Anonimo o pseudonimo: Liste nere e il GDPR

29/dic/2018 16:02:04 Marketing Contatta l'autore

Questo comunicato è stato pubblicato più di 3 mesi fa. Le informazioni su questa pagina potrebbero non essere attendibili.

Spedizione senza problemi: gli Hash, Rainbow Table e Salt

In realtà, intendevi solo fare bene e volevi incrementare le tue vendite con la tua corrispondenza natalizia o augurare vacanze felici e pacifiche al maggior numero possibile di clienti, quasi-clienti, destinatari di newsletter e partner commerciali. Sfortunatamente, la tua posta ha anche raggiunto alcuni destinatari che non volevano più ricevere posta elettronica da te. Naturalmente, in passato hai sempre gestito con cura le tue liste di distribuzione e rimosso tutti gli iscritti che si erano cancellati, ma in qualche modo l'uno o l'altro indirizzo è stato erroneamente restituito alla tua mailing list, a causa di una reimportazione delle parole chiave. Ciò causa più fastidio che pace per i destinatari contattati involontariamente e danneggia la tua reputazione di speditore, e quindi a lungo termine anche le tue vendite.

Per evitare che ciò accada, i fornitori di servizi di posta elettronica di solito gestiscono le cosiddette liste nere, che hanno lo scopo di impedire che gli indirizzi in esse contenuti vengano contattati per e-mail solo da determinati clienti o che in generale non vengano contattati. Tuttavia, la registrazione dei dati personali, anche se serve solo allo scopo sopra menzionato, non è del tutto priva di problemi, secondo il regolamento UE sulla protezione dei dati che è in vigore da circa mezzo anno.

La situazione è difficile: Da un lato non è possibile contattare un indirizzo e-mail se c’è stata una richiesta di cancellazione, d'altro canto, non si può nemmeno archiviare l'indirizzo e-mail per garantire proprio questo. Ma c'è una soluzione. Utilizzando i cosiddetti algoritmi hash: i valori hash vengono generati da indirizzi e-mail e non possono essere facilmente ricondotti agli indirizzi e-mail originali. I valori di hash vengono quindi memorizzati nella lista nera e abbinati al valore hash di ciascun indirizzo di posta da importare. Se c'è una corrispondenza, l'indirizzo e-mail corrispondente è bloccato e non può essere contattato per e-mail. Con l'aiuto degli algoritmi hash, possono essere generate liste enormi con valori di input e relativi valori hash, e da esse è possibile ricostruire gli indirizzi e-mail cercando la “traduzione” come se fosse un dizionario.

Ci sono soluzioni per entrambi i problemi. I valori hash generati con un algoritmo non più sicuro possono essere corretti con un algoritmo aggiornato e affidabile. E contro le Rainbow Table, puoi usare i cosiddetti "salt", che sono frammenti casuali (caratteri, numeri ...) che vengono aggiunti al valore di input che vuoi codificare (nel nostro caso, gli indirizzi email) prima che l'hash è generato, aumentando così la sua complessità. Dovrebbe creare una Rainbow Table separata da ogni possibile "salt" per decifrare gli indirizzi e-mail, che è teoricamente possibile, ma in pratica non fattibile.

Tanto per la pratica tecnica. E la teoria legale? Il regolamento generale sulla protezione dei dati dell'UE (GDPR) è applicabile solo ai dati personali. Gli indirizzi e-mail sono dati personali, ma per quanto riguarda gli indirizzi e-mail con hash? La cosa importante, secondo la legislazione, è se la crittografia degli indirizzi e-mail personali tramite algoritmi hash rappresenta una pseudonimizzazione o l'anonimato. Dato che il primo metodo che abbiamo commentato consente un ritorno all'e-mail personale in modo relativamente semplice e senza grande sforzo, questa procedura è solo una pseudonimizzazione, quindi i valori hash generati sono ancora considerati dati personali e sono soggetti al RGPD .Il secondo metodo è diverso, poiché gli indirizzi di posta elettronica vengono elaborati più volte con algoritmi moderni e sicuri (nel migliore dei casi) che sono stati forniti anche con un "salt" che rende il valore hash traducibile in Un indirizzo email è molto più complicato. Questi dati crittografati sono considerati anonimi e, pertanto, non sono soggetti al RGPD.A differenza di Metodo due: I dati personali che è stato più volte hash con, algoritmi di sicurezza moderni nel migliore dei casi e dotata di un "sale" sono, semmai, associato solo con uno sforzo considerevole un indirizzo di posta elettronica, si applicano quindi in questo modo i dati crittografati come Anonimo e non sono soggetti al GDPR.

Pertanto, gli esperti di posta elettronica, Certified Senders Alliance (CSA), raccomandano il secondo metodo, con le procedure un po' più elaborate per la realizzazione delle liste nere, in modo che il GDPR UE non si applichi. Queste e altre questioni legali saranno discusse in un workshop legale il 12 aprile. Il workshop fa parte del CSA Summit 2019 dal 10 al 12 aprile 2019 a Colonia. Per informazioni dettagliate sulle liste di blocco (in lingua inglese), visitate anche il sito: https://certified-senders.org/wp-content/uploads/2018/12/Suppression-Lists-GDPR-compliant.pdf.

Il CSA mittenti Certified Alliance è un progetto comune di White listing “Verband der Internetwirtschaft eco e.V.” e dell’Associazione tedesca del Marketing a dialogo (DDV). Per informazioni aggiornate sul lavoro della CSA, sulla certificazione CSA e sugli ultimi aspetti tecnici e legali dell'email marketing, visitate: https://certified-senders.org/.Logo CSA

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl