Questa voce nasce dalla segnalazione su Linkedin, da parte di Guglielmo Troiano e Andrea Grillo, del report del Garante Irlandese della privacy.
Il report a pagina 21 cita Linkedin.
Il caso: Linkedin US ha fatto pubblicità via Facebook a soggetti non iscritti a Linkedin utilizzando email hashed. Il tutto di propria iniziativa, senza informare Linkedin Irlanda.
Il trattatamento è stato fermato, i dati cancellati e ora usano altre tecniche GDPR compliant.
Cosa sono le hashed emails e come Linkedin ha potuto dare email a Facebook per fare pubblicità ?
Ci sono un pò di domande per approfondire.
Nei servizi online si usano email (o cellulare) e password per accedere. Naturalmente oggi la coppia è un pò più complessa, per aumentare la sicurezza.
Le password ormai devono essere sempre crittograte, a meno che non siano generate dal servizio, impedendo così all'utente di scegliere sempre la stessa.
Motivi precauzionali oggi fanno ritenere che crittografare tutto sia il meglio, pur ricordando che i metodi crittografici non sono tutti uguali e, soprattutto, si noti che strumenti una volta unanimente consigliati diventano poi unanimente insicuri.
Una volta crittograte le password ha ancora senso crittografare anche le emai ? Secondo alcuni per motivi di sicurezza è opportuno, secondo altri no, perchè il gestore DEVE conoscere l'email dell'utente per contattarlo autonomamente: soprattutto per motivi di assistenza e per avvisare in caso di data breach.
Nonostante questo in alcuni contesti può essere opportuno crittografare tutte le email (e tenerle in chiaro separatamente per gli adempimenti contrattuali e di legge). Il meccanismo di accesso viene di poco complicato: l'utente inserisce sempre email e password, ma la crittografia viene applicata sia su email che password, e solo dopo cercata nel database che contiene i dati già crittografati.
Nel marketing le hashed emails sono viste meglio dei cookies, secondo alcuni. CI sono anche tool specifici.
Come è possibile ? Per alcuni perchè le email sono usate su tutti i dispositivi, i cookies sono legati al singolo dispositivo e sono spesso bloccati.
Ma perchè una hashed email, per natura anonimizzata rispetto all'indirizzo reale, potrebbe diventare oggetto di pubblicità ?
Come spiegato per il login, basta avere l'email in chiaro, e provare a ottenere l'hash. Se i due hash (quelle generato e quello che si ha) coincidono, non c'è bisogno di fare tanti tentativi: sai già a quale email in chiaro corrisponde l'hash.
Cosa sembra essere successo ?
Linkedin, tramite vari strumenti che conosciamo, chiede agli utenti di cercare se gli amici sono su linkedin, accedendo agli indirizzi email. L'utente linkedin acconsente (email o telefoni) e Linkedin controlla se gli amici sono iscritti.
Se non sono iscritti ? Nel caso sottoposto all'autorità irlandese, Linkedin mandava le email hashed a Facebook per pubblicizzare Linkedin. E Facebook ritrovava l'email originale e avvisava i destinatari. La chiamano "Tried-and-True Technology"
In questo caso avere a che fare con email hashed è irrilevante: il trattamento complessivo è finalizzato a trattarle come email in chiaro.
E' quindi condivisibile la decisione irlandese di soprassedere perchè il trattamento è finito e i dati sono stati cancellati ?
Suggerisco a tutti di leggere i link indicati nel testo, molto interessanti, e messi insieme, sufficienti a far ritenere che l'uso di hashed emails sia:
1) inutile
2) sbagliato (devo poter scrivere in caso di data breach)
3) una foglia di fico per continuare a fare quanto si è sempre fatto: cedere dati a terzi dati per campagne via email.
Tutto basato sulle società negli USA.
Come è possibile competere per le aziende europee in un simile contesto ? E infatti non competono.