Elido
Blog
14 min di letturaConformità
Pilastro

GDPR per gli abbreviatori URL: cosa vuole vedere davvero il tuo DPO

La lettura di un consulente legale UE per la conformità sugli articoli del GDPR che si applicano agli abbreviatori URL — Articoli 3, 6, 28, 30, 32, 35, la divulgazione dei sub-responsabili e le clausole del DPA che contano davvero

Sasha Ehrlich
Compliance · EU residency
GDPR article-by-article applicability map for URL shorteners: Articles 3, 6, 28, 30, 32, 35 with what each requires from the shortener and the customer

Ho trascorso quattro anni a esaminare gli Accordi per il Trattamento dei Dati SaaS dal lato del fornitore e un anno a esaminarli dalla posizione di un acquirente fintech. Le clausole di cui tutti si preoccupano — cifratura a riposo, finestre di conservazione, il SLA per la notifica delle violazioni — di solito vanno bene su un abbreviatore serio. Le clausole che decidono davvero l'acquisto sono più sottili. Sono quelle che il DPO ha letto abbastanza volte da avere un'opinione, e quelle che un badge generico "conforme al GDPR" non affronta.

Questo post è la lettura di un DPO operativo su ciò che il GDPR richiede a un abbreviatore URL che elabora dati di clic su soggetti UE, con i numeri degli articoli citati così puoi portare le affermazioni al tuo stesso consulente legale per la verifica. Segnalo dove la postura di Elido è conservativa, dove è standard del settore e dove il compratore ragionevole dovrebbe comunque chiedere un addendum.

I riferimenti agli articoli sono a Regolamento (UE) 2016/679 — il testo consolidato del GDPR su EUR-Lex. Dove cito la guida dell'autorità di supervisione, collego alla decisione originale. Dove cito la giurisprudenza, la citazione è alla sentenza della CGUE.

Perché un abbreviatore URL è nel campo di applicazione del tutto#

Un abbreviatore URL è un responsabile del trattamento ai sensi dell'Articolo 4(8) quando elabora dati di clic su persone fisiche identificabili per conto del cliente. Il cliente è il titolare; decide perché i dati vengono raccolti (attribuzione della campagna) e su quale base (Articolo 6 — tipicamente interesse legittimo ai sensi del 6(1)(f) per le analitiche a livello di clic, consenso ai sensi del 6(1)(a) dove è coinvolto il tracciamento granulare). L'abbreviatore è il responsabile; elabora quei dati solo su istruzioni documentate del titolare, che è la sostanza dell'Articolo 28.

Due pezzi di dati lo rendono chiaro. Ogni redirect registra un indirizzo IP; la CGUE ha stabilito fin da Breyer (C-582/14, 2016) che gli indirizzi IP dinamici possono essere dati personali quando combinati con le informazioni disponibili al titolare. Ogni redirect registra anche un user-agent, che quando combinato con IP e timestamp è sufficiente per individuare le persone in molti pattern ad alto traffico — l'EDPB lo ha segnalato nelle Linee guida 04/2020 sull'uso dei dati di localizzazione e il principio si generalizza.

Quindi: un abbreviatore URL elabora dati personali su soggetti UE, anche se l'evento di clic stesso sembra anonimo a prima vista. Le domande seguono da lì.

Articolo 3: ambito territoriale#

L'Articolo 3 è l'articolo più frainteso dai vendor con sede negli USA che vendono nell'UE.

L'Articolo 3(1) copre il trattamento nel contesto di uno stabilimento UE. L'Articolo 3(2) copre il trattamento dei dati di soggetti UE da parte di un titolare o responsabile non UE quando il trattamento è correlato a (a) l'offerta di beni o servizi a soggetti UE, o (b) il monitoraggio del loro comportamento dove questo avviene nell'UE. Il tracciamento dei clic sugli utenti UE è monitoraggio; il GDPR si applica indipendentemente da dove è ospitato l'abbreviatore.

Il punto è che "siamo un'azienda statunitense, il GDPR non si applica" è sbagliato. Ogni abbreviatore che elabora clic di utenti UE deve conformarsi. La domanda rilevante per l'acquisto non è se il GDPR si applica — si applica — ma come il vendor dimostra la conformità e quali impegni di residenza sono vincolanti contrattualmente.

Articolo 6: base giuridica#

Il tracciamento dei clic tramite un abbreviatore di solito si basa su una delle tre basi giuridiche.

6(1)(a) — consenso. Il titolare ha ottenuto il consenso dell'interessato per il trattamento. Per il tracciamento dei clic a livello di abbreviatore, il consenso è solitamente integrato nel banner dei cookie o nel flusso di opt-in marketing sulla pagina di destinazione. Le linee guida dell'EDPB sul consenso (Linee guida 05/2020, versione 1.1, 2020) richiedono un consenso liberamente dato, specifico, informato e inequivocabile.

6(1)(b) — necessario per l'esecuzione di un contratto. Il redirect stesso — prendere un clic e instradarlo alla destinazione — è ragionevolmente necessario per il servizio richiesto dall'utente. La linea più pulita è che il routing è esecuzione del contratto, mentre il livello analitico sopra quel redirect — registrare il clic per l'attribuzione, la misurazione della campagna, il retargeting — è un'operazione di trattamento separata che potrebbe necessitare di una base diversa.

6(1)(f) — interesse legittimo. La maggior parte dei clienti B2B basa le analitiche a livello di campagna sull'interesse legittimo dopo aver eseguito una Valutazione dell'Interesse Legittimo (LIA). La LIA bilancia l'interesse del titolare nella misurazione dell'efficacia del marketing rispetto agli interessi dell'interessato; per i conteggi di clic aggregati e l'attribuzione standard, il bilanciamento tende generalmente a favore del titolare. Per la profilazione comportamentale ad alta risoluzione — fingerprinting, tracciamento cross-site, retargeting a livello individuale — la LIA diventa più difficile.

L'abbreviatore è il responsabile in tutti e tre i casi. Elabora i dati su istruzioni documentate del titolare. Non sceglie la base giuridica; lo fa il titolare.

Articolo 28: l'accordo con il responsabile del trattamento#

L'Articolo 28(3) elenca gli otto obblighi che qualsiasi contratto tra un titolare e un responsabile del trattamento deve includere. Leggilo direttamente; i sotto-paragrafi da (a) a (h) sono brevi e concreti. Un DPA funzionante per un abbreviatore URL deve affrontare ciascuno.

Illustro come appaiono quelle clausole in pratica.

(a) Trattamento solo su istruzioni documentate. Le istruzioni del titolare sono il contratto più le istruzioni scritte del cliente su base per-funzionalità (ad es. "tratta gli eventi di clic per questi workspace, conserva per X mesi"). L'abbreviatore non può utilizzare i dati di clic del cliente per i propri scopi senza l'istruzione del titolare. In pratica ciò significa: nessun utilizzo dei dati di clic dei clienti per addestrare modelli di raccomandazione interni senza opt-in, nessuna analisi aggregata condivisa con terze parti senza preavviso. Il DPA standard di Elido è esplicito su questo punto; se il DPA del tuo abbreviatore attuale non lo è, chiedi perché.

(b) Riservatezza. Le persone che trattano i dati sono vincolate da obblighi di riservatezza. Questo è operativo dal lato del fornitore e raramente contestato.

(c) Misure di sicurezza (Articolo 32). Coperto di seguito nella propria sezione.

(d) Coinvolgimento dei sub-responsabili. Il responsabile coinvolge i sub-responsabili solo con l'autorizzazione del titolare, e il sub-responsabile deve accettare obblighi equivalenti in base a un contratto scritto. Esistono due varianti di autorizzazione. L'autorizzazione preventiva specifica richiede che il titolare consenta a ogni nuovo sub-responsabile. L'autorizzazione preventiva generale richiede solo un preavviso, con diritto di opposizione. La maggior parte dei contratti SaaS utilizza l'autorizzazione generale con una finestra di preavviso di 30 giorni. Entrambe vanno bene ai sensi dell'Articolo 28; ciò che conta è che il contratto specifichi quale.

(e) Assistenza ai diritti degli interessati. Il responsabile deve aiutare il titolare a rispondere alle richieste degli interessati ai sensi degli Articoli 15-22. Per un abbreviatore, ciò significa che il titolare può richiedere un'esportazione dei record di clic codificati da un identificatore specifico (raro ma accade), e l'abbreviatore deve essere in grado di consegnarla. L'API di Elido include GET /v1/clicks?subject_id= a questo scopo; se il tuo abbreviatore attuale non ha questo, risponderai alle richieste di accesso degli interessati manualmente.

(f) Assistenza agli obblighi degli Articoli 32 / 33 / 34 / 35 / 36. Il responsabile deve aiutare il titolare ad adempiere agli obblighi di sicurezza, notifica delle violazioni e DPIA. L'"aiuto" è operativo — fornire report di audit sulla sicurezza, notificare le violazioni entro un SLA, fornire i dettagli tecnici necessari per una DPIA.

(g) Restituzione o cancellazione al termine dei servizi. Quando il contratto termina, il responsabile restituisce o cancella tutti i dati personali a meno che il diritto dell'Unione o degli Stati membri non richieda la conservazione. La clausola standard di Elido è di 30 giorni post-terminazione, con un certificato di cancellazione documentato su richiesta.

(h) Diritti di audit. Il responsabile deve mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità e sottoporsi agli audit. I contratti SaaS restringono questo a questionari di audit scritti più audit in loco con preavviso ragionevole; i diritti di audit completi illimitati sono insoliti al di fuori dei contratti enterprise.

Se il DPA del tuo abbreviatore attuale è mancante o vago su uno qualsiasi dei punti da (a) a (h), la conversazione di acquisto non dovrebbe andare avanti. Un DPA che soddisfa l'Articolo 28 è il minimo, non il massimo.

Articolo 30: registri del trattamento#

L'Articolo 30 richiede ai responsabili del trattamento di mantenere i registri delle attività di trattamento (RoPA). Il RoPA del responsabile è l'artefatto rivolto al titolare che consente al tuo DPO di capire cosa sta facendo l'abbreviatore con i dati.

Elido pubblica un template RoPA per cliente che puoi mappare al tuo. Le colonne sono categorie di interessati, categorie di dati personali, destinatari, trasferimenti verso paesi terzi (nessuno per impostazione predefinita), conservazione e misure di sicurezza. Standardizzato, ma i team di acquisto vogliono vederlo compilato in modo concreto. Il DPO non vuole un segnaposto. Se il tuo abbreviatore non lo fornisce, il carico di compilarlo dalla sua documentazione ricade su di te.

Articolo 32: sicurezza del trattamento#

L'Articolo 32 richiede "misure tecniche e organizzative adeguate" per garantire un livello di sicurezza adeguato al rischio. L'articolo è volutamente non prescrittivo; le autorità di supervisione lo arricchiscono tramite linee guida.

Per un abbreviatore URL, il livello operativo minimo che la maggior parte dei DPO cercherà:

  • TLS 1.3 in transito, nessun fallback a TLS 1.0 o 1.1.
  • Cifratura a riposo per lo store degli eventi di clic, con documentata rotazione delle chiavi.
  • Segmentazione della rete tra il piano di redirect e il piano analitico.
  • Autenticazione tramite SSO/SAML o OIDC per la superficie rivolta ai clienti; da servizio a servizio tramite credenziali a breve termine.
  • Un registro di audit delle azioni amministrative dal lato dell'abbreviatore, conservato per almeno 12 mesi.
  • Risposta agli incidenti documentata ed esercitazioni tabletop regolari.
  • Certificazione ISO 27001 o attestazione indipendente equivalente.

Elido è certificato ISO 27001 ed è in corso con SOC 2 Tipo II (obiettivo H2 2026). La superficie di controllo tecnico è documentata nella pagina trust. Per il traffico rilevante per HIPAA, i BAA sono disponibili sul piano Business.

La formulazione a livello di articolo conta qui: "adeguato al rischio" è uno standard relativo. Un abbreviatore che elabora clic di campagna su un sito marketing pubblico ha un rischio più basso rispetto a quello usato internamente per condividere URL di sessioni autenticate. Il tuo DPO dovrebbe essere dimensionato per il rischio che corri effettivamente.

Articolo 35: DPIA#

L'Articolo 35 richiede una Valutazione d'Impatto sulla Protezione dei Dati per il trattamento "che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche", con particolare attenzione a (a) valutazione sistematica ed estensiva, (b) dati di categoria speciale e (c) monitoraggio sistematico di aree accessibili al pubblico su larga scala.

Per la maggior parte dei casi d'uso degli abbreviatori, una DPIA non è strettamente richiesta — il tracciamento dei clic di campagna su un sito marketing non è "valutazione sistematica ed estensiva" ai sensi del 35(3)(a). Dove una DPIA diventa consigliabile:

  • Profilazione comportamentale cross-site a livello individuale.
  • Tracciamento che combina dati dell'abbreviatore con altri dati personali (arricchimento CRM, intermediari di dati di terze parti) per costruire un profilo a livello di persona.
  • Utilizzo dei dati di clic per prendere decisioni con effetti legali o analogamente significativi sull'interessato (raro, ma concepibile in contesti di prestiti o impiego).
  • Traffico ad alto volume da contesti di categoria speciale (salute, religione, opinione politica).

Se stai commissionando una DPIA per il trattamento relativo agli abbreviatori, le linee guida del WP29 (WP248 rev.01) sono il riferimento metodologico; molte autorità di supervisione hanno pubblicato i propri template, incluso il software PIA della CNIL.

Articolo 28(2): divulgazione dei sub-responsabili#

La singola domanda GDPR più gestibile è "chi altro tocca i dati?". L'Articolo 28(2) richiede che il responsabile divulghi qualsiasi sub-responsabile che coinvolge e ottenga l'autorizzazione. In pratica, ogni SaaS serio pubblica un elenco di sub-responsabili e un processo di notifica per le aggiunte.

Come appare un buon elenco:

  • Nome del sub-responsabile, posizione del trattamento, ruolo.
  • Categorie di dati personali condivisi.
  • Base giuridica per il trasferimento (dove applicabile).
  • Data in cui il sub-responsabile è stato aggiunto.
  • Meccanismo di notifica per le aggiunte (tipicamente email + feed RSS/JSON).
  • Diritto di opposizione: di solito 30 giorni dalla notifica.

L'elenco pubblico dei sub-responsabili di Elido nomina cinque vendor. Quel numero è piccolo per intenzione — ogni nuovo sub-responsabile aggiunge alla superficie del tuo programma di privacy. Confronta con l'abbreviatore attuale: se hanno 30 sub-responsabili e non riesci a capire quali sono nel percorso degli eventi di clic, questa è una domanda di divulgazione materiale.

Schrems II: quando la residenza UE diventa contrattuale#

Schrems II (CGUE C-311/18, 2020) ha invalidato il Privacy Shield UE-USA e ha richiesto, per i trasferimenti internazionali di dati ai sensi delle SCC, una Valutazione d'Impatto del Trasferimento che valuti se il regime di sorveglianza del paese di destinazione negerebbe ai soggetti UE la protezione dei diritti effettivi.

Il framework successivo — il Framework per la Privacy dei Dati UE-USA, adottato tramite Decisione della Commissione (UE) 2023/1795 — sostituisce il Privacy Shield per le organizzazioni partecipanti. Due importanti avvertenze:

  • La copertura è volontaria; non tutti i vendor SaaS statunitensi sono certificati. Controlla l'elenco dei partecipanti DPF.
  • Il framework è esso stesso oggetto di un contenzioso pendente. NOYB ha segnalato l'intenzione di contestare e una terza sentenza Schrems è plausibile. Gli acquirenti abbastanza prudenti da pianificare per quello scenario contraggono sempre più spesso per il solo trattamento nell'UE.

Dove questo si posiziona per la scelta dell'abbreviatore: se il tuo acquirente ha segnalato la residenza dei dati o la tua regolamentazione settoriale richiede un trattamento esclusivamente nell'UE (sanità tedesca ai sensi della legge sulla protezione dei dati sociali, dati sanitari francesi tramite certificazione HDS, servizi finanziari ai sensi delle linee guida EBA), un abbreviatore ospitato nell'UE semplifica il contratto. La clausola di residenza è concreta, la TIA non è necessaria e il ciclo di acquisto si accorcia.

Elido è ospitato a Francoforte per impostazione predefinita. I clienti Business+ possono effettuare il pin su Ashburn o Singapore dove il loro profilo di traffico lo richiede. Il pinning è per workspace, documentato contrattualmente e applicato operativamente — non è una dichiarazione di marketing.

Minimizzazione dei dati: cosa non devi registrare#

L'Articolo 5(1)(c) richiede che il trattamento sia "adeguato, pertinente e limitato a quanto necessario in relazione alle finalità per le quali sono trattati". Per un abbreviatore, questo principio si applica direttamente allo schema degli eventi di clic.

I segnali che un abbreviatore può raccogliere al momento del redirect:

  • Indirizzo IP (completo, troncato a /24 o con hash).
  • Stringa user-agent (completa, o analizzata in client/OS senza i token rari che fanno il fingerprint).
  • Referrer.
  • Timestamp.
  • Geo derivato dall'IP (paese, città).
  • Dispositivo derivato dall'UA (mobile/desktop/tablet, famiglia OS).
  • Click ID (l'identificatore proprio dell'abbreviatore per l'evento).

Di questi, la finalità effettiva del titolare di solito richiede il dispositivo analizzato, il paese, il timestamp, il click ID e possibilmente il referrer. L'indirizzo IP stesso è raramente necessario dopo il momento del redirect — una volta eseguito il parsing di geo e dispositivo, l'IP può essere troncato o sottoposto ad hash prima di finire nello store dei clic. Lo stesso per l'UA: i campi analizzati device.type / device.os sono ciò che l'attribuzione utilizza effettivamente; la stringa UA completa è un vettore di fingerprinting che dovrebbe essere eliminata.

Elido tronca gli IP a /24 (IPv4) o /48 (IPv6) prima di mantenere gli eventi di clic. L'UA completo viene analizzato e scartato. Entrambi i comportamenti sono documentati e configurabili per workspace se il tuo caso d'uso specifico richiede dati ad alta risoluzione — ma l'impostazione predefinita è la minimizzazione, che è la postura dell'Articolo 5(1)(c) per design piuttosto che per patch.

Diritti degli interessati al livello dell'abbreviatore#

Il titolare gestisce le richieste dei diritti degli interessati; il responsabile assiste. Per un abbreviatore, emergono due richieste:

Articolo 15 — diritto di accesso. L'interessato chiede una copia dei propri dati personali. L'abbreviatore deve essere in grado di recuperare gli eventi di clic codificati da un identificatore del soggetto. In pratica, questo è difficile se l'unico identificatore è "tutti coloro che hanno cliccato il link X da questo IP". La risposta pragmatica: l'abbreviatore esporta gli eventi di clic per l'IP/intervallo di tempo specificato dal titolare, e il titolare filtra al soggetto rilevante.

Articolo 17 — diritto alla cancellazione. L'interessato chiede la cancellazione. L'abbreviatore deve essere in grado di cancellare gli eventi di clic su richiesta entro la formulazione "senza ingiustificato ritardo" del GDPR — il SLA operativo predefinito è 30 giorni. La complicazione: gli eventi di clic sono solitamente memorizzati in un database analitico append-only (ClickHouse, BigQuery, Snowflake). La cancellazione è reale, ma è un DELETE contro la partizione piuttosto che una modifica a livello di riga. Assicurati che il DPA del tuo abbreviatore si impegni su un SLA di cancellazione specifico e che l'architettura sottostante possa rispettarlo.

Elido supporta entrambi tramite l'API: GET /v1/subjects/{id}/clicks e DELETE /v1/subjects/{id}. La cancellazione viene propagata allo store degli eventi di clic entro 24 ore e confermata tramite webhook.

Cosa chiedere all'acquisto#

La lista di controllo compressa per una conversazione di acquisto:

  1. Dove è ospitato l'abbreviatore? (Risposta in una frase; pin o no.)
  2. Il DPA è pre-firmato o negoziato per cliente? (Pre-firmato è più veloce.)
  3. Quanti sub-responsabili? (Meno è più semplice.)
  4. Il contratto standard include il trattamento esclusivamente nell'UE, o è un addendum separato?
  5. Qual è l'impostazione predefinita di troncamento IP sugli eventi di clic?
  6. C'è un endpoint per gli Articoli 15 / 17, o la cancellazione passa attraverso il supporto?
  7. Qual è il SLA per la notifica delle violazioni? (24 ore dall'awareness è la norma del settore.)
  8. Attestazione indipendente: ISO 27001? SOC 2 Tipo II? Quando è stato chiuso l'ultimo audit?

Un vendor che può rispondere a queste otto domande per iscritto nella chiamata di discovery è pronto per l'acquisto. Un vendor che non riesce è destinato ad aggiungere settimane al tuo ciclo di vendita.

Leggi la serie cornerstone#

Questo è il cornerstone del cluster di conformità. Post correlati nel cluster: il prossimo residenza dei dati UE per le analitiche di marketing (più approfondito sulle specifiche contrattuali), Schrems II e i pixel di tracciamento (l'impatto pratico sull'attribuzione), e Attribuzione dei clic dopo Safari ITP (la conseguenza operativa del mondo cookieless). Per il riepilogo rivolto all'acquisto, la pagina trust e solutions/compliance sono i due artefatti da aggiungere ai preferiti. Per il dettaglio architetturale dietro la dichiarazione di residenza, the edge-redirect architecture doc illustra come il pinning regionale viene applicato al momento del routing.

Correlati sul blog#

Prova Elido

Accorciatore di URL ospitato nell'UE: domini personalizzati, analisi approfondite e API aperta. Piano gratuito — senza carta di credito.

Prova Elido gratisVedi prezzi
Tag
gdpr url shortener
url shortener data residency
link tracking gdpr
schrems ii
dpa
sub-processor disclosure
article 28
article 30

Continua a leggere