Printre cele mai folosite unelte digitale regăsim Google Analytics, Facebook Pixel (pentru retargetare și analiză trafic) și Mailchimp (pentru transmiterea newsletter-urilor). Ce au toate în comun? Sunt unelte gestionate de către companii din Statele Unite ale Americii și nu pot fi folosite conform regulamentului GDPR și a deciziei Curții de Justiție a Uniunii Europene în cazul C-311/18, cunoscut și ca Schrems II.
Care este problema cu transferurile de date personale către Statele Unite ale Americii?
Au americanii o lege, denumită FISA 702 (Foreign Intelligence Surveillance Act), prin care „furnizorii de servicii de comunicații electronice” din SUA (astfel cum sunt definiți în 50 U.S.C. §1881(4)) pot fi obligați să ofere autorităților de securitate americane acces la datele cu caracter personal ale „persoanelor din afara SUA”, care sunt definite ca orice persoană care nu este cetățean american sau rezident permanent al SUA. Ordinele de supraveghere prevăzute de această lege nu trebuie să fie specifice unei ținte individuale, ci mai degrabă să permită un întreg program de supraveghere generală. FISA 702 permite, de asemenea, supravegherea în scopuri destul de largi, cum ar fi „informații care … se referă la … desfășurarea afacerilor externe ale Statelor Unite” [a se vedea 50 U.S.C. §1801(e)]. Există, de asemenea, puteri de supraveghere ale SUA bazate pe „puterea inerentă a președintelui SUA” și definite în continuare într-un ordin executiv (EO 12.333), în timp ce alte elemente sunt descrise în Directiva 28 privind politica prezidențială (PPD-28). Ambele sunt ordine interne în cadrul ramurii executive care nu creează nicio obligație sau drepturi pentru entități private, dar permit supravegherea persoanelor din afara SUA.
Pe scurt, americanii pot solicita companiilor americane să le predea orice fel de date personale ale oricărei persoane, stocate de acestea pe serverele lor – indiferent de locația serverelor.
Ok, americanii se protejează de teroriști – cu ce ne afectează pe noi acest lucru?
În general, când o țară dorește să afle informații despre un cetățean al unei alte țări, trebuie să depună solicitări oficiale prin intermediul unor mecanisme de cooperare internaționale. GDPR și legislația UE permite gestiunea unor astfel de solicitări. Însă, prin intermediul legislației americane, autoritățile americane pot scurtcircuita aceste mecanisme. Ori acest lucru contravine GDPR care obligă companiile ce exportă date personale din UE să ia toate măsurile tehnice și organizaționale necesare pentru a asigura același nivel de protecție al datelor personale exportate precum este asigurat de către GDPR.
Deci, dacă exporți date personale în Statele Unite, trebuie să faci cumva ca autoritățile americane să nu le poată intercepta ocolind mecanismele de cooperare internațională. „Cumva” însemnând măsuri gen BYOK, asupra cărora nu voi insista.
Care este problema cu Google Analytics, Facebook Pixel și Mailchimp?
Google Analytics colectează foarte multe date personale ale utilizatorilor ce vizitează un site. Vorbim de adresa IP, acțiunile utilizatorilor, site-uri vizitate, data și ora vizitelor etc. În teorie, aceste date pot fi folosite pentru a identifica indirect o persoană, drept urmare se aplică GDPR. Chiar și în cazul Google Analytics 4, până ca datele de IP să fie anonimizate ele ajung pe servere ale Google. Drept urmare, se aplică GDPR. Autoritățile din câteva țări membre ale Uniunii au decis să interzică cu totul utilizarea Google Analytics.
Decizii similare s-au luat și în cazul lui Mailchimp și de curând, al lui Facebook Pixel. Practic, problema este că utilizând astfel de tool-uri de tracking americane, riști să iei amendă de la Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal (ANSPDCP) folosind fix același raționament din cazul deciziilor enumerate mai sus. Regulamentul este același în toate țările membre.
Ce alternative sunt?
Google Analytics și Facebook Pixel sunt foarte folosite fiindcă sunt gratuite și fiindcă sunt (sau erau) eficiente. Spun că ERAU fiindcă Apple a introdus în iPhone o tehnologie denumită App Tracking Transparency Framework care obligă orice publisher de aplicații să ceară consimțământ pentru datele personale ce pleacă de pe telefon. Inclusiv pentru tehnologiile de tracking; drept urmare, lumea nu prea este de acord cu tracking-ul așa că ghici ce – nu mai funcționează algoritmii Google și Facebook bine. Însă chiar și așa, eficiența lor este cu mult peste eficiența de retargeting și remarketing ale celorlalte unelte din piață.
Însă ca unelte de analiză a traficului ce vine pe site recomand câteva unelte bune, conforme cu GPDR:
- Piwik Pro, unealtă oferită de către o companie din Polonia. Este gratuit pentru utilizarea a până la 500.000 de activități lunare și oferă funcționalități similare cu Google Analytics: rapoarte, fluxul, funnel, engagement. Are și un dashboard de SEO.
- Matomo, unealtă open-source folosită și de către multe instituții ale Uniunii Europene. Este gratuit, dar dacă vrei facilități gen rapoarte customizate sau A/B testing te costă. De asemenea te costă dacă vrei să folosești Matomo hostat în cloud-ul Matomo. Oferă funcționalități similare Google Analytics, dar ai controlul asupra datelor, nu folosește cookies.
Ca unelte de trimis newslettere, pot recomanda:
- Sendinblue, oferit de către o companie din Franța. Are rate foarte bune de delivery, însă până au încredere în tine că nu spamezi te limitează la numărul de email-uri pe care le poți trimite într-un calup. Însă au platformă nu doar de email marketing, ci și SMS Marketing, marketing automation, chatbot și CRM.
- Newsman, oferit de către o companie din România. Permite A/B testing, optimizarea trimiterii în funcție de oră, retrimitere automată, personalizare, tagging, marketing automation, SMS Marketing, email-uri tranzacționale. Cel mai mare beneficiu: sunt din România, ai unde să suni și cu cine să vorbești dacă ai probleme.
Toate uneltele de mai sus sunt folosite de către clienți ai Tudor Galoș Consulting. Nu vorbesc „din cărți” aici.
Aflați mai multe despre cum să aduci la conformitate acțiunile de marketing din cadrul organizației participând la cursurile noastre. Obține o certificare de Data Protection Officer, acreditată la ANC, participând la cursul din Mai 2023.
