Nel precedente episodio abbiamo visto come l’email si sia adattata e trasformata in base a tempi, mode e contesti.
Ora vedremo come la stessa cosa sia accaduto su aspetti che tipicamente non sono visibili ai destinatari delle email.
In questi ultimi anni sono stati numerosi gli argomenti “tecnici” spinti spesso da etica e principi fondamentali legati alla tutela dei dati personali e ai diritti delle persone.
Stiamo progressivamente assistendo ad un “Cookiegeddon”, a crociate in nome della Privacy da parte di big-tech come Apple, Google e Microsoft, all’invalidazione repentina di accordi privacy transoceanici ad opera ti attivisti privacy.
Su un piano più pratico, da un lato appare un progressivo blocco dei tracciamenti sulle email e dall’altro un restringimento dei tracciamenti sul web, il tutto in un contesto globale dove i trasferimenti dei dati non sono di fatto sempre leciti.
Proviamo a fare un po’ di ordine e a capire come tutto questo possa impattare sul mondo dell’email e dell’email marketing.
Per prima cosa vorrei rassicurare tutti sul fatto che questi cambiamenti sono soltanto gli ultimi di una lunga storia. Per citarne un paio, che probabilmente neppure più ricordiamo e “vediamo”: il blocco del download delle immagini come default dei client di posta e la più recente introduzione di proxy che nascondono l’IP del destinatario, pienamente adottati da alcuni anni da grandi ISP come Gmail e Yahoo!.
Al più nel tempo sono mutati temi e principi alla base dei cambiamenti; anni addietro il focus era sulla “sicurezza per l’utente” mentre oggi si parla sempre di più di “diritti dell’utente”, che nella sostanza poi passano anche dalla sicurezza… di fatto continua a trattarsi di accorgimenti utili a migliorare l’affidabilità dei servizi e in generale l’esperienza di utilizzo del canale email, tutti essenziali per la sua sopravvivenza.
Apple e la Mail Privacy Protection
Con l’annuncio di iOS15, che introduce nuove funzionalità a tutela della privacy, Apple si è schierata in modo ancora più forte dalla parte degli utenti, dichiarando che la privacy è un diritto fondamentale dell’umanità.
Queste funzionalità rientrano in un contesto generale più ampio, che pone l’attenzione su aspetti come: la minimizzazione dei dati trattati, l’elaborazione locale di dati come quelli vocali sul dispositivo dell’utente, trasparenza e controllo, e l’esercizio dei diritti dell’utente sulle singole app.
Questo approccio porterà gli utenti a maturare rapidamente una maggiore consapevolezza su tematiche privacy e, per quanto riguarda l’email, sulle tecniche di tracking. D’altro canto, chi fa email marketing dovrà prestare sempre maggiore attenzione nel rispettare i diritti dei destinatari delle proprie campagne.
Le novità Privacy introdotte in iOS15 sono molteplici:
- Mail Privacy Protection, per nascondere il proprio indirizzo IP e gestire i pixel di tracciamento presenti nelle email;
- Privacy Report all’interno di Safari, per mostrare tutti i tracker cross-site bloccati dal sistema anti-tracciamento del browser;
- App Privacy Report (annunciato ma disponibile in un successivo rilascio), per mostrare quante volte ogni app ha utilizzato l’autorizzazione ad accedere a posizione, galleria, fotocamera, microfono e rubrica nel corso dell’ultima settimana.
A queste si aggiungono funzionalità “premium”, per i soli clienti iCloud+:
- Hide my Email, per creare indirizzi email univoci e casuali che inoltrano i messaggi alla casella personale, così da mantenere riservato il vero indirizzo email; questo conferisce controllo sull’utilizzo dell’indirizzo email e complica notevolmente eventuali logiche di profilazione trasversali a più servizi;
- Private Relay, per cifrare la comunicazione tra utente e sito visitato, inibendo la condivisione del proprio indirizzo IP con i sistemi di tracciamento.
Si noti che se bloccare i pixel di tracciamento impedisce la registrazione di un’aperura, nascondere l’IP impedisce anche la geolocalizzazione dell’utente e complica la generazione di profili di tipo fingerprint (identificativi dell’utente o dei dispositivi basati sulla raccolta di informazioni di navigazione).
Il “Cookiegeddon”
Questo asteroide digitale, avvistato per la prima volta nell’orbita WebKit di Safari nel 2017 e in rotta di collisione con la terra, sta generando non poche preoccupazioni a grandi e piccole aziende, che sino ad oggi hanno basato il proprio business sul tracking attraverso cookie.
L’impatto riguarda oggi i browser Safari, Firefox e a breve, in qualche modo, riguarderà anche Chrome.
In estrema sintesi gli obiettivi sono quelli di tutelare gli utenti dal tracciamento da parte di società che raccogliendo informazioni da molteplici siti, riescono a profilare e a proporre promozioni efficaci… in sostanza tutto il mondo dell’adv online che si è sviluppato negli ultimi decenni.
Come sempre sono apparsi i primi workaround tecnici e in successione nuove misure sempre più stringenti…
Parallelamente sono emersi chiari conflitti di interesse…
Quello che di fatto sta accadendo, oltre ad un prolungamento del “tempo di impatto”, sembra essere un chiaro orientamento a sfruttare cookie e in generale informazioni di prima parte.
Non dimentichiamo poi di informare sempre l’utente dell’utilizzo di questa tecnologia. Le autorità privacy si stanno muovendo da tempo su questi temi e oggi possiamo contare su informazioni chiare e linee guida (linee guida 10 giugno 2021 – scheda di sintesi ).
Lo stesso per altro sta avvenendo in altre legislazioni privacy come la CCPA (California Consumer Privacy Act) – sezione 1798.100 – lettera b:
A business that collects a consumer’s personal information shall, at or before the point of collection, inform consumers as to the categories of personal information to be collected and the purposes for which the categories of personal information shall be used. A business shall not collect additional categories of personal information or use personal information collected for additional purposes without providing the consumer with notice consistent with this section.
Anche se queste normative non precludono l’utilizzo di cookie di terze parti, impongono di fatto requisiti onerosi per il loro utilizzo.
Questo, unito alla direzione intrapresa sui browser di Apple, Mozilla e Google sta sicuramente tracciando la strada di un futuro che vedrà grande attenzione nell’utilizzo di questa tecnologia.
Max Schrems e l’invalidazione del Privacy Shield
Per rimanere sempre su tematiche privacy, circa un anno fa l’attivista austriaco Maximilian Schrems, con la sentenza “Schrems II”, ha portato all’attenzione del mondo le criticità legate al trasferimento dati verso gli Stati Uniti.
L’immediata invalidazione del Privacy Shield, già successore dell’antenato Safe Harbor, ha fatto cadere qualsiasi accordo di adeguatezza per il trasferimento di dati personali di utenti europei negli Stati Uniti, e questo ha poi aperto la tematica anche rispetto ai trasferimenti verso qualsiasi paese al di fuori del Spazio Economico Europeo (SEE).
In ambito Email Marketing, questo significa che per utilizzare un servizio di un ESP occorre oggi prestare estrema attenzione all’ambito territoriale in cui questo opera e nel caso non rientri all’interno dello SEE, avviare una serie di onerose e complesse valutazioni per decidere se il servizio, corredato da eventuali misure supplementari(es. cifratura), tuteli o meno i diritti delle persone, come previsto dal GDPR.
Sempre pensando all’ Email Marketing, è semplice dedurre che ad oggi un provider americano, ad esempio, difficilmente sarebbe in grado di fornire garanzie adeguate, sia perché si troverebbe a trattare necessariamente dati in chiaro (si pensi al semplice indirizzo email per l’invio) sia perché ogni azienda americana è soggetta a regolamentazioni governative che non tutelano i dati trattati dalle aziende come previsto dal GDPR.
La soluzione per l’email esiste, ma richiede un minimo di attenzione: ESP (responsabile del trattamento) e suoi eventuali sub-fornitori che trattano i dati (sub-responsabili) devono operare nello SEE e non devono essere soggetti a normative che violino i principi del GDPR. Non è quindi sufficiente sapere dove si trovano i dati o avere generiche garanzia di conformità, come spesso si legge erroneamente sul web!
