GDPR 2018 în online – Consimţământ liber ales?

GDPR Consent, între teorie şi practică

După cum ştim cu toţii, site-urile web şi magazinele de comerţ electronic s-au umplut de mesaje şi avertizări de tip “cookie notice” în care vizitatorul este informat că acest site şi posibili terţi parteneri folosesc cookie-uri pentru a prelucra si colecta datele personale în diferite scopuri:

  • cookie-uri legate de simpla funcţionare a site-ului,
  • cookie-uri folosite pentru analiza traficului,
  • cookie-uri folosite pentru afişarea conţinutului şi personalizarea acestuia,
  • cookie-uri necesare personalizării mesajelor publicitare afişate de parteneri sau terţi, în funcţie de profilul vizitatorului,
  • etc.

Iată un exemplu:

Accept consent

Pentru a “scăpa” de acest mesaj este necesară acceptarea condiţiilor printr-un simplu click, în 99.5% dintre cazuri un buton foarte vizibil fiind prezentat utilizatorului ca unică opţiune, rapidă şi eficientă, astfel că cititorul scapă de mesajul respectiv şi a ajunge cât mai repede la content-ul dorit.

La click pe “Accept” vizitatorul îşi dă acordul pentru utilizarea de cookie-uri, colectarea şi folosirea datelor personale provenite din istoricul navigării acestuia pe site, de către site, terţi, parteneri, terţii partenerilor, partenerii terţilor etc. Cu alte cuvinte, acordă un consimţământ – consent de urmărire, analiză, targetare şi marketing tuturor celor interesaţi şi implicaţi, legaţi sau prin diferite modalităţi contractuale de site-ul respectiv.

 

Consimţământ în cunoştinţă de cauză

Oare aceasta este dorinţa expresă, conştientă, în deplinătate cunoştinţă de cauză a vizitatorului atunci când dă click pe “Accept”?

Oare vizitatorul a înţeles ca prin acest “Accept” rapid îşi exprimă acordul pentru a fi urmărit, targetat, măsurat, datele lui personale fiind folosite în scopuri de marketing şi analiză de alte companii?

Ca să fim cât mai imparţiali să menţionam că lângă butonul de “Accept” există şi un link (în 99.5% din cazuri de 10 ori mai puţin vizibil) care te duce într-o pagină în care ţi se prezintă (vesiunea diferă de la site la site) setările detaliate legate de cookie-urile folosite de site, precum şi de alţi terţi şi posibili parteneri.

De asemenea, poţi opta pentru dezactivarea/activarea cookie-urilor în funcţie de funcţionalitate şi de legătura directă sau indirectă cu proprietarul site-ului accesat. Setări în care un om normal se pierde cu siguranţă, sau abandonează procesul din lipsă de înţelegere.

 

Refuz

Toate bune şi frumoase, dar să nu uităm: directiva GDPR stipulează destul de clar modul în care setările şi optiunile de acord/dezacord pentru folosirea datelor personale ar trebui să fie prezentate utilizatorilor. Butonul de “Accept” cookies şi tracking ar trebui sa aibă un partener la fel de egal în faţa vizitatorului: “Refuz” tracking legat de datele personale.

Pentru a regăsi opţiunile alese trebuie sa faci un research serios al site-ului, răsfoind “Termenii şi condiţiile” de utilizare ale site-ului, însă este puţin probabil ca majoritatea utilizatorilor să aibă răbdarea şi skill-urile tehnice necesare pentru a face acest lucru.

O primă concluzie este ca în majoritatea cazurilor  utilizatorul îşi dă acordul “forţat”, presat de timp, răbdare, lipsa explicită a opţiunii de refuz etc.

Tot acest proces de setare al preferinţelor de confidenţialitate trebuie reluat la orice ştergere a cookie-urilor din browser sau la updatarea automată a browserului folosit – în ultima vreme browserele web se updatează săptămânal! Sanşele de “Acceptare” doar pentru a scăpa repede de mesajele deranjante puse pe ecran sunt extrem de mari!

 

“Am înţeles”. Doar atât.

În alte cazuri, “Am înţeles”, şi doar atât, este prezentat ca singura opţiune disponibilă utilizatorului înstiinţat ca acest site foloseste cookie-uri, iar dacă accesează mai departe site-ul, datele lui personale pot fi colectate şi prelucrate în diferite scopuri de către proprietarul site-ului sau de partenerii şi acestuia.

gdpr-am-inteles-1

“Am înţeles” ar fi trebuit acompaniat în spiritul GDPR de “Nu sunt de acord cu folosirea datelor mele personale”, însă acest lucru este lăsat pentru următorul pas: utilizatorul trebuie să citească câteva pagini despre cookie-uri şi alte informaţii similare, în cele din urmă realizând că singura opţiune de multe ori este “Să înţeleagă” si “Să accepte”!

Acest lucru nu prea se potriveşte cu recomandările GDPR. Accesul la un serviciu poate fi supus unui taxe de acces sau similar, şi rămane la latitudinea fiecărui site/furnizor de content/servicii să facă acest lucru, însă nu ar trebui sa fie condiţionat de utilizarea datelor personale ca metodă de plată pentru accesarea serviciului.

 

Da, sunt de acord. Nu, nu sunt de acord.

Mult mai simplu, etic şi transparent.

Acest tip de mesaj este foarte rar întalnit, dar, chiar şi asa, suntem departe de a fi compliant în spiritul GDPR, vom vedea într-un post viitor şi de ce: consent-ul nu este transmisibil.

 

Cum procedează marii jucători ai industriei publicitare online

Din perspectiva GDPR, jucătorii importanţi sunt priviţi ca terţi si parteneri ai celor ce deţin zona de publishing, ownerii site-urilor, sursa de conţinut.

Sa luăm ca exemplu Google si Facebook, playeri ce deţin monopulul advertising-ului digital.

Aproape toţi utilizatorii sunt atinşi de un sistem Google (android pe smartphone, Google Search, Google Ads, Google Maps samd). Datele personale (cookie, IP,  localizare, interes) sunt prezente în cam tot ce înseamnă dispozitiv conectat la internet, şi cei de la Google sunt obligaţi să manipuleze aceste date personale transparent şi conform cu GDPR. Nu mai vorbim de Facebook.

În realitate este că utilizatorul este parţial fentat, opţiunea de urmărire şi utilizare a datelor fiind implicit activă, pentru dezactivare şi refuz fiind nevoie de operaţii explicite ce necesită skill-uri avansate, plus multă multă răbdare. Ajungem la acelaşi mod de acordare a accept/refuzului, mod care se dovedeşte mult prea complicat şi greu de realizat în deplină cunoştinţă de cauză.

Tactici înşelătoare

“Accept” sau “Vezi mai multe setări”? Voi ce aţi alege atunci când vă grăbiţi, iar diferenţa de timp necesară efectuării celor două operaţii este în mod evident total dezechilibrată? Evident, calea de minim efort, adică “Accept”!

Concluziile le puteţi trage singuri. Opţiunea legată de prelucrarea datele personale ramân cum a fost setată iniţial de furnizorul de content: default ON.

Tactici înşelătoare am putea spune. Recent, şapte state europene acţionează Google în judecată pentru nerespectarea GDPR dintr-un motiv similar. Mai multe detalii aici: 7 EU countries accuse Google of violating GDPR by tracking users.

Iată că datele personale ajung principala monedă de schimb între consumatorul şi producătorul de conţinut. Fără consimţământul conştient al utilizatorului despre modul, unde şi cum mai exact vor ajunge să fie folosite datele personale (localizarea geografică, categoriile de interes, preferinţa pentru un anumit tip de conţinut etc.).

Într-un post ulterior vom analiza  cum se plimbă “datele personale” şi “consimţământul” în sistemele de advertising “programatice”.

Author: AdUnity

+10 years together in computer tehnology development