor legalmente a esse tipo de perfil.'

Embora uma simples obrigação de exclusão possa ser o caso agora em relação à obtenção de permissão para usar ferramentas de gravação de sessão, foram estabelecidas novas leis que podem alterar essas permissões em um futuro muito próximo. Por exemplo, isso pode resultar em um opt-in mais rigoroso, semelhante à Lei de Cookies, que pode exigir que os usuários obtenham permissão explícita dos visitantes por meio de um pop-up proeminente que informa como eles usarão os dados que desejam coletar. Alternativamente, pode exigir apenas uma referência nos Termos e Condições ou outra isenção de responsabilidade no site. Isso ainda não foi esclarecido.

Para onde vamos daqui?

Essa é a pergunta de um milhão de dólares. Considerando os potenciais riscos legais descritos neste artigo, é aconselhável usar ferramentas de gravação de sessão em seu site? Tudo o que podemos dizer é que as empresas que optam por fazer uso de ferramentas de gravação de sessão devem estar cientes dos riscos e ramificações. Isso inclui ler atentamente os Termos e Condições da ferramenta de gravação de sessão que você pretende usar e revisar as leis locais em seu país ou região. Também inclui tomar decisões escrupulosas e cuidadosamente calculadas quando se trata de quais dados você coleta.