28th April 2018, 18:06
#1
4 out of 4 members found this post helpful.
AdSense vs. GDPR - Mare atentie
Intrucat AdSense pare sa fie afectat serios de noile reguli GDPR, m-am hotarat sa scriu un post specific aici, de informare pentru membrii forumului. Este o chestiune pe care am tot discutat-o recent prin alte locuri, pentru ca implicatiile sunt majore. Comunic ceea ce stiu deocamdata, daca apar alte informatii mai precise voi reveni cu un update.
Stiu ca multi folosesc AdSense, care cade fix in "curtea" GDPR (marketing si monetizare). Daca aveti asa ceva pe site, cititi mai jos.
Principala problema este ca AdSense transmite datele utilizatorilor catre Google. Mai mult, seteaza si cookies (care sunt utilizate pentru chestiuni gen securitate, frequency capping si altele).
Prin urmare, conform GDPR, inainte de a afisa codul AdSense utilizatorilor, trebuie sa le cereti consimtamantul.
Aici apar o gramada de probleme, "opening a can of worms" cum se zice in engleza (nu am gasit un echivalent in romana):
- Doar un foarte mic numar de utilizatori va da consimtamantul. Cateva procente. In fond, ca vizitatori, de ce ati accepta sa impartiti datele voastre cu Google si sute de alte firme in spate, ca sa va bage pe gat reclame de care nu aveti nevoie? Deci daca introduceti un checkbox de accept, sunteti in regula... dar nu va mai asteptati la venituri, ca nu va ajung de o inghetata.
- Google nu poate fi considerat data processor. Motivul este simplu, publisher-ii adsense nu controleaza intregul "tree" de date cum este cazul intr-o relatie de data processor GDPR-compliant. Dimpotriva, datele sunt imprastiate mai departe catre sute de firme si prin ei la mii de advertiseri. Este imposibil de controlat. Teoretic, ca sa fiti compliant ar trebui sa cereti acceptul utilizatorilor nu doar pentru Google, ci si pentru fiecare din sutele de platforme din spate si sa postati link-uri catre politicile lor de confidentialitate (catre toate), astfel incat informarea sa fie completa inainte de accept. Deci gradul de imprastiere a datelor personale este foarte mare, si implicit incalca serios GDPR.
Ca exemplu de situatie opusa, compliant, in care controlezi acest "tree", sa zicem ca ai un server la Amazon AWS iar Amazon AWS foloseste un datacenter inchiriat in care tine servere. Daca datacenter-ul este GDPR compliant iar hostul la fel, atunci este in regula. (datele sunt controlate si stocate conform legii)
- Pentru cei care vor argumenta ca nu transfera date personale: Chiar si adresa de IP este considerata PII si conform GDPR trebuie sa ceri acceptul, tinand si cont de contextul semnificativ (marketing). Nu este o zona de legitimate interest. Prin urmare, da, transferati date personale in scopuri de marketing. Va trebuie consimtamantul explicit al vizitatorului pentru asta.
- Partea contextuala este o alta problema, pentru ca transmite informatii suplimentare despre interesele utilizatorului. Google a transmis ca lucreaza la o versiune non-contextuala a AdSense, probabil au primit foarte multe cereri in acest sens. Din pacate, aceasta nu ajuta cu nimic; probabil ads vor fi category-based, in care caz eficienta ads va tinde catre zero. Si va continua sa foloseasca cookie, adica iarasi nu ajuta la nimic.
- Google nu are o problema majora cu acest serviciu. Nu ii doare foarte tare. Ei vor continua sa existe chiar daca AdSense devine ineficient sau chiar se inchide. Sunt prea mari ca sa se impiedice de atat, si au destul inventory propriu de vandut.
- Multi vor tinde sa aleaga varianta constrangerii, cum fac siturile de stiri vs. AdBlock: "Vrei sa intri pe situl meu, TREBUIE sa accepti AdSense, altfel nu vezi nimic." Cu parere de rau, nu merge. GDPR interzice si asta. Nici macar incentives gen "iti dau un ebook daca accepti sa-mi dai datele tale" nu mai sunt permise.
As mai adauga cateva randuri despre ce face Google in acest sens. Cred ca multi ati primit mesaje de la ei. Daca va asteptati sa rezolve problema urgent, mai aveti de asteptat.
Deocamdata ei se pregatesc strict pentru compliance-ul lor intern GDPR, ceea ce practic este ce au de facut. Daca va inchipuiti ca Google este responsabil cu ceva in fata legii, in situatii de investigatie, va inselati. Google ofera un serviciu in anumite conditii. Raspunderea este a publisher-ului; voi decideti sa afisati codul catre vizitatori si daca apare o investigatie din partea autoritatilor, se va lua de posesorul sitului, si pe buna dreptate (conform legii).
Problema este mult prea larga pentru a putea fi rezolvata de Google; in fapt nu cred ca are rezolvare, cel putin conform formei actuale a legii. Singura varianta care ar ajuta ar fi noi reglementari si/sau norme de implementare favorabile AdSense, si mai ales o clauza de exceptie acordata Google pentru acest serviciu, ceea ce este foarte putin probabil (spre imposibil, avand in vedere spiritul legii).
Iar in Romania, stim cu totii ca nu este bine sa fii investigat de autoritati; nu va trebuie asa ceva. Cea mai buna varianta este sa nu oferi motive pentru o investigatie de la bun inceput. Surubul legii se va strange treptat pentru ca reprezinta trecerea intr-o noua lume: Sfarsitul "Wild Wild West" in Internet, de data breaches necontrolate si ridicare din umeri. Apare raspunderea, amenzi majore, si legea e facuta de asa natura incat va forta si statele unde nu se aplica inca, sa intre in trend.
Personal, daca as folosi AdSense astazi, m-as indrepta urgent catre o alta forma de monetizare, fie afiliere fie sectiune proprie de magazin in care sa vand produse related, ca forma de monetizare. Deocamdata pare sa fie singura solutie la aceasta problema. Iar veniturile pot fi mult mai bune decat Adsense; doar ca este mult mai complicat, evident.
Nu recomand "panica imediata si totala", dar pe termen scurt si mediu va trebui sa deveniti GDPR compliant, intr-o forma sau alta si cu implicatiile de rigoare. Va recomand sa va informati si sa luati niste decizii cat de curand (25 Mai se apropie).
( Daca mai apar informatii, voi posta aici. Saptamana viitoare am o sesiune importanta GDPR cu casa de avocatura cu care lucrez in RO, sa vedem, poate apar ceva noutati. )
29th April 2018, 18:25
#5
1 out of 1 members found this post helpful.
IP nu este data personala conform legii. Poate fi, in cazul in care tu, că site, poți identifica persoana prin mijloace rezonabile. Și nu poți.
Nu mai speriați oamenii.
Trust, but verify.
29th April 2018, 21:50
#9
1 out of 1 members found this post helpful.
Ar fi o mare tampenie sa se aplice pentru astfel de sisteme inteligente care au avansat foarte mult si sunt atat de performante incat sa multumeasca atat magazinul online care se promoveaza cat si clientul care primeste reclame relevante.
Sunt de parere ca la fel de mult cum i-ar lovi pe publisherii adsense i-ar lovi mai mult pe proprietarii de magazine/afaceri care fac reclame pe display, care folosesc retargeting.
E o tampenie chestia asta cu datele personale cand vine vorba de publicitate online, parerea mea, nu vad cum ai avea de suferit de pe urma utilizarii cookie-urilor si a pasilor pe care ii faci pe internet.