URL shortener e GDPR — cosa devi sapere prima di inserire un link nella newsletter

Un solo clic su un link abbreviato significa in media quattro dati registrati silenziosamente: indirizzo IP, browser, sistema operativo, fonte di ingresso. Quattro. Ora moltiplica questo per i 3000 destinatari della newsletter che cliccano sul link della tua offerta la domenica mattina. Ti ritrovi improvvisamente con un database di diverse migliaia di record che non hai nemmeno mai visto.

E questo è esattamente il momento in cui l'accorciatore di link e il GDPR smettono di essere un problema teorico per gli avvocati e iniziano a essere il tuo.

Perché l'indirizzo IP nell'Unione è un dato personale. Non "quasi", non "in alcuni casi". Dato personale. Se inserisci un link abbreviato in una campagna aziendale, come amministratore sei responsabile di ciò che accade all'IP delle persone che ci cliccano.

Cosa vede realmente lo sfoltitore quando qualcuno clicca

La lista è più breve di quanto sembri, ma sufficientemente densa:

• IP del visitatore (ovvero il soggetto di cui sopra),
• user agent, ovvero il browser e il sistema operativo,
• referer — da quale pagina proviene l'accesso,
• posizione approssimativa, calcolata in base a questo IP.

È sufficiente per ottenere delle belle statistiche di clic. È sufficiente anche per finire sommersi da responsabilità a cui la maggior parte delle persone non pensa, incollando un link in fretta prima dell'invio.

Dove finiscono questi dati (e perché è più importante delle sole statistiche)

Ecco l'amo giusto. Molte note app di shortening sono aziende extra-europee, la maggior parte americane. Clicchi su "accorcia", incolli il link della newsletter e i dati su chi, quando e da dove ha cliccato volano oltre l'oceano.

Due problemi, uno dopo l'altro.

Primo: il trasferimento di dati al di fuori dell'UE necessita di una base giuridica, e il terreno stesso su cui si fonda questo trasferimento può essere instabile. Le normative sono già cambiate diverse volte e non ci sono indicazioni che questa sia la fine.

Secondo: i dati ricadono sotto un diverso ordine giuridico. In qualità di titolare europeo del trattamento, semplicemente non lo controlli. Il luogo in cui si trova fisicamente il server smette di essere un noioso dettaglio della documentazione. Diventa una decisione sul fatto che tu sia conforme al GDPR o meno.

Cosa riduce realmente il rischio

Tre cose. Senza magia.

Server nell'UE. I dati relativi ai clic non escono dall'Europa, quindi l'intero discorso sul trasferimento transatlantico semplicemente viene meno. Meno da tradurre, meno da monitorare.

Meno dati raccolti. Meno dati conserva lo strumento, meno ne hai da gestire. È un bene quando l'IP è hashato invece di essere conservato in chiaro — in questo modo vedi le statistiche, ma non memorizzi l'indirizzo grezzo di una persona specifica. Questa è proprio la funzione che abbiamo integrato in cutty.dev, perché senza di essa tutto il resto è solo a metà.

Nessun tracciamento cross-service. Un tracker che non aggrega il profilo del visitatore e non rivende i dati a terzi è un problema in meno in lista.

In pratica, ovvero cosa fare il lunedì mattina

Non si tratta di smettere di accorciare i link. Accorciali pure. Si tratta solo di scegliere lo strumento in modo consapevole, e non il primo che capita nei risultati di ricerca.

1. Controlla dove si trova il server e chi lo gestisce in generale.
2. Controlla cosa conserva e per quanto tempo.
3. Se raccogli i dati dei visitatori, aggiungi un abbreviatore alla tua informativa sulla privacy. Una sola frase. Non fa male, davvero.

E tutto qui. Questa non è una consulenza legale (non sono il tuo avvocato), ma è la base su cui la conformità si costruisce molto più facilmente rispetto a quando i dati, fin dal primo clic, fuggono oltreoceano.

E se dovessi ricordare una sola frase da tutto questo: prima di pubblicare il link alla newsletter, controlla dove atterrerà l'IP dei tuoi lettori. È una domanda che ti farà risparmiare molti più nervi in futuro.