GDPR al di fuori dell'UE

Con il GDPR questo si applica solo agli utenti che si trovano nell’UE. Credo?

Il GDPR regola i servizi/siti che hanno utenti UE, indipendentemente da dove si trovino. In teoria, comunque.

Ma certo, un amministratore può creare un sistema in cui i cittadini UE hanno regole diverse rispetto agli altri. Ma… perché? Il GDPR è in realtà un buon sistema e dovrebbe essere adottato in tutto il mondo.

Non so molto sul GDPR, ma è utile sapere che regolamentano i siti anche se hanno solo uno o pochi membri dell’UE.

La mia comprensione è che lo scopo principale sia proteggere la privacy individuale, quindi sarei favorevole a consentire alle persone di eliminare i propri account o che le richieste degli utenti vengano approvate. Conosco un forum di discussione che non offre questo servizio agli utenti, che include alcuni residenti dell’UE, quindi sembra che non sia un requisito del GDPR che le persone possano sempre eliminare i propri account.

Il motivo principale per cui non è sempre una buona idea consentire alle persone di eliminare un account è che, se un forum ha uno scopo diverso dall’essere un luogo per chiacchiere oziose, deve esserci responsabilità per ciò che le persone pubblicano.

Nello specifico, se un forum è aperto al pubblico, chiunque abbia i requisiti per una tessera della biblioteca può creare un account e magari pubblicare qualcosa che dovrebbe essere esaminato e a cui dovrebbe rispondere le forze dell’ordine nella loro giurisdizione.

Lo è. Ma non significa che gli utenti possano farlo da soli. Se qualcuno non segue le regole è una cosa totalmente diversa, però.

Ma. Come ho detto - in teoria. L’UE non insegue i pesci piccoli ma i grandi. Quindi, diciamo che un sito americano o asiatico non subisce mai azioni legali dall’UE anche se non segue le normative. Ma di nuovo… perché qualcuno dovrebbe essere come Facebook o X, solo perché gli piace inviare spam?

Questa è una determinazione che dovresti fare con un avvocato, non possiamo offrire quel livello di consulenza qui e chiediamo alle persone di fare attenzione a fare affermazioni non qualificate.

Quello che possiamo dirti è che un utente che richiede la rimozione delle proprie informazioni personali non necessita necessariamente della rimozione dei propri post. Discourse ha un’ottima funzionalità di anonimizzazione che in molti casi soddisferebbe i requisiti del GDPR senza influire negativamente sulla qualità dei contenuti all’interno della tua community.

Oh, interessante.

Questo è ciò che ho letto che mi ha fatto pensare questo, ma immagino che questo sia in linea con l’anonimizzazione, che dici soddisfi i requisiti GDPR:

Gli account non possono essere eliminati. Puoi smettere di usare il tuo account in qualsiasi momento. Se sei un membro pagante, puoi annullare la tua iscrizione per passare a un abbonato gratuito, alla fine del tuo ciclo di fatturazione. Tuttavia, per proteggere l’integrità del sito e della community, i log di accesso vengono conservati per i nostri archivi e i commenti NON vengono eliminati su richiesta. Sei, tuttavia, libero di aggiornare le informazioni del tuo profilo (modificando o rimuovendo la tua biografia, il nome visualizzato, ecc.).

(Questo proviene da un sito con cui non ho alcuna affiliazione, il mio forum non ha ancora membri.)

Non sono necessariamente d’accordo con questa affermazione che il GDPR debba essere adottato a livello mondiale, anche se, di nuovo, non ne so molto.

Sono favorevole alla possibilità per le persone di far eliminare o anonimizzare i propri account del forum se lo richiedono, ma l’anonimizzazione di un account con un numero elevato di post potrebbe non essere efficace nel nascondere l’identità di qualcuno.

Un modo per procedere è imporre una politica di nessuna informazione personale nei post del forum.

La mia azienda ha sede negli Stati Uniti, ma utilizzo server di posta in Svizzera e Germania, quindi non sono sicuro che ciò abbia importanza con il GDPR.

L’azienda di posta tedesca ha questo avviso legale:

Svizzera:

Di tanto in tanto, Proton può essere legalmente obbligato a divulgare determinate informazioni sull’utente alle autorità svizzere, come dettagliato nella nostra Informativa sulla privacy. Ciò può accadere se la legge svizzera viene violata. Come indicato nella nostra Informativa sulla privacy, tutte le e-mail, i file e gli inviti sono crittografati e non abbiamo modo di decifrarli.

Ai sensi dell’articolo 271 del Codice penale svizzero, Proton non può trasmettere dati direttamente alle autorità straniere e pertanto respinge tutte le richieste delle autorità straniere. Le autorità svizzere possono occasionalmente assistere le autorità straniere con richieste, a condizione che siano valide secondo le procedure di assistenza legale internazionale e determinate conformi alla legge svizzera. In questi casi, lo standard di legalità si basa nuovamente sulla legge svizzera. In generale, le autorità svizzere non assistono autorità straniere provenienti da paesi con una storia di abusi dei diritti umani.

Ho notato con Discourse la possibilità che la maggior parte dei post venga eliminata o modificata sembra essere permanente, almeno con le impostazioni predefinite, non so se c’è un modo per cambiarlo? Un tipo diverso di forum che ho visto ha modificato le impostazioni per consentire la modifica dei post solo per un’ora prima che vengano bloccati.

Sembra che potrebbero esserci delle controversie se qualcuno richiede l’eliminazione di alcuni post ma un amministratore del sito rifiuta. Questi potrebbero dover essere gestiti caso per caso a seconda dei paesi coinvolti.

Queste sono alcune statistiche impressionanti dal CERN, oltre 1.000 ordini legali contestati sia per il 2022 che per il 2021!

Ci sono ora quattro (almeno) cose diverse in corso.

Sì, se hai utenti dall’UE, tu come amministratore/proprietario devi seguire il GDPR.

se non hai utenti UE, ma stai utilizzando aziende europee per l’e-mail o l’hosting, non devi seguire il GDPR, ma tali aziende devono seguire il GDPR anche se non sei dell’UE.

No, il GDPR non impone la distruzione di post e commenti. L’anonimizzazione è sufficiente. E no, non è necessario modificare i backup, ma è possibile conservare i backup solo per il tempo strettamente necessario. Quindi, non raccogliere i tuoi backup vecchi di uno o cinque anni e cercare di affermare che va bene

Il GDPR regola i dati personali. Cosa e come puoi o non puoi chiedere, archiviare e utilizzare, per cosa e per quanto tempo. CDCK può archiviare il mio IP (non sono ancora dati personali sensibili che possono identificarmi) e possono anche chiedere il mio nome e paese. Ma l’indirizzo di residenza è un’informazione regolamentata e chiedermi di inviare una copia del passaporto o della patente di guida è nella maggior parte dei casi un vero e proprio divieto.

E mi dispiace un po’ dirlo ad alta voce, ma i servizi americani, e con servizio intendo gli amministratori, sono un problema davvero grande e avido dal punto di vista europeo. Lo spam a nome di marketing e vendite utilizzando soluzioni che cercano di seguire ogni azione che una persona compie è un modo molto americano. E quanto fortemente gli americani sono a favore dell’indipendenza e del mio-focolare-è-il-mio-castello, l’ho sempre trovato molto interessante.

Sì. Ora sono totalmente fuori tema, di nuovo. E no, per progettazione Discourse non è costruito per violare lo spazio personale virtuale delle persone. Discourse è in realtà più o meno come Mastodon, ad esempio, ed è progettato per funzionare in modo ragionevolmente responsabile. E l’anonimizzazione è una parte di ciò (e la cancellazione automatica dopo il periodo di tempo desiderato se non ci sono accessi; questo è in realtà degno di lode, perché i clienti B2B di CDCK ne hanno bisogno).

Il GDPR riguarda i dati personali che possono essere utilizzati per identificare gli individui. Non ha nulla a che fare con gli argomenti e i commenti di per sé.

Grazie per aver scritto, sono informazioni utili.

Alcune aziende americane sono certamente grandi e avide, ma la maggior parte di queste sono state create da europei, ovviamente.

La Compagnia olandese delle Indie orientali è la peggiore.

Il mio sito è principalmente per persone che non hanno un indirizzo stradale, ma questi sono richiesti per i permessi di costruzione sia negli Stati Uniti che in Canada.

Ad eccezione delle case prefabbricate che possono essere spostate su camion/navi, questo è il mio piano per costruirle e poi venderle, una volta vendute le persone possono registrarle con un indirizzo permanente ma è facoltativo.

Comunque, tornando al GDPR, sembra che questo avviso che ho citato da un altro sito con un forum potrebbe tecnicamente essere una violazione, tuttavia questa sarebbe una domanda per un avvocato per la quale dovrebbero pagare.

L’ultima cosa che menzionerò a riguardo è che riguarda specificamente le domande scritte per essere lette ad alta voce e a cui rispondere; alcune leggi potrebbero essere diverse per le parole parlate rispetto a quelle scritte.

Negli Stati Uniti c’è la Federal Trade Commission, questa è la cosa più vicina al GDPR che conosco in America. Intento simile a “Proteggere i consumatori americani”, come il GDPR è proteggere le persone in Europa, tuttavia non credo che offrirebbero aiuto a persone che non sono cittadini dell’UE.

Sto cercando di trovare dove hanno pubblicato le politiche in materia di forum, non sono sicuro di dove si trovino. Credo che ci siano requisiti contro le informazioni personali nei post dei forum, specialmente se gli amministratori del sito non li cancellano su richiesta.

Il dipartimento dell’FBI che farebbe rispettare ciò è questo:

• Il GDPR si applica alle persone che si trovano nell’UE. Se non ti trovi fisicamente nell’UE, il GDPR non si applica a te.
• Per tua informazione, la Svizzera non è un paese dell’UE.

Grazie per la tua risposta, non sapevo che la Svizzera non fosse membro dell’UE.
Credo che anche il Regno Unito non sia più un membro?
Il voto sulla Brexit è avvenuto mentre ero studente all’Università di Amsterdam, hanno una partnership con la U.W. quindi ho una tessera studentesca olandese, tuttavia è scaduta.
L’ultima domanda è se bisogna essere cittadini di un paese dell’UE per qualificarsi.

No. Ma un utente deve risiedere e avere un indirizzo nell’UE.

Quindi, se il tuo non membro dell’UE ha salvato giorni di vacanza a vita per fare un viaggio di 2 settimane a Parigi, non è necessario seguire il GDPR.

Ciò significa che puoi raccogliere e salvare qualsiasi informazione personale, utilizzare iscrizioni spam opt-out e non hai bisogno di consenso per nulla. E tutto ciò nel senso che all’UE non importa.

In realtà… di cosa hai paura del GDPR? Se gestirai i dati come dovresti e rispettando la privacy di base degli utenti, dicendo cosa stai archiviando e per quanto tempo, mantenendo trasparenza e apertura, seguirai il GDPR. E poi non dovrai chiederti chi, dove e perché.

Il Regno Unito ha ancora una regolamentazione in stile GDPR. Quindi gli amministratori/aziende pubblicitarie non possiamo scegliere di partecipare o seguire come vogliamo. E per quanto ne so, la Svizzera segue la regolamentazione GDPR, così come la Norvegia di sicuro, anche se non sono nell’UE.

In quel periodo eri protetto dal GDPR.

Non ho paura del GDPR, solo non mi era chiaro quali fossero le loro politiche.

Tieni presente che i consigli legali su un forum sono piuttosto rischiosi. Per quanto ne so, nessuna delle persone che hanno risposto qui è un avvocato e nessuno sta offrendo consulenza legale timbrata.

Ti consiglio di consultare un avvocato per rispondere alle sfumature giurisdizionali del GDPR.

Ancora più ampio: l’utente deve trovarsi nell’UE. Non è un requisito essere residenti.

Articolo 3.2

Il presente Regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione

Beh, questo è un po’ poco chiaro, ma per fortuna Considerando 14 lo chiarisce un po’:

La protezione garantita dal presente Regolamento dovrebbe applicarsi alle persone fisiche, indipendentemente dalla loro cittadinanza o residenza, in relazione al trattamento dei loro dati personali.

Ma anche questo potrebbe essere ambiguo, quindi c’è una linea guida aggiuntiva, molto esplicita, Linee guida 3/2018 sulla portata territoriale del GDPR (articolo 3) sezione 2.a

La dicitura dell’articolo 3, paragrafo 2, fa riferimento a “dati personali di interessati che si trovano nell’Unione”. L’applicazione del criterio di targeting non è quindi limitata dalla cittadinanza, residenza o altro tipo di status giuridico dell’interessato i cui dati personali sono oggetto di trattamento.
(…)
Mentre la localizzazione dell’interessato nel territorio dell’Unione è un fattore determinante per l’applicazione del criterio di targeting ai sensi dell’articolo 3, paragrafo 2, (…) la localizzazione dell’interessato nell’Unione deve essere valutata al momento in cui si verifica l’attività scatenante pertinente.

Quindi il cittadino statunitense che si trova in vacanza a Parigi è soggetto al GDPR durante il suo soggiorno - per quanto riguarda i servizi avviati durante il suo soggiorno. Il suo contratto di telefonia mobile USA esistente non è improvvisamente soggetto al GDPR.

La T-mobile statunitense ha servizio in Europa, ma ho ricevuto una notifica da loro dopo due mesi che questo è limitato solo a servizi a breve termine, non più di 2 o 3 mesi nella zona euro.

Questo non mi sembra correlato al GDPR.

Beh, potrebbe non esserlo, stavo solo rispondendo alla tua affermazione che un contratto telefonico statunitense non sarebbe soggetto al GDPR per qualcuno che viaggia in Francia o in un altro paese europeo.

Ciò è in contraddizione con affermazioni precedenti di altri secondo cui qualsiasi servizio offerto in Europa è effettivamente soggetto al GDPR.

Tuttavia, la chiave è dove viene avviato il servizio, se questo è in Europa o meno.

Potrebbe essere che T-Mobile e/o altri operatori statunitensi abbiano contratti specifici limitati dal GDPR o da altre normative che consentono loro di offrire servizi in Europa solo per un numero limitato di giorni.

È utile avere un numero di telefono locale con il prefisso del paese in cui qualcuno viaggia per evitare chiamate internazionali.

Comunque non sto chiedendo consigli legali, lascia perdere.