Enfasi mia, dallo stesso documento che ho linkato prima.

L’EDPB ritiene tuttavia che, in relazione alle attività di trattamento relative all’offerta di servizi, la disposizione sia finalizzata ad attività che mirano intenzionalmente, piuttosto che inavvertitamente o incidentalmente, agli individui nell’UE. Di conseguenza, se il trattamento riguarda un servizio offerto solo a individui al di fuori dell’UE, ma il servizio non viene ritirato quando tali individui entrano nell’UE, il trattamento correlato non sarà soggetto al GDPR. In questo caso, il trattamento non è correlato al targeting intenzionale di individui nell’UE, ma al targeting di individui al di fuori dell’UE che continuerà sia che rimangano al di fuori dell’UE, sia che visitino l’Unione.

Non lo è, e speculare non aiuterà una discussione.

Non ne fanno più parte, ma il governo del Regno Unito ha implementato le proprie leggi basate sul GDPR in una revisione del 2018 del Data Protection Act:

Il Data Protection Act

Il Data Protection Act 2018 controlla come le tue informazioni personali vengono utilizzate da organizzazioni, aziende o dal governo.

Il Data Protection Act 2018 è l’implementazione del Regno Unito del General Data Protection Regulation (GDPR).

Chiunque sia responsabile dell’utilizzo di dati personali deve seguire regole rigorose chiamate ‘principi di protezione dei dati’. Devono assicurarsi che le informazioni siano:

• utilizzate in modo equo, lecito e trasparente
• utilizzate per scopi specifici ed espliciti
• utilizzate in modo adeguato, pertinente e limitato solo a quanto necessario
• accurate e, ove necessario, aggiornate
• conservate non più a lungo di quanto necessario
• gestite in modo da garantire un’adeguata sicurezza, inclusa la protezione contro trattamenti, accessi, perdite, distruzioni o danni illeciti o non autorizzati

Esiste una protezione legale più forte per le informazioni più sensibili, come:

• razza
• origine etnica
• opinioni politiche
• credenze religiose
• appartenenza a sindacati
• genetica
• biometria (ove utilizzata per l’identificazione)
• salute
• vita sessuale o orientamento

Esistono garanzie separate per i dati personali relativi a condanne penali e reati.

I tuoi diritti

Ai sensi del Data Protection Act 2018, hai il diritto di sapere quali informazioni il governo e altre organizzazioni conservano su di te. Questi includono il diritto di:

• essere informato su come vengono utilizzati i tuoi dati
• accedere ai dati personali
• far correggere dati errati
• far cancellare i dati
• interrompere o limitare il trattamento dei tuoi dati
• portabilità dei dati (che ti consente di ottenere e riutilizzare i tuoi dati per diversi servizi)
• opporsi al trattamento dei tuoi dati in determinate circostanze

Hai anche diritti quando un’organizzazione utilizza i tuoi dati personali per:

• processi decisionali automatizzati (senza coinvolgimento umano)
• profilazione, ad esempio per prevedere il tuo comportamento o i tuoi interessi

Source

Ricorda che quando l’UE ha approvato il GDPR, ogni paese membro ha dovuto distillare i regolamenti nelle proprie leggi locali. Lasciare l’UE non elimina quelle.

Ciò sta regolando le società con sede nell’UE nel senso che devono applicare le stesse regole a tutti. Cosa diversa dal fatto che CDCK debba seguire il GDPR quando un utente dall’India farà un viaggio in Italia, ma non quando lo stesso utente farà un tour in Scozia.

Ecco una guida riassuntiva per l’Islanda:

Riepilogo

Legge: Legge 90/2018 sulla privacy e sul trattamento dei dati personali (“la Legge”) e il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679) (“GDPR”)

Autorità di controllo: Autorità islandese per la protezione dei dati (“Persónuvernd”)

Riepilogo: L’Islanda è un membro dello Spazio economico europeo (“SEE”), ma non è uno Stato membro dell’UE. Il GDPR si applica nello SEE in virtù della Decisione n. 154/2018 del Comitato misto SEE ed è stato attuato in Islanda dalla Legge. Le disposizioni transitorie della Legge stabiliscono che tutte le norme e i regolamenti emanati ai sensi della vecchia Legge 77/2000 sulla protezione della privacy per quanto riguarda il trattamento dei dati personali rimarranno validi fintanto che non violeranno la Legge e il GDPR. Persónuvernd è un’autorità di controllo attiva che ha emanato diverse linee guida sul GDPR e sul trattamento dei dati in Islanda.

Articolo n. 19

Articolo 191362×362 34 KB

È probabilmente vero per cose come le tessere di identificazione per i pass museali:

Grazie per questo commento, la mia intenzione non era chiedere consulenza legale, ma piuttosto quale sia la legge così come è scritta.

Potrebbe essere saggio consultare avvocati in merito ai termini e alle condizioni. Tutto ciò che posso fare ora è dichiarare i termini direttamente ai governi competenti.

Se ho capito bene quello che hai scritto, sembra che la consulenza legale non sia specificamente vietata qui su Meta, tuttavia questo è decisamente un rischio sia per la persona che chiede sia per chiunque risponda con affermazioni che potrebbero essere considerate consulenza legale.

Ad esempio, se dicessi a un giudice o a una giuria: Jakke dalla Finlandia mi ha detto questo, ma quello che ha scritto si rivela non essere del tutto vero, Jakke potrebbe avere dei problemi per questo.

Ci sono leggi specifiche con il personale dell’ufficio del cancelliere del tribunale che loro sono assolutamente proibiti dal dare qualsiasi consulenza legale a chiunque.

Tra l’altro, la principale rete comunitaria della mia città è gestita da un amministratore in Finlandia, per quanto ne so, quindi ciò dovrebbe essere conforme alle leggi finlandesi.

Utilizzano un vecchio sistema di newsletter via e-mail che invia circa dieci e-mail ogni mattina con cose che le persone possono pubblicare sul loro sito web, ma nulla viene pubblicato sul sito web al pubblico, solo inviato via e-mail.

Potrebbero esserci alcuni problemi con il loro sistema, l’ultima volta che ho provato a creare un account con loro non ho ricevuto risposta. È possibile che mi abbiano bannato, ma se così fosse, non ne sono mai stato informato.

Infine, solo per menzionare che il motivo per cui ho chiesto di questo non era per voler conservare alcun tipo di informazione da persone che desiderano che i loro account vengano eliminati o resi anonimi, purché non abbiano violato alcuna legge con un dominio web registrato a mio nome. Non ho alcun motivo per farlo a meno che non stiano molestando persone o causando altri problemi per i quali potrei dover inoltrare informazioni alla polizia/procuratori se ciò diventasse necessario per qualche motivo, questo è solo lo scenario peggiore.

Se vuoi scoprire cosa dice veramente il GDPR, il posto migliore dove andare è la fonte: https://gdpr.eu/

Ci sono anche molti siti che offrono un riassunto generale del significato della legge. Possono essere trovati utilizzando un normale motore di ricerca web.

La mia interpretazione dello stato della consulenza legale da parte di una persona qualsiasi (su Discourse o altrove) è “caveat emptor” (l’acquirente stia attento). Se gestisci un sistema che contiene informazioni personali sensibili dell’UE, allora solo tu (o la tua azienda) sei responsabile della conformità alla legge. Se ricevi cattivi consigli e li segui, sarai tu a pagare se si rivelano errati. Ad esempio, immagina di essere fermato dalla polizia per aver guidato a 100 miglia orarie in un limite di 30 miglia orarie. Cosa pensi che risponderanno se dici “la persona X a caso mi ha detto che andava bene guidare così veloce su questa strada”? È tua responsabilità assicurarti che qualsiasi consiglio ti venga dato sia corretto. Se hai un contratto con la persona X a caso in cui si suppone che ti dia consulenza legale sul GDPR, anche quello non è una difesa. Dovresti comunque aver almeno verificato che la persona fosse qualificata per fornire tale consulenza.

Prima di ritirarmi, ero un Cybersecurity Manager. Ho trascorso troppe lunghe ore con il nostro consulente legale interno e il coordinatore GDPR discutendo le vaghezze della legge. Questo mi ha insegnato abbastanza da sapere che non può essere riassunta in poche parole, né può essere veramente considerata adeguatamente da un estraneo che non conosce il tuo sistema o i dati esatti che contiene, o chi può accedere ai dati e per quali motivi.

Sono d’accordo, è una buona metafora con le leggi sulla circolazione stradale pubblica, concordo che sarebbe una difesa inammissibile come l’hai spiegata.

Le leggi possono essere davvero noiose e confuse. Ho incontrato e parlato con alcuni avvocati, ma non ho mai pagato per consulenza legale. La consulenza è una cosa abbastanza limitata, anche se si tratta di una lettera ufficiale con un timbro. Più importante è per completare i processi legali con i tribunali, a volte gli avvocati sono necessari per questo.

Un esempio più drammatico con le auto sarebbe se un autonoleggio fornisse informazioni imprecise ai clienti, come dire loro di guidare sul lato sbagliato della strada, sarebbe diverso.

Grazie per aver pubblicato un link al loro sito ufficiale, non ero riuscito a trovarlo prima con la ricerca. È una sorpresa che sia indicato lì che il sito è gestito da Proton AG in Svizzera, un paese non UE.

Dovresti vedere i consigli dati su meta più nei regni di:

“attenzione, esistono limiti di velocità sulla maggior parte delle strade e la polizia sta monitorando attivamente”
“in generale, dovresti stare a destra”
“nella maggior parte dei paesi dell’UE, anche guidare in bicicletta in stato di ebbrezza è vietato”

Mi dispiace per essermi allontanato ulteriormente dall’argomento, ma ho discusso di genealogia con un amico all’inizio della settimana. Mi ha detto che uno dei suoi prozii era stato portato in tribunale due volte per essere ubriaco alla guida di un asino. Per tornare all’argomento, spero che il suo casellario giudiziale sia protetto dal GDPR

Questo sembra un buon argomento per provare un piccolo esperimento di inclusione di un riassunto AI in un post all’interno dell’argomento (anche se manualmente in questo caso ):

La discussione è iniziata con il post 1 di Wombat che chiedeva se il GDPR si applicasse solo agli utenti nell’UE. Il post 2 di Jagster chiariva che il GDPR regola i servizi/siti che hanno utenti UE, indipendentemente dalla loro posizione.

Wombat ha quindi posto alcune domande di follow-up nel post 3, notando la sua comprensione che il GDPR richiede di consentire la cancellazione dell’account utente. Jagster ha risposto nel post 4 che l’anonimizzazione è sufficiente secondo il GDPR, non la cancellazione completa.

La discussione ha approfondito i dettagli sull’ambito territoriale del GDPR nei post 10-25, con RGJ e Jagster che hanno chiarito che la presenza fisica nell’UE determina l’applicabilità, non la cittadinanza.

Wombat ha chiesto se l’uscita del Regno Unito dall’UE influenzi il GDPR lì nel post 16. Stephen ha spiegato nel post 26 che il Regno Unito ha implementato leggi basate sul GDPR nella revisione del suo Data Protection Act del 2018.

Jagster ha sottolineato nel post 27 che le aziende devono applicare le stesse regole a tutti gli utenti in modo equo. La discussione si è conclusa con RGJ e packman che hanno messo in guardia dall’affidarsi a consigli informali sul GDPR nei post 32-36.

Riassunto con AI il 16 settembre

Penso che i numeri dei post siano leggermente errati a causa di alcune fusioni di post, e non ha incluso l’asino, ma eccolo qui.

Probabilmente vale la pena ripetere anche la nota precedente sull’ottenere consulenza legale:

Qualcuno riesce a individuare l’errore commesso dall’A.I. in quel riassunto? C’è almeno un errore che riesco a individuare.

Sto lavorando alle bozze dei termini, penso che questo funzionerà:

Tutte le informazioni che non vengono pubblicate pubblicamente sul forum saranno considerate confidenziali dall’amministrazione della società, a meno che non vi sia un ordine del tribunale per cooperare con un legittimo procedimento giudiziario. Gli account possono essere eliminati o resi anonimi su richiesta. In base alla legge GDPR, nessuna informazione personale può essere conservata se viene richiesta l’eliminazione dell’account; tuttavia, l’amministrazione ha il diritto di rendere anonimi gli account anziché eliminarli completamente, il che manterrà i commenti pubblici come registrazione permanente.

Se la tua azienda deve rispettare il GDPR per il tuo sistema Discourse, allora hai davvero bisogno di una consulenza legale esperta. Avere una dichiarazione di ToS sull’eliminazione è una parte molto piccola della conformità.

Dovresti anche identificare i tuoi soggetti interessati, quali informazioni personali detieni su di loro, da dove provengono i dati e dove vanno, come elabori/utilizzi i dati personali che detieni e avere procedure formali per descrivere come ti conformi a tutti gli aspetti applicabili dei regolamenti.

Probabilmente c’è di più, ma il mio cervello ha bloccato molti dei dettagli dolorosi negli oltre 4 anni da quando sono stato coinvolto in queste cose.

Cercherò alcuni avvocati per aiutarmi con questo, grazie.

Quando ho configurato per la prima volta un nuovo forum con l’hosting di Discourse, mi sono stati forniti documenti generali sui termini di servizio legali che sembravano un buon punto di partenza, quindi ho letto e modificato alcuni di essi.

Al momento non ho il budget per assumere avvocati, ma sarebbe sicuramente una buona idea far rivedere i documenti legali ufficiali da persone con una laurea in legge. Potrei pubblicare nella categoria marketplace qui una volta che avrò un po’ di budget per questo e per lo sviluppo del sito web. Questo thread potrebbe essere chiuso, la domanda originale ha avuto risposta tempo fa.

Questo è ciò che ritengo sia un errore nel riassunto dell’IA, la mia interpretazione di ciò che Jagster ha affermato è che il GDPR richiede effettivamente che gli account utente vengano completamente cancellati se richiesto dal titolare dell’account, tuttavia ciò è in discussione sul fatto che non sia necessariamente del tutto vero.

Potrebbe essere una questione di interpretazione, anonimizzare un account del forum potrebbe essere considerato una forma di cancellazione dell’account.

Credo ci siano alcune leggi sulla conservazione di alcuni record degli account, poiché sarebbe un rischio abilitare la completa auto-cancellazione degli account se questi vengono utilizzati per scopi nefasti.

Comunque, bella chiacchierata, grazie a tutti.

Questo potrebbe essere meglio come un thread di discussione diverso ma è in qualche modo correlato al GDPR:

Per una situazione in cui un individuo sta disturbando una community di forum ed è stato bannato, ma vuole creare un nuovo account.

È facile per loro creare un nuovo indirizzo e-mail e ottenere un nuovo indirizzo IP, sia utilizzando un computer della biblioteca, un nuovo provider Internet o mascherando il proprio indirizzo con una rete VPN/Tor.

Con Discourse non ci sarebbe modo di sapere che il nuovo account utente è stato creato da un individuo precedentemente bannato, a meno che non sia ovvio nel modo in cui parla.

Se un forum ha un paywall, alcune informazioni personali vengono raccolte con il pagamento tramite carta o altri mezzi, solitamente il nome legale completo di un individuo. Ciò potrebbe essere richiesto solo dalla policy del forum anche senza un paywall.

Quindi, se un amministratore ha prove che si tratta della stessa persona che tenta di creare un nuovo account fittizio dopo essere stato informato che è permanentemente bannato da un dominio, potrebbero essere intentate azioni legali in tribunale per questo, sia per molestie che per intenzione di sabotare i sistemi di comunicazione.

Il GDPR potrebbe essere rilevante per la documentazione che può essere mantenuta per gli account, è stato menzionato che anche chiedere un documento d’identità governativo potrebbe essere illegale, per non parlare della conservazione di registri di ciò non solo per verificare l’identità di qualcuno.

Il processore di pagamento con carta Stripe mi ha chiesto non solo un documento d’identità, ma anche di scattare un selfie tenendo sia il mio documento d’identità che una nota scritta a mano con la data odierna, è stato difficile. Questo è successo solo quando non avevo accesso all’e-mail del mio account, che è l’unico modo per cambiare l’e-mail di accesso senza password con la loro policy di sicurezza.

Comunque, la domanda per avvocati che posso fare agli avvocati riguarda come scrivere avvisi legali formali, quelli sono importanti.

Penso che se richiedi un documento d’identità governativo per creare un account, avrai un numero di utenti incredibilmente esiguo. So che mi scoraggerebbe completamente dal tentare di unirmi a un forum: non fornirò il mio documento d’identità a una persona/gruppo di persone sconosciute. Una domanda più importante potrebbe essere “Come farai tu a dimostrare chi sei a me, in modo che io possa essere sicuro che gestirai il mio documento d’identità in modo sicuro se mai pensassi di dartelo?”

Se mi convincessi a fornire un documento d’identità, sono abbastanza sicuro che rientreresti nel territorio del GDPR.

Gli utenti di disturbo sono purtroppo una realtà della vita. Ho avuto la fortuna di dover bannare solo una manciata di utenti in oltre 20 anni di gestione di un forum, ma non esiste uno “standard” per un utente di disturbo. Ce ne sono tre che ricordo…

1. Uno si è fatto bannare e ha accettato il ban stando lontano. Anni dopo ha chiesto se gli sarebbe stato permesso di rientrare se avesse promesso di comportarsi bene. Gli è stato permesso di riunirsi, ma alla fine ha avuto un litigio con qualcuno che ha iniziato a diventare di disturbo. Ha cancellato il proprio account senza essere bannato o nemmeno richiesto di andare.

2. Un altro si è fatto bannare, ma è tornato di nascosto con altri dettagli. Lo abbiamo scoperto anni dopo che si era riunito ed era stato un cittadino modello del forum dopo essersi riunito.

3. Il terzo a cui riesco a pensare non era contento di essere stato bannato (la maggior parte degli altri utenti lo era!) e si è riunito con altri dettagli in più occasioni. Il problema di riunirsi per creare disturbo significa che presto ti esponi, il che ti rende un facile bersaglio per un altro ban. Si è annoiato dopo essersi riunito circa 5 o 6 volte e non è più stato visto da allora. La cosa di questo tipo di utente è che non importa se è la stessa persona… se qualcuno viola le tue politiche in un modo che richiede un ban, allora lo bannate, che sia la stessa persona o meno.

Va bene, non ho intenzione di farlo, soprattutto perché è illegale per qualche motivo. Mi dispiace, è stato un ultimo post confuso che ho scritto parlando di due cose diverse.

Questa è una bella storia sul prozio del tuo amico con l’asino! È fastidioso dover mostrare un documento d’identità solo per comprare una Guinness.

Probabilmente non devi preoccuparti troppo del GDPR per ora, anche se il mio forum è aperto ai paesi dell’UE, non ho motivo di chiedere nomi legali o altro, a meno che qualcuno non perda l’accesso al proprio account e richieda che io cambi l’e-mail dell’account dal lato dell’amministratore.

I governi sono molto diversi qui sulla costa occidentale, i nuovi non sono ancora stati istituiti da 200 anni!

Le tribù native hanno governi e sistemi giudiziari indipendenti, spero di collaborare con loro per progetti abitativi, ci sono molti rifugiati che hanno bisogno di un riparo.

Le normative sono completamente diverse per le aziende rispetto alle persone, non posso più essere anonimo.

Stripe Terminal è ancora in beta in molti paesi dell’UE:

terminal754×470 34.8 KB