Acortador de línquics i RGPD — què has de saber abans d'incloure un enllaç al newsletter

Un sol clic en un enllaç acortat són, de mitjana, quatre dades enregistrades silenciosament: adreça IP, navegador, sistema, font d'entrada. Quatre. Ara multiplica això per 3000 subscriptors del newsletter que cliquen en l'enllaç de la teva oferta un matí de diumenge. De sobte tens una base de donals de diversos milers de registres que ni tan sols has vist.

I aquest és exactament el moment en què l'acortador de línquies i el RGPD deixen de ser un problema jurídic teòric per convertir-se en el teu.

L'adreça IP a la Unió és una dada personal. No és "quasi", ni "en alguns casos". És una dada personal. Si inclou un enllaç acortat en una campanya empresarial, com a administrador eres responsable de què passa amb la IP de les persones que hi cliquen.

Què veu realment l'abreviador quan algú fa clic

La llista és més curta del que sembla, però prou densa:

• IP del visitant (és a dir, la persona esmentada anterior),
• user agent, és a dir, el navegador i el sistema,
• referer — de quin lloc prové l'entrada,
• localització aproximada, calculada a partir d'aquesta IP.

Tan suficient per fer unes estadístiques de clics agradables. Tan suficient també per caure en obligacions que la majoria de la gent no pensa quan enganxa un enllaç ràpidament abans d'enviar.

On acaben aquestes dades (i per què és més important que les mateixes estadístiques)

Aquí tens l'argument principal. Moltes de les acortadors conegudes són empreses fora d'Europa, la majoria americanes. Fes clic a "acurtar", enganxes el líncol al newsletter, i les dades sobre qui, quan i des on s'ha fet clic, marxen cap a l'oceà.

Dos problemes, un després de l'altre.

Primer: la transferència de dades fora de la UE necessita una base jurídica, i el mateix fonament d'aquesta transferència pot ser inestable. La normativa ha canviat ja diverses vegades i no hi ha res que indiqui que aquest sigui el final.

Segon: les dades queden sota un altre ordre jurídic. Com a administrador europeu, sencillament no en tens el control. On es troba físicament el servidor deixa de ser un detall avorrit de la documentació. Passa a ser una decisió sobre si complis amb el RGPD o no.

Què redueix realment el risc

Tres coses. Sense màgia.

Servidor a la UE. Les dades de clics no surten Europa, així que tot el tema de la transferència transatlàntica simplement queda descartat. Menys per traduir, menys per vigilar.

Menys dades recollides. Com més menys dades conservi l'eina, menys preocupacions tindràs. És millor que la IP estigui hashada en comptes de quedar en text clar — així veus les estadístiques, però no emmagatzemes l'adreça bruta d'una persona concreta. Aquesta és precisament la funció que hem integrat a cutty.dev, perquè sense ella tot el resta és incomplès.

Sense seguiment entre serveis. Un tallador que no vincula el perfil del visitant i no torna a vendre les dades més endavant, és un problema menys a la llista.

En la pràctica, o què fer el dilluns al matí

No es tracta de deixar de acurt enllaços. Acorta'ls. Només es tracta de triar l'eina conscientment, i no la primera que aparegui en una cerca.

1. Comprova on es troba el servidor i qui el gestiona realment.
2. Comprova què emmagatzena i durant quant de temps.
3. Si reculles dades dels visitants, afegeix un acortador a la teva política de privacitat. Una sola frase. Realment no fa mal.

I això és tot. Això no és un consell legal (no sóc el teu advocat), però és el fonament sobre el qual el compliment es construeix molt més fàcilment que quan les dades, des del primer clic, escapen cap a l'oceà.

I si només haguessis d'aprendre una frase d'això: abans d'inserir l'enllaç al newsletter, comprova on aterrirà la IP dels teus lectors. És una pregunta per a dins de cinc minuts, que estalvia molt més nerviosisme posterior.