LinkedIn fue rapeada por apuntar anuncios a 18 millones de usuarios de Facebook

Durante la primera mitad de 2018, LinkedIn US tuvo la idea de comprar anuncios de Facebook dirigidos a los propietarios de 18 millones de direcciones de correo electrónico.

Esto se hizo de manera discreta al cargar versiones con hash de las direcciones de correo electrónico, que probablemente coincidían con los mismos hashes detectados entre la base de usuarios de Facebook.

No sabemos cuán exitosa fue la campaña, pero con la publicación de un informe del Comisionado de Protección de Datos (DPC) de Irlanda la semana pasada, sí sabemos que LinkedIn ha sido reprendida públicamente por haberlo hecho.

Lo que molestó a los irlandeses: ninguna de las 18 millones de direcciones de correo electrónico fueron las de los usuarios de LinkedIn.

¿Cómo fue que una campaña de LinkedIn en Estados Unidos llamó la atención del comisionado de datos de Irlanda en primer lugar?

¿Dónde consiguió LinkedIn las direcciones de correo electrónico de 18 millones de usuarios que no pertenecen a LinkedIn?

Descubrir las respuestas a estas preguntas comienza con una queja que el DPC dice que recibió en 2017 de uno de esos 18 millones de personas que objetaron ser el objetivo de LinkedIn, que tiene su sede en Irlanda.

Después de investigar, el DPC descubrió que:

La auditoría identificó que LinkedIn Corp estaba realizando el cálculo previo de una red profesional sugerida para los miembros que no pertenecen a LinkedIn.

Esa es una manera justa de decir que LinkedIn EE.UU. había ejecutado sus algoritmos en algunos de los datos de los que LinkedIn Irlanda era responsable e identificó los 18 millones de direcciones de correo electrónico en las que estaba interesado.

Además, esto se hizo en la “ausencia de instrucciones” del procesador de datos, es decir, sin el consentimiento legal bajo la ley de protección de datos de Irlanda.

Lo que no se explica es de dónde obtuvo LinkedIn estos 18 millones de direcciones de correo electrónico, ni qué conexión tuvieron con LinkedIn Irlanda.

Una interpretación es que tuvo algo que ver con un movimiento de compañías como LinkedIn y Facebook para minimizar su exposición a la regulación GDPR de la UE al trasladar los datos de usuarios no comunitarios a los Estados Unidos.

Esto todavía no explica por qué esto habría incluido datos sobre 18 millones de usuarios que no pertenecen a LinkedIn.

Una posibilidad es la aplicación móvil de LinkedIn, que solicita permiso para acceder a la lista de contactos de cada usuario (incluidas las direcciones de correo electrónico) para determinar cuál de ellos tiene / no tiene una cuenta de LinkedIn.

Puede que nunca sepamos la verdadera fuente de los datos. Lo que sí sabemos es que la queja al DPC de Irlanda se ha "solucionado amistosamente", con LinkedIn lanzando una especie de mea culpa:

Desafortunadamente, los procesos y procedimientos sólidos que tenemos implementados no se siguieron y, por ello, lo lamentamos. Hemos tomado las medidas adecuadas y hemos mejorado la forma en que trabajamos para garantizar que esto no vuelva a suceder.