Scurtător de linkuri și GDPR — ce trebuie să știi înainte de a introduce un link în newsletter

Un singur click pe un link scurt înseamnă, în medie, patru date salvate în liniște: adresa IP, browserul, sistemul, sursa de intrare. Patru. Acum înmulțește acest lucru cu cei 3000 de cititori ai newsletterului care dau click pe link-ul ofertei tale duminica dimineața. Deodată, ai o bază de câteva mii de înregistrări pe care nici măcar nu le-ai văzut cu ochii tăi.

Și acesta este exact momentul în care scurtătorul de linkuri și GDPR încetează să mai fie o problemă teoretică pentru avocați și începe să fie problema ta.

Adresa IP în Uniune este un date cu caracter personal. Nu „aproape”, nu „în unele cazuri”. Este un date cu caracter personal. Dacă includeți un link scurtat într-o campanie de companie, în calitate de administrator, sunteți responsabil pentru ceea ce se întâmplă cu IP-ul persoanelor care dau click pe acesta.

Ce vede de fapt un shortener când cineva dă click

Lista este mai scurtă decât pare, dar suficient de densă:

• IP-ul vizitatorului (adică acea persoană menționată mai sus),
• user agent, adică browserul și sistemul,
• referer — de pe ce pagină a venit accesarea,
• locația aproximativă, calculată din acest IP.

Este suficient pentru a obține statistici de click frumoase. Este de asemenea suficient pentru a te trezi cu obligații la care majoritatea oamenilor nu se gândesc, când lipesc un link în grabă înainte de trimitere.

Unde ajung aceste date (și de ce este mai important decât propriile statistici)

Aici este cârligul potrivit. Multe dintre scurtătoarele cunoscute sunt companii din afara Europei, cel mai adesea americane. Dai click pe „scurtează”, inserezi link-ul către newsletter, iar datele despre cine, când și de unde a dat click, pleacă peste ocean.

Două probleme, una după alta.

Primul: transferul de date în afara UE are nevoie de o bază juridică, iar însăși temeiul acestui transfer poate fi mobil. Reglementările s-au schimbat deja de câteva ori și nimic nu indică faptul că acesta este sfârșitul.

Al doilea: datele intră sub un alt regim juridic. În calitate de administrator european, pur și simplu nu îl controlezi. Locul în care se află fizic serverul încetează să mai fie un detaliu plictisitor din documentație. Devine o decizie despre dacă ești conform cu GDPR sau nu.

Ce reduce în realitate riscul

Trei lucruri. Fără magie.

Server în UE. Datele provenite din click-uri nu ies din Europa, deci întreaga problemă a transferului transatlantic pur și simplu este exclusă. Mai puțin de tradus, mai puțin de supravegheat.

Mai puține date colectate. Cu cât instrumentul reține mai puțin, cu atât ai mai puține griji. Este bine când IP-ul este hashuit în loc să fie stocat în format clar — atunci vezi statistici, dar nu stochezi adresa brută a unei persoane specifice. Aceasta este tocmai funcția pe care am integrat-o în cutty.dev, deoarece fără ea restul este incomplet.

Lipsa urmăririi între servicii. Un browser care nu combină profilul vizitatorului și nu revinde datele mai departe este o problemă în minus pe listă.

În practică, adică ce să faci luni dimineața

Nu este vorba despre a înceta să scurtezi link-urile. Scurtează. Este vorba doar despre a alege instrumentul în mod conștient, și nu pe primul care apare în motorul de căutare.

1. Verifică unde se află serverul și cine îl gestionează de fapt.
2. Verifică ce stochează și pentru cât timp.
3. Dacă colectezi date despre vizitatori, adaugă un scurtator în politica ta de confidențialitate. O singură propoziție. Chiar nu doare.

Și atât. Aceasta nu este un sfat juridic (nu sunt avocatul tău), dar este fundamentul pe care conformitatea se construiește mult mai ușor decât atunci când datele, încă de la primul click, fug peste ocean.

Și dacă ar trebui să reții un singur lucru din aceasta: înainte de a posta link-ul către newsletter, verifică unde va ateriza IP-ul cititorilor tăi. Aceasta este o întrebare pentru mai târziu, care îți economisește mult mai multe nervi ulterior.