GDPR fora da UE

Com o GDPR, isso só se aplica a usuários que estão na União Europeia, acredito?

A GDPR regula serviços/sites que têm usuários da UE, não importa onde estejam localizados. Em teoria, pelo menos.

Mas, claro, um administrador pode construir um sistema onde cidadãos da UE tenham regras diferentes de outros. Mas… por quê? A GDPR é, na verdade, um sistema muito bom e deveria ser adotado mundialmente.

Não sei muito sobre o GDPR, mas é útil saber que eles regulamentam sites mesmo que tenham apenas um ou poucos membros da União Europeia.

Meu entendimento é que o principal objetivo disso é proteger a privacidade individual, então eu seria a favor de permitir que as pessoas excluíssem suas próprias contas ou que essas solicitações de usuários fossem aprovadas. Conheço um fórum de discussão que não oferece esse serviço aos usuários, que inclui alguns residentes da UE, então parece que não é um requisito do GDPR que as pessoas possam sempre ter suas contas excluídas.

O principal motivo pelo qual nem sempre é uma boa ideia permitir que as pessoas excluam uma conta é que, se um fórum tiver qualquer propósito além de ser um local para bate-papo ocioso, deve haver responsabilidade pelo que as pessoas estão postando.

Especificamente, se um fórum for aberto ao público, qualquer pessoa que se qualifique para um cartão de biblioteca pode criar uma conta e talvez postar algo que provavelmente deveria ser revisado e respondido pelas autoridades policiais em sua jurisdição.

É. Mas isso não significa que os usuários possam fazer isso sozinhos. Se alguém não está seguindo as regras é uma coisa totalmente diferente, embora.

Mas. Como eu disse - em teoria. A UE não está atrás de peixes pequenos, mas de gente grande. Então, digamos que um site americano ou asiático nunca sofra ações legais da UE, mesmo que não sigam as regulamentações. Mas, novamente… por que alguém seria como o Facebook ou o X, apenas porque gosta de enviar algum spam?

Essa é uma determinação que você precisaria fazer com um advogado, não podemos oferecer esse nível de aconselhamento aqui e pediríamos que as pessoas tivessem cuidado ao fazer declarações não qualificadas.

O que podemos dizer é que um usuário solicitando a remoção de suas informações pessoais não necessariamente exige a remoção de suas postagens. O Discourse tem um ótimo recurso de anonimização que, em muitos casos, atenderia aos requisitos do GDPR sem impactar negativamente a qualidade do conteúdo dentro de sua comunidade.

Ah, interessante.

Foi isso que li e me fez pensar, mas acho que isso está alinhado com a anonimização, que você diz que atende aos requisitos do GDPR:

Contas não podem ser excluídas. Você pode parar de usar sua conta a qualquer momento. Se você for um membro pago, pode cancelar sua assinatura para rebaixar, ao final do seu ciclo de faturamento, para assinante gratuito. No entanto, para proteger a integridade do site e da comunidade, os logs de acesso são mantidos para nossos registros e os comentários NÃO são excluídos mediante solicitação. Você está, no entanto, livre para atualizar as informações do seu perfil (alterando ou removendo sua biografia, nome de exibição, etc.).

(Isso é de um site com o qual não tenho afiliação, meu próprio fórum ainda não tem membros.)

Não concordo necessariamente com essa afirmação de que o GDPR deva ser adotado mundialmente, embora, novamente, eu não saiba muito sobre isso.

Sou a favor de as pessoas poderem ter suas contas de fórum excluídas ou anonimizadas se solicitarem, mas a anonimização de uma conta com um grande número de postagens pode não ser eficaz em ocultar a identidade de alguém.

Uma maneira de seguir em frente é impor uma política de não informações pessoais em postagens de fórum.

Minha empresa é baseada nos EUA, mas uso servidores de e-mail na Suíça e na Alemanha, então não tenho certeza se isso importa com o GDPR.

A empresa alemã de e-mail tem este aviso legal:

Suíça:

De tempos em tempos, a Proton pode ser legalmente obrigada a divulgar certas informações do usuário às autoridades suíças, conforme detalhado em nossa Política de Privacidade. Isso pode acontecer se a lei suíça for violada. Conforme declarado em nossa Política de Privacidade, todos os e-mails, arquivos e convites são criptografados e não temos como descriptografá-los.

Sob o Artigo 271 do Código Penal Suíço, a Proton não pode transmitir quaisquer dados diretamente a autoridades estrangeiras e, portanto, rejeitamos todas as solicitações de autoridades estrangeiras. As autoridades suíças podem ocasionalmente auxiliar autoridades estrangeiras com solicitações, desde que sejam válidas sob procedimentos de assistência jurídica internacional e determinadas a estar em conformidade com a lei suíça. Nesses casos, o padrão de legalidade é novamente baseado na lei suíça. Em geral, as autoridades suíças não auxiliam autoridades estrangeiras de países com histórico de abusos de direitos humanos.

Notei com o Discourse a capacidade de a maioria das postagens ser excluída ou editada parece ser permanente, pelo menos com as configurações padrão, não sei se há uma maneira de mudar isso? Um tipo diferente de fórum que vi eles mudaram as configurações para permitir a edição de postagens apenas por uma hora antes de serem congeladas.

Parece que pode haver disputas se alguém solicitar que algumas postagens sejam excluídas, mas um administrador do site se recusar. Essas podem ter que ser tratadas caso a caso, dependendo de quais países estão envolvidos.

Estas são algumas estatísticas impressionantes do CERN, mais de 1.000 ordens judiciais contestadas tanto para 2022 quanto para 2021!

Aqui estão agora quatro (pelo menos) coisas diferentes acontecendo.

Sim, se você tem usuários da UE, você como administrador/proprietário deve seguir o GDPR.

Se você não tem usuários da UE, mas está usando empresas europeias para e-mail ou hospedagem, você não precisa seguir o GDPR, mas essas empresas devem seguir o GDPR, mesmo que você não seja da/na UE.

Não, o GDPR não força a destruição de posts e comentários. Anonimização é suficiente. E não, você não precisa editar backups, mas pode armazenar backups apenas enquanto for absolutamente necessário. Portanto, não use seus backups de um ou cinco anos atrás e tente alegar que está tudo bem

O GDPR regula dados pessoais. O quê e como você pode ou não pedir, armazenar e usar, para quê e por quanto tempo. A CDCK pode armazenar meu IP (ainda não são dados pessoais sensíveis que possam me identificar) e eles podem até pedir meu nome e país. Mas o endereço de rua é uma informação regulamentada e pedir para eu enviar cópia do passaporte ou carteira de motorista é, na maioria dos casos, um grande não-não.

E sinto muito em dizer isso em voz alta, mas os serviços americanos, e com serviço quero dizer administradores, são um problema muito grande e ganancioso do ponto de vista europeu. Fazer spam em nome de marketing e vendas usando soluções que tentam seguir todas as ações que uma pessoa faz é um jeito muito americano. E quão fortemente os americanos são pró-independentes e “minha casa é meu castelo” eu sempre achei isso muito interessante.

Sim. Agora estou totalmente fora do tópico, de novo. E não, por design, o Discourse não foi construído para quebrar o espaço pessoal virtual das pessoas. O Discourse é, na verdade, mais ou menos como o Mastodon, por exemplo, e foi planejado para funcionar de maneira decentemente responsável. E a anonimização é uma parte disso (e a exclusão automática após o prazo desejado se não houver logins; isso é realmente digno de elogios, porque os clientes B2B da CDCK precisam disso).

O GDPR é uma questão de dados pessoais que podem ser usados para identificar indivíduos. Não tem nada a ver com tópicos e comentários em si.

Obrigado por escrever, essa é uma informação útil.

Algumas empresas americanas certamente são grandes e gananciosas, mas a maioria delas foi criada por europeus, é claro.

A Companhia Holandesa das Índias Orientais é a pior.

Meu site é principalmente para pessoas que não têm endereços de rua, mas estes são necessários para licenças de construção nos EUA e no Canadá.

Exceto por casas pré-fabricadas que podem ser transportadas em caminhões/navios, esse é o meu plano de construí-las e depois vendê-las, uma vez vendidas as pessoas podem registrá-las com um endereço permanente, mas isso é opcional.

De qualquer forma, voltando ao GDPR, parece que este aviso que citei de outro site com um fórum pode tecnicamente ser uma violação, no entanto, essa seria uma questão para um advogado que eles precisariam pagar.

A última coisa que mencionarei sobre isso é que se trata especificamente de perguntas que são escritas para serem lidas em voz alta e respondidas; algumas leis podem ser diferentes com palavras faladas em oposição a palavras escritas.

Nos EUA existe a Federal Trade Commission, que é o mais próximo que conheço do GDPR na América. Intenção semelhante a “Proteger os Consumidores Americanos”, assim como o GDPR é para proteger as pessoas na Europa, no entanto, não acredito que eles ofereceriam ajuda a pessoas que não são cidadãos da UE.

Tentando encontrar onde eles têm políticas publicadas em relação a fóruns, não tenho certeza de onde isso está. Acredito que existam requisitos contra informações pessoais em postagens de fóruns, especialmente se os administradores do site não as excluírem mediante solicitação.

O departamento do FBI que aplicaria isso é este:

• O GDPR se aplica a pessoas que estão na UE. Se você não estiver fisicamente dentro da UE, o GDPR não se aplica a você.
• Aliás, a Suíça não é um país da UE.

Obrigado pela sua resposta, eu não sabia que a Suíça não é membro da UE.
O Reino Unido também, acredito que não é mais membro?
O voto do Brexit aconteceu quando eu era estudante na Universidade de Amsterdã, eles têm uma parceria com a UW, então eu tenho uma carteira de estudante holandesa, mas ela expirou.
A última pergunta então é se é preciso ser cidadão de um país da UE para se qualificar.

Não. Mas um usuário deve morar e ter endereço na UE.

Então, se seu não membro da UE economizou dias de férias para fazer uma viagem de 2 semanas a Paris, você não precisa seguir o GDPR.

Isso significa que você pode coletar e salvar qualquer informação pessoal, usar assinaturas de spam com opt-out e não precisa de consentimento para nada. E tudo isso no sentido de que a UE não se importa.

Na verdade… do que você tem medo do GDPR? Se você tratar os dados como deveria e respeitar a privacidade básica dos usuários, dizendo o que está armazenando e por quanto tempo, mantendo transparência e abertura, você seguirá o GDPR. E então você não precisa se perguntar quem, onde e por quê.

O Reino Unido ainda tem regulamentação no estilo GDPR. Portanto, administradores/empresas de anúncios não podemos optar por participar ou seguir como quisermos. E, tanto quanto sei, a Suíça segue a regulamentação GDPR, assim como a Noruega, com certeza, mesmo que não estejam na UE.

Naquela época, você estava protegido pelo GDPR.

Não tenho medo do GDPR, apenas não estava claro sobre quais são as políticas deles.

Lembre-se, aconselhamento jurídico em um fórum é um tanto arriscado. Pelo que sei, nenhuma das pessoas que responderam aqui são advogados e ninguém está oferecendo aconselhamento jurídico oficial.

Recomendo que você consulte um advogado para responder às nuances de jurisdição da GDPR.

Ainda mais amplo: o usuário deve estar na UE. Não é um requisito ser residente.

Artigo 3.2

Este Regulamento aplica-se ao tratamento de dados pessoais de titulares de dados que se encontrem na União.

Bem, isso é um pouco vago, mas felizmente Considerando 14 o esclarece um pouco:

A proteção conferida por este Regulamento deve aplicar-se a pessoas singulares, independentemente da sua nacionalidade ou local de residência, em relação ao tratamento dos seus dados pessoais.

Mas isso ainda pode ser ambíguo, então há uma diretriz adicional, que é muito explícita, Diretrizes 3/2018 sobre o âmbito territorial do GDPR (Artigo 3) seção 2.a

A redação do Artigo 3.º, n.º 2, refere-se a “dados pessoais de titulares de dados que se encontrem na União”. A aplicação do critério de direcionamento não é, portanto, limitada pela cidadania, residência ou outro tipo de estatuto jurídico do titular dos dados cujos dados pessoais estão a ser tratados.
(…)
Embora a localização do titular dos dados no território da União seja um fator determinante para a aplicação do critério de direcionamento nos termos do Artigo 3.º, n.º 2, (…) a localização do titular dos dados na União deve ser avaliada no momento em que ocorre a atividade desencadeadora relevante.

Portanto, o cidadão americano que está de férias em Paris está sujeito ao GDPR durante a sua estadia - no que diz respeito aos serviços que foram iniciados durante a sua estadia. O seu contrato de telemóvel existente nos EUA não está subitamente sujeito ao GDPR.

A T-mobile dos EUA tem serviço na Europa, mas recebi uma notificação deles após dois meses de que isso é limitado apenas a serviço de curto prazo, não mais do que 2 ou 3 meses na zona do euro.

Isso não me parece relacionado ao GDPR.

Bem, pode não ser, eu estava apenas respondendo à sua afirmação de que um contrato de celular dos EUA não estaria sujeito ao GDPR para alguém viajando para a França ou para outro país da Europa.

Isso é uma contradição com declarações anteriores de outras pessoas de que qualquer serviço oferecido na Europa está de fato sujeito ao GDPR.

No entanto, a chave é onde o serviço é iniciado, se é na Europa ou não.

Pode ser que a T-Mobile e/ou outras operadoras dos EUA tenham contratos específicos que são limitados pelo GDPR ou outras regulamentações, de modo que só podem oferecer serviço na Europa por um número limitado de dias.

É útil ter um número de telefone local com o código do país para onde alguém está viajando para evitar chamadas internacionais.

De qualquer forma, não estou pedindo a ninguém aconselhamento jurídico, esqueça.