Dato che stiamo creando il nostro forum utilizzando Discourse, ho notato che gli amministratori hanno accesso ai messaggi privati degli utenti del sito…
Tuttavia, ciò pone problemi sia per la privacy dei dati e il GDPR - perché dovremmo accedere a questi dati - sia per la stranezza generale di avere accesso a scambi privati tra gli utenti dei nostri siti.
Stiamo pensando di disabilitare completamente i Messaggi Privati dal sito per evitarlo, ma ci stavamo chiedendo se ci fosse un’altra opzione, ad esempio per disabilitare questa funzionalità e visibilità anche per gli amministratori?
Discourse non implica in alcun modo che i messaggi siano segreti; fai riferimento a “messaggi privati”; ma l’interfaccia utente no. Fa riferimento solo ai messaggi che puoi inviare a singoli utenti o gruppi di utenti.
Suggerire che possa essere una violazione del GDPR sembra una novità. Potresti elaborare su questo punto? Potrebbe essere utile avere un’idea del focus della tua community online: le persone sono lì per discutere di problemi di salute, di un videogioco o di qualcos’altro? Potrebbe influenzare il probabile contenuto dei messaggi.
In definitiva, se qualcosa costituisce veramente un’informazione privata e personale, non sono sicuro che appartenga a un forum. Gli utenti non hanno motivo di sospettare che i moderatori non avranno accesso ai contenuti inviati sulla piattaforma e, come ho menzionato sopra, l’interfaccia utente evita accuratamente di dare questa impressione.
La possibilità di disabilitare questo e la capacità di deanonimizzare gli utenti anonimi sono sicuramente due cose che renderebbero Discourse molto migliore, se esistessero come impostazione del sito, ad esempio.
L’attuale plugin per la messaggistica crittografata non lo impone a tutti gli utenti.
Sì, sono etichettati come messaggi personali, ma potrebbe essere qualcosa che vale la pena segnalare all’utente.
Per il GDPR, potrebbe essere una violazione se non divulghiamo ufficialmente che abbiamo accesso a questi dati, o che l’accesso ai dati non è rilevante - sebbene per scopi di moderazione potrebbe essere utile.
E anche al di fuori di ciò, non siamo molto a nostro agio e vorremmo offrire un canale di comunicazione sicuro tra gli utenti o semplicemente rimuoverlo.
I tuoi amministratori hanno bisogno della capacità di esaminare tutte le attività sul tuo sito. Se non ti fidi dei tuoi amministratori a utilizzare questa capacità in modo etico, allora hai un problema con chi amministra la tua community, non una funzionalità del software della community.
Non dimenticare che gli amministratori possono anche leggere messaggi personali direttamente dal database.
I tuoi utenti non dovrebbero avere alcuna aspettativa di privacy nei messaggi personali, sono solo argomenti con permessi basati sull’utente. Gli operatori del sito sono responsabili per contenuti potenzialmente illeciti nei PM, così come lo sono per le sezioni più pubbliche di un sito.
Il GDPR non dice nulla riguardo a quanto sopra. Ancora una volta, non c’è alcuna aspettativa di privacy, e ancora una volta è un’aspettativa che gli operatori del sito abbiano accesso a questi dati.
Non è una sfiducia verso gli amministratori che abusano della funzionalità - dato che abbiamo solo personale come amministratori -, ma una questione di privacy generale per gli utenti.
Comunicherò questo punto di vista internamente, grazie!
Non lo sono per impostazione predefinita; l’etichetta è stata modificata sul tuo forum?
Personalmente non condivido questa preoccupazione, ma potresti sempre includerla in un avviso del sito se ti facesse sentire più a tuo agio con la situazione. Apprezzo che la tranquillità sia importante.
Quando si tratta del GDPR, Discourse visualizza i dati inviati dagli utenti in argomenti, messaggi - e chat, se hai installato quel plugin - che è lo scopo che l’utente aveva in mente quando ha fornito quei dati in primo luogo. Il loro consenso viene fornito in quel momento. A condizione che l’utente possa richiedere una copia dei propri dati e cancellare il proprio account (Discourse offre entrambe le funzionalità), dovrebbe essere perfettamente sicuro in un contesto legale. Non stai ottenendo i dati da una terza parte né li stai condividendo con una (presumo?).
Ci si aspetta che tu vi abbia accesso. Eseguire la moderazione non è solo un tuo diritto, ma è sempre più una responsabilità legale che ti compete. Sia le istituzioni europee che i paesi membri dell’UE hanno citato in giudizio grandi aziende per non aver moderato adeguatamente i loro spazi online per proteggere i propri utenti dai danni. Da nessuna parte nel GDPR è specificato che devi avere accesso ai contenuti solo dopo una segnalazione da parte di un altro utente. Infatti, non sono sicuro che ciò sarebbe considerato sufficiente.
Ci sono probabilmente ragioni legali o di ordine pubblico per cui i messaggi personali dovrebbero essere visibili a utenti fidati (ad esempio, amministratori). Questa recente notizia
potrebbe essere di rilevanza e così anche il paper scientifico
