Questa voce nasce dalla segnalazione su Linkedin, da parte di Guglielmo Troiano e Andrea Grillo, del report del Garante Irlandese della privacy.

Il report a pagina 21 cita Linkedin.

Il caso: Linkedin US ha fatto pubblicità via Facebook a soggetti non iscritti a Linkedin utilizzando email hashed. Il tutto di propria iniziativa, senza informare Linkedin Irlanda.

Il trattatamento e' stato fermato, i dati cancellati e ora usano altre tecniche GDPR compliant.

Cosa sono le hashed emails e come Linkedin ha potuto dare email a Facebook  per fare pubblicità ?

Ci sono un po' di domande per approfondire.

LOGIN

Nei servizi online si usano email (o cellulare) e password per accedere. Naturalmente oggi la coppia e' un po' piu' complessa, per aumentare la sicurezza.

Le password ormai devono essere sempre crittograte, a meno che non siano generate dal servizio, impedendo cosi' all'utente di scegliere sempre la stessa.

Motivi precauzionali oggi fanno ritenere che crittografare tutto sia il meglio, pur ricordando che i metodi crittografici non sono tutti uguali e, soprattutto, si noti che  strumenti una volta unanimente consigliati diventano poi unanimente insicuri.

LE EMAIL

Una volta crittograte le password ha ancora senso crittografare anche le emai ? Secondo alcuni per motivi di sicurezza e' opportuno, secondo altri no, perche' il gestore DEVE conoscere l'email dell'utente per contattarlo autonomamente: soprattutto per motivi di assistenza e per avvisare in caso di data breach. 

Nonostante questo in alcuni contesti puo' essere opportuno crittografare tutte le email (e tenerle in chiaro separatamente per gli adempimenti contrattuali e di legge). Il meccanismo di accesso viene di poco complicato: l'utente inserisce sempre email e password, ma la crittografia viene applicata sia su email che password, e solo dopo cercata nel database che contiene i dati gia' crittografati.

IL MARKETING

Nel marketing le hashed emails sono viste meglio dei cookies, secondo alcuni. CI sono anche tool specifici.

Come e' possibile ? Per alcuni perche' le email sono usate su tutti i dispositivi, i cookies sono legati al singolo dispositivo e sono spesso bloccati.

Ma perche' una hashed email, per natura anonimizzata rispetto all'indirizzo reale, potrebbe diventare oggetto di pubblicità ?

Come spiegato per il login, basta avere l'email in chiaro, e provare a ottenere l'hash. Se i due hash (quelle generato e quello che si ha) coincidono, non c'e' bisogno di fare tanti tentativi: sai già a quale email in chiaro corrisponde l'hash.

TORNIAMO A LINKEDIN

Cosa sembra essere successo ?

Linkedin, tramite vari strumenti che conosciamo, chiede agli utenti di cercare se gli amici sono su linkedin, accedendo agli indirizzi email. L'utente linkedin acconsente (email o telefoni) e Linkedin controlla se gli amici sono iscritti.

Se non sono iscritti ? Nel caso sottoposto all'autorita' irlandese, Linkedin mandava le email hashed a Facebook per pubblicizzare Linkedin. E Facebook ritrovava l'email originale e avvisava i destinatari. La chiamano "Tried-and-True Technology"

VALUTAZIONI

In questo caso avere a che fare con email hashed e' irrilevante: il trattamento complessivo e' finalizzato a trattarle come email in chiaro. 

E' quindi condivisibile la decisione irlandese di soprassedere perche' il trattamento e' finito e i dati sono stati cancellati ?

Suggerisco a tutti di leggere i link indicati nel testo, molto interessanti, e messi insieme, sufficienti a far ritenere che l'uso di hashed emails sia:

1) inutile

2) sbagliato (devo poter scrivere in caso di data breach)

3) una foglia di fico per continuare a fare quanto si e' sempre fatto: cedere dati a terzi dati per campagne via email.

Tutto basato sulle società negli USA. 

Come e' possibile competere per le aziende europee in un simile contesto ? E infatti non competono.