As quatro principais armadilhas encontradas em minhas auditorias de conformidade de privacidade da DA

Por um lado, de acordo com a pesquisa da KPMG, 40% dos consumidores são céticos em relação à capacidade das empresas de proteger seus dados pessoais e sua privacidade on-line. No entanto, pesquisas do BCG, do Google e do IAB indicam que 75% dos entrevistados só querem ver anúncios que sejam relevantes para suas preferências. Por isso, é fundamental ter soluções que atendam a essas duas necessidades prioritárias: privacidade e conteúdo relevante.

Como especialista sênior em análise digital e líder de equipe, realizei várias auditorias de privacidade ao longo dos anos e, durante o processo, identifiquei algumas armadilhas que, na minha opinião, são mais comuns do que outras e podem comprometer a proteção de dados. Não tenha medo, pois este artigo revela essas armadilhas traiçoeiras! Prepare-se para conhecer as quatro principais coisas a serem evitadas ao definir as configurações de privacidade em sua implantação de análise digital.

A tentação de "rastrear tudo

Ah, sim, a tentação de "rastrear tudo" que inevitavelmente passa pela nossa cabeça: "Não há nenhuma prioridade ou caso comercial, queremos rastrear tudo" Mas esperem, queridos aventureiros de dados, não vamos abandonar o nobre princípio da "privacidade desde a concepção" Deixar esse princípio de lado traz grande perigo para nossas práticas éticas de dados.

A tentação de rastrear tudo é frequentemente sentida por equipes com grandes orçamentos que estão usando várias ferramentas de análise para rastrear os mesmos pontos de dados, passando a maior parte do tempo discutindo sobre qual ferramenta está registrando os números corretos. Elas querem ser capazes de responder a qualquer pergunta, quando deveriam se concentrar em encontrar as perguntas certas a serem feitas.

Isso ocorre porque a abordagem Tracking Everything coloca a privacidade em risco: na verdade, essa declaração contradiz diretamente os princípios da privacidade desde a concepção. Ela colocará a marca na posição de coletar informações de que não precisa, violando a privacidade do usuário final. Essencialmente, você estaria gastando muito dinheiro para correr o risco de pagar uma grande multa.

Independentemente das preocupações com a privacidade, esse comportamento é caro de outras maneiras. Ele revela certa imaturidade dos dados, o que pode levar a dificuldades para manter seus conjuntos de dados organizados e econômicos. Como resultado, os consumidores de dados podem se tornar céticos em relação ao seu produto de análise.

Essa priorização pode ser realizada por meio de uma estratégia de medição bem definida. Para definir essa estratégia, considere quais sinais você provavelmente esperaria ver no seu conjunto de dados quando os usuários estiverem envolvidos (ou não).

Como etapa preliminar, recomendo a realização de um workshop com todas as partes interessadas para definir prioridades e alavancas. Depois, e somente depois, comece a coletar dados. Isso o ajudará a desenvolver uma fonte de verdade confiável e fidedigna que inclua todas as partes interessadas relevantes.

Você sempre pode adicionar pontos de dados à medida que avança em sua análise e faz novas perguntas inteligentes, mas rastrear dados simplesmente por tê-los é errado. Seus acionistas ficarão agradecidos. Não se deve vender bazucas a pessoas que precisam matar formigas. Ajude-as a crescer em um ritmo para o qual estão preparadas.

Consentimento implícito por padrão

Vejo com frequência o consentimento implícito definido como a configuração padrão e outros regulamentos, como o GDPR, aplicados em uma base regional. Se a geolocalização da sua CMP for bloqueada por qualquer motivo (sim, já vi isso acontecer), você corre o risco de que o consentimento implícito seja aplicado a países onde deveriam ser aplicadas regulamentações mais rígidas.

Se a empresa opera principalmente em uma região em que o consentimento implícito é permitido, pode fazer sentido para o DPO aceitar o risco e deixá-lo de lado. No entanto, se você quiser ser um defensor da privacidade, a configuração padrão deve ser a opção mais segura disponível, ou seja, as normas mais rígidas devem ser aplicadas por padrão, enquanto as normas mais brandas devem ser aplicadas em cada país. Considere que a maioria das regiões que não têm uma regulamentação está avaliando sua aplicação, e nunca é cedo demais para demonstrar aos seus usuários que você se preocupa com eles.

Os acionadores de tags regionais

Um equívoco comum é que as tags de marketing não exigem acionadores de bloqueio se forem disparadas somente em seções específicas de regiões dos sites.

Como esse tipo de implementação é "específico da tag", ele exigirá manutenção extensiva e é mais propenso a erros humanos. Além disso, mesmo que o consentimento implícito seja presumido para uma região específica, é fundamental seguir os regulamentos de privacidade, como o ePrivacy e o GDPR, quando indivíduos de outras regiões (por exemplo, a UE) acessam um aplicativo ou um site.

Em vez de depender de acionadores do sistema de gerenciamento de tags, garanta uma implementação escalável e compatível com a privacidade centralizando a decisão sobre o consentimento implícito ou explícito em sua CMP. Certifique-se de que todas as tags de marketing tenham a mesma configuração de consentimento, independentemente de onde devam ser disparadas (por exemplo, disparar somente se ad_storage estiver definido como granted). Se forem tags de marketing, elas sempre serão tags de marketing, independentemente de onde forem disparadas!

No Google Tag Manager 360, o emprego de uma abordagem baseada em zonas para agrupar tags com a mesma finalidade pode ser altamente eficaz. Isso permite que você configure a conformidade de consentimento apenas uma vez para uma zona específica (por exemplo, "tags de marketing") e aplique-a a todas as tags que pertencem a ela.

Compreensão errônea do escopo das tags do Google Analytics

É um equívoco comum pensar que as tags do GA só definem cookies para fins de análise. No entanto, tanto o GA3 (Universal Analytics) quanto o GA4 usam recursos como o Google Signals e o Remarketing, que exigem o consentimento do usuário para usar identificadores de personalização e remarketing.

Não se preocupe, pois o Modo de consentimento entra em cena, defendendo a conformidade sem esforço. Quando configurado corretamente, o Modo de consentimento cuida automaticamente dos recursos baseados em consentimento. No entanto, se ele não estiver à vista, devemos planejar uma configuração explícita.

Quando o Modo de consentimento não está em vigor, você pode desativar o Google Signals e/ou os recursos de Remarketing de forma programática. Todos os recursos de personalização de publicidade podem ser desativados definindo o parâmetro "google_signals" como "false" por padrão e "true" somente quando o usuário consentir em ser identificado para fins de marketing.

Em resumo, considere essas armadilhas comuns e as soluções propostas para garantir a conformidade com as normas de privacidade ao implantar configurações de privacidade para coleta de dados digitais. Priorizar a privacidade não apenas protege as informações pessoais dos indivíduos, mas também contribui para a confiança na marca e, em última análise, melhora a experiência do cliente.

Por fim, lembre-se de que esta não é uma orientação jurídica, mas sim minha posição ética sobre o assunto. Ao tomar decisões relacionadas à privacidade, recomendamos que consulte o seu DPO e a equipe jurídica.