Énfasis mío, del mismo documento que enlacé antes.

El EDPB considera, sin embargo, que, en relación con las actividades de tratamiento relativas a la oferta de servicios, la disposición se dirige a actividades que, intencionadamente, en lugar de inadvertidamente o incidentalmente, se dirigen a personas en la UE. En consecuencia, si el tratamiento se refiere a un servicio que solo se ofrece a personas fuera de la UE, pero el servicio no se retira cuando dichas personas entran en la UE, el tratamiento relacionado no estará sujeto al RGPD. En este caso, el tratamiento no está relacionado con la orientación intencionada de personas en la UE, sino con la orientación de personas fuera de la UE que continuará, ya sea que permanezcan fuera de la UE o que visiten la Unión.

No lo es, y especular no ayudará a la discusión.

No lo son, pero el gobierno del Reino Unido sí implementó sus leyes basándose en el RGPD en una revisión de 2018 de la Ley de Protección de Datos:

La Ley de Protección de Datos

La Ley de Protección de Datos de 2018 controla cómo su información personal es utilizada por organizaciones, empresas o el gobierno.

La Ley de Protección de Datos de 2018 es la implementación del Reino Unido del Reglamento General de Protección de Datos (RGPD).

Todos los responsables de usar datos personales deben seguir reglas estrictas llamadas ‘principios de protección de datos’. Deben asegurarse de que la información sea:

• utilizada de manera justa, legal y transparente
• utilizada para fines específicos y explícitos
• utilizada de una manera que sea adecuada, relevante y limitada solo a lo necesario
• precisa y, cuando sea necesario, se mantenga actualizada
• conservada por no más tiempo del necesario
• manejada de manera que garantice la seguridad adecuada, incluida la protección contra el procesamiento, acceso, pérdida, destrucción o daño ilegal o no autorizado

Existe una protección legal más sólida para la información más sensible, como:

• raza
• origen étnico
• opiniones políticas
• creencias religiosas
• afiliación sindical
• genética
• datos biométricos (cuando se utilizan para la identificación)
• salud
• vida sexual u orientación

Existen salvaguardias separadas para los datos personales relacionados con condenas y delitos penales.

Sus derechos

Según la Ley de Protección de Datos de 2018, usted tiene derecho a saber qué información almacenan sobre usted el gobierno y otras organizaciones. Estos incluyen el derecho a:

• ser informado sobre cómo se están utilizando sus datos
• acceder a datos personales
• que se actualicen los datos incorrectos
• que se eliminen los datos
• detener o restringir el procesamiento de sus datos
• portabilidad de datos (lo que le permite obtener y reutilizar sus datos para diferentes servicios)
• oponerse a cómo se procesan sus datos en ciertas circunstancias

También tiene derechos cuando una organización está utilizando sus datos personales para:

• procesos de toma de decisiones automatizados (sin intervención humana)
• elaboración de perfiles, por ejemplo, para predecir su comportamiento o intereses

Source

Recuerde que cuando la UE aprobó el RGPD, cada país miembro tuvo que destilar las regulaciones en sus propias leyes locales. Abandonar la UE no elimina esas regulaciones.

Eso está regulando a las empresas con sede en la UE en el sentido de que tienen que usar las mismas reglas para todos. Algo diferente a lo que CDCK tiene que seguir el RGPD cuando un usuario de la India realiza un viaje a Italia, pero no cuando ese mismo usuario realiza un viaje a Escocia.

Aquí tienes una guía resumen para Islandia:

Resumen

Ley: Ley 90/2018 sobre privacidad y procesamiento de datos personales (‘la Ley’) y el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (‘RGPD’)

Regulador: Autoridad islandesa de protección de datos (‘Persónuvernd’)

Resumen: Islandia es miembro del Espacio Económico Europeo (‘EEE’), pero no es un Estado miembro de la UE. El RGPD se aplica en el EEE en virtud de la Decisión n.º 154/2018 del Comité Mixto del EEE, y fue implementado en Islandia por la Ley. Las disposiciones transitorias de la Ley establecen que todas las normas y reglamentos que se hayan dictado en virtud de la antigua Ley 77/2000 sobre Protección de la Privacidad en lo que respecta al procesamiento de datos personales seguirán siendo válidos siempre que no infrinjan la Ley y el RGPD. Persónuvernd es un regulador activo que ha emitido varias directrices sobre el RGPD y el procesamiento de datos en Islandia.

Artículo n.º 19

Artículo 191362×362 34 KB

Eso es probablemente cierto para cosas como las tarjetas de identificación de pases de museos:

Gracias por este comentario, mi intención no era pedir asesoramiento legal, sino más bien cuál es la ley tal como está escrita.

Es posible que desees consultar con abogados sobre los términos y condiciones, probablemente sea prudente hacerlo. Todo lo que puedo hacer ahora es declarar los términos directamente a los gobiernos pertinentes.

Si he entendido bien lo que escribiste, parece que el asesoramiento legal no está específicamente prohibido aquí en Meta, sin embargo, eso es definitivamente un riesgo tanto para la persona que pregunta como para cualquiera que responda con declaraciones que puedan considerarse asesoramiento legal.

Por ejemplo, si le digo a un juez o jurado: Jakke de Finlandia me dijo esto, pero lo que escribió resulta no ser del todo cierto, Jakke podría tener problemas por eso.

Existen leyes específicas con el personal de la oficina del secretario del tribunal que tienen absolutamente prohibido dar cualquier tipo de asesoramiento legal a nadie.

Por cierto, la principal red comunitaria de mi ciudad está siendo administrada por un administrador en Finlandia, hasta donde sé, por lo que esto debería cumplir con las leyes finlandesas.

Utilizan un antiguo sistema de boletines por correo electrónico que envía unas diez veces al día por la mañana con cosas que la gente puede publicar en su sitio web, pero nada se publica en el sitio web para el público, solo se envía por correo.

Puede haber algunos problemas con su sistema, la última vez que intenté crear una cuenta con ellos no obtuve respuesta. Es posible que me hayan prohibido, pero si es así, nunca fui notificado al respecto.

Por último, solo para mencionar que la razón por la que pregunté sobre esto no fue por querer retener ningún tipo de información de las personas que desean que sus cuentas sean eliminadas o anonimizadas, siempre y cuando no hayan infringido ninguna ley con un dominio web registrado a mi nombre. No tengo ninguna razón para hacerlo a menos que estén acosando a personas o causando otros problemas por los que necesitaría reenviar información a la policía/fiscales si eso fuera necesario por alguna razón, ese es solo el peor de los casos.

Si quieres saber lo que dice realmente el RGPD, el mejor lugar al que acudir es la fuente: https://gdpr.eu/

También hay muchos sitios que te ofrecen un resumen general del significado de la ley. Se pueden encontrar utilizando un motor de búsqueda web estándar.

Mi interpretación del estado del asesoramiento legal de cualquier persona al azar (en Discourse o en cualquier otro lugar) es “caveat emptor” (que el comprador tenga cuidado). Si estás ejecutando un sistema que contiene información personal sensible de la UE, entonces solo tú (o tu empresa) eres responsable de cumplir la ley. Si recibes un mal consejo y lo sigues, tu cuello estará en juego si resulta ser erróneo. Como ejemplo, imagina que te para la policía por conducir a 160 km/h en una zona de 50 km/h. ¿Cuál crees que será su respuesta si dices “la persona X al azar me dijo que estaba bien conducir a esa velocidad en esta carretera”? Es tu responsabilidad asegurarte de que cualquier consejo que recibas sea correcto. Si tienes un contrato con la persona X al azar en el que se supone que te dará asesoramiento legal sobre el RGPD, ni siquiera eso es una defensa. Aún así, tendrías que haber comprobado al menos que la persona estaba cualificada para proporcionar ese asesoramiento.

Antes de jubilarme, fui Gerente de Ciberseguridad. Pasé demasiadas horas largas con nuestro asesor legal interno y el coordinador del RGPD discutiendo las vaguedades de la ley. Eso me enseñó lo suficiente como para saber que no se puede resumir en pocas palabras, ni puede ser realmente considerada adecuadamente por un extraño que no conoce tu sistema o los datos exactos que incluye, o quién puede acceder a los datos y por qué razones.

Esa es una buena metáfora con las leyes de las vías públicas, estoy de acuerdo en que sería correcto que no hubiera defensa de la manera que lo explicaste.

Las leyes pueden ser realmente aburridas y confusas. He conocido y hablado con algunos abogados, pero nunca he pagado por asesoramiento legal. El asesoramiento es algo bastante limitado, incluso si es una carta oficial con un sello. Es más importante para completar procesos legales con los tribunales, a veces los abogados son necesarios para eso.

Un ejemplo más dramático con los coches sería si una empresa de alquiler de coches estuviera dando información inexacta a los clientes, como decirles que conduzcan por el lado equivocado de la carretera, eso sería diferente.

Gracias por publicar un enlace a su sitio oficial, no había podido encontrarlo antes con la búsqueda. Es una sorpresa que se indique allí que el sitio es operado por Proton AG en Suiza, un país no perteneciente a la UE.

Deberías ver el consejo dado en meta más en los reinos de:

“cuidado, existen límites de velocidad en la mayoría de las carreteras y la policía está monitoreando activamente”
“generalmente, debes mantenerte a la derecha”
“en la mayoría de los países de la UE, conducir ebrio en bicicleta también está prohibido”

Lo siento por desviarme más del tema, pero estuve discutiendo genealogía con un amigo a principios de semana. Me dijo que uno de sus tíos abuelos fue llevado a juicio dos veces por estar ebrio al mando de un burro. Para volver al tema, espero que su historial delictivo esté protegido por el RGPD

Esto parece un buen tema para probar un pequeño experimento de incluir un resumen de IA en una publicación dentro del tema (aunque manualmente en este caso ):

La discusión comenzó con publicación 1 de Wombat preguntando si el RGPD solo se aplica a los usuarios de la UE. publicación 2 de Jagster aclaró que el RGPD regula los servicios/sitios que tienen usuarios de la UE, independientemente de su ubicación.

Wombat luego hizo algunas preguntas de seguimiento en publicación 3, señalando su entendimiento de que el RGPD requiere permitir la eliminación de cuentas de usuario. Jagster respondió en publicación 4 que la anonimización es suficiente según el RGPD, no la eliminación completa.

La discusión exploró detalles sobre el alcance territorial del RGPD en las publicaciones 10-25, y RGJ y Jagster aclararon que la presencia física en la UE determina la aplicabilidad, no la ciudadanía.

Wombat preguntó si la salida del Reino Unido de la UE afecta al RGPD allí en publicación 16. Stephen explicó en publicación 26 que el Reino Unido implementó leyes basadas en el RGPD en su revisión de la Ley de Protección de Datos de 2018.

Jagster señaló en publicación 27 que las empresas tienen que aplicar las mismas reglas a todos los usuarios por igual. La discusión concluyó con RGJ y packman advirtiendo sobre la dependencia de consejos informales sobre el RGPD en las publicaciones 32-36.

Resumido con IA el 16 de sep.

Creo que los números de las publicaciones están un poco desfasados debido a algunas fusiones de publicaciones, y no incluyó al burro, pero aquí está.

Probablemente también valga la pena repetir la nota anterior sobre la obtención de asesoramiento legal:

¿Alguien puede detectar el error que cometió la IA en ese resumen? Hay al menos un error que puedo detectar.

Estoy trabajando en borradores para los términos, creo que esto funcionará:

Toda la información que no se publique públicamente en el foro será considerada confidencial por la administración de la empresa, a menos que una orden judicial exija cooperar con un proceso judicial legal. Las cuentas pueden ser eliminadas o anonimizadas a petición. Según la ley GDPR, no se puede retener información personal si se solicita la eliminación de la cuenta; sin embargo, la administración tiene el derecho de anonimizar en lugar de eliminar completamente las cuentas, lo que mantendrá los comentarios públicos como registro permanente.

Si su empresa necesita cumplir con el RGPD para su sistema Discourse, realmente necesita buscar asesoramiento legal experto. Tener una declaración de Términos de Servicio sobre la eliminación es una parte muy pequeña del cumplimiento.

También necesitaría identificar a sus sujetos de datos, qué información personal tiene sobre ellos, de dónde provienen los datos y adónde van, cómo procesa/utiliza los datos personales que tiene y tener procedimientos formales para describir cómo cumple con todos los aspectos aplicables de las regulaciones.

Probablemente haya más, pero mi cerebro ha bloqueado muchos de los detalles dolorosos en los más de 4 años desde que estuve involucrado por última vez en estas cosas.

Buscaré abogados que me ayuden con esto, gracias.

Cuando configuré por primera vez un nuevo foro con alojamiento de Discourse, venía con documentación general sobre términos legales de servicio que parecía un buen punto de partida, así que he estado leyendo/editando parte de eso.

No tengo presupuesto para contratar abogados ahora, pero definitivamente sería una buena idea que los documentos legales oficiales fueran revisados por personas con títulos en derecho. Podría publicar en la categoría de mercado aquí una vez que tenga algo de presupuesto para eso y para el desarrollo del sitio web. Este hilo podría cerrarse, la pregunta original fue respondida hace tiempo.

Creo que esto es un error en el resumen de la IA, mi interpretación de lo que dijo Jagster es que el RGPD de hecho requiere que las cuentas de usuario se eliminen por completo si así lo solicita el titular de la cuenta, sin embargo, está en duda que no sea necesariamente del todo cierto.

Podría ser una cuestión de interpretación, anonimizar una cuenta de foro podría considerarse una forma de eliminación de cuenta.

Creo que hay algunas leyes sobre el mantenimiento de algunos registros de cuentas, ya que sería un riesgo permitir la autodestrucción completa de la cuenta si las cuentas se utilizan para cualquier tipo de propósito nefasto.

De todos modos, buena charla, gracias a todos.

Esto podría ser mejor en otro hilo de discusión, pero está algo relacionado con el RGPD:

Para una situación en la que un individuo está interrumpiendo una comunidad de foro y ha sido prohibido, pero quiere crear una nueva cuenta.

Es fácil para ellos crear una nueva dirección de correo electrónico y obtener una nueva dirección IP, ya sea utilizando una computadora de biblioteca, un nuevo proveedor de Internet o enmascarando su dirección con una red vpn/tor.

Con Discourse no habría forma de saber que la nueva cuenta de usuario ha sido creada por un individuo previamente prohibido, a menos que sea obvio en la forma en que hablan.

Si un foro tiene un muro de pago, se recopila información personal con el pago con tarjeta u otros medios, generalmente el nombre legal completo de un individuo. Eso podría ser requerido solo por la política del foro, incluso sin un muro de pago.

Entonces, si un administrador tiene pruebas de que esta es la misma persona que intenta crear una nueva cuenta ficticia después de haber sido notificado de que está permanentemente prohibido en un dominio, se podrían presentar cargos en los tribunales por ello, ya sea por acoso o por intención de sabotear sistemas de comunicación.

El RGPD puede ser relevante en cuanto a la documentación que se puede mantener para las cuentas; se mencionó que incluso solicitar una identificación emitida por el gobierno puede ser ilegal, y mucho menos mantener registros de ello no solo para verificar la identidad de alguien.

El procesador de pagos con tarjeta Stripe me pidió no solo una identificación, sino también que me tomara una selfie sosteniendo mi identificación y una nota escrita a mano con la fecha del día, lo cual fue difícil. Esto fue solo cuando no tenía acceso al correo electrónico de mi cuenta, que es la única forma de cambiar el correo electrónico de inicio de sesión sin contraseña con su política de seguridad.

De todos modos, la pregunta para abogados que puedo hacerles es sobre cómo redactar avisos legales formales, esos son importantes.

Creo que si se requiere una identificación gubernamental para crear una cuenta, tendrás un número muy reducido de usuarios. Sé que eso me disuadiría por completo de intentar unirme a un foro: no le proporcionaré mi identificación a una persona o grupo de personas desconocidas. Una pregunta más importante podría ser: “¿Cómo tú me demostrarás quién eres para que pueda estar seguro de que manejarás mi identificación de forma segura si alguna vez pensara en dártela?”

Si me convencieras de proporcionar mi identificación, estoy bastante seguro de que estarías en territorio GDPR.

Los usuarios disruptivos son, desafortunadamente, una realidad. He tenido suerte de solo tener que prohibir a un puñado de usuarios en más de 20 años de administrar un foro, pero no hay un “estándar” para un usuario disruptivo. Hay tres que recuerdo…

1. Uno se prohibió a sí mismo y aceptó la prohibición manteniéndose alejado. Años después, preguntó si se le permitiría volver si prometía comportarse. Se le permitió volver a unirse, pero finalmente tuvo una discusión con alguien que comenzó a volverse disruptiva. Eliminó su propia cuenta sin ser prohibido ni siquiera sin que se lo pidieran.

2. Otro se prohibió a sí mismo, pero se coló de nuevo con otros detalles. Descubrimos esto años después de que se uniera de nuevo y había sido un ciudadano modelo del foro después de volver a unirse.

3. El tercer individuo que se me ocurre no estaba contento con ser prohibido (¡la mayoría de los otros usuarios sí lo estaban!) y volvió a unirse con otros detalles en múltiples ocasiones. El problema de volver a unirse para ser disruptivo significa que pronto te expones, lo que te convierte en un blanco fácil para otra prohibición. Se aburrió después de volver a unirse unas 5 o 6 veces y nunca más se le ha visto. Lo que sucede con este tipo de usuario es que no importa si es la misma persona… si alguien infringe tus políticas de una manera que requiere una prohibición, entonces lo prohíbes, ya sea la misma persona o no.

De acuerdo, no tengo planes de hacer eso, especialmente porque es ilegal por alguna razón. Lamento que mi última publicación haya sido confusa, hablaba de dos cosas diferentes.

¡Esta es una gran historia sobre el tío abuelo de tu amigo con el burro! Es molesto que tenga que mostrar mi identificación solo para comprar una Guinness.

Probablemente no necesites preocuparte demasiado por el RGPD por ahora, aunque mi foro está abierto a países de la UE, no tengo ninguna razón para pedir nombres legales ni nada más, a menos que alguien pierda el acceso a su cuenta y solicite que cambie el correo electrónico de la cuenta desde el lado del administrador.

Los gobiernos son muy diferentes aquí en la costa oeste, ¡los nuevos ni siquiera se han establecido durante 200 años!

Las tribus nativas tienen gobiernos y sistemas judiciales independientes, espero trabajar con ellos en proyectos de vivienda, hay muchos refugiados que necesitan refugio.

Las regulaciones son completamente diferentes para las empresas en comparación con las personas, ya no puedo ser anónimo en absoluto.

Stripe Terminal todavía está en beta en muchos países de la UE:

terminal754×470 34.8 KB