Acortador de enlaces y RGPD: lo que debes saber antes de incluir un enlace en tu boletín informativo

Un solo clic en un enlace acortado son, de media, cuatro datos registrados silenciosamente: dirección IP, navegador, sistema, fuente de entrada. Cuatro. Ahora multiplica eso por los 3000 destinatarios del boletín que hacen clic en el enlace de tu oferta un domingo por la mañana. De repente, tienes una base de datos de varios miles de registros que ni siquiera has visto.

Y este es exactamente el momento en el que el acortador de enlaces y el RGPD dejan de ser un problema jurídico teórico para los abogados, y empiezan a ser el tuyo.

Porque la dirección IP en la Unión es un dato personal. No "casi", no "en algunos casos". Un dato personal. Si incluyes un enlace acortado en una campaña de la empresa, como administrador eres responsable de lo que sucede con la IP de las personas que hacen clic en él.

Qué ve realmente el acortador cuando alguien hace clic

La lista es más corta de lo que parece, pero lo suficientemente densa:

• IP del visitante (es decir, la persona mencionada anteriormente),
• user agent, es decir, el navegador y el sistema,
• referer — desde qué página provino la entrada,
• ubicación aproximada, calculada a partir de esa IP.

Eso es suficiente para obtener unas buenas estadísticas de clics. Eso también es suficiente para caer en responsabilidades en las que la mayoría de la gente no piensa al pegar un enlace rápidamente antes de enviar.

Dónde terminan estos datos (y por qué es más importante que las estadísticas en sí)

Aquí está el gancho adecuado. Muchas de las acortadoras conocidas son empresas de fuera de Europa, la mayoría estadounidenses. Haces clic en "acortar", pegas el enlace del newsletter, y los datos sobre quién, cuándo y desde dónde se hizo clic, viajan al otro lado del océano.

Dos problemas, uno tras otro.

Primero: la transferencia de datos fuera de la UE necesita una base legal, y el propio fundamento de esta transferencia puede ser inestable. Las regulaciones han cambiado ya varias veces y nada indica que este sea el final.

Segundo: los datos quedan bajo un ordenamiento jurídico distinto. Como responsable europeo, simplemente no lo controlas. Dónde se encuentra físicamente el servidor deja de ser un detalle aburrido de la documentación. Se convierte en una decisión sobre si cumples o no con el RGPD.

Qué reduce realmente el riesgo

Tres cosas. Sin magia.

Servidor en la UE. Los datos de los clics no salen de Europa, por lo que todo el tema de la transferencia transatlántica simplemente queda descartado. Menos que traducir, menos que vigilar.

Menos datos recopilados. Cuanto menos retenga la herramienta, menos tendrás que preocuparte. Es mejor cuando la IP se procesa mediante hash en lugar de estar en texto plano — así puedes ver las estadísticas, pero no almacenas la dirección bruta de una persona específica. Esta es precisamente la función que hemos integrado en cutty.dev, porque sin ella todo lo demás es a medias.

Sin seguimiento entre servicios. Un recortador que no combine el perfil del visitante y no revenda los datos es un problema menos en la lista.

En la práctica, es decir, qué hacer el lunes por la mañana

No se trata de dejar de acortar enlaces. Acórtalos. Solo se trata de elegir la herramienta de manera consciente, y no la primera que aparezca en el buscador.

1. Comprueba dónde está el servidor y quién lo gestiona en absoluto.
2. Comprueba qué almacena y durante cuánto tiempo.
3. Si recopilas datos de los visitantes, añade un acortador a tu política de privacidad. Una sola frase. Realmente no duele.

Y eso es todo. Esto no es asesoramiento legal (no soy tu abogado), pero es la base sobre la cual el cumplimiento se construye mucho más fácilmente que cuando los datos, desde el primer clic, escapan hacia el otro lado del océano.

Y si tuvieras que recordar una sola frase de esto: antes de publicar el enlace al boletín informativo, comprueba dónde aterrizará la IP de tus lectores. Es una pregunta con visión de futuro que te ahorra muchos más nervios más adelante.