Un buon modo per ridurre i rischi per gli utenti è non conservare dati sensibili che non ti servono e che incidono sulla loro privacy. Esistono un numero sorprendente di modi per farlo, pur raggiungendo i tuoi obiettivi commerciali, ed è opportuno valutarli tutti. Potresti:
- Spiega per cosa ti servono i dati.
- Raccogli i dati con una granularità inferiore.
- Rimuovere i dati dopo l'utilizzo.
- Non raccoglierli.
Ognuno di questi approcci consente agli utenti di sentirsi più a proprio agio con quello che stai facendo e perché, e questo contribuisce enormemente al tuo rapporto con loro. La trasparenza crea fiducia e, soprattutto, la fiducia può essere un punto di forza unico per te. Molte persone assumeno che gli utenti e i clienti si fidino di loro per impostazione predefinita, ma i consumatori valutano costantemente i prodotti e i servizi e questo potrebbe non essere il caso. Se crei un rapporto con i tuoi utenti in cui si fidano di te per gestire i loro dati e le tue interazioni con rispetto, puoi ottenere un vantaggio competitivo come progetto o azienda: è qualcosa che i tuoi rivali potrebbero non avere, un vero e proprio elemento di differenziazione.
Vediamo gli approcci sopra descritti, da quelli più efficaci (ma anche più efficaci per la tua attività) a quelli meno efficaci. ma meno invasivi da implementare.
Non raccoglierli
Il modo più ovvio per evitare di compromettere i dati degli utenti è non raccoglierli. Una parte della raccolta di dati è necessaria per fornire servizi, ma ci sono più posti in cui è possibile evitare la raccolta dei dati di quanto si possa pensare. Prendi in considerazione, ad esempio, il pagamento senza registrazione. Quando gli utenti vengono per effettuare un acquisto utilizzando la tua applicazione web, potresti richiedere loro di creare un account, perché hai acquisito i dettagli personali per l'evasione in seguito: possono essere aggiunti alla mailing list, sono già pre-qualificati come cliente interessato e così via. Tuttavia, i clienti lo riconoscono e non apprezzano questo aspetto: nel 2021, uno studio ha rilevato che una vendita abbandonata su quattro è dovuta al il sito ha richiesto all'utente di creare un account. Se non richiedi un account, è più probabile che i clienti rimangano. Se è possibile completare un acquisto senza effettuare la registrazione, per gli utenti, ma anche perché non hai molti dati da proteggere.
"Fuzz" i tuoi dati
Naturalmente, evitare del tutto la raccolta dei dati potrebbe non essere possibile. È importante raccogliere dati per fornire servizi e decisioni aziendali sensate. Può anche essere utile creare comunicazioni di marketing nel contesto di un rapporto di fiducia. Tuttavia, è anche importante rendersi conto che le decisioni prese in forma aggregata (ovvero che interessano più utenti contemporaneamente) vengono prese sui dati in forma aggregata (ovvero sulle proprietà collettive dei dati).
Ad esempio, a volte può essere utile avere un'idea dei dati demografici del pubblico: le fasce d'età a cui appartengono, posizione e così via. Ciò potrebbe cambiare i tuoi messaggi o il tuo approccio. Ciò non significa che devi raccogliere l'età esatta di ogni utente del tuo servizio. Quello che cerchi spesso sono le tendenze e le proprietà generali. Se la decisione che vuoi prendere è influenzata dal fatto che la maggior parte del tuo pubblico rientra nel "gruppo demografico principale di età compresa tra 18 e 34 anni", l'unica domanda che devi porti è se i tuoi utenti rientrano in questo gruppo demografico. In questo modo vengono raccolti in due "bucket": in quel gruppo e non in quel gruppo. Potrebbero verificarsi situazioni in cui hai bisogno di dati più granulari, ma è del tutto ragionevole prendere l'elenco dei dati demografici che utilizzi per prendere decisioni e chiedere agli utenti di classificarsi in base a questo elenco.
Esempio
Pertanto, se è utile sapere in che modo la tua base utenti si divide tra le categorie "18-34", "35-49", "49-64" e "65+", puoi chiedere agli utenti di scegliere a quale categoria appartengono. Chiedere dati estremamente granulari dati personali e personalizzati e di classificare gli utenti autonomamente, in questo modo non sarà necessario porre nuovamente la stessa domanda più avanti; ad esempio per chiedere l'età e la data di nascita esatte e poi utilizzare queste informazioni per creare elenchi personalizzati nella fascia "35-49" categoria. Ma è importante capire che aspetto ha: come il corso ha già trattato e torneremo su questo argomento: chiedere livelli dettagliati di dati può causare disagio alle persone e quindi ridurre la fiducia degli utenti nella tua organizzazione, e aggiungere rischi.
Inoltre, è importante considerare le tue esigenze in termini di dati. A volte, la "necessità" per ottenere dati più granulari è speculativo, una "giusto nel caso" requisito. Forse al momento dobbiamo solo classificare gli utenti in queste quattro fasce d'età, ma in futuro potremmo limitare questo aspetto, perciò dobbiamo raccogliere subito dati molto dettagliati per mantenere questa opzione aperta per un secondo momento. Potrebbe essere utile valutare la frequenza con cui i dati più granulari sono stati effettivamente utilizzati in passato per orientare le decisioni. Chiedere dati percepiti come invasivi rispetto al servizio offerto comporta necessariamente una diminuzione del livello di fiducia degli utenti nei tuoi dell'organizzazione. Se questi dati vengono raccolti per motivi di "tutti i casi possibili", potresti non solo perdere la fiducia degli utenti per decisioni aziendali migliori, ma anche per la possibilità di una decisione futura teorica che potrebbe persino non esistere, assumendo al contempo i requisiti di sicurezza per queste informazioni.
Esistono anche metodi algoritmici più dettagliati per ridurre la granularità dei dati raccolti. I metodi di risposta randomizzati indicano che i dati vengono raccolti con un grado di imprecisione regolabile e vengono utilizzati da decenni nelle scienze sociali per raccogliere dati potenzialmente invasivi o sensibili, garantendo al contempo la riservatezza di chi risponde. La precedente metodo di raccolta dei dati comporta l'ampliamento delle risposte dell'utente (quindi "quanti anni hai" diventa "in quale delle seguenti fasce d'età rientri"), in cui la risposta randomizzata prevede una determinata proporzione degli utenti mentono riguardo alle proprie risposte. Se è nota la percentuale di utenti che rispondono in modo errato, conclusioni significative possono comunque essere ricavati dai dati raccolti, ma la privacy dei singoli utenti non viene compromessa perché i dati raccolti potrebbero non sarà corretto. In questo caso, se l'80% del tuo pubblico dichiara ancora di rientrare nella fascia demografica 18-34 anni, puoi sono relativamente sicuri che si tratta ancora della quota maggiore, anche se il 10% di loro fornisce deliberatamente risposte errate. Il grado di errata può anche essere modificato in modo programmatico, in cui vengono sempre richieste le risposte corrette, ma software altera una certa percentuale di risposte prima di trasmetterle. Questo processo e le relative conseguenze possono anche essere illustrati agli utenti al momento della raccolta dei dati: in questo modo, gli utenti non devono fidarsi del fatto che non farai un uso improprio dei dati raccolti, perché i singoli dati non sono attendibili.
Un processo simile, ma più complesso dal punto di vista tecnico, è la privacy differenziale. Vengono utilizzate tecniche matematiche per modificare la memorizzazione dei dati in modo che le proprietà aggregate dei dati siano ancora presenti, ma non sia possibile stabilire se un determinato individuo ha fornito dati o quali dati ha fornito. Come la risposta casuale, questa funzionalità protegge i dati degli utenti anche da te e dimostra una chiara intenzione da parte tua: non puoi utilizzare i dati dei tuoi utenti se non li hai.
Questi e approcci simili forniscono inoltre maggiore sicurezza contro le violazioni e le fughe di dati, poiché i dati raccolti riduce le compromissioni della privacy dell'utente, anche a te, e riduce il livello di compromissione in caso di fuga di dati. Ricorda, però, che se applichi tecniche di privacy differenziale sul server (in modo che gli utenti ti indirizzino dati non aggregati e poi utilizzare le tecniche per aggregarli), è comunque necessario proteggere i dati utente non elaborati poi eliminarlo al termine dell'elaborazione. Inoltre, devi avere e seguire norme chiare per confermare che non lo usi prima l'aggregazione (o ti comunichi chiaramente per cosa lo usi).
Conservazione: raccogliere i dati e poi rimuoverli una volta utilizzati
È utile ricordare che i dati raccolti hanno un ciclo di vita: vengono raccolti, utilizzati per aiutarti a prendere decisioni aziendali e poi, a un certo punto, devono essere rimossi. Si tratta, ancora una volta, di compromessi: quando fai domande agli utenti, memorizzi informazioni su altri siti web che hanno visitato o monitori gli elementi che hanno visualizzato e per quanto tempo per fare previsioni sulle loro preferenze, questi sono i dati che ti vengono concessi per uno scopo specifico, non come una concessione illimitata che lo sviluppatore può utilizzare a suo piacimento. Quando i dati non sono più necessari per quello scopo, a volte può capitare dopo un minuto, a volte dopo molti anni.
Ogni volta che raccogli informazioni sui tuoi utenti, devi sapere per cosa utilizzerai questi dati (vedi di seguito) e anche quando e perché smetterai di conservarli. Ad esempio, quando l'utente sceglie di eliminarla, quando effettua la chiusura della sessione, dopo un determinato periodo di tempo o dopo che si è verificato un evento specifico. Un modo eccellente per instaurare un rapporto di fiducia è chiarire agli utenti in che modo possono controllare i dati che li riguardano, inclusa, se possibile, una disattivazione unilaterale. Come fanno a eliminare i dati? Come fa a eliminare il proprio account? Oltre a contribuire a costruire questo rapporto, è meglio Esercitarsi ad archiviare i dati per tutto il tempo necessario a elaborarli e non per più tempo, e che gli utenti abbiano un modo per vedere e rimuovere i dati che raccogli da loro o per loro conto. Potrebbe anche esistere una legislazione su questo argomento che gestisci.
Questa è un'area in cui puoi definire obiettivi tecnici chiari, che aiutano gli utenti con il self-service. Se gli utenti possono disattivare il tuo data warehouse senza dover chiedere l'autorizzazione, possono sentirsi molto più a loro agio con l'attivazione e non è necessaria alcuna risorsa di assistenza.
È importante riconoscere l'importanza di un'opt-out facile e predefinita: "Per conquistare la fiducia e il riconoscimento, le aziende possono iniziare firmando un contratto sociale in cui si impegnano a rispettare il proprio pubblico in ogni singolo touchpoint, ascoltarne le esigenze e rispondere di conseguenza", afferma l'IAPP. Secondo Nielsen Norman Group gli utenti "hanno bisogno di una documentazione "uscita di emergenza" per abbandonare l'azione indesiderata senza dover eseguire un processo prolungato". Tutti sanno che è più facile iscriversi che annullare l'iscrizione. Tuttavia, come afferma Nielsen Norman, offrire agli utenti la possibilità di abbandonare il sito senza dover superare una serie di ostacoli "favorisce un senso di libertà e fiducia". Gli studi accademici lo supportano e lo chiamano "principio della revocabilità", dichiarando: "L'interfaccia deve consentire all'utente di revocare facilmente le autorità concesse dall'utente, ovunque la revoca è possibile. Gli utenti dovrebbero poter revocare questo consenso e quindi ridurre al minimo l'accesso delle autorità alle loro risorse, se possibile." (Per esempi, consulta Yee e Iacono).
Il periodo di conservazione dei dati e i dati da conservare sono argomenti che variano notevolmente da un'organizzazione all'altra e da un progetto all'altro, ma esistono alcune linee guida comuni da prendere in considerazione.
Cosa fare
In questo caso è utile consentire agli utenti di eliminare gli account (e gli eventuali dati associati, se possibile) e di cancellare regolarmente (ad esempio all'uscita) i dati temporanei e archiviati localmente con l'intestazione Clear-Site-Data.
Fornisci un'intestazione Clear-Site-Data per rimuovere alcuni o tutti i dati utente memorizzati sul lato client (nei cookie,
localStorage o IndexedDB o nella cache del browser), se ragionevole. L'uso più evidente di Clear-Site-Data è quando un utente chiude la sessione, ma può essere utilizzato anche dopo incidenti di sicurezza per assicurarsi che un account potenzialmente compromesso non presenti tracce di dati compromessi memorizzati sul client.
L'aggiunta del supporto di Clear-Site-Data prevede l'invio di un'intestazione HTTP, Clear-Site-Data, quando l'utente esce (o in altri momenti in cui vuoi svuotare lo spazio di archiviazione lato client) nella pagina che conferma lo stato di disconnessione (https://your-site/logout o simile). Questa intestazione può avere alcuni o tutti i seguenti valori oppure "*" per tutti:
Clear-Site-Data: "cache", "cookies", "storage"
Questi valori cancellano rispettivamente le pagine memorizzate nella cache (e altre risorse memorizzate nella cache HTTP), i cookie memorizzati e localStorage, IndexedDB e simili.
Potresti vedere un riferimento a un'altra opzione, executionContexts, ma questa non è supportata da molti browser.
Tieni presente che utilizzare l'intestazione Clear-Site-Data è probabilmente più semplice che eliminare singolarmente tutte le risorse create personalmente, poiché non è necessario disporre di codice JavaScript
vengono eseguiti sul client (ed è l'unico modo ufficiale per svuotare la cache del browser), ma non è supportato da tutti i browser.
Nota sull'utilizzo: se stai svuotando la cache (inviando Clear-Site-Data: cache), l'intestazione Clear-Site-Data non deve essere inviata sulla pagina di logout effettiva, ma su un'altra risorsa caricata dalla pagina. Questo accade perché su un computer più lento con una cache di grandi dimensioni, la pagina si blocca durante l'eliminazione della cache e impedisce la navigazione. Questa operazione può richiedere alcuni minuti,
il che può scontentare l'utente. È improbabile che succeda, ma è difficile da testare ed è quindi consigliabile tenerlo a mente.
Spiega per cosa ti servono i dati
L'importanza della fiducia negli utenti con il tuo servizio è stato ripetuto più volte, perché aumenta la longevità dell'utente. Offre inoltre un vantaggio competitivo. Un modo per aumentare questo livello di fiducia è la trasparenza delle procedure e un un buon modo per essere trasparenti è spiegare per cosa vuoi ottenere i dati. Hai appreso in precedenza che per ogni elemento raccolto devi sapere quando verrà eliminato. Per saperlo, devi sapere perché vuoi ricevere questi dati e per quali domande specifiche sono necessari. in modo da trovare risposte e quali decisioni saranno guidate dalla raccolta di queste informazioni. Dopo aver capito perché hai bisogno di questi dati, chiedi al tuo ad arrendersi, aiuterai a conquistare la loro fiducia spiegando loro ciò che li circonda. Nelle norme sulla privacy o quando poni domande relative al tuo account creazione, descrivi il motivo per cui hai bisogno di una risposta a questa specifica domanda, come userai i dati e quando e come potranno essere rimossi.
Queste spiegazioni sono molto più visibili se vengono presentate in linea. Seppellire le spiegazioni in un fitto documento di norme altrove sul sito web può sembrare un tentativo di nasconderli. Oltre alla raccolta dei dati, un modulo di registrazione, pagamento o richiesta può presentare i motivi della raccolta dei dati per trovare le regole. Spesso, un campo del modulo può avere un asterisco (*) per indicare che è obbligatorio. I moduli complessi spesso includono un link informativo per spiegare il significato del campo. Valuta la possibilità di aggiungere a queste spiegazioni una descrizione del motivo per cui i dati vengono raccolti. Un modello come frase "Perché ne abbiamo bisogno?" accanto al campo del modulo che, se selezionato, mostra una spiegazione popup.
Un esempio di codice HTML potrebbe essere il seguente, mentre CSS e JavaScript si occuperanno di nascondere il <aside> e di mostrarlo come popup quando viene fatto clic sul link. Assicurati di verificare l'accessibilità del modulo creato per il tuo sito.
Il modo esatto per definire il layout dipende dagli stili e dagli approcci, ma il punto principale qui è associare direttamente la raccolta dei dati
una spiegazione del motivo per cui questi dati vengono raccolti. Questa operazione non è necessaria per ogni campo. Nessuno ha bisogno di una spiegazione del motivo per cui gli chiedi di scegliere una password al momento della registrazione. Tuttavia, specificare in ogni richiesta di dati personali e di contatto come prevedi di utilizzarli e conservarli può contribuire a chiarire agli utenti che ti impegni a proteggere i loro dati.
<div>
<label for="email">Email address*</label>
<input id="email" type="email" name="email" required aria-describedby="whyemail">
<a href="#whyemail">Why do we need this?</a>
<aside id="whyemail">We need this information as a unique identifier for you, and if you forget your password we can send you a reminder. We will use your email address to send you regular updates on the service if you choose, and will delete your email address from any mailing lists if you delete your account.</aside>
</div>
Eseguire questa procedura con tutte le informazioni raccolte su un utente può essere utile anche per le discussioni e i processi interni. Prima hai visto come può esserci la tentazione di raccogliere dati "per ogni evenienza". Quando sei trasparente sulle tue ragioni per la raccolta, può essere abbastanza ovvio che sia così. Se non vuoi dichiarare pubblicamente cosa vuoi fare con i dati utente perché non piacerà agli utenti, potrebbe essere un segno che vale la pena ripensare alla loro raccolta. Ciò vale se la spiegazione sgradevole è troppo invasiva ("la utilizzeremo per monitorare le tue visite su base oraria"), troppo ampia ("non sappiamo ancora per cosa la utilizzeremo, ma ci serve nel caso in cui dovessimo inventarci qualcosa") o troppo evasiva ("la utilizzeremo per finalità interne non divulgate"). Non è solo una questione di moralità, le persone sono abbastanza esperte riconoscilo, come già descritto, e gli utenti si aspettano che sperimentare con qualcosa non sia l'inizio di un impegno a lungo termine. È un luogo comune del design dell'esperienza utente rendere la registrazione il più semplice e agevole possibile, perché nelle fasi iniziali l'utente non è (per definizione) molto coinvolto nel tuo servizio, quindi è importante consentirgli di coinvolgersi più facilmente quando non ha ancora molta voglia di farlo. Se è altrettanto facile abbandonare di nuovo, l'esperimento con il servizio diventa esattamente un esperimento e non l'inizio involontario di un impegno forzato a lungo termine. Come prima, è paradossale, ma vero, che il modo migliore per conquistare la fiducia degli utenti è non pretendere che si fidino di te se non lo vogliono.
Le persone hanno buone ragioni per non condividere i dati o per condividere i dati in misura minima. All'inizio del rapporto, il cliente potrebbe non avere motivo di fidarsi di te e non dovrebbe. Il tuo obiettivo è dimostrare perché dovrebbero.
Cosa fare
- Per tutti i dati che prevedi di raccogliere, decidi perché li vuoi e per quanto tempo li conserverai.
- Quando chiedi questi dati, spiega agli utenti perché li stai raccogliendo.
- Eliminala dai database del server dopo averla utilizzata.
- Consenti agli utenti di eliminare gli account che hanno creato e cancella i dati memorizzati dal loro spazio di archiviazione con l'intestazione
Clear-Site-Data.
Perché
Creare un rapporto con gli utenti significa conquistare la loro fiducia, che si basa sull'apertura. Se puoi dimostrare di non essere raccogliendo quanti più dati possibili sugli utenti e nascondendo i loro scopi, il che contribuisce a instaurare un rapporto di fiducia, un vantaggio competitivo per te rispetto a rivali meno scrupolosi.