Elido
Blog
18 min di letturaConformità

Abbreviatori URL conformi al GDPR - cosa cercare nel 2026

Una lista di controllo pratica per marketer e team di acquisto che valutano gli abbreviatori URL ai sensi del GDPR: residenza dei dati UE, troncamento IP, disponibilità del DPA, divulgazione dei sub-responsabili, diritto alla cancellazione e le trappole nascoste negli strumenti popolari basati negli USA.

Sasha Ehrlich
Compliance · EU residency
Ten-item GDPR checklist for URL shorteners mapped to GDPR articles: EU residency (Art. 44), IP truncation (Art. 5), no fingerprinting (Art. 6), DPA pre-signed (Art. 28), sub-processor list (Art. 28), right to erasure (Art. 17), breach notification SLA (Art. 33), independent attestation (Art. 32), privacy notice (Art. 13), cookieless analytics (Art. 6)

Ogni redirect attraverso un abbreviatore URL crea un evento di trattamento dei dati. L'evento di clic contiene almeno un indirizzo IP, un timestamp e una stringa user-agent. Ai sensi dell'Articolo 4(1) del GDPR, quella combinazione può costituire dati personali - la CGUE ha confermato in Breyer (C-582/14, 2016) che gli indirizzi IP dinamici sono dati personali quando un'organizzazione ha un mezzo realistico per identificare l'individuo dietro di essi. Il tuo abbreviatore ha quel mezzo: controlla il registro dei redirect.

Questo post è una lista di controllo pratica per valutare se un abbreviatore URL è genuinamente conforme al GDPR. Illustro cosa richiede effettivamente il regolamento, dove i provider popolari sono carenti, cosa cercare in uno strumento conforme e i compromessi coinvolti. I riferimenti agli articoli sono a Regolamento (UE) 2016/679, il GDPR come modificato.

Cosa richiede il GDPR a un abbreviatore URL#

Un abbreviatore URL si trova nel flusso di dati tra la tua campagna e il tuo cliente. Quando qualcuno fa clic su un link breve, l'abbreviatore vede il clic prima che lo faccia la pagina di destinazione. Questo rende l'abbreviatore un responsabile del trattamento ai sensi dell'Articolo 4(8): elabora dati personali per tuo conto. Tu sei il titolare; decidi la finalità e i mezzi del tracciamento. L'abbreviatore esegue l'operazione sotto le tue istruzioni.

Flusso di dati di un clic su link breve: il piano di redirect esegue controlli geo e bot sull'IP completo, poi lo tronca a /24 prima dello store degli eventi di clic nell'UE; il titolare del trattamento rimane responsabile della scelta della base giuridica.

Quella divisione crea quattro obblighi concreti che devi chiedere all'abbreviatore di rispettare:

1. Un contratto scritto che copre l'Articolo 28(3)

L'Articolo 28(3) elenca otto requisiti che qualsiasi contratto con un responsabile del trattamento deve includere: trattamento solo su istruzioni documentate, riservatezza, sicurezza adeguata, divulgazione dei sub-responsabili, assistenza con i diritti degli interessati, assistenza con gli obblighi di sicurezza e DPIA, cancellazione o restituzione alla cessazione e diritti di audit. Un abbreviatore senza un Accordo per il Trattamento dei Dati (DPA) che affronti ciascuno di questi punti non è pronto per l'acquisto per un deployment nell'UE.

2. Base giuridica per il livello di tracciamento dei clic

Il redirect stesso - prendere un clic e instradarlo alla destinazione - è ragionevolmente necessario per il servizio. Il livello analitico sopra quel redirect - registrare il clic per l'attribuzione, la misurazione della campagna, il retargeting - è un'operazione di trattamento separata che necessita della propria base giuridica ai sensi dell'Articolo 6. La maggior parte dei team B2B basa le analitiche della campagna sull'interesse legittimo ai sensi dell'Articolo 6(1)(f); se l'abbreviatore inietta pixel di retargeting di terze parti al momento del redirect, la base si sposta sul consenso ai sensi dell'Articolo 6(1)(a), il che significa che hai bisogno di un meccanismo di consenso prima del primo clic.

3. Minimizzazione dei dati

L'Articolo 5(1)(c) richiede che la raccolta dei dati sia "adeguata, pertinente e limitata a quanto necessario". Per un abbreviatore, questo principio si applica direttamente allo schema degli eventi di clic. Hai bisogno del geo a livello di paese, della categoria del dispositivo, del timestamp e di un identificatore di clic. Non hai bisogno dell'indirizzo IP completo dopo il momento del redirect. Quasi certamente non hai bisogno della stringa user-agent completa - una tupla analizzata device.type / device.os porta il segnale di attribuzione senza essere un vettore di fingerprinting.

4. Conformità al trasferimento internazionale

Se l'abbreviatore memorizza o elabora eventi di clic al di fuori del SEE, si applicano l'Articolo 44 e l'Articolo 46. I trasferimenti verso gli USA richiedono Clausole Contrattuali Standard (SCC) più una Valutazione d'Impatto del Trasferimento, o la partecipazione al Framework per la Privacy dei Dati UE-USA, che è esso stesso oggetto di un contenzioso pendente. Un abbreviatore ospitato nell'UE evita completamente questo problema.

Dove i provider popolari sono carenti#

Bitly#

Il piano dati primario di Bitly è negli Stati Uniti. Secondo la loro documentazione pubblica, i trasferimenti internazionali di dati dal SEE si basano su Clausole Contrattuali Standard. Il DPA è disponibile, ma non è pre-firmato nel contratto standard - i clienti enterprise lo negoziano separatamente, il che aggiunge tempo al ciclo di acquisto. La residenza dei dati esclusivamente nell'UE non è un'offerta standard; è una conversazione con contratto personalizzato.

Due problemi meno discussi: la dashboard analitica di Bitly si integra con servizi di attribuzione di terze parti, e alcuni livelli del piano consentono l'iniezione di pixel di retargeting al livello del redirect. Se i pixel di retargeting si attivano prima che l'utente abbia acconsentito, questo è un problema di conformità ai sensi dell'Articolo 6 per te in qualità di titolare. L'abbreviatore è il responsabile, ma il titolare si assume la responsabilità primaria di avere la corretta base giuridica in atto.

Rebrandly#

Rebrandly ha sede a Dublino, il che sembra EU-friendly, ma la domanda operativa è dove vengono trattati i dati, non dove è incorporata l'azienda. Secondo il loro DPA (acceduto maggio 2026), i trasferimenti di dati dal SEE agli USA si basano su SCC. Il trattamento esclusivamente nell'UE è disponibile per i clienti enterprise su termini personalizzati. Il contratto standard non vincola i dati all'infrastruttura UE. Per i team che hanno bisogno di una clausola di residenza contrattualmente applicabile immediatamente, Rebrandly richiede una negoziazione personalizzata.

Rebrandly supporta anche i pixel di retargeting di terze parti nativamente sulla maggior parte dei piani. Il valore marketing è reale; l'implicazione di conformità è che qualsiasi pixel che si attiva al momento del redirect per soggetti UE ha bisogno di una base di consenso, non di una base di interesse legittimo, perché la profilazione comportamentale per la pubblicità è al di fuori del confine dell'interesse legittimo per la maggior parte delle interpretazioni delle autorità di supervisione.

TinyURL#

TinyURL offre un piano gratuito pulito ed è un abbreviatore di consumo ampiamente usato. Non pubblica un elenco di sub-responsabili. I termini standard non includono un DPA che soddisfi l'Articolo 28(3). Il livello analitico è rudimentale e ospitato negli USA. Per i team B2B o di marketing con soggetti UE nel loro pubblico, TinyURL non è pronto per l'acquisto.

Il problema generale degli abbreviatori ospitati negli USA#

Molti provider che operano principalmente per clienti statunitensi trattano la conformità al GDPR come una casella di controllo piuttosto che un vincolo architetturale. I segnali da tenere d'occhio: un badge "conforme al GDPR" sulla pagina dei prezzi senza link a un DPA, un elenco di sub-responsabili che non nomina le regioni di hosting (solo i nomi degli hyperscaler senza regioni), un processo di cancellazione che passa attraverso il supporto piuttosto che un endpoint API documentato e nessuna menzione del troncamento IP o delle impostazioni predefinite di minimizzazione dei dati.

"Conforme al GDPR" come affermazione di marketing non significa nulla senza un DPA che si mappa all'Articolo 28(3), un elenco di sub-responsabili che sia aggiornato e specifico per regione, e prove che la postura predefinita di raccolta dei dati applichi la minimizzazione piuttosto che richiedere di optarvi.

La lista di controllo degli abbreviatori conformi al GDPR#

Queste sono le dieci domande da mettere per iscritto prima di firmare un contratto con un abbreviatore URL che elaborerà dati di clic su soggetti UE.

Le dieci domande della lista di controllo per gli abbreviatori mappate agli articoli del GDPR: residenza su Art. 44, DPA su Art. 28(3), troncamento IP su Art. 5(1)(c), cancellazione su Art. 17, SLA violazioni su Art. 33 e altro.

1. Dove vengono trattati i dati e questo è un impegno contrattuale?#

Chiedi la regione dell'hyperscaler - non solo il nome del cloud provider. "AWS" non è una risposta; una regione UE nominata come "AWS eu-central-1" lo è. Ancora più importante, chiedi se quella regione è una clausola vincolante nel contratto standard o una pratica operativa che può cambiare senza il tuo consenso. Ai sensi dell'Articolo 44, i trasferimenti al di fuori del SEE necessitano di una base giuridica; vuoi l'impegno di residenza nel contratto così non devi rifare l'analisi ogni volta che il vendor aggiorna la propria infrastruttura.

2. Il DPA è pre-firmato e copre l'Articolo 28(3) nella sua interezza?#

Un DPA che viene fornito pre-firmato nel contratto standard segnala che il vendor tratta la conformità al GDPR come una baseline, non come una negoziazione. Leggi il DPA rispetto agli otto sotto-paragrafi dell'Articolo 28(3). Ciascuno deve essere affrontato. Presta particolare attenzione al paragrafo (d) - coinvolgimento dei sub-responsabili - e al paragrafo (h) - diritti di audit. Il linguaggio generico come "usiamo pratiche di sicurezza standard del settore" al posto degli obblighi concreti è un segnale d'allarme.

3. Quanti sub-responsabili ci sono e sono nominati con regioni?#

Ogni sub-responsabile è un ulteriore anello nella catena del trasferimento. Un elenco breve con regioni nominate (provider di compute UE nella regione UE, provider e-mail in USA Est, ecc.) è verificabile in un'unica revisione. Un lungo elenco con nomi di vendor vaghi è un onere di manutenzione e un rischio di residenza. Ai sensi dell'Articolo 28(2), ogni sub-responsabile deve accettare gli stessi obblighi di protezione dei dati del responsabile. Chiedi qual è il periodo di notifica per i nuovi sub-responsabili e se hai un diritto di opposizione.

4. L'abbreviatore tronca o sottopone ad hash gli indirizzi IP prima di memorizzarli?#

La memorizzazione dell'indirizzo IP completo è raramente necessaria per i casi d'uso analitici che un abbreviatore supporta. La geolocalizzazione a livello di paese e il rilevamento dei bot possono essere eseguiti al momento del redirect dall'IP completo e il risultato memorizzato; l'IP grezzo può quindi essere scartato o troncato. Ai sensi dell'Articolo 5(1)(c), memorizzare più dati di quanti ne richiede la finalità è una violazione del principio di minimizzazione dei dati. Chiedi se il troncamento o l'hash dell'IP è l'impostazione predefinita, o se devi optarvi. La minimizzazione predefinita è l'architettura corretta; la minimizzazione con opt-in sposta il rischio di conformità su di te.

5. Il redirect inietta script o pixel di terze parti?#

Alcuni abbreviatori offrono l'iniezione di pixel di retargeting come funzionalità: quando un visitatore clicca il tuo link breve, l'abbreviatore carica un Meta Pixel, un Google Tag o uno script di terze parti simile prima o durante il redirect. Per i soggetti UE, caricare uno script di tracciamento comportamentale di terze parti senza consenso preventivo è una violazione dell'Articolo 6 e, a seconda che vengano impostati cookie, della Direttiva ePrivacy. Se il tuo abbreviatore offre l'iniezione di pixel, quella funzionalità deve essere disabilitata o condizionata al consenso per il traffico UE. Se il vendor non può confermare che nessuno script di terze parti si carica al momento del redirect per impostazione predefinita, testalo tu stesso con la scheda Network aperta.

6. C'è un endpoint API per le richieste di diritto alla cancellazione?#

L'Articolo 17 concede agli interessati il diritto di far cancellare i propri dati personali "senza ingiustificato ritardo" quando si applicano motivi specifici. Quando ricevi una richiesta di cancellazione relativa ai dati di clic che il tuo abbreviatore detiene, hai bisogno di un meccanismo per agire su di essa. Un endpoint API che accetta un identificatore del soggetto e cancella gli eventi di clic associati è la risposta operativamente corretta. La cancellazione tramite ticket di supporto non è "senza ingiustificato ritardo" nella maggior parte delle interpretazioni delle autorità di supervisione e non è uno schema scalabile a nessun volume significativo di clic.

La complicazione è che gli eventi di clic spesso vivono in un database analitico colonnare append-only (ad esempio BigQuery o Snowflake). Un vendor che memorizza gli eventi di clic in questo modo deve dimostrare che la cancellazione è reale - un DELETE sulla partizione rilevante - non solo un flag soft. Chiedi il SLA dell'Articolo 17 del vendor e il meccanismo tecnico dietro di esso.

7. Qual è il SLA per la notifica delle violazioni?#

L'Articolo 33 richiede a un titolare di notificare la propria autorità di supervisione di una violazione di dati personali "senza ingiustificato ritardo e, ove possibile, entro 72 ore dall'acquisizione della conoscenza di essa". Affinché quell'orologio funzioni, hai bisogno che il tuo responsabile notifichi te materialmente prima - la norma del settore è 24 ore dall'awareness alla notifica del titolare. Il tuo DPA dovrebbe specificare questo SLA. "Ti notificheremo prontamente" non è un numero.

8. L'abbreviatore utilizza analitiche first-party cookieless per impostazione predefinita?#

Molti abbreviatori costruiscono la propria dashboard analitica su uno strumento di analisi del prodotto di terze parti (Mixpanel, Amplitude, Segment) che è ospitato negli USA e potrebbe impostare identificatori persistenti nei cookie o nel local storage. Per le proprie analitiche del prodotto dell'abbreviatore (tracciamento del tuo utilizzo della dashboard), questa è una questione separata. La domanda rilevante per il tracciamento dei clic è se il flusso del redirect imposta cookie o identificatori persistenti nel browser del visitatore senza consenso.

Un evento di clic cookieless - uno che deriva paese, dispositivo e referrer dagli header della richiesta senza impostare alcuno stato lato client - non richiede un meccanismo di consenso per le analitiche first-party secondo la maggior parte delle linee guida delle autorità di supervisione, a condizione che i dati siano trattati in base all'interesse legittimo e la privacy notice sia accessibile. Un redirect che imposta un identificatore persistente o carica un tag di terze parti richiede una porta di consenso. Sappi quale dei due usa il tuo abbreviatore.

L'Articolo 13 richiede che le persone i cui dati vengono raccolti siano informate del trattamento al momento della raccolta, a meno che non si applichi un'eccezione. Per il tracciamento dei clic su un link breve, la domanda pratica è: come sa la persona che clicca il link che il suo clic viene tracciato e dove può leggerne?

La maggior parte dei deployment di abbreviatori soddisfa questo attraverso la privacy notice del titolare sulla pagina di destinazione o in un banner dei cookie sulla pagina della campagna di origine. L'abbreviatore come responsabile non ha bisogno di visualizzare la propria notice a chi clicca - ma tu come titolare hai bisogno di una privacy notice che copra la catena di trattamento del tracciamento dei link. Se la privacy policy dell'abbreviatore è l'unico documento che descrive il trattamento, ed è scritta dal punto di vista del vendor piuttosto che del titolare, hai una lacuna.

10. Puoi scaricare ed eliminare i tuoi dati senza contattare il supporto?#

Questo è un test pratico per verificare se un vendor operativizza effettivamente i diritti degli interessati che afferma di supportare. Dovresti essere in grado di: esportare tutti gli eventi di clic per un workspace in un formato portabile, eliminare singoli link e la loro cronologia di clic associata e terminare l'account con la cancellazione documentata di tutti i dati personali. Se uno qualsiasi di questi richiede una richiesta di supporto piuttosto che un'azione self-serve tramite API o dashboard, chiedi il SLA e mettilo nel contratto.

I compromessi coinvolti#

L'architettura conforme al GDPR implica compromessi reali, ed essere onesti su di essi è più utile che fingere che i vincoli di conformità non abbiano costi.

Analitiche più grossolane. Un abbreviatore che tronca gli IP a /24 e scarta la stringa user-agent completa ti fornisce paese, famiglia di dispositivi e OS - ma non il targeting a livello di città, non il fingerprint del browser individuale e non la risoluzione dell'identità cross-sessione che i dati ad alta risoluzione abiliterebbero. Per la maggior parte dei casi d'uso di attribuzione della campagna, questo livello di risoluzione è sufficiente. Per il retargeting a livello individuale, hai bisogno di un approccio diverso - tipicamente l'inoltro delle conversioni lato server rispetto a un identificatore first-party che l'utente ha già condiviso con te (indirizzo email, ID utente loggato), che non richiede all'abbreviatore di tracciare l'individuo al livello del redirect.

Superficie di funzionalità più ridotta. Alcune delle funzionalità più potenti degli abbreviatori - iniezione di pixel di retargeting, tracciamento cross-domain, integrazione profonda con piattaforme pubblicitarie di terze parti - sono costruite su pratiche di raccolta dei dati difficili da conciliare con la minimizzazione dei dati. Un abbreviatore conforme al GDPR tende ad avere un redirect più pulito che fa meno al livello del redirect e instrada di più al livello degli eventi di conversione, dove il titolare ha una relazione diretta con l'utente e può basare il tracciamento sul consenso.

Overhead di acquisto. Scegliere un abbreviatore ospitato nell'UE con un DPA pre-firmato riduce il ciclo di acquisto rispetto a un vendor ospitato negli USA che richiede un contratto personalizzato per la residenza nell'UE. Non lo elimina. Devi comunque esaminare il DPA, controllare l'elenco dei sub-responsabili, convalidare il SLA di cancellazione e confermare che le impostazioni predefinite di troncamento IP e cookie corrispondano alla tua privacy notice. Stima da due a quattro ore di lavoro di acquisto per un abbreviatore conforme al GDPR rispetto a due-otto settimane per un vendor ospitato negli USA dove la residenza nell'UE richiede una negoziazione di contratto personalizzata.

Confronto affiancato di un abbreviatore ospitato nell'UE (residenza nel contratto, DPA pre-firmato, nessuna base di trasferimento necessaria, circa 2-4 ore) rispetto a uno ospitato negli USA (termini UE personalizzati, SCC piu TIA, circa 2-8 settimane).

Come Elido affronta questo#

Dove è rilevante per questa lista di controllo, ecco come appare il deployment standard di Elido.

Residenza dei dati. Elido elabora gli eventi di clic sull'infrastruttura UE nella regione UE per impostazione predefinita. La residenza è una clausola vincolante nel contratto standard con il cliente, non una pratica operativa. I clienti Business+ possono effettuare il pin ad altre regioni; l'impostazione predefinita non trasferisce dati al di fuori del SEE.

Troncamento IP. Gli eventi di clic memorizzati nel nostro archivio di analisi contengono il prefisso di rete /24 (IPv4) o /48 (IPv6), non l'indirizzo IP completo. Geo e rilevamento bot vengono eseguiti sull'IP completo al momento del redirect e l'IP completo viene scartato prima che l'evento venga mantenuto. Questo è l'impostazione predefinita; non è necessario configurarla.

Pixel di terze parti al momento del redirect. Il piano di redirect non carica script di terze parti. L'inoltro delle conversioni lato server - invio dei dati di attribuzione a Meta CAPI, GA4 o simili - è una funzionalità opzionale e configurata separatamente che utilizza i dati degli eventi first-party che invii all'API di Elido, non un pixel iniettato al momento del redirect. Questi sono architetturalmente diversi: uno si attiva senza la conoscenza del visitatore dal redirect, l'altro è una chiamata server-to-server basata su dati che il visitatore ha già condiviso con te.

DPA. Il DPA di Elido è pre-firmato nel contratto standard con il cliente. Affronta tutti e otto i sotto-paragrafi dell'Articolo 28(3). I sub-responsabili sono elencati nella pagina trust con regioni nominate. La pagina legal/privacy copre la catena di trattamento visibile ai destinatari dei link.

Diritto alla cancellazione. Le richieste di cancellazione ai sensi dell'Articolo 17 vengono propagate allo store degli eventi di clic entro 24 ore. La cancellazione è un'operazione a livello di partizione, non un flag soft.

Analitiche cookieless. Il piano di redirect non imposta cookie. Gli eventi di clic sono solo lato server. La dashboard analitica che Elido fornisce internamente utilizza Plausible in modalità cookieless per la telemetria del prodotto; questo è separato dalla registrazione degli eventi di clic per le tue campagne.

Cosa Elido non ha ancora: SOC 2 Tipo II (in corso, con obiettivo H2 2026), un template DPIA self-service per i clienti e un'API per le richieste di accesso degli interessati completamente automatizzata per scenari meno comuni di diritto di accesso. Per i dettagli sulle attestazioni attuali, consulta la pagina trust.

Lista di controllo per la migrazione da un abbreviatore non-UE#

Se stai attualmente usando un abbreviatore ospitato negli USA e devi passare a uno ospitato nell'UE, ecco una lista di controllo operativa compressa.

Prima di firmare il nuovo contratto:

  1. Leggi il DPA del nuovo vendor rispetto all'Articolo 28(3). Conferma che tutti e otto i punti siano coperti esplicitamente.
  2. Controlla l'elenco dei sub-responsabili. Conferma che le regioni di hosting siano nominate, non solo i cloud provider.
  3. Conferma l'impostazione predefinita di troncamento IP. Chiedi una conferma scritta se non è nella documentazione del prodotto.
  4. Conferma il SLA dell'Articolo 17 e il meccanismo tecnico.
  5. Controlla se i pixel di retargeting si attivano al momento del redirect. In caso affermativo, conferma che possano essere disabilitati completamente o siano condizionati al consenso.

Durante la migrazione:

  1. Esporta i tuoi link esistenti come CSV. Verifica che gli slug personalizzati vengano preservati dalla nuova piattaforma prima di toccare il DNS.
  2. Fornisci tutti i link sulla nuova piattaforma con lo stesso dominio personalizzato e gli slug prima di ripuntare il CNAME.
  3. Consenti 24–48 ore per la propagazione DNS dopo il cambio del CNAME. Entrambe le piattaforme serviranno risposte valide durante questa finestra se gli slug corrispondono.
  4. Non migrare i dati storici dei clic dalla vecchia piattaforma - la catena di custodia per i vecchi eventi di clic rimane con il vecchio responsabile fino a quando non eserciti i diritti di cancellazione.

Dopo la migrazione:

  1. Invia una richiesta di cancellazione al vecchio vendor per tutti i dati personali associati al tuo workspace. Conferma la ricezione e i tempi di cancellazione.
  2. Aggiorna la tua privacy notice per riflettere il nuovo responsabile, i suoi sub-responsabili e la nuova residenza dei dati.
  3. Revisiona eventuali banner dei cookie o meccanismi di consenso che facevano riferimento alle funzionalità di tracciamento del vecchio abbreviatore. Adegua l'ambito se la raccolta predefinita della nuova piattaforma è più ristretta.

Il playbook di migrazione da Bitly copre la meccanica tecnica dell'importazione dei link e del passaggio del DNS in modo più dettagliato.

Cosa verificare prima di fidarsi di una dichiarazione GDPR#

Qualsiasi abbreviatore può mettere "conforme al GDPR" su una pagina dei prezzi. La dichiarazione non è regolamentata e non ha valore legale proprio. Gli artefatti che hanno valore legale sono:

  • Un DPA che si mappa all'Articolo 28(3) sotto-paragrafo per sotto-paragrafo.
  • Un elenco di sub-responsabili che nomina vendor, regioni e categorie di dati condivisi.
  • Una privacy notice accessibile ai destinatari dei link che descrive la catena di trattamento - questo soddisfa l'Articolo 13.
  • Gestione degli IP documentata che conferma il troncamento o l'hash prima della persistenza.
  • Un SLA di cancellazione ai sensi dell'Articolo 17 con un meccanismo tecnico nominato.
  • Attestazione indipendente (ISO 27001 è il minimo; SOC 2 Tipo II aggiunge garanzie per gli acquisti US/internazionali).

Se un vendor non può fornire tutto questo per iscritto entro un giorno lavorativo, la dichiarazione "conforme al GDPR" è testo di marketing piuttosto che una postura di conformità documentata.

Per l'analisi legale a livello di articolo dietro questa lista di controllo, il cornerstone GDPR per gli abbreviatori URL copre gli Articoli 3, 6, 28, 30, 32 e 35 in profondità con citazioni delle autorità di supervisione. Artefatti rivolti all'acquisto: privacy policy, termini di servizio e prezzi di Elido - il DPA è incluso nel contratto standard a ogni piano a pagamento.

Correlati sul blog#

Prova Elido

Incolla un URL, ottieni un link breve

Senza registrazione. Il link vive 30 giorni. Iscriviti per conservarlo.

Gratis, nessuna registrazione richiesta · 2 al giorno

Prova Elido

Accorciatore di URL ospitato nell'UE: domini personalizzati, analisi approfondite e API aperta. Piano gratuito - senza carta di credito.

Prova Elido gratisVedi prezzi
Tag
gdpr url shortener
gdpr friendly url shortener
url shortener data residency
link tracking gdpr
eu url shortener
dpa url shortener
gdpr checklist

Continua a leggere