Encurtador de links e RGPD — o que você precisa saber antes de inserir um link na newsletter

Um único clique num link encurtado significa, em média, quatro dados registados silenciosamente: endereço IP, navegador, sistema, origem de entrada. Quatro. Agora multiplique isso por 3000 destinatários da newsletter que clicam no link da sua oferta na manhã de domingo. De repente, tem uma base de vários milhares de registos que nem sequer viu.

E este é exatamente o momento em que o encurtador de links e o RGPD deixam de ser um problema jurídico teórico para os advogados e passam a ser o seu.

Pois o endereço IP na União é um dado pessoal. Não "quase", não "em alguns casos". Dado pessoal. Se você insere um link encurtado em uma campanha da empresa, como administrador, você é responsável pelo que acontece com o IP das pessoas que clicam nele.

O que o encurtador realmente vê quando alguém clica

A lista é mais curta do que parece, mas suficientemente densa:

• IP do visitante (ou seja, a pessoa mencionada acima),
• user agent, ou seja, o navegador e o sistema,
• referer — de qual página veio o acesso,
• localização aproximada, calculada a partir deste IP.

Isso é o suficiente para gerar boas estatísticas de cliques. Isso também é o suficiente para cair em obrigações que a maioria das pessoas não considera ao colar um link rapidamente antes do envio.

Onde esses dados param (e por que isso é mais importante do que as próprias estatísticas)

Aqui está o gancho ideal. Muitas encurtadoras conhecidas são empresas de fora da Europa, na maioria das vezes americanas. Você clica em "encurtar", cola o link do newsletter, e os dados sobre quem, quando e de onde clicou, voam para o outro lado do oceano.

Dois problemas, um após o outro.

Primeiro: a transferência de dados para fora da UE precisa de uma base jurídica, e o próprio terreno sob essa transferência pode ser instável. As regulamentações já mudaram várias vezes e nada indica que este seja o fim.

Segundo: os dados passam a estar sob uma ordem jurídica diferente. Como administrador europeu, você simplesmente não tem o controle sobre ela. Onde o servidor está fisicamente localizado deixa de ser um detalhe entediante da documentação. Torna-se uma decisão sobre se você está em conformidade com o RGPD ou não.

O que realmente reduz o risco

Três coisas. Sem magia.

Servidor na UE. Os dados de cliques não saem da Europa, portanto toda a questão da transferência transatlântica simplesmente deixa de existir. Menos para traduzir, menos para monitorar.

Menos dados coletados. Quanto menos a ferramenta retém, menos preocupações você tem. É bom quando o IP é transformado em hash em vez de ficar em texto puro — assim você vê as estatísticas, mas não armazena o endereço bruto de uma pessoa específica. Esta é justamente a funcionalidade que incorporamos no cutty.dev, porque sem ela todo o resto é incompleto.

Sem rastreamento entre serviços. Um navegador que não combina o perfil do visitante e não revende dados é um problema a menos na lista.

Na prática, ou seja, o que fazer na segunda-feira de manhã

Não se trata de parar de encurtar links. Encurte. Trata-se apenas de escolher a ferramenta conscientemente, e não a primeira que aparecer no motor de busca.

1. Verifique onde o servidor está localizado e quem o gerencia.
2. Verifique o que ele armazena e por quanto tempo.
3. Se você coleta dados dos visitantes, adicione um encurtador à sua política de privacidade. Apenas uma frase. Realmente não dói.

E é só isso. Isto não é aconselhamento jurídico (não sou o seu advogado), mas é a base sobre a qual a conformidade se constrói muito mais facilmente do que quando os dados, desde o primeiro clique, escapam para o outro lado do oceano.

E se você tivesse que lembrar apenas uma frase disso: antes de postar o link para a newsletter, verifique onde o IP dos seus leitores irá parar. Esta é uma pergunta para daqui a cinco minutos, que economiza muito mais nervosismo posterior.