Cei șapte ani de-acasă în politica de Cookies

 

Tudor GALOS

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard.

Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”.

Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc.

Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante.

Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimizat, indexat, contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR.

Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”).

Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter).

Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/ retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”.

Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online.

„Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai re levante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește.

Dar cum să știe că tu ești, să zicem, Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!).

Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor:

  • consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing),
  • consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc),
  • consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite.

Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul).

Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău.

Și, ghici ce, asta ține fix de „ce ție nu-ți place…”. Ține de cei șapte ani de acasă…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 55-57. 

Advertisements
%d bloggers like this: