Questa voce nasce dalla segnalazione su Linkedin, da parte di Guglielmo Troiano e Andrea Grillo, del report del Garante Irlandese della privacy.
Il report a pagina 21 cita Linkedin.
Il caso: Linkedin US ha fatto pubblicità via Facebook a soggetti non iscritti a Linkedin utilizzando email hashed. Il tutto di propria iniziativa, senza informare Linkedin Irlanda.
Il trattatamento è stato fermato, i dati cancellati e ora usano altre tecniche GDPR compliant.
Cosa sono le hashed emails e come Linkedin ha potuto dare email a Facebook per fare pubblicità ?
Ci sono un pò di domande per approfondire.
^ LOGIN
Nei servizi online si usano email (o cellulare) e password per accedere. Naturalmente oggi la coppia è un pò più complessa, per aumentare la sicurezza.
Le password ormai devono essere sempre crittograte, a meno che non siano generate dal servizio, impedendo così all'utente di scegliere sempre la stessa.
Motivi precauzionali oggi fanno ritenere che crittografare tutto sia il meglio, pur ricordando che i metodi crittografici non sono tutti uguali e, soprattutto, si noti che strumenti una volta unanimente consigliati diventano poi unanimente insicuri.
^ LE EMAIL
Una volta crittograte le password ha ancora senso crittografare anche le emai ? Secondo alcuni per motivi di sicurezza è opportuno, secondo altri no, perchè il gestore DEVE conoscere l'email dell'utente per contattarlo autonomamente: soprattutto per motivi di assistenza e per avvisare in caso di data breach.
Nonostante questo in alcuni contesti può essere opportuno crittografare tutte le email (e tenerle in chiaro separatamente per gli adempimenti contrattuali e di legge). Il meccanismo di accesso viene di poco complicato: l'utente inserisce sempre email e password, ma la crittografia viene applicata sia su email che password, e solo dopo cercata nel database che contiene i dati già crittografati.
^ IL MARKETING
Nel marketing le hashed emails sono viste meglio dei cookies, secondo alcuni. CI sono anche tool specifici.
Come è possibile ? Per alcuni perchè le email sono usate su tutti i dispositivi, i cookies sono legati al singolo dispositivo e sono spesso bloccati.
Ma perchè una hashed email, per natura anonimizzata rispetto all'indirizzo reale, potrebbe diventare oggetto di pubblicità ?
Come spiegato per il login, basta avere l'email in chiaro, e provare a ottenere l'hash. Se i due hash (quelle generato e quello che si ha) coincidono, non c'è bisogno di fare tanti tentativi: sai già a quale email in chiaro corrisponde l'hash.
^ TORNIAMO A LINKEDIN
Cosa sembra essere successo ?
Linkedin, tramite vari strumenti che conosciamo, chiede agli utenti di cercare se gli amici sono su linkedin, accedendo agli indirizzi email. L'utente linkedin acconsente (email o telefoni) e Linkedin controlla se gli amici sono iscritti.
Se non sono iscritti ? Nel caso sottoposto all'autorità irlandese, Linkedin mandava le email hashed a Facebook per pubblicizzare Linkedin. E Facebook ritrovava l'email originale e avvisava i destinatari. La chiamano "Tried-and-True Technology"
^ VALUTAZIONI
In questo caso avere a che fare con email hashed è irrilevante: il trattamento complessivo è finalizzato a trattarle come email in chiaro.
E' quindi condivisibile la decisione irlandese di soprassedere perchè il trattamento è finito e i dati sono stati cancellati ?
Suggerisco a tutti di leggere i link indicati nel testo, molto interessanti, e messi insieme, sufficienti a far ritenere che l'uso di hashed emails sia:
1) inutile
2) sbagliato (devo poter scrivere in caso di data breach)
3) una foglia di fico per continuare a fare quanto si è sempre fatto: cedere dati a terzi dati per campagne via email.
Tutto basato sulle società negli USA.
Come è possibile competere per le aziende europee in un simile contesto ? E infatti non competono.