Como tornar seu site compatível com o GDPR

Os requisitos do GDPR continuam a ser aplicados durante o período de retirada do Brexit no Reino Unido e para todas as empresas que negociam com a UE. Aqui estão 10 alterações que você deve fazer em seu site agora para ficar no lado certo da lei e manter seus clientes satisfeitos.

Nesta postagem, quero cobrir especificamente a área restrita de como tornar seu site compatível com o GDPR e fazer recomendações para as alterações específicas que você precisará fazer.

E o Brexit e o 2020 ... o GDPR ainda é um requisito?

O Regulamento Geral de Proteção de Dados (GDPR) se aplica a todas as empresas com sede na UE e aquelas cujos clientes são cidadãos da UE. Para as empresas do Reino Unido, o acordo de retirada do Brexit não fará nenhuma alteração à necessidade de conformidade durante o período de transição, e nem os requisitos mudarão para empresas que comercializam dentro da UE.

Além disso, o Reino Unido está empenhado em manter os altos padrões do GDPR (e o governo planeja incorporá-lo à lei do Reino Unido após o Brexit.

Os regulamentos atuais do GDPR entraram em vigor em 25 de maio de 2018.

É interessante considerar a aplicação dos regulamentos do GDPR, e o site do GDPR Enforcement Tracker fornece uma lista e uma visão geral das multas e penalidades que as autoridades de proteção de dados da UE impuseram de acordo com o GDPR.

Em primeiro lugar, devo dizer que não sou um profissional jurídico e, em segundo lugar, esta é uma análise superficial. No momento da escrita, o banco de dados contém

• 16 casos de multas e penalidades em que o resumo contém a palavra "web", incluindo um caso em dezembro de 2019 relativo a um operador de um site de notícias jurídicas, tinha a declaração de privacidade disponível apenas em inglês, embora também fosse endereçada a um holandês e francês. público.
• 5 casos em que o resumo contém a palavra "e-mail", incluindo um caso em 2019 em que a Vodaphone enviou um e-mail de marketing para um grande número de destinatários (clientes) sem usar o recurso de cópia oculta. A multa inicial de 60.000 euros foi reduzida para 36.000 euros.

Por um lado, não se trata de um grande número de processos por não conformidade, mas combina esse risco com o aumento da sensibilidade do processamento de dados pessoais e da consciência disso como um problema, e a conformidade com o GDPR torna-se não apenas um requisito legal, mas também bom senso de negócios.

Como o GDPR afeta os planos e a funcionalidade do meu site?

O GDPR tem um impacto significativo nos requisitos do site, o que terá um efeito cascata na forma como o seu site se integra a outras atividades digitais, como marketing por e-mail, mídia social e atividades de comércio eletrônico.

O fio condutor que une todas essas recomendações é que, no GDPR, o conceito de consentimento livre, específico e informado está sendo fortalecido, com novas regras, o que significa que negócios como o nosso precisam ser mais transparentes.

Aqui estão 10 etapas que você deseja revisar para seu site e discutir as alterações necessárias com sua equipe de desenvolvimento da web. Qualquer dúvida, fique à vontade para entrar em contato comigo.

Vamos começar com as mudanças diretas que você precisará fazer e, em seguida, passar para as áreas mais complexas.

1. Formulários: aceitação ativa

Os formulários que convidam os usuários a se inscrever em boletins informativos ou indicam preferências de contato devem ser padronizados como “não” ou em branco. Você precisará verificar seus formulários para garantir que seja esse o caso.

Por exemplo, o formulário de registro atual do Boots pré-conformidade com o GDPR marcava a caixa de opt-in, forçando o usuário a ativamente opt-out. Muito travesso, má experiência do usuário, e deve ser alterado até maio.

Em 2020, esse formulário foi desmarcado de acordo com os requisitos do GDPR

Por outro lado, eu diria que a Sainsbury's não está me dando uma ótima experiência ao assumir uma opção de inclusão e me forçar a marcar a caixa para cancelar. Eu diria que eles podem estar navegando contra o vento, e definitivamente não estão me encantando como um cliente em potencial:

2. Opt-in não agrupado

O consentimento que você está solicitando deve ser definido separadamente para a aceitação dos termos e condições e a aceitação do consentimento para outras formas de uso de dados.

Neste exemplo, a Sainsbury's definiu claramente a aceitação de seus termos e condições e, separadamente, definiu a opção ativa para suas permissões de contato.

É uma pena que a Sainsbury's não tenha a opção de ser mais granular em termos de preferências de opt-in de comunicação (e-mail, SMS, postagem).

3. Opt-in granular

Os usuários devem ser capazes de fornecer consentimento separado para diferentes tipos de processamento.

Neste exemplo, o ABC Awards está pedindo permissão específica para cada tipo de processamento (correio, e-mail, telefone) e também pedindo permissão para detalhes anteriores de terceiros.

4. Fácil de retirar a permissão ou opt-out

Deve ser tão fácil remover o consentimento quanto concedê-lo, e os indivíduos sempre precisam saber que têm o direito de retirar seu consentimento.

Em termos de experiência do usuário da web, isso significa que o cancelamento da assinatura pode consistir na retirada seletiva do consentimento para fluxos específicos de comunicação:

Ou altere facilmente a frequência da comunicação ou interrompa totalmente todas as comunicações:

5. Partes nomeadas

Seus formulários da web devem identificar claramente cada parte para a qual o consentimento está sendo concedido. Não é suficiente dizer categorias especificamente definidas de organizações terceirizadas. Eles precisam ser nomeados.

Neste exemplo, você pode ver que John Lewis entende a essência de que precisamos para fornecer permissões nomeadas para atualizações de Waitrose, John Lewis e John Lewis Financial Services.

Anteriormente, o formulário pedia aos usuários que optassem por não aceitar:

6. Aviso de privacidade e termos e condições

O Information Commissioner's Office (ICO) gentilmente forneceu um exemplo de aviso de privacidade que você pode usar em seu site. É conciso, transparente e de fácil acesso.

Você também precisará atualizar seus termos e condições em seu site para consultar a terminologia do GDPR. Em particular, você precisará tornar transparente o que fará com as informações depois de recebê-las e por quanto tempo manterá essas informações em seu site e também nos sistemas de seu escritório.

Você também precisará comunicar como e por que está coletando dados. Sua política de privacidade precisará detalhar os aplicativos que você está usando para rastrear a interação do usuário.

7. Pagamentos online

Se você for uma empresa de comércio eletrônico, provavelmente usará um gateway de pagamento para transações financeiras. Seu próprio site pode estar coletando dados pessoais antes de passar os detalhes para o gateway de pagamento.

Se for esse o caso, e seu site estiver armazenando esses detalhes pessoais após a transmissão das informações, você precisará modificar seus processos na web para remover qualquer informação pessoal após um período razoável, por exemplo, 60 dias. A legislação GDPR não é explícita sobre o número de dias, é seu próprio julgamento quanto ao que pode ser defendido como razoável e necessário.

8. Software de rastreamento de terceiros

As coisas agora começam a ficar complicadas quando se trata de software de rastreamento de terceiros.

Muitos sites estão usando soluções de software de automação de marketing de terceiros em seus sites. Podem ser aplicativos de rastreamento de leads, como Lead Forensics, Leadfeeder ou CANDDI. Ou podem ser aplicativos de rastreamento de chamadas, como o Infinity Call Tracking ou o Ruler Analytics.

O uso desses aplicativos de rastreamento levanta algumas questões muito interessantes em termos de conformidade com o GDPR e, em minha opinião, essa ainda é uma área cinzenta. À primeira vista, esses aplicativos rastreiam os usuários de maneiras que eles não esperariam e para as quais eles não deram consentimento. Por exemplo, ele está monitorando meu comportamento cada vez que volto ao seu site ou visualizo uma página específica em seu site.

No entanto, os fornecedores desses aplicativos nos garantem que são compatíveis com o GDPR.

Em primeiro lugar, os fornecedores como a CANNDI estão avisando que os banners informando de forma clara e inequívoca que os cookies estão sendo usados,

E os fornecedores de software argumentam que o uso da tecnologia de rastreamento de cookies é do interesse legítimo de sua empresa como controlador de dados e, especificamente, o Considerando 47, que permite “processamento para fins de marketing direto ou prevenção de fraude”.

CANNDI aconselha:

Interesse legítimo - se usar o princípio do interesse legítimo no acompanhamento de seu site, é aconselhável ter registrado durante a preparação do GDPR que esse é o caso. Isso deve incluir os motivos pelos quais você está usando isso.

Quero agradecer à CANNDI por compartilhar sua perspectiva de GDPR e recomendo que você leia (PDF).

Os fornecedores dessas ferramentas estão confiantes de que são compatíveis com o GDPR. Mas se o software está fazendo algo ilegal, então é responsabilidade do seu negócio como o Controlador de Dados. A verdadeira questão é identificar os riscos de conformidade do GDPR ao usar esse tipo de software e mitigar seus riscos como proprietário de uma empresa. Como resultado, você precisa revisar cuidadosamente o seu contrato com esses fornecedores de software.

9. E quanto ao Google Analytics e ao Gerenciador de tags do Google?

Se você estiver interessado no compromisso do Google com o GDPR, um bom lugar para começar é este site: Como o Google cumpre as leis de proteção de dados

Muitos sites são configurados para usar o Google Analytics para rastrear o comportamento do usuário. O Google Analytics sempre foi um sistema de rastreamento anônimo. Não há “dados pessoais” sendo coletados, então acredito que o GDPR não afeta seu uso.

Com relação ao Gerenciador de tags do Google; é uma ferramenta poderosa que permite que seu site envie informações para aplicativos de terceiros inserindo pequenas quantidades de código. Você pode integrar repositórios de dados internos, bem como sistemas externos de remarketing e retargeting e uma série de outros serviços. A questão para as empresas com relação ao Gerenciador de tags é garantir que você tenha um contrato em vigor com os indivíduos que têm acesso ao seu Gerenciador de tags (que pode muito bem ser seu web designer ou agência de marketing digital) para garantir que eles entendam suas responsabilidades legais como um processador de dados em seu nome como controlador de dados.

Portanto, o problema subjacente com o novo GDPR é identificar e estabelecer contratos com seus processadores de dados terceirizados para proteger seus próprios interesses.

10. E, finalmente ... não é apenas o seu site que precisa ser compatível com o GDPR

As mudanças que estão sendo introduzidas com o GDPR permearão todo o seu negócio e, nesta série de artigos, estamos nos concentrando exclusivamente em seu marketing digital.

Ao começar a planejar os detalhes de seu site, você descobrirá uma caverna de questões de Aladim que precisará ser considerada. O Comissário da Informação forneceu um excelente conjunto de recursos para sua referência, mas aqui estão algumas questões-chave a serem consideradas agora, à medida que nos aproximamos do prazo de maio:

• Provavelmente, você tem muitos dados pessoais armazenados em vários locais da empresa. Você tem um bom entendimento e registro documentado dos dados que possui?
• Você precisa obter ou atualizar o consentimento para os dados que possui?
• Você tem uma política definida para o tempo de retenção de dados pessoais, para não retê-los desnecessariamente e garantir que sejam mantidos atualizados?
• Seus dados estão sendo mantidos com segurança, tendo em mente a tecnologia e os fatores humanos na segurança de dados?
• Se você é um controlador de dados ou processador de dados (ou ambos), você tem as disposições legais corretas em vigor?

Se precisar de ajuda com seu Web Design & Creative, não hesite em nos contatar.