RGPD fuera de la UE

Con el RGPD, esto solo se aplica a los usuarios que están en la UE, ¿verdad?

El RGPD regula los servicios/sitios que tienen usuarios de la UE, sin importar dónde se encuentren. En teoría, de todos modos.

Pero claro, un administrador puede crear un sistema en el que los ciudadanos de la UE tengan reglas diferentes a las de otros. Pero… ¿por qué? El RGPD es en realidad un sistema bastante bueno y debería adoptarse en todo el mundo.

No sé mucho sobre el RGPD, pero es útil saber que regulan los sitios web incluso si solo tienen uno o pocos miembros de la UE.

Entiendo que el propósito principal es proteger la privacidad individual, por lo que estaría a favor de permitir que las personas eliminen sus propias cuentas o que se aprueben las solicitudes de los usuarios para ello. Conozco un foro de Discourse que no ofrece ese servicio a los usuarios, que incluye a algunos residentes de la UE, por lo que parece que no es un requisito del RGPD que las personas siempre puedan eliminar sus cuentas.

La razón principal por la que no siempre es una buena idea permitir que las personas eliminen una cuenta es que, si un foro tiene algún propósito además de ser un lugar para charlar sin rumbo, debe haber rendición de cuentas sobre lo que las personas publican.

Específicamente, si un foro está abierto al público, cualquiera que cumpla los requisitos para obtener una tarjeta de biblioteca puede crear una cuenta y quizás publicar algo que probablemente deba ser revisado y respondido por las autoridades policiales de su jurisdicción.

Lo es. Pero no significa que los usuarios puedan hacerlo por sí mismos. Si alguien no sigue las reglas es algo totalmente diferente, sin embargo.

Pero. Como dije, en teoría. La UE no va tras los peces pequeños sino tras los peces gordos. Así que, digamos que un sitio web estadounidense o asiático nunca recibe acciones legales de la UE, incluso si no cumplen con las regulaciones. Pero de nuevo… ¿por qué alguien sería como Facebook o X, solo porque le gusta enviar spam?

Esa es una determinación que necesitaría hacer con un abogado, no podemos ofrecer ese nivel de asesoramiento aquí y pediríamos que las personas tengan cuidado al hacer declaraciones no cualificadas.

Lo que podemos decirle es que una solicitud de un usuario para eliminar su información personal no necesariamente requiere la eliminación de sus publicaciones. Discourse tiene una excelente función de anonimización que en muchos casos cumpliría con los requisitos del RGPD sin afectar negativamente la calidad del contenido dentro de su comunidad.

Oh, interesante.

Esto es lo que leí que me hizo pensar eso, pero supongo que esto parece estar en línea con la anonimización, que dices que cumple con los requisitos del RGPD:

No se pueden eliminar cuentas. Puedes dejar de usar tu cuenta en cualquier momento. Si eres miembro de pago, puedes cancelar tu membresía para degradar, al final de tu ciclo de facturación, a suscriptor gratuito. Sin embargo, para proteger la integridad del sitio y la comunidad, los registros de acceso se conservan para nuestros registros, y los comentarios NO se eliminan a petición. Sin embargo, eres libre de actualizar la información de tu perfil (modificando o eliminando tu biografía, nombre de visualización, etc.).

(Esto es de un sitio con el que no tengo ninguna afiliación, mi propio foro aún no tiene miembros).

No estoy necesariamente de acuerdo con esta afirmación de que el RGPD debería adoptarse en todo el mundo, aunque de nuevo, no sé mucho sobre eso.

Estoy a favor de que las personas puedan eliminar o anonimizar sus cuentas de foro si lo solicitan, pero la anonimización de una cuenta con un gran número de publicaciones puede no ser eficaz para ocultar la identidad de alguien.

Una forma de proceder es imponer una política de no información personal en las publicaciones del foro.

Mi empresa tiene su sede en EE. UU., pero utilizo servidores de correo en Suiza y Alemania, por lo que no estoy seguro de si eso importa con el RGPD.

La empresa de correo alemana tiene este aviso legal:

Suiza:

De vez en cuando, Proton puede ser legalmente obligado a divulgar cierta información del usuario a las autoridades suizas, como se detalla en nuestra Política de Privacidad. Esto puede suceder si se infringe la ley suiza. Como se indica en nuestra Política de Privacidad, todos los correos electrónicos, archivos e invitaciones están cifrados y no tenemos forma de descifrarlos.

Según el artículo 271 del Código Penal suizo, Proton no puede transmitir datos a autoridades extranjeras directamente, y por lo tanto rechazamos todas las solicitudes de autoridades extranjeras. Las autoridades suizas pueden ocasionalmente ayudar a las autoridades extranjeras con las solicitudes, siempre que sean válidas según los procedimientos de asistencia legal internacional y se determine que cumplen con la ley suiza. En estos casos, el estándar de legalidad se basa nuevamente en la ley suiza. En general, las autoridades suizas no asisten a autoridades extranjeras de países con un historial de abusos de derechos humanos.

He notado con Discourse la capacidad de que la mayoría de las publicaciones se eliminen o editen parece ser permanente, al menos con la configuración predeterminada, ¿no sé si hay alguna forma de cambiar eso? En un foro diferente, he visto que cambian la configuración para permitir solo la edición de publicaciones durante una hora antes de que se congelen.

Parece que podría haber disputas si alguien solicita que se eliminen algunas publicaciones pero un administrador del sitio se niega. Esos pueden tener que manejarse caso por caso dependiendo de los países involucrados.

¡Estas son algunas estadísticas impresionantes de CERN, más de 1000 órdenes legales impugnadas tanto para 2022 como para 2021!

Aquí hay ahora cuatro (al menos) cosas diferentes sucediendo.

Sí, si tienes usuarios de la UE, tú como administrador/propietario debes seguir el RGPD.

Si no tienes usuarios de la UE, pero utilizas empresas europeas para correo o alojamiento, no necesitas seguir el RGPD, pero esas empresas deben seguir el RGPD aunque tú no seas de la UE.

No, el RGPD no obliga a destruir publicaciones y comentarios. La anonimización es suficiente. Y no, no necesitas editar copias de seguridad, pero solo puedes almacenar copias de seguridad mientras sea absolutamente necesario. Por lo tanto, no recurras a tus copias de seguridad de uno o cinco años e intentes afirmar que está bien

El RGPD regula los datos personales. Qué y cómo puedes o no puedes solicitar, almacenar y utilizar, para qué y durante cuánto tiempo. CDCK puede almacenar mi IP (que todavía no son datos personales sensibles que puedan identificarme) e incluso pueden pedir mi nombre y país. Pero la dirección postal es información regulada y pedirme que envíe una copia de mi pasaporte o licencia de conducir es, en la mayoría de los casos, un gran no-no.

Y lamento un poco decir esto en voz alta, pero los servicios estadounidenses, y con servicio me refiero a administradores, son un problema muy grande y codicioso desde un punto de vista europeo. El spam en nombre del marketing y las ventas utilizando soluciones que intentan seguir cada acción que realiza una persona es una forma muy estadounidense. Y lo fuerte que los estadounidenses defienden la independencia y mi-casa-es-mi-castillo siempre me ha parecido muy interesante.

Sí. Ahora estoy totalmente fuera de tema, de nuevo. Y no, por diseño Discourse no está construido para romper el espacio personal virtual de las personas. Discourse es en realidad más o menos como Mastodon, por ejemplo, y está planeado para funcionar de manera decentemente responsable. Y la anonimización es una parte de eso (y la eliminación automática después del plazo deseado si no hay inicios de sesión; eso es realmente digno de elogio, porque los clientes B2B de CDCK lo necesitan).

El RGPD es una cuestión de datos personales que pueden utilizarse para identificar a individuos. No tiene nada que ver con temas y comentarios en sí.

Gracias por escribir, esa es información útil.

Algunas empresas estadounidenses son ciertamente grandes y codiciosas, pero la mayoría de ellas fueron creadas por europeos, por supuesto.

La Compañía Holandesa de las Indias Orientales es la peor.

Mi sitio es principalmente para personas que no tienen direcciones, pero estas son requeridas para los permisos de construcción tanto en los EE. UU. como en Canadá.

Excepto por las casas prefabricadas que se pueden mover en camiones/barcos, ese es mi plan para construirlas y luego venderlas, una vez que se venden las personas pueden registrarlas con una dirección permanente, pero eso es opcional.

De todos modos, volviendo al RGPD, parece que este aviso que cito de otro sitio con un foro podría ser técnicamente una violación, sin embargo, esa sería una pregunta para un abogado que necesitarían pagar.

Lo último que mencionaré al respecto es que se trata específicamente de preguntas que están escritas para ser leídas en voz alta y respondidas; algunas leyes pueden ser diferentes con palabras habladas en comparación con palabras escritas.

En los EE. UU. existe la Comisión Federal de Comercio (Federal Trade Commission), que es lo más parecido al RGPD que conozco en Estados Unidos. Tiene una intención similar de “Proteger a los consumidores estadounidenses”, al igual que el RGPD protege a las personas en Europa, sin embargo, no creo que ofrezcan ayuda a personas que no sean ciudadanos de la UE.

Estoy intentando encontrar dónde tienen publicada una política con respecto a los foros, no estoy seguro de dónde está. Creo que existen requisitos en contra de que la información personal esté en las publicaciones de los foros, especialmente si los administradores del sitio no las eliminan a petición.

El departamento del FBI que haría cumplir eso es este:

• El RGPD se aplica a las personas que se encuentran en la UE. Si no te encuentras físicamente dentro de la UE, el RGPD no se aplica a ti.
• Por cierto, Suiza no es un país de la UE.

Gracias por tu respuesta, no sabía que Suiza no era miembro de la UE.

El Reino Unido, creo que tampoco es miembro?

El voto del Brexit ocurrió cuando yo era estudiante en la Universidad de Ámsterdam, tienen una asociación con la U.W. así que tengo una identificación de estudiante holandesa, sin embargo, ha caducado.

La última pregunta entonces es si uno debe ser ciudadano de un país de la UE para calificar.

No. Pero un usuario debe vivir y tener dirección en la UE.

Por lo tanto, si su miembro no perteneciente a la UE ha guardado días de vacaciones de por vida para hacer un viaje de 2 semanas a París, no necesita seguir el RGPD.

Eso significa que puede recopilar y guardar cualquier información personal, usar membresías de spam por exclusión voluntaria y no necesita consentimiento para nada. Y todo eso en el sentido de que a la UE no le importa.

En realidad… ¿a qué le teme al RGPD? Si manejará los datos como debe y respetando la privacidad básica de los usuarios, diciendo qué almacena y por cuánto tiempo, manteniendo la transparencia y la apertura, seguirá el RGPD. Y entonces no necesitará preguntarse quién, dónde y por qué.

El Reino Unido todavía tiene una regulación estilo RGPD. Por lo tanto, los administradores/empresas de publicidad no podemos optar por participar o seguir como queramos. Y hasta donde sé, Suiza sigue la regulación del RGPD, al igual que Noruega, por supuesto, aunque tampoco están en la UE.

En ese momento estabas protegido por el RGPD.

No le tengo miedo al RGPD, simplemente no estaba claro cuáles son sus políticas.

Ten en cuenta que los consejos legales en un foro son algo arriesgados. Hasta donde sé, ninguna de las personas que respondieron aquí son abogados y nadie está ofreciendo asesoramiento legal sellado.

Te recomiendo que consultes con un abogado para responder a los matices de la jurisdicción del RGPD.

Incluso más amplio: el usuario debe estar en la UE. No es un requisito ser residente.

Artículo 3.2

Este Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión.

Bueno, eso es un poco confuso, pero afortunadamente Considerando 14 lo aclara un poco:

La protección que ofrece este Reglamento debe aplicarse a las personas físicas, cualquiera que sea su nacionalidad o lugar de residencia, en relación con el tratamiento de sus datos personales.

Pero eso todavía podría ser ambiguo, así que hay una guía adicional, que es muy explícita, Directrices 3/2018 sobre el ámbito territorial del RGPD (Artículo 3) sección 2.a

La redacción del artículo 3, apartado 2, se refiere a «datos personales de interesados que se encuentren en la Unión». Por lo tanto, la aplicación del criterio de segmentación no se limita a la ciudadanía, la residencia u otro tipo de estatus legal del interesado cuyos datos personales se están tratando.
(…)
Si bien la ubicación del interesado en el territorio de la Unión es un factor determinante para la aplicación del criterio de segmentación según el artículo 3, apartado 2, (…) la ubicación del interesado en la Unión debe evaluarse en el momento en que tenga lugar la actividad desencadenante pertinente.

Por lo tanto, el ciudadano estadounidense que está de vacaciones en París está sujeto al RGPD durante su estancia, en lo que respecta a los servicios que se iniciaron durante su estancia. Su contrato de teléfono móvil existente en EE. UU. no está sujeto de repente al RGPD.

El T-mobile de EE. UU. tiene servicio en Europa, pero recibí una notificación de ellos después de dos meses de que esto está limitado a servicio a corto plazo solamente, no más de 2 o 3 meses en la eurozona.

Eso no me suena relacionado con el RGPD.

Bueno, puede que no lo sea, solo estaba respondiendo a tu afirmación de que un contrato de teléfono celular de EE. UU. no estaría sujeto al RGPD para alguien que viaja a Francia o a otro país de Europa.

Eso es una contradicción con declaraciones anteriores de otros de que cualquier servicio ofrecido en Europa está, de hecho, sujeto al RGPD.

Sin embargo, la clave es dónde se inicia el servicio, si es en Europa o no.

Podría ser que T-Mobile y/u otros operadores de EE. UU. tengan contratos específicos que están limitados por el RGPD u otras regulaciones que solo pueden ofrecer servicio en Europa por un número limitado de días.

Es útil tener un número de teléfono local con el código de país al que viaja alguien para evitar llamadas internacionales.

De todos modos, no le estoy pidiendo a nadie asesoramiento legal, olvídalo.