Sono passate ormai 3 settimane dal lancio ufficiale di IOS15 e quindi dalla progressiva diffusione della nuova funzionalità di Mail Privacy Protection di Apple e cominciamo a vedere numeri "rilevanti": oltre i 10% delle aperture rilevate dai mittenti è riconducibile ad aperture automatiche di questo nuovo sistema, del quale abbiamo visto alcuni dettagli tecnici il mese scorso.

Ormai è chiaro a tutti che mentre fino ad oggi una email rilevata come aperta era, con ogni probabilità, stata vista dal destinatario, da oggi questa cosa non sarà più vera, o almeno non lo sarà per tutti.

Non è invece ancora chiaro se e come i fornitori di strumenti di invio intendano gestire le richieste di Apple, ne riparleremo in fondo all'articolo, per ora parliamo di quali effetti bisogna aspettarsi in termini di misurazione delle proprie campagne:

Sono passati quasi 3 mesi dall'annuncio di IOS15 e le sue novità in termini di privacy: vediamo qui quali altre informazioni abbiamo, in attesa della presentazione dei nuovi iPhone che dovrebbe avvenire fra pochi giorni, con i quali arriverà anche il lancio ufficiale di IOS15.

La prima cosa ad essere più chiara è che le nuove funzionalità verranno proposte all'utente all'apertura del programma di posta e l'utente potrà scegliere tra due opzioni "proteggi l'attività email" "non proteggere l'attività email": è facile capire che di fronte ad una domanda di questo tipo il 99% degli utenti sceglierà "proteggi".

Passiamo ora ad una revisione di aspetti più tecnici, di ciò che abbiamo rilevato.

Abbiamo recentemente parlato del tracciamento delle aperture nelle email e di servizi come quello di Hey.com che offrono una casella che cerca di bloccare il tracciamento da parte dei mittenti delle email.

Due giorni fa DuckDuckGo, azienda nota per il suo motore di ricerca focalizzato sulla privacy dei propri utenti, ha annunciato il lancio di un servizio gratuito, per ora in fase beta e su invito, per proteggere gli utenti da questi meccanismi di tracciamento.

Proprio il mese scorso abbiamo parlato dell'impatto sulla privacy del tracking pixel,  di come venga usato nell'email e di quali strumenti esistano a tutela della privacy e ora arriva l'annuncio di Apple con una, anzi più di una, soluzione rivoluzionaria per tutela della privacy, specialmente per il mondo email.

Nell'articolo precedente avevamo visto sostanzialmente 3 modalità di tutela della privacy e le relative peculiarità:

• blocco delle immagini, con sblocco manuale per l'utente che voglia approfondire
• blocco della solo immagine di tracciamento (tracking pixel), quando identificata
• image proxy, per anonimizzare IP e dispositivo utilizzati senza però prevenire il rilevamento dell'apertura

Abbiamo parlato di cosa sia il tracking pixel nel mondo web, ora vediamo però come tutto questo si declina nel mondo email e ragioniamo su quali siano analogie e differenze.

L'analogia tra una pagina web e una email è che entrambe sono "pagine html" ed entrambe possono contenere risorse che possono provenire da siti esterni, ma da qui in poi partono le numerose differenze:

La pagina web la visitiamo noi mentre l'email la riceviamo e decidiamo solamente se aprirla o meno

Può sembrare più invasiva la seconda, ma proviamo a riprendere l'analogia del negozio proposta nell'articolo precedente. Se la pagina web è un negozio in cui decidiamo se entrare o meno (ma che è pieno di telecamere di chi osserva che l'abbiamo fatto), l'email è come il venditore porta a porta che suona alla vostra porta di casa. Potete così dedurre più facilmente che per chi voglia costruire un vostro profilo su quali siano i vostri interessi abbia molto più valore l'insieme e la sequenza dei negozi nei quali avete deciso di entrare autonomamente rispetto al fatto che abbiate deciso di aprire la porta a qualcuno che vi ha suonato alla porta di casa.

Ogni volta che visitate una pagina web il server che vi fornisce quella pagina vede il vostro indirizzo IP, il browser che state utilizzando, il dispositivo dal quale lo fate ed altri dati (cookies legati a quel dominio): questo probabilmente viene ormai compreso da chiunque perché è come dire che ogni volta che entriamo in un negozio il negoziante ci vede e se torniamo può riconoscerci.

Una cosa già meno intuitiva è, però, che quando guardiamo una pagina web il nostro browser non sta contattando solamente il server che la contiene ma, al fine di visualizzare la pagina spesso contatta decine di altri siti, ovvero tutti quei server che ospitano eventuali immagini, fogli di stile, tipi di carattere, file multimediali, javascript che compongono la pagina stessa.

Ognuno dei server che ospita anche solo un pezzetto di informazione presente in quella pagina riceve così quelle informazioni che intuitivamente pensavamo arrivassero solo al gestore del sito che stiamo visitanto, insieme all'informazione su quale fosse la pagina che stiamo vedendo.

A poco meno di 1 anno dall'entrata in vigore del GDPR, lo scorso 7 maggio il Garante Privacy ha pubblicato la relazione sulle attività svolte nel 2018. Il 2018 è stato un anno "unico" dovendo gestire anche la transizione dal "vecchio" regolamento sul trattamento dei dati personali ed il "nuovo" GDPR. Sappiamo inoltre che nei primi mesi di applicazione del GDPR l'uso delle sanzioni è stato piuttosto moderato, per dar modo ad aziende ed operatori di recepire il cambiamento portato dal GDPR (o meglio, la consapevolezza che ha portato su temi spesso precedentemente esistenti).

Il report di 259 pagine analizza in dettaglio tutti gli aspetti di cui si è occupato il garante: in questo articolo abbiamo estrapolato le parti che riteniamo più interessanti per chi gestisce liste di contatti per fini di marketing.

Data-breach, Segnalazioni e Reclami, Sanzioni riscosse

Dal 1° marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach di cui 630 dal 25 maggio al 31 dicembre 2018 [...].

Il trattamento dei dati personali era normato anche in epoca pre-GDPR, ma il GDPR ha reso più esplicito che gli utenti europei non possono essere tracciati a loro insaputa.

Per quanto riguarda l'invio di newsletter il problema va affrontato in fase di "opt-in", ovvero quando il potenziale iscritto compila il modulo di iscrizione e vi fornisce il consenso al trattamento dei suoi dati al fine di ricevere la newsletter. In questo caso le scuole di pensiero che abbiamo incontrato sono due:

• Il tracciamento dell'apertura dell'email necessita di un consenso separato e opzionale che l'iscritto deve poter dare in fase di iscrizione.
• Il tracciamento è necessario per garantire certi standard qualitativi nell'erogazione della newsletter stessa e quindi non necessita di un consenso separato, ma deve solo essere esplicitato nella privacy policy.

In entrambi i casi, però, la privacy policy deve essere esplicita nel definire quali dati vengono raccolti tramite tracciamento, da chi, con quale scopo, per quanto tempo.

Ma come si applica questo discorso alle email transazionali?

Anche il 2017 è stato, per il Garante per la protezione dei Dati personali, un anno intenso.

Nell'annuale e davvero interessante report, uscito qualche settimana fa, il Garante fa il punto, quantitativo e qualitativo dell'attività 2017.

Il report completo, unitamente al discorso di presentazione del presidente Antonello Soro, sono liberamente consultabili a questa pagina.

Già in questo articolo, di più di tre anni fa, avevamo fatto notare come alcune delle statistiche offerte dagli ESP risultassero nei fatti parecchio imprecise.

Le motivazioni dietro a questa imprecisione, riscontrabile soprattutto nella localizzazione geografica e nel riconoscimento dei device di apertura, sono variegate, ma una in particolare risulta avere un peso maggiore: l'utilizzo, da parte di alcune webmail e app mobile di proxy per il recupero e la fornitura delle immagini.

Cos'è un proxy immagini?

Quando una email viene inviata tramite un ESP normalmente è composta di una parte HTML che all'interno, come una pagina web, richiama risorse esterne, principalmente immagini.

In condizioni normali il client di posta o il browser, interpretando l'html della newsletter, fanno per conto dell'utente le richieste ai server remoti per ottenere le immagini.