AdSense vs. GDPR - Mare atentie

[emm]

Intrucat AdSense pare sa fie afectat serios de noile reguli GDPR, m-am hotarat sa scriu un post specific aici, de informare pentru membrii forumului. Este o chestiune pe care am tot discutat-o recent prin alte locuri, pentru ca implicatiile sunt majore. Comunic ceea ce stiu deocamdata, daca apar alte informatii mai precise voi reveni cu un update.

Stiu ca multi folosesc AdSense, care cade fix in "curtea" GDPR (marketing si monetizare). Daca aveti asa ceva pe site, cititi mai jos.

Principala problema este ca AdSense transmite datele utilizatorilor catre Google. Mai mult, seteaza si cookies (care sunt utilizate pentru chestiuni gen securitate, frequency capping si altele).

Prin urmare, conform GDPR, inainte de a afisa codul AdSense utilizatorilor, trebuie sa le cereti consimtamantul.

Aici apar o gramada de probleme, "opening a can of worms" cum se zice in engleza (nu am gasit un echivalent in romana):

- Doar un foarte mic numar de utilizatori va da consimtamantul. Cateva procente. In fond, ca vizitatori, de ce ati accepta sa impartiti datele voastre cu Google si sute de alte firme in spate, ca sa va bage pe gat reclame de care nu aveti nevoie? Deci daca introduceti un checkbox de accept, sunteti in regula... dar nu va mai asteptati la venituri, ca nu va ajung de o inghetata.

- Google nu poate fi considerat data processor. Motivul este simplu, publisher-ii adsense nu controleaza intregul "tree" de date cum este cazul intr-o relatie de data processor GDPR-compliant. Dimpotriva, datele sunt imprastiate mai departe catre sute de firme si prin ei la mii de advertiseri. Este imposibil de controlat. Teoretic, ca sa fiti compliant ar trebui sa cereti acceptul utilizatorilor nu doar pentru Google, ci si pentru fiecare din sutele de platforme din spate si sa postati link-uri catre politicile lor de confidentialitate (catre toate), astfel incat informarea sa fie completa inainte de accept. Deci gradul de imprastiere a datelor personale este foarte mare, si implicit incalca serios GDPR.

Ca exemplu de situatie opusa, compliant, in care controlezi acest "tree", sa zicem ca ai un server la Amazon AWS iar Amazon AWS foloseste un datacenter inchiriat in care tine servere. Daca datacenter-ul este GDPR compliant iar hostul la fel, atunci este in regula. (datele sunt controlate si stocate conform legii)

- Pentru cei care vor argumenta ca nu transfera date personale: Chiar si adresa de IP este considerata PII si conform GDPR trebuie sa ceri acceptul, tinand si cont de contextul semnificativ (marketing). Nu este o zona de legitimate interest. Prin urmare, da, transferati date personale in scopuri de marketing. Va trebuie consimtamantul explicit al vizitatorului pentru asta.

- Partea contextuala este o alta problema, pentru ca transmite informatii suplimentare despre interesele utilizatorului. Google a transmis ca lucreaza la o versiune non-contextuala a AdSense, probabil au primit foarte multe cereri in acest sens. Din pacate, aceasta nu ajuta cu nimic; probabil ads vor fi category-based, in care caz eficienta ads va tinde catre zero. Si va continua sa foloseasca cookie, adica iarasi nu ajuta la nimic.

- Google nu are o problema majora cu acest serviciu. Nu ii doare foarte tare. Ei vor continua sa existe chiar daca AdSense devine ineficient sau chiar se inchide. Sunt prea mari ca sa se impiedice de atat, si au destul inventory propriu de vandut.

- Multi vor tinde sa aleaga varianta constrangerii, cum fac siturile de stiri vs. AdBlock: "Vrei sa intri pe situl meu, TREBUIE sa accepti AdSense, altfel nu vezi nimic." Cu parere de rau, nu merge. GDPR interzice si asta. Nici macar incentives gen "iti dau un ebook daca accepti sa-mi dai datele tale" nu mai sunt permise.

As mai adauga cateva randuri despre ce face Google in acest sens. Cred ca multi ati primit mesaje de la ei. Daca va asteptati sa rezolve problema urgent, mai aveti de asteptat.

Deocamdata ei se pregatesc strict pentru compliance-ul lor intern GDPR, ceea ce practic este ce au de facut. Daca va inchipuiti ca Google este responsabil cu ceva in fata legii, in situatii de investigatie, va inselati. Google ofera un serviciu in anumite conditii. Raspunderea este a publisher-ului; voi decideti sa afisati codul catre vizitatori si daca apare o investigatie din partea autoritatilor, se va lua de posesorul sitului, si pe buna dreptate (conform legii).

Problema este mult prea larga pentru a putea fi rezolvata de Google; in fapt nu cred ca are rezolvare, cel putin conform formei actuale a legii. Singura varianta care ar ajuta ar fi noi reglementari si/sau norme de implementare favorabile AdSense, si mai ales o clauza de exceptie acordata Google pentru acest serviciu, ceea ce este foarte putin probabil (spre imposibil, avand in vedere spiritul legii).

Iar in Romania, stim cu totii ca nu este bine sa fii investigat de autoritati; nu va trebuie asa ceva. Cea mai buna varianta este sa nu oferi motive pentru o investigatie de la bun inceput. Surubul legii se va strange treptat pentru ca reprezinta trecerea intr-o noua lume: Sfarsitul "Wild Wild West" in Internet, de data breaches necontrolate si ridicare din umeri. Apare raspunderea, amenzi majore, si legea e facuta de asa natura incat va forta si statele unde nu se aplica inca, sa intre in trend.

Personal, daca as folosi AdSense astazi, m-as indrepta urgent catre o alta forma de monetizare, fie afiliere fie sectiune proprie de magazin in care sa vand produse related, ca forma de monetizare. Deocamdata pare sa fie singura solutie la aceasta problema. Iar veniturile pot fi mult mai bune decat Adsense; doar ca este mult mai complicat, evident.

Nu recomand "panica imediata si totala", dar pe termen scurt si mediu va trebui sa deveniti GDPR compliant, intr-o forma sau alta si cu implicatiile de rigoare. Va recomand sa va informati si sa luati niste decizii cat de curand (25 Mai se apropie).

( Daca mai apar informatii, voi posta aici. Saptamana viitoare am o sesiune importanta GDPR cu casa de avocatura cu care lucrez in RO, sa vedem, poate apar ceva noutati. )

[Rapsodia]

As mai adauga cateva randuri despre ce face Google in acest sens. Cred ca multi ati primit mesaje de la ei. Daca va asteptati sa rezolve problema urgent, mai aveti de asteptat.

Eu aștept sa vad cu o rezolva pe Blogger! Ai vazut un site care s-a conformat cerințelor? Am un site de stiri la care cateva postari au fost vizionate [ nu impact, views ] de 6 milioane de .. sper eu romani, adica ce fac le cer consimtamantul la juma dintre adulti [ minorii au discernamant cand accepta sa nu? ]. Mai bine dau anunt pe TV sau particip la alegeri cam aiurea sa iei acceptul tuturor romanilor... ma gandesc ca sunt site-uri care au acoperit 80% din mediul online romanesc...!

On Topic: bine punctat, mersi!

[gabetu]

Cea mai mare problema este legata de faptul ca "Chiar si adresa de IP este considerata PII conform GDPR", in unele cazuri.

https://www.whitecase.com/publicatio...ata-some-cases

https://www.enterprisetimes.co.uk/20...ddress-is-pii/

https://piwik.pro/blog/what-is-pii-personal-data/

Nu sunt mare specialist in adsense, publicitate, afiliere sau GDPR dar daca "personal data" inseamna "any information relating to an identified or identifiable natural person" ce legatura au totusi cu adresa IP a unui computer/device ?

Desi n-am citit toata legislatia, ceea ce am inteles pana acum este ca ar trebui doua politici separate:

1. Politica de cookies (care este totusi in vigoare de prin 2012 parca)
Informarea utilizatorului despre cookie-urile folosite, despre cum le poate sterge, dandu-i posibilitatea acestuia de a seta ce cookie-uri permite/nu permite.

2. Politica GDPR
Informarea utilizatorului despre ce date personale se colecteaza, cum se stocheaza, cum se securizeaza, cum le poate modifica si cum poate solicita stergerea lor.

Ce implementari mai interesante am gasit:
https://www.fjallraven.com/legal-con...cookie-policy/

https://www.tuigroup.com/en-en/meta/...ection-cookies

"The IP anonymisation function offered by Google Analytics has been activated on our website. IP addresses are therefore truncated before being stored and processed so that they cannot be traced back to any particular individuals."

[emm]

@gabetu, depinde de utilizare. Adresa de IP este considerata PII conform legii. Ce, cum, de ce - asta e alta discutie. In general identificarea se face in combinatie cu alte bucatele de informatie.

Conteaza si felul in care e utilizata. Daca IP-ul este in logurile serverului si ramane acolo pentru securitate, e utilizare justificata. Daca o iei si o folosesti la marketing, nu mai e justificata.

GDPR supersede (fie si partial) politica veche de cookies si din cate stiu in Decembrie trebuie sa iasa noua ePrivacy regulation care va raspunde direct acestor intrebari. De notat, vechea ePrivacy este Directiva, noua ePrivacy este Regulament, iar diferenta este ca are caracter de lege si trebuie implementata in fiecare tara prin mecanismele legislative locale.

Cert este ca toate interpretarile actuale GDPR pe care le-am vazut (consultanti GDPR cu experienta; inclusiv avocati din afara care au experienta specifica pe proiecte de data protection, inclusiv din UK) spun acelasi lucru: Conform GDPR, pentru cookies persistente iti trebuie consimtamant prealabil. ePrivacy cel nou va aduce mai multe precizari, dar nu schimba directia si reglementarile GDPR, ci doar cumva le transpune in recomandari tech mai specifice.

A - si subiectul este clar AdSense, Google Analytics este alta chestiune. Hai sa stam on-topic.

[Dan]

IP nu este data personala conform legii. Poate fi, in cazul in care tu, că site, poți identifica persoana prin mijloace rezonabile. Și nu poți.
Nu mai speriați oamenii.

[emm]

IP nu este data personala conform legii. Poate fi, in cazul in care tu, că site, poți identifica persoana prin mijloace rezonabile. Și nu poți.
Nu mai speriați oamenii.

Corect. Poate fi, dar depinde de context si utilizare. Si in general in conjunctie cu alte date. De exemplu ca sta in server logs, sau pentru securitate, nu e o problema (utilizare justificata). Sau cand dpdv legal esti obligat sa o pastrezi (exemplu: legea VAT MOSS, pentru cei care vand produse digitale).


Eu sper ca odata cu ePrivacy sa se introduca niste recomandari de implementare care sa traga linia aia fina intre ce este permis si nu. Si sa tina cont de ce se poate dpdv tehnic. Deocamdata insa nu avem. Ar fi de mare ajutor.

[emm]

Apropo de adresa IP, circula un exemplu cu John care conduce o Honda.

John sta intr-un oras mic. El este singurul care are o Honda in oras. Adresa de IP nu poate preciza din start ca acela este John.

Totusi situl local care vinde piese auto, cineva intra si cumpara piese de pe IP-ul ala il poate (teoretic) identifica pe John, pentru ca e singurul care are asa ceva in oras. Ba mai rau, inclusiv dupa model, an etc.

Dincolo de exemplul asta generic, ideea de baza este: Daca se aduna suficiente bucatele de date, care in sine nu reprezinta PII, ele pot deveni PII luate impreuna. Totul sta in granularitate. Daca "cerni" suficient datele se ajunge la o posibilitate rezonabila de identificare, cu o anumita marja de eroare. Iar atunci devine PII si se supune GDPR.

[Rapsodia]

Totusi situl local care vinde piese auto, cineva intra si cumpara piese de pe IP-ul ala il poate (teoretic) identifica pe John, pentru ca e singurul care are asa ceva in oras. Ba mai rau, inclusiv dupa model, an etc.

Daca "cerni" suficient datele se ajunge la o posibilitate rezonabila de identificare, cu o anumita marja de eroare. Iar atunci devine PII si se supune GDPR.

@emm: daca si cu parca, totusi un blogger nu poate identifica nimic dupa IP, asa poti sa zici ca eu pot sa stiu cine e Dan dupa poza din forum + locatie [ coroborat cu adresa skype + ultima discutie in privat ] era un banc cu violatul, politistul si tip a la pescuit care circula la Facultatea de drept: politaiul voia sa o amendeze pentru ca statea in barca cu scule de pescuit, avea si posibilitatea si instrumentele la el... iar el era deja pasibil de viol ca doar avea la el instrumentul, oportunitatea si ... etc. Legile sunt facute sa prinzi infractorii nu sa presupui ca s-ar putea intampla .. preventiv cum mai fac romanii.. [ o parere de absolvent de drept acum o gramada de ani, nepracticant ].

[catalinux19]

Ar fi o mare tampenie sa se aplice pentru astfel de sisteme inteligente care au avansat foarte mult si sunt atat de performante incat sa multumeasca atat magazinul online care se promoveaza cat si clientul care primeste reclame relevante.

Sunt de parere ca la fel de mult cum i-ar lovi pe publisherii adsense i-ar lovi mai mult pe proprietarii de magazine/afaceri care fac reclame pe display, care folosesc retargeting.

E o tampenie chestia asta cu datele personale cand vine vorba de publicitate online, parerea mea, nu vad cum ai avea de suferit de pe urma utilizarii cookie-urilor si a pasilor pe care ii faci pe internet.

[teocatalin]

Calmeaza-te @emm

"Google has announced a solution that will support publishers that want to show only ads that are not personalized for consumers who opt out of data collection for targeting, as part of its plan to help publishers comply with the General Data Protection Regulation (GDPR) that goes into effect in Europe on May 25, according to an Ad Exchanger report."

Sa fim seriosi... browserul care-l instaleaza utilizatorii este setat sa inregistreze cookie-urile pentru buna functionare a lui cat si a navigarii pe internet. Daca un utilizator nu doreste, isi da off la cookie si gata. Eu pot sa folosesc GoogleAdsense daca el isi da off la cookie ca reclamale se vor afisa random... Intradevar nu pot fi atragatoare dar se pot castiga.

"- Multi vor tinde sa aleaga varianta constrangerii, cum fac siturile de stiri vs. AdBlock: "Vrei sa intri pe situl meu, TREBUIE sa accepti AdSense, altfel nu vezi nimic." Cu parere de rau, nu merge. GDPR interzice si asta. Nici macar incentives gen "iti dau un ebook daca accepti sa-mi dai datele tale" nu mai sunt permise. "

E ca si cum m-ai obliga sa-mi setez eu magazinul online sa dau voie comenzii fara cont, iar eu nu vreau. Pe bune?...

La fel ca si Google Adwords... sunt solutii cat de cat, una poate fi cu unique id ptr fiecare click in parte in care inregistrezi conversia dupa acel id.


Eu personal nu vad GDPR-ul ca fiind un ucigas in serie, ci ca pe un jandarm care umbla in patrula sa previna posibile incidente.

P.S: Singura si cea mai mare problema este ca toata lumea s-a trezit tarziu, inclusiv cei de la UE ( cei care se ocupa de aceasta lege )... ptr ca nu sunt oameni specializati ptr asa ceva ca sa poata investiga si sa rezolve posibile cazuri... mai ales pe RO, nu au oameni ptr asa ceva.

Sunt sigur ca dupa 25 mai 2018 o sa vina un val mare de reclamatii ( competitia care vrea sa faca rau ) care doar va pune in asteptare si va bloca tot sistemul asta.