{{feedLink}}

Pixel invisibili - Mangialumache Vs Les Ritals

tracker Christian Bernieri - Tempo di lettura: 14 min.
(Aggiornato il )
Un singolo pixel invisibile - AI generated image

Il CNIL, l'autorità Garante francese, ha pubblicato le proprie "raccomandazioni" per l'uso dei pixel invisibili di tracciamento contenuti nelle email.

Si tratta di una argomento piuttosto di nicchia, una minuzia che, al confronto delle macro violazioni compiute impunemente dai grandi player, quelle che ci stano spolpando vivi, appare come la più piccola unità fondamentale di micro violazione del diritto alla protezione dei dati personali. Probabilmente indivisibile. Sì, praticamente l'equivalente di un singolo pixel rispetto alla foto più grande del mondo

Questa cosa, il Pixel, è talmente piccolo che, in una settimana, ha attirato su di se l'attenzione di tutti, anche del nostro italico Garante Privacy che, proprio oggi, con sette giorni di ritardo sul CNIL, ha pubblicato le proprie "linee guida" sullo stesso identico argomento: il mefistofelico pixel.

Ma cosa diavolo è questo pixel? Perché è trasparente? Quante cose sa di me? Dove lo posso trovare? Che sapore ha? È doloroso? Ha un'amicə carinə da presentarci?

Con ordine:

Il pixel é un tracker, una brutta bestia che, anche se invisibile, si trova su un server lontano, gestito da gente brutta e cattiva. Inserirlo in una email, così come in una landing page o in una normalissima pagina web, fa si che, aprendo quel contenuto, il computer chieda di andare quell'immagine al server remoto. Purtroppo i computer sono oggetti stupidi, sanno fare solo quello che gli si chiede e, anche se il pixel non serve a nulla in termini visivi, lo scaricano e lo visualizzano. Il traffico dati viene sfruttato da server malvagi per chiedere al browser un sacco di informazioni, dati e metadati:

  • Tipo di browser e versione
  • Il sistema operativo in uso
  • Il tipo di di­spo­si­ti­vo usato (ad esempio un telefono cellulare o un computer desktop)
  • Il client uti­liz­za­to (ad esempio un browser, un programma di posta elet­tro­ni­ca, una app)
  • La ri­so­lu­zio­ne dello schermo
  • Altri dati di telemetria (stato della batteria, font installati)
  • Il referrer URL (l’indirizzo dell'ultimo sito web che l’utente ha visitato e che lo ha portato all’indirizzo con il pixel di trac­cia­men­to)
  • L’indirizzo IP che da in­for­ma­zio­ni sul fornitore di servizi internet, o Internet Service Provider (ISP), la geolo­ca­liz­za­zio­ne dell’utente.
  • I dati sulla "customer journey"
  • La data e l’ora di una richiesta del server (innescata dal richiamo di un’e-mail o di una pagina web)
  • L’apertura, la ripetizione dell'apertura, il tempo di apertura e l’inoltro delle e-mail ad altre persone
  • Il click rate o tasso di clic (trac­cia­men­to dei link)
  • L’ora e la data di vi­sua­liz­za­zio­ne di una data pagina o email

Tutte informazioni con le quali si può fare fingerprinting, profilazione e ogni altro genere di pratica erotica non consensuale. Solitamente, questi pixel sono univoci, vale a dire che sono associati ad un codice alfanumerico univoco, individuale per ogni utente, quindi permettono un tracciamento individuale e personale del singolo individuo.

Se vengono inseriti in una pagina web, l'utente viene profilato ma è difficile associare il suo profilo ad una identità reale. Se però i pixel vengono inseriti in una email accade una magia: quel destinatario del pixel è noto... è il proprietario della email. Taaaac! Ecco la profilazione personale non consensuale carpiata, altrimenti conosciuta come la sessantacinquesima posizione del Kamasutra.

Il fatto che il pixel sia trasparente non è un elemento banale, testimonia la sua vera natura: il pixel è ingannevole by design un ninja addestrato ad essere invisibile. Non ha senso chiedergli se sia buono o cattivo, risponderebbe semplicemente "Mi disegnano così!". In pratica, lui è invisibile perché chi lo ha creato e chi lo utilizza vogliono che sia nascosto agli occhi di chi lo incontra. Non è una bella cosa, specialmente se il GDPR chiede di essere trasparenti.

Ooops... mi sorge un dubbio, non sarà che l'industria del marketing abbia frainteso questo dettaglio? Il GDPR ha chiesto trasparenza e chi fa tracking e profilazione ha obbedito realizzando il pixel trasparente? No, dai, sarebbe troppo!

 

COME FACCIO NEL MIO PICCOLO PER PROTEGGERMI?
Lo so, questa è l'informazione utile che tutti cercano. Ci sono molti modi, ma il più semplice ed efficace è DISATTIVARE LA VISUALIZZAZIONE DELLE IMMAGINI NEL CLIENT DI POSTA ELETTRONICA. In questo modo, le immagini non vengono scaricate, impedendo lo scambio di dati che permette profilazione e tutto il reato. Le email sembreranno meno belle, più anemiche, meno colorate, ma migliorerà di molto la salute digitale. In alternativa, esistono filtri a livello di DNS, filtri integrati nelle VPN o nei router, i Pihole, Alcune app o Addon specifici per browser, ma sono tutti moti complicati per fare una cosa semplice.

La cosa buffa di tutta questa vicenda, resta il fatto che i pixel in circolazione sono creature in via di estinzione: sono sempre meno utilizzati, sia perché risentono dei filtri e delle protezioni che la gente utilizza, sia perché il mondo cambia velocemente ed in modo non casuale: appena prima che le istituzioni riescano a diventare incisive su un determinato tema controverso, i player, all'unisono, cambiano la tecnologia in modo da mandare tutto a ramengo, costringendo le autority a ricominciare tutto il lavoro da principio. In pratica, il pixel sta per essere abbandonato da tutti, a favore di tecnologie ben peggiori, guadagnando altri 15 anni di tempo per continuare a rapire dati personali di milioni di persone e torturarli indisturbati.

Esagero? Si, certo... ma come DPO ho visto ciò che accade sotto il cofano dei siti web che visitiamo ogni giorno e, per questo, ho perso il sonno. 

Tornando alle Raccomandation e alle Linee Guida, mi sono letto tutto il malloppo. "Sono la totale assenza di stupore di Jack". Non ho trovato nulla che non fosse già palese e prevedibile con una attenta lettura della normativa di riferimento. Non si tratta di interpretazione e nemmeno di applicazione di concetti a nuove frontiere tecnologiche, umane o comportamentali. In pratica, i Garanti hanno impiegato 15 anni per puntualizzare l'ovvio, ma lo hanno impacchettato e presentato come un gigantesco sforzo ermeneutico, capace di mettere ordine nel caos. 

Il confronto sinottico tra i due testi evidenzia un approccio di fondo identico, derivante dalla medesima matrice europea (Direttiva e-Privacy e GDPR)

1. Inquadramento Tecnico e Giuridico

Entrambe le Autorità concordano sulla natura tecnologica e sulla qualificazione giuridica del pixel:

  • Accesso al terminale: l'inserimento di un'immagine invisibile (o codice HTML) che, all'apertura dell'e-mail, istruisce il client a inviare una richiesta al server del mittente (trasmettendo IP, time stamp, device, ecc.) costituisce a tutti gli effetti un'operazione di lettura e scrittura sul terminale dell'utente.
  • Quadro normativo: tali operazioni ricadono in prima battuta sotto la Direttiva e-Privacy (recepita in Francia dall'art. 82 della legge "Informatica e libertà" e in Italia dall'art. 122 del Codice Privacy). I successivi trattamenti dei dati raccolti ricadono sotto il GDPR.
  • Violazione della correttezza (Garante): il Garante sottolinea con particolare forza che la pervasività del pixel è legata al suo carattere occulto e invisibile; l'impiego non noto all'utente determina una violazione del fondamentale principio di correttezza (Art. 5, par. 1, lett. a, GDPR).

 

2. Le Esenzioni (Quando NON serve il consenso)

Sia il CNIL che il Garante ammettono che, in alcuni casi, il tracciamento possa avvenire senza consenso, qualora sia strettamente necessario per l'erogazione del servizio o per esigenze di sicurezza.

  • Sicurezza e Autenticazione (Comune a entrambe): l'utilizzo del pixel è esente da consenso se serve a garantire che un messaggio critico (es. reset password, codici OTP, link di accesso) sia stato aperto su un dispositivo noto dell'utente, prevenendo frodi o accessi abusivi.
  • Comunicazioni di Servizio/Istituzionali:
    • Il Garante esenta i messaggi che il titolare ha l'obbligo giuridico di inoltrare (es. modifiche contrattuali, notifiche di data breach, scadenze, allerte phishing), in quanto la verifica della ricezione è a diretto beneficio e tutela del destinatario.
    • La CNIL esenta parimenti le e-mail "transazionali" o amministrative legate a una missione di servizio pubblico (es. informazioni sui diritti dell'utente).
  • Statistiche Aggregate (Solo Garante): il Garante introduce un'esenzione specifica per il conteggio statistico globale dell'apertura dei messaggi per migliorare la deliverability. Tuttavia, impone l'obbligo di utilizzare tecniche di anonimizzazione, come l'impiego di pixel univoci (uguali per tutti i destinatari della campagna e non differenziati per singolo utente) e il mascheramento dell'indirizzo IP, rendendo impossibile la misurazione personalizzata. In effetti non siamo mai stati da meno rispetto ai mangialumache.

 

3. Trattamenti Soggetti a Consenso (Opt-In)

Come regola generale, salvo le eccezioni appena viste, il consenso preventivo, libero, specifico e informato è sempre obbligatorio per entrambe le Autorità.

  • Serve il consenso per l'analisi del tasso di apertura, la misurazione delle performance delle campagne promozionali, l'adattamento della frequenza di invio o la personalizzazione dei contenuti.
  • Il consenso è necessario anche qualora il tracciamento venga usato per desumere gusti e preferenze allo scopo di creare profili commerciali dell'utente.

 

4. Modalità di Raccolta del Consenso e "Consent Fatigue"

Questo è uno dei punti dove le due Autorità offrono spunti operativi complementari:

  • Il momento della raccolta: entrambe raccomandano che il consenso al pixel venga raccolto contestualmente all'acquisizione dell'indirizzo e-mail.
  • Accorpamento e Semplificazione (Garante): per evitare ridondanti richieste (la cosiddetta consent fatigue), il Garante ammette che il consenso alla ricezione del pixel possa essere ricompreso in un unico consenso generale per le comunicazioni promozionali, a patto che la richiesta sia chiara, neutra e priva di forzature. Questa parte del documento è chiaramente stata scritta dopo una serata in osteria.
  • Accorpamento (CNIL): anche il CNIL ammette un unico consenso, ma, più saggiamente, specifica che ciò è possibile quando la promozione commerciale via e-mail viene espressamente presentata come "personalizzata". Per finalità diverse (es. pixel e-mail vs. banner pubblicitari web), i consensi devono restare separati, ovviamente.
  • Raccolta successiva (CNIL): se l'e-mail è già a database, la CNIL suggerisce di inviare un'e-mail di richiesta consenso, la quale non deve assolutamente contenere alcun pixel. l'assenza di interazione a tale e-mail deve essere considerata come un rifiuto. Si sa, il vino francese è molto più leggero di quello Italiano, ma se le quantità consumate diventano smodate, gli effetti si avvertono comunque, come in questo caso. Come questa pretesa si possa conciliare con le esenzioni, per me, resterà un mistero.

 

5. Trasparenza e Struttura dell'Informativa

  • Approccio Multicanale (Garante): in una logica di semplificazione, il Garante suggerisce le solite informative su più livelli, sintetiche al momento della raccolta (con link esteso) o tramite canali non convenzionali (pop-up, video, interazioni vocali, chatbot).
  • Esempi testuali (CNIL): l'Autorità francese è più istrionica e suggerisce formule pratiche, imponendo che l'utente capisca che il tracciamento riguarderà il suo specifico indirizzo e-mail e tutti i terminali da cui lo consulterà. Esempi CNIL: "[pippo] utilizza tracciatori per sapere se aprite le e-mail... al fine di personalizzare il contenuto". Il CNIL, come il Garante, raccomanda, come buona prassi, di menzionare nelle informative anche i pixel tecnici esenti da consenso.

 

6. Gestione della Revoca (Opt-Out) e Granularità

Il diritto di revocare il tracciamento deve essere facile quanto prestare il consenso

  • Opt-out "Frictionless" (CNIL): la disiscrizione deve avvenire tramite un link nel footer che reindirizzi a una pagina web dove la revoca avvenga senza ulteriori azioni e senza dover digitare nuovamente il proprio indirizzo e-mail.
  • Revoca Granulare (Garante): il Garante specifica che il link nel footer deve portare a un'area dedicata dove l'utente possa scegliere in modo granulare: disiscriversi totalmente dalle e-mail promozionali, oppure revocare solo il tracciamento pixel, continuando a ricevere le comunicazioni commerciali ma prive del marcatore. Inoltre, rifiutare il tracciamento non deve mai comportare limitazioni alla fruibilità del servizio o disturbare le marmotte che impacchettano la cioccolata.

 

7. Privacy by Design: La Pseudonimizzazione spinta (Focus Garante)

Una raccomandazione tecnica presente unicamente nel documento italiano, riguarda l'applicazione dell'art. 25 del GDPR (Privacy by Design e by Default). Per ridurre il rischio di identificabilità nei flussi di rete, il Garante IT prescrive ai mittenti di generare un identificativo inintelligibile e non sequenziale, associandolo all'indirizzo e-mail solo in un layer interno e separato della piattaforma. In questo modo, la richiesta tecnica generata dal caricamento dell'immagine (il pixel URL) conterrà solo questo ID opaco e non l'indirizzo e-mail in chiaro, minimizzando l'esposizione dei dati personali in rete.

 

8. Fase Transitoria e Database Storici

  • CNIL: concede un periodo transitorio rigoroso di 3 mesi dalla pubblicazione della raccomandazione. Entro una stagione, le aziende devono inviare un'informativa ai vecchi contatti per permettere loro di opporsi al tracciamento per le e-mail future.
  • Garante: richiede che la regolarizzazione dei database preesistenti avvenga al "primo invio utile" o nel "primo momento di discontinuità disponibile". In quell'occasione, il titolare dovrà inviare l'informativa e fornire l'accesso al meccanismo di revoca granulare. Tali scelte andranno debitamente registrate ai fini dell'Accountability (Art. 7, par. 1 GDPR).

Dopo questa bella carrellata, vorrei focalizzarmi sul punto che giudico più rilevante degli altri: i fornitori delle tecnologie utilizzate da tutti e che, mannaggia la pupazza, non consentono, ad oggi, di fare nulla di tutto questo. Mancano proprio le funzioni per applicare cioò che i garanti chiedono. Strano, perché la norma esiste da anni e chi sviluppa gestionali ha competenze tecniche, legali, ha il DPO...

A loro, le due Autorità Garanti dedicano un pensiero speciale:

Il Garante

Il Garante si rivolge direttamente all'ecosistema tecnologico, inserendo i fornitori tra i soggetti destinatari delle Linee Guida e richiamando esplicitamente i doveri di chi sviluppa software:

  • Identificazione chiara dei fornitori: il documento elenca tra i soggetti coinvolti sia il "fornitore di servizi di invio e-mail (o emailing)" che fornisce la piattaforma (spesso in modalità SaaS), sia il "fornitore della tecnologia di tracciamento" che mette a disposizione lo strumento tecnico.
  • Richiamo ai produttori di software (Privacy by Design): il Garante cita espressamente il considerando 78 del GDPR, sottolineando che i produttori di prodotti, servizi e applicazioni dovrebbero essere incoraggiati a tenere conto della protezione dei dati durante lo sviluppo e la progettazione, affinché i titolari del trattamento possano adempiere ai loro obblighi. E speriamo che li incoraggino, santo cielo!
  • Ruolo decisionale e contitolarità: se il fornitore della tecnologia di tracciamento partecipa agli aspetti decisionali relativi al trattamento dei dati, assume un ruolo rilevante ai fini della normativa.
  • Destinatari formali del provvedimento: nelle conclusioni, il Garante delibera di adottare le Linee Guida affinché siano prese in considerazione non solo da chi offre servizi online, ma esplicitamente dai "provider di servizi di posta elettronica, i gestori di piattaforme per l'inoltro massivo di messaggi e-mail e ogni altro soggetto che, a qualsiasi titolo, faccia uso di tracking pixel".

 

CNIL

Anche l'Autorità francese dedica un'intera sezione alla qualifica dei diversi fornitori tecnologici ai sensi del GDPR, stabilendo come i loro sistemi debbano supportare la conformità:

  • Qualificazione dei fornitori di emailing: il fornitore che propone la soluzione tecnica per l'invio e l'integrazione del tracciamento agisce, in linea di principio, in qualità di subappaltatore (responsabile del trattamento) poiché agisce per conto e su istruzione del mittente.
  • Fornitori della tecnologia di tracciamento: il soggetto terzo specializzato che fornisce i pixel agisce come subappaltatore se opera solo per conto del mittente. Tuttavia, se utilizza i dati raccolti anche per finalità proprie (ad esempio per migliorare la propria soluzione tecnica), può essere considerato cotitolare insieme al mittente.
  • Fornitori di noleggio liste: Se un fornitore di soluzioni "chiavi in mano" integra strumenti di monitoraggio tramite pixel per informare i propri clienti, agisce come titolare del trattamento.
  • Fornitori di servizi di posta elettronica (email provider): Anche chi gestisce la ricezione delle e-mail è menzionato; pur non essendo titolare o responsabile del trattamento dei dati dei pixel, la CNIL riconosce che può influire tecnicamente bloccando il caricamento automatico delle immagini.
  • Obblighi tecnici sulle piattaforme per la prova del consenso: La CNIL specifica che se una terza parte raccoglie il consenso, una semplice clausola contrattuale non basta per esonerare il titolare. I meccanismi tecnici messi in atto dagli attori devono permettere di conservare e dimostrare la traccia individualizzata del consenso e le condizioni in cui è stato ottenuto.

Direi che è tutto. La lettura dei testi in parallelo mi ha divertito ma mi ha anche abbastanza snervato perché il titolare del trattamento, varcando il confine, si chiama responsable du traitement,  il nostro responsabile del trattamento diventa il sous-traitant. Non rimpiango nulla, ma quel giorno a Babilonia avrebbero anche potuto evitare di fare troppo casino e di indisporre una divinità già di per piuttosto irritabile.

 

E comunque, 5 a 3 per noi (ai rigori).

 

Su questo blog ci sono altri 194 articoli.
Esplora, cerca, curiosa in giro...

 

Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è si... allora una birra virtuale è d'obbligo!

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...