Hola administradores, encontré muchos (muchísimos) temas sobre el RGPD, pero ninguno que pareciera tener esta respuesta. Disculpen si esto es un duplicado.
Estoy usando Discourse con SSO, vinculado a un sitio de membresía más grande. Estoy tratando de averiguar qué hacer si un miembro de mi sitio elimina su cuenta.
Normalmente diría: bueno, puedo contactar a Discourse para anonimizar su perfil en Discourse y así se resuelve. Probablemente esté bien que sus publicaciones permanezcan públicas, y voy a modificar mis Términos de Servicio para indicar específicamente que si eliminas tu cuenta en mi sitio, tus publicaciones públicas en el foro permanecerán bajo un nombre de usuario anónimo. Eso parece aceptable.
Sin embargo, ¿qué sucede si una semana después recibo un correo electrónico de esa persona solicitando, bajo el RGPD, que elimine todos sus datos?
Dado que ya he anonimizado su cuenta, ¿cómo puedo determinar qué publicaciones en Discourse fueron creadas por ellos?
No puedo encontrar sus datos, por muy bueno que sea mi esfuerzo, ya que están en un conjunto de datos anonimizados. Si puede demostrar la propiedad de los datos, con gusto los eliminaré.
Dado que esto supondría un gran esfuerzo por parte del usuario, el asunto queda aquí. Según el RGPD, está obligado a olvidar a un usuario y eliminar cualquier dato que pueda rastrearse o asociarse a él; si ni siquiera él mismo puede hacerlo, nadie lo hará. Esta es una interpretación muy ligera del asunto y, si realmente le preocupan los aspectos legales, siempre debe consultar a un abogado.
¿Qué pasa entonces con los datos no estructurados? Recientemente vi un caso en un foro de Discourse donde un usuario solicitó la eliminación de sus publicaciones porque estas incluían detalles identificativos.
Sí, eso es exactamente en lo que estoy pensando. ¿Y si alguien publica una selfie? ¿O su número de teléfono? Eliminan su cuenta en mi sitio y, como parte de ese proceso (automatizado), su cuenta de Discourse se anonimiza… y al día siguiente, recibo una solicitud de eliminación bajo el RGPD. Tengo que eliminar toda su información personal de mi sitio. Ahora estoy atrapado.
Me gusta esta idea, pero dudo que se sostenga en el escenario que describo arriba.
Otra opción sería que, en lugar de anonimizar, simplemente los eliminara por completo de Discourse. Por supuesto, el problema es que todos sus mensajes antiguos desaparecerían, dejando huecos en los temas. Hmm. Tampoco me convence mucho eso.
Hmm, no estoy seguro de entender exactamente. ¿Estás diciendo que cuando Discourse anonimiza, devuelve el nombre de usuario anonimizado? Si es así… entonces supongo que podría mantener un registro de cada anonimización y los nombres de usuario antes y después, para tener un registro. No es una mala idea.
Ya he tenido un par de solicitudes para eliminar todos los mensajes de miembros que, por suerte, aún no habían sido anonimizados… y regularmente recibo solicitudes de GDPR de “olvidadme”, actualmente entre 2 y 3 al mes. Pero, dado que estoy basado en Europa y tengo una gran base de miembros europeos, combinado con el hecho de que mi comunidad tiene razones muy válidas para ser extremadamente sensible en cuanto a la privacidad… creo que tener una respuesta buena y bien pensada sobre “cómo manejas mis publicaciones en el foro” es extremadamente importante. Ahora mismo estoy tratando de resolver eso.
Aquí hay un artículo de un abogado holandés sobre este problema específico. El énfasis es mío.
Este problema ya fue reconocido cuando se introdujo el RGPD, y por lo tanto se establece en el derecho al olvido que no se aplica si el tratamiento (es decir, la publicación) es necesario para el ejercicio del derecho fundamental a la libertad de expresión (artículo 17, párrafo 3 del RGPD). Esto significa que, en principio, un administrador de foro puede evitar la eliminación de mensajes. Un perfil o registro de un usuario queda fuera de ese derecho fundamental y, por lo tanto, debe ser eliminado a solicitud.
Un recordatorio amigable: la mayoría de nosotros aquí en Meta no somos abogados. Para los pocos usuarios que sí lo son, no son tu abogado. Arnoud (del artículo que enlazó Richard) tampoco es tu abogado.
Estamos encantados de hablar sobre el aspecto técnico del manejo de solicitudes de supresión de datos según el RGPD. También podemos hablar sobre la gestión comunitaria de estas solicitudes. No podemos ofrecer respuestas sobre el aspecto legal. Para eso, se necesita un abogado, específicamente tu abogado. Uno que conozca tanto el RGPD como los detalles de tu situación particular. Cualquier información proporcionada aquí no es, y no debe considerarse, asesoramiento legal.