Deve ser bastante óbvio para qualquer um que me conhece que eu não sou um advogado, e, portanto, que o que se segue não é um aconselhamento jurídico. Para quem não me conhece: eu não sou um advogado, com certeza, não estou ao seu advogado, e o que se segue é, definitivamente, não constitui aconselhamento jurídico.

Com isso fora do caminho, eu queria dar-lhe alguns bits de informações que podem feed no seu GDPR de planejamento, como eles vêm até mais do marketing do que a pura interpretação jurídica de suas obrigações e responsabilidades, de acordo com a nova legislação. Enquanto a maioria dos departamentos jurídicos serão, considerando os impactos diretos do GDPR em suas próprias operações, muitos podem perder os impactos que outras empresas (ou seja, neste caso, do Google) cumprimento ações têm sobre os seus dados.

Mas eu poderia estar ficando um pouco à frente de mim mesmo: é bem possível que nem todos sabem o que GDPR é, e por que, ou se você deve se preocupar. Se você não sabe o que é, e você só quer ficar ao meu opiniões, vá em frente e pule para baixo na página.

O que é o GDPR?

O tweet de comprimento versão é que o GDPR (Geral de Proteção de Dados Regulamento) é nova UE legislação sobre proteção de dados e privacidade para os cidadãos da UE, e isso se aplica a todas as empresas que oferecem mercadorias ou serviços para as pessoas na UE.

Mesmo se você não é baseada na UE, ele se aplica à sua empresa, se você tem clientes que são, e ele tem os dentes (multas até o maior, de 4% da receita global ou EUR20m). Que entra em vigor em 25 de Maio. Você provavelmente já ouviu falar sobre ele através de uma miríade de organizações que colocá-lo em sua lista de e-mail sem pedir e agora estão enviando por e-mail que você “aceite de volta.”

Na maioria das empresas, ele não vai cair para a equipa de marketing a pesquisa de tudo o que tem que mudar e alcançar a conformidade, que é, vale a pena ficar a velocidade com, pelo menos, o alto nível de estrutura de tópicos e, em particular, as suas exigências em torno de consentimento informado, que é:

“…qualquer dado livremente, específico, informado e inequívoco, indicação dos dados do sujeito desejos pelos quais ele ou ela, por declaração ou por uma clara ação afirmativa, significa concordância com o processamento de dados pessoais relativos a ele ou ela.”

Como sempre, quando são feitas as leis sobre as novas tecnologias, há muitas questões a serem resolvidas, e, de fato, piadas ser feitas:

Você pode recomendar um GDPR especialista?-yesCan eu tenho seu endereço de e-mail?-não— Adão Cleevely (@ACleevely) 2 de Maio de 2018

Mas meu post de hoje não é sobre o que você deve fazer para obter conformidade — que é específico para sua situação — e uma tonelada tem sido escrito sobre este já:

A minha intenção não é escrever um guia geral, mas, sim, para avisá-lo sobre duas coisas específicas que você deve estar fazendo com o google analytics (Google Analytics, em particular) como resultado de alterações que o Google está fazendo por causa de GDPR.

Consequências inesperadas GDPR

Ao lidar diretamente com uma pessoa na UE, e eles dão-lhe informações pessoalmente identificáveis (PII) sobre si mesmos, que são, normalmente, no que é chamado de o “controlador de dados” de função. O GDPR identifica também um outro papel, o que ele chama de “processamento de dados”, que é qualquer outra empresa, sua empresa usa como um fornecedor e que lida com que PII. Quando você usar um produto como o Google Analytics em seu site, o Google está tomando o papel do processador de dados. Enquanto a maioria das restrições do GDPR se aplicar a você como o controlador, o processador também deve cumprir, e é aqui que podemos ver algumas potencialmente indesejados (mas, possivelmente, previsível) consequências da legislação.

O Google é, sem surpresa, buscando minimizar seus riscos (eu digo que é de se estranhar, pois, aqueles que GDPR multas pode ser tão grande quanto $4,4 bilhões, com base no último ano, a receita se eles erram). Eles estão fazendo isso em primeiro lugar, empurrando-a tanto como a obrigação para você (o controlador de dados) como possível e, em segundo lugar, indo mais por omissão do que o GDPR requer e sendo mais agressivo do que o regulamento exige que encerrar contas que infrinjam os seus termos (independentemente se a infração também infringe o GDPR).

Isto é inteiramente racional — com GA sendo na maioria dos casos, um produto oferecido de graça, e o valor de vir para o Google inteiramente no total, ele faz perfeito sentido para limitar os riscos de formas que não degradar o seu valor, e a apenas chute arriscado configurações fora da plataforma, ao invés de tomar no extremo risco financeiro para o indivíduo livre contas.

Não só o Google, por sinal. Existem outros fornecedores de fazer outras coisas semelhantes que, sem dúvida, requerem ações semelhantes, mas eu estou me concentrando no Google aqui simplesmente porque GA é generalizada em toda a web mundo do marketing. Algumas companhias estão até mesmo indo tão longe a ponto de desligar inteiramente para os cidadãos da UE (como desenrolar.me). Veja este segmento Twitter dos outros.

Consequência 1: Padrão de retenção de dados de configurações para GA irá apagar os seus dados

Começando em 25 de Maio, o Google vai mudar o padrão para a retenção de dados, o que significa que, se você não agir, certos de dados com mais do que o corte será automaticamente eliminado.

Você pode ler mais sobre os detalhes da alteração no Krista Seiden blog pessoal (Krista trabalha no Google, mas este post é escrito em sua capacidade pessoal).

A razão de eu dizer que isto não é estritamente uma GDPR coisa é que ele está relacionado com as alterações que o Google está fazendo em sua extremidade para garantir que eles cumpram com suas obrigações como um processador de dados. Ele dá a você as ferramentas que você pode precisar, mas não é estritamente relacionados com o seu GDPR conformidade. Mas não há nenhum “direito de resposta” à questão de quanto tempo você precisa/deve ser/são permitidos para manter os dados armazenados no GA sob a GDPR, mas pela minha leitura, dado que ele não deve ser PII de qualquer maneira (veja abaixo), ele não é realmente um GDPR questão para a maioria das organizações. Em particular, não há nenhum motivo especial para pensar que o Google padrão é o correto/mandato/definição só você pode escolher sob o GDPR.

Ação: Rever as promessas sendo feitas por sua equipe jurídica e sua nova política de privacidade para compreender a correta definição de cronograma para a sua organização. Na ausência de explícita promessas para o seu blog, o meu entendimento é que você pode manter qualquer um dos dados que foram autorizados a captar, em primeiro lugar, a menos que você receber uma solicitação de exclusão contra ele. Assim, enquanto a maioria orgs vai ter pelo menos algumas alterações para tornar a políticas de privacidade, no mínimo, a maioria GA os usuários podem alterar de volta para reter esses dados indefinidamente.

Consequência 2: o Google é a exclusão de GA contas para a captura de PII

Ele tem sido contra os Termos de Serviço para armazenamento de quaisquer informações pessoalmente identificáveis (PII) no Google Analytics. Recentemente, no entanto, parece que o Google tem se tornado muito mais diligente na verificação da presença de PII e sólidas em sua manipulação de contas encontrado para conter qualquer. Colocado de forma mais simples, o Google irá excluir a sua conta, se eles acham PII.

É impossível saber com certeza que este é GDPR-relacionados, mas ser capaz de, se necessário, para demonstrar para os reguladores que estão a tomar rigorosas medidas contra qualquer pessoa que infringir os seus PII-termos relacionados é uma óbvia mover para o Google para reduzir o risco a que estão expostos como um Processador de Dados. Ele faz sentido em uma área onde a grande maioria das contas são contas gratuitas. Muito parecido com o ponto anterior, e a razão de eu dizer que este está relacionado com a Google resposta para o GDPR de entrar em vigor, é a de que seria perfeitamente possível obter a sua permissão de usuários para gravar seus dados em serviços de terceiros, como GA, e totalmente em conformidade com os regulamentos. Independentemente das permissões que seu blog lhe dar, do Google GDPR relacionadas com a repressão (e mais pesado aplicação dos termos relacionados que foram presentes por algum tempo) significa que é um novo e maior risco do que era antes.

Acção: Auditoria seu GA perfil e implementação do PII riscos:

Não tome o seu legislação da UE conselho de grandes-NOS que as empresas de tecnologia

O esforço interno e coordenação necessária do Google para fazer a sua parte para cumprir mesmo “apenas” como processador de dados é significativa. Infelizmente, há fortes argumentos de que este tipo de aparentemente amigável regulamento que gera uma desmedida cumprimento dos encargos para as pequenas empresas vão consolidar o duopólio e a dominância do Google e Facebook e habilita-los para passar os custos e encargos de conformidade para setores que já estão lutando.

Independentemente da intenção ou consequências não intencionais do regulamento, parece claro para mim que nós não deveríamos estar a basear o nosso próprio das empresas (e dos nossos clientes) o cumprimento da auto-interessado conselhos e ações das gigantes da tecnologia. Não importa o quão impressionante a sua própria conformidade, eu tenho sido extremamente desapontados por orientação de conteúdo que eles colocaram para fora. Ver, por exemplo, do Google GDPR “lista de verificação” — não é exatamente o que eu espero para:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *