Ciao amministratori, ho trovato molti (molti, moltissimi) argomenti relativi al GDPR, ma nulla che sembrasse contenere la risposta a questa domanda. Mi scuso se si tratta di un duplicato.
Sto utilizzando Discourse con SSO, collegato a un sito di membership più ampio. Sto cercando di capire cosa fare se un membro del mio sito elimina il proprio account.
Normalmente direi: beh, posso contattare Discourse per anonimizzare il loro profilo Discourse e così il problema è risolto. Probabilmente va bene che i loro post rimangano pubblici, e intendo modificare i miei Termini di Servizio per indicare specificamente che se elimini il tuo account sul mio sito, i tuoi post pubblici del forum rimarranno sotto un nome utente anonimo. Questo mi sembra accettabile.
Tuttavia, cosa succede se una settimana dopo ricevo una richiesta via email da quella persona, in cui chiede, ai sensi del GDPR, che io elimini tutti i loro dati?
Dato che ho già anonimizzato il loro account, come posso determinare quali post su Discourse sono stati creati da loro?
Non riesco, per quanto mi sia possibile, a trovare i tuoi dati poiché si trovano in un insieme di dati anonimizzati. Se puoi dimostrare la proprietà dei dati, sarò lieto di rimuoverli.
Poiché questa sarà un’importante iniziativa da parte dell’utente, la questione si conclude qui. Ai sensi del GDPR, sei obbligato a dimenticare un utente ed eliminare qualsiasi dato che possa essere tracciato o associato a lui; se non può farlo lui stesso, nessuno lo farà. Questa è una visione molto leggera della questione e, se sei davvero preoccupato in termini legali, dovresti sempre consultare un avvocato.
Ma che dire dei dati non strutturati? Ho visto un caso recente su un forum Discourse, in cui un utente ha richiesto la cancellazione dei propri post perché contenevano dettagli identificativi.
Sì, è esattamente quello a cui sto pensando. E se qualcuno pubblicasse un selfie? O il proprio numero di telefono? Cancellano il proprio account sul mio sito e, come parte di tale processo (automatizzato), il loro account Discourse viene anonimizzato… e il giorno dopo ricevo una richiesta di rimozione GDPR. Devo rimuovere tutte le loro informazioni personali dal mio sito. Ora sono bloccato.
Mi piace questa idea, ma dubito che reggerebbe nello scenario che ho descritto sopra.
Un’altra opzione sarebbe, invece di anonimizzare, cancellarli completamente da Discourse. Ovviamente, il problema è che tutti i loro vecchi messaggi scomparirebbero, lasciando buchi nei topic. Hmm. Nemmeno questa mi convince molto.
Hmm, non sono sicuro di aver capito esattamente. Stai dicendo che quando Discourse anonimizza, restituisce il nome utente anonimizzato? Se è così… allora penso che potrei tenere un registro di ogni anonimizzazione con i nomi utente prima e dopo, così da avere una traccia. Non è una cattiva idea.
Ho già ricevuto alcune richieste per rimuovere tutti i messaggi di membri che, per fortuna, non erano ancora stati anonimizzati… e regolarmente ricevo richieste GDPR “dimentica me”, attualmente 2-3 al mese. Ma considerando il fatto che sono basato in Europa e ho una vasta base di membri europei, unito al fatto che la mia comunità ha valide ragioni per essere estremamente sensibile alla privacy… credo che avere una risposta chiara e ben ponderata su “come gestisci i miei post sul forum” sia estremamente importante. Al momento sto cercando di capire come fare.
Ecco un articolo di un avvocato olandese su questo specifico problema. Enfasi mia.
Questo problema era già stato riconosciuto all’epoca dell’entrata in vigore del GDPR, ed è per questo che nel diritto all’oblio si precisa che non si applica qualora il trattamento (ossia la pubblicazione) sia necessario per l’esercizio del diritto fondamentale alla libertà di espressione (articolo 17, paragrafo 3, GDPR). Ciò significa che, in linea di principio, un amministratore di forum può impedire la rimozione dei messaggi. Un profilo o una registrazione di un utente rientra al di fuori di tale diritto fondamentale e deve pertanto essere rimossa su richiesta.
Un gentile promemoria: la maggior parte di noi su Meta non sono avvocati. Per i pochi utenti che lo sono, non sono il vostro avvocato. Nemmeno Arnoud (dall’articolo a cui Richard ha fatto riferimento) è il vostro avvocato.
Siamo lieti di discutere l’aspetto tecnico della gestione delle richieste di cancellazione dei dati GDPR. Possiamo anche discutere l’aspetto della gestione della comunità. Non possiamo fornire risposte sull’aspetto legale. Per quello è necessario un avvocato, in particolare il vostro avvocato, che conosca sia il GDPR sia le specifiche del vostro caso. Qualsiasi informazione fornita qui non è e non deve essere considerata consulenza legale.