Il presente documento descrive le modalità di funzionamento del sistema di tracciamento delle aperture email disponibile nella piattaforma magnews. Sono riportate le informazioni relative ai dati raccolti tramite il sistema di tracciamento, alle finalità per cui tali dati possono essere utilizzati, alle modalità di conservazione, alle misure di sicurezza adottate e alle opzioni disponibili per la gestione del tracciamento.
1. Identificativo / nome tecnico del tracking pixel
Il pixel di tracciamento è implementato tramite una risorsa immagine remota, tecnicamente identificabile come wb.gif, inserita nei messaggi email per consentire la rilevazione dell’apertura del messaggio, ove il tracciamento sia abilitato.
2. Quali informazioni raccoglie il pixel?
Il pixel consente di registrare un evento di apertura associato al messaggio inviato e al destinatario. L’evento può includere identificativi tecnici del messaggio e del contatto, timestamp di apertura, indirizzo IP, user-agent/mail client, informazioni sul dispositivo o sulla piattaforma, dati geografici derivati dall’IP ed eventuali informazioni tecniche utili a distinguere interazioni umane da aperture generate da sistemi automatici o bot.
Nel dettaglio, alla richiesta della risorsa wb.gif, la piattaforma genera un evento di apertura email, tecnicamente classificato come evento WEBBUG.
I dati raccolti possono includere:
| Categoria | Dati raccolti |
|---|---|
| Identificazione evento | ID messaggio/newsletter, ID contatto/lettore, timestamp dell’evento |
| Dati tecnici | Indirizzo IP del client, user-agent / mail client, piattaforma o device |
| Dati derivati | Area geografica derivata dall’IP, eventuale classificazione bot/umano |
| Dati di contesto | Canale, obiettivo/eventuale goal, informazioni tecniche correlate alla spedizione |
3. Per quanto tempo e dove sono conservate le informazioni raccolte?
I dati di tracciamento sono conservati nella piattaforma all’interno degli archivi statistici e degli eventi. Sono disponibili in forma dettagliata nelle statistiche di contatto e in forma aggregata nelle statistiche di newsletter, journey o comunicazioni.
La durata di conservazione dipende dalla configurazione dell’account, in particolare dalle CSS / impostazioni di retention applicabili all’ambiente cliente.
Nel dettaglio, i dati di tracciamento conservati sono:
| Livello | Modalità di conservazione |
|---|---|
| Statistiche di contatto | In forma dettagliata, associate al singolo contatto |
| Statistiche newsletter / journey | In forma aggregata |
| Database applicativo | Negli archivi statistici/eventi della piattaforma |
4. Quali sono le finalità del pixel?
Il pixel è utilizzato per rilevare l’apertura del messaggio email e produrre statistiche sull’interazione dei destinatari con le comunicazioni inviate. A seconda della configurazione del cliente, tali informazioni possono essere usate sia per statistiche aggregate di performance, sia per analisi o automazioni riferite al singolo contatto.
Le finalità tecniche e funzionali del pixel sono:
- rilevare l’apertura del messaggio email;
- produrre statistiche di performance delle comunicazioni;
- misurare il tasso di apertura a livello aggregato;
- alimentare statistiche di contatto, newsletter, journey o automazioni;
- supportare logiche di reportistica e, se configurate dal cliente, segmentazione o automazione basate sull’interazione;
- supportare analisi in ambito deliverability.
5. Il pixel è funzionale a statistiche globali? È univoco? I dati sono anonimizzati? Ci sono misurazioni personalizzate?
Il pixel è tecnicamente univoco, in modo da consentire l’associazione dell’evento di apertura al messaggio e al destinatario. I dati tecnici correlati, inclusi IP e user-agent, non sono anonimizzati mediante opzioni applicative dedicate. La piattaforma può applicare esclusioni tecniche per determinati IP, user-agent o host, ad esempio per ridurre il tracciamento di bot o scanner, ma tali esclusioni non costituiscono un meccanismo di anonimizzazione.
Poiché l’evento può essere associato al singolo contatto, la misurazione non è esclusivamente aggregata, salvo specifiche configurazioni o successive aggregazioni statistiche.
In sintesi
| Domanda | Risposta |
|---|---|
| Il pixel è univoco? | Sì, la query string del pixel è univoca per consentire l’associazione dell’apertura al messaggio/destinatario. |
| I dati tecnici sono anonimizzati? | No, non risultano anonimizzati. |
| L’IP è mascherato? | No, l’IP è salvato in chiaro. |
| Esistono opzioni per anonimizzare IP / user-agent? | No, al momento non sono previste opzioni applicative di masking o anonimizzazione. |
| Si effettuano misurazioni personalizzate? | Sì, se il tracciamento è associato al contatto ed è disponibile nelle statistiche di contatto. |
NOTA: Esistono blocklist tecniche di sistema per escludere dal tracciamento determinati IP, user-agent o host riconducibili a bot/scanner, ma queste non anonimizzano i dati: semplicemente possono evitare la registrazione di certi eventi.
6. È implementato un meccanismo per la revoca granulare del consenso al tracking pixel?
La piattaforma dispone di un flag notrack a livello di contatto, che consente di escludere il singolo destinatario dal tracciamento per tutte le comunicazioni a questo inviate. Tale flag ha natura globale ai fini del tracciamento, cioè disabilita sia il tracciamento delle aperture tramite pixel sia il tracciamento dei link, che avviene tramite la tecnica dell'URL rewrite.
Stato attuale
| Livello | Cosa è possibile fare | Granularità |
|---|---|---|
| Singolo contatto | flag notrack | disabilita tracciamento aperture e link insieme per tutte le comunicazioni inviate al contatto |
| Singola newsletter/spedizione | disabilitare la rilevazione delle aperture | vale per tutta la spedizione, non per singolo contatto |
| Account/CSS | disabilitare separatamente webbug e link tracking | separazione possibile a livello account |
7. Sono state implementate azioni per minimizzazione e sicurezza dei dati raccolti tramite pixel?
La piattaforma adotta misure tecniche volte a limitare l’intelligibilità e la manipolabilità degli identificativi utilizzati nel pixel. Il pixel contiene identificativi tecnici e un hash collegato a un secret del contatto, rendendo il riferimento non direttamente intelligibile o manipolabile senza accesso ai sistemi applicativi e al database della piattaforma. Il dato viene salvato in formato pseudonomizzato e la corrispondenza tra identificativi tecnici e contatto è mantenuta all’interno del layer applicativo/database.
Alla cancellazione definitiva del contatto il dato diventa completamente anonimizzato in quanto non sono più presenti i dati per “ricostruire” di chi fossero quegli eventi.
Resta tuttavia fermo che i dati tecnici raccolti al momento dell’apertura, come IP e user-agent, non sono anonimizzati tramite masking applicativo dedicato.
Misure presenti
| Misura | Stato |
|---|---|
| Identificativo non direttamente intelligibile senza accesso al database | Sì |
| Query string univoca | Sì |
| Presenza di hash collegato a secret del contatto | Sì |
| Manipolabilità del webbug | No, protetta da logiche hash-secret |
| Separazione logica tra identificativo tecnico e dati anagrafici | Sì, tramite layer applicativo/database |
| Anonimizzazione dopo cancellazione contatto | Sì, i dati tecnici residui non sono più direttamente associabili al contatto cancellato |
| Anonimizzazione IP/user-agent | No, fatto salvo il caso di cancellazione sopracitato |
8. La piattaforma registra le scelte dell’interessato?
La piattaforma è in grado di registrare e salvare le preferenze correnti dell’interessato, così da applicarle operativamente ai processi di comunicazione, ad esempio rispetto alla ricezione delle email o all’abilitazione/disabilitazione del tracciamento.
La piattaforma non è tuttavia pensata come sistema dedicato di storicizzazione e audit del consenso: non conserva nativamente un registro storico completo e probatorio delle preferenze espresse, delle successive modifiche, dei timestamp, delle versioni informative e degli elementi necessari a una ricostruzione documentale ex post.
Per tali finalità si suggerisce l’utilizzo di una piattaforma esterna e dedicata di Consent Management, integrata con magnews ed eventualmente con altri sistemi, che mantenga in modo centralizzato lo storico delle preferenze e renda disponibile lo stato aggiornato a tutti i sistemi che trattano i dati dei contatti.