Tiempo de lectura: 4 minutos
Shares

La intención es lo que cuenta, y lo único que querías era aumentar las ventas esta Navidad, y desear a tantos clientes, casi clientes, destinatarios de tus Newsletter y demás socios como fuera posible, unas felices navidades y próspero año nuevo. Sin embargo, algunos de tus correos han llegado a destinatarios que no querían recibir más noticias tuyas.

Está claro que en el pasado siempre has mantenido tus listas de correo y eliminado cuidadosamente a todos los dessuscriptores, pero de alguna forma, una dirección ha aterrizado de nuevo en tu lista por culpa de una reimportación. Y sin querer, se ha alterado la paz, tus correos se han convertido en no deseados, y tu reputación está sufriendo, así como tus ventas a largo plazo.

Para evitar que esto suceda, los proveedores de servicios de correo electrónico (ESP) suelen mantener las denominadas listas negras, que tienen como objetivo evitar que se envíen correos a las direcciones que contienen, ya sea por cuentas de correo de determinados clientes o en general. Sin embargo, el almacenamiento de datos personales, aunque sea para esta finalidad, no está exento de problemas según el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2018.

Los algoritmos de hash como solución de los problemas generados por las bajas de tus listas de correo

La situación es peliaguda, ya que por un lado, ya no se pueden enviar correos a una dirección que ha solicitado ser eliminada de una lista, pero tampoco se pueden almacenar sus datos para garantizar precisamente eso. Existe una solución: los llamados algoritmos de Hash se utilizan para generar valores hash a partir de direcciones de correo, de forma que queden encriptadas.

Por ejemplo, para una dirección de correo como ejemplo@gmail.com, obtenemos el siguiente hash HEX: CEF6F9D4072AFB523209C648F258FB36960DAE5B11D5FB1E04BAADD6C7439B3B. Este valor se almacena en una lista negra de bloqueo, y se compara con el valor hash de cada dirección de correo que se va a importar. Si hay una coincidencia, la dirección de correo correspondiente se bloquea y no se vuelve a utilizar.

Cómo enviar emails certificados, seguros y que lleguen a la bandeja de entrada

Tablas arcoiris: la vulnerabilidad de los hash

Este sistema funciona, pero tiene sus pegas: en primer lugar, los algoritmos que generan los hash cambian con relativa frecuencia, y tienen que ser actualizados para que no queden obsoletos. La segunda vulnerabilidad son las llamadas “Tablas Arcoiris”: Con ayuda de los algoritmos hash, se pueden generar listas enormes con valores de entrada y sus correspondientes valores hash, y a partir de ellas se pueden reconstituir las direcciones de correo buscando su traducción como si de un diccionario se tratara.

Existen soluciones para ambos problemas. Los valores hash generados con un algoritmo que ya no es seguro pueden ser corregidos con un algoritmo actualizado y fiable. Y contra las Tablas Arcoiris, se pueden utilizar los llamados “salts”, que son fragmentos aleatorios (caracteres, números…) que se añaden al valor de entrada que se quiere codificar (en nuestro caso, las direcciones de correo) antes de que se genere el hash, aumentando así su complejidad. Se tendría que crear una Tabla Arcoiris separada de cada “salt” posible con el fin de descifrar las direcciones de correo, lo cual es teóricamente posible, pero en la práctica inviable.

¿Son los hash una forma de información personal?

Enhorabuena si has conseguido leer hasta aquí. Ahora pasemos a algo menos técnico. ¿Qué pasa con la legalidad?. El RGPD se aplica únicamente a los datos personales. Las direcciones de correo electrónico son información personal, pero ¿lo son también su valor hash? Lo importante, según la legislación, es si el cifrado de direcciones de correo personales mediante algoritmos hash representa una seudonimización o el anonimato.

Dado que el primer método que hemos comentado permite el retorno a la dirección de correo personal de forma relativamente sencilla y sin esfuerzo considerable, este procedimiento es sólo una seudonimización, por lo que los valores hash generados siguen considerándose datos personales, y están sujetos al RGPD.

El segundo método es diferente, ya que las direcciones de correo se procesan varias veces con algoritmos modernos y seguros (en el mejor de los casos) a los que además se les ha suministrado un “salt” lo que hace que traducir el valor hash a una dirección de correo sea muchísimo más complicado. Estos datos cifrados se consideran anónimos, y por lo tanto, no están sujetos al RGPD.

Los expertos en correo electrónico de la Certified Senders Alliance (CSA) recomiendan, por tanto, el segundo procedimiento, algo más complejo, para la implementación de listas negras de modo que no estén sujetas al RGPD. Estas y otras cuestiones legales se debatirán en un workshop el día 12 de abril de 2019 dentro de la CSA Summit que tendrá lugar del 10 al 12 de abril en Colonia, Alemania. También puedes encontrar información detallada sobre listas negras (disponible en Inglés).

La Certified Senders Alliance es un proyecto conjunto de la Verband der Internetwirtschaft eco e.V. y Deutsche Dialogmarketing Verband e.V. Puedes encontrar más información sobre su trabajo, la certificación CSA y aspectos técnicos y legales del email marketing en su web

Imagen: Depositphotos

Mantente informado de las noticias más relevantes en nuestro canal de Telegram