Come consentire sempre agli utenti di eliminare i propri account?

Sai come consentire sempre agli utenti di eliminare i propri account? Questo aiuta con la conformità al GDPR. Possiamo usare -1 o 0 per delete user max post age e delete user self max post count in modo che gli utenti possano farlo in qualsiasi momento?

Ciao @RBoy, se ne discute in questo argomento

Gli utenti possono sempre richiedere l’eliminazione dei propri account.
Inoltre, esiste un Theme component che rende questo aspetto più evidente.

Quindi, leggendo gli argomenti collegati, ho capito bene che gli utenti non possono eliminare i propri account dopo che sono trascorsi XXX giorni o dopo aver pubblicato XXX post? L’unico modo è inviare manualmente una richiesta all’amministratore?

@codinghorror Ho letto i tuoi commenti a riguardo, sarebbe fantastico consentire un’opzione per permettere agli utenti di eliminare i propri account, potrebbero essere fornite 2 opzioni che consentirebbero agli amministratori del sito di decidere cosa è appropriato per loro (per conformarsi ai requisiti legali o alle proprie politiche, ad esempio per mantenere bassi i costi generali).

1. Consentire agli utenti di eliminare i propri account e tutti i post (sì, potrebbe influire sulla community, ma tale decisione dovrebbe essere lasciata ai proprietari del sito, se sono disposti a perdere tali informazioni in cambio della riduzione dei costi generali e della responsabilità legale, allora dovrebbe essere consentito abilitare questa opzione)
2. Consentire agli utenti di eliminare il proprio account ma conservare tutti i post come account anonimo

Non è esattamente ciò che si ottiene con i metodi discussi in precedenza?

Usare -1 in delete user self max post count disabiliterà la possibilità per gli utenti di auto-eliminarsi, anche se puoi impostarlo molto in alto per ottenere un risultato simile:

delete user self max post count1390×367 13.5 KB

E anche delete user max post age può essere impostato molto in alto (0 disabiliterà di fatto l’eliminazione da parte dell’utente):

delete user max post age1390×333 12.1 KB

Avendo effettivamente fatto ciò che @JammyDodger ha detto in una delle mie community, lo sconsiglio vivamente, a meno che tu non ti fidi completamente dei tuoi utenti a non abusarne.

Abbiamo dovuto ripristinare le impostazioni predefinite dopo che le persone si sono arrabbiate perché non gradivano le risposte che ricevevano, quindi hanno eliminato i loro account quando hanno scoperto di non poter eliminare i propri argomenti.

Detto questo, se ti fidi completamente dei tuoi utenti a non abusarne, può essere utile in alcuni casi.

Solo un piccolo suggerimento: se hai intenzione di modificare queste impostazioni, assicurati di modificare anche le impostazioni del sito correlate che controllano quando lo staff può eliminare gli account per coerenza.

In particolare, assicurati di impostare queste impostazioni allo stesso modo:

delete all posts max

delete user self max post count

Se imposti il primo valore più basso del secondo, ottieni la curiosa situazione in cui l’utente può auto-eliminarsi ma lo staff non può eliminare l’account.

Il mio primo pensiero è stato “dovremmo risolvere questo problema”, ma poi ho capito che per qualcuno potrebbe effettivamente essere uno scenario desiderabile

Ah, una delle mie strisce xkcd preferite

E sì, posso pensare ad alcune situazioni in cui vorresti che gli utenti potessero auto-eliminarsi, ma limitare lo staff all’opzione di anonimizzare l’account.

Sì, posso certamente immaginare situazioni in cui questo approccio potrebbe diventare complicato. Anche se un amministratore del forum si sentisse abbastanza fortemente a riguardo e accettasse i rischi, le opzioni ci sono.

Personalmente, penso che le impostazioni predefinite siano un flusso piuttosto buono (e anche il pulsante Account Deletion Request è una bella aggiunta).

Anche questo ha senso per me. Penso che se un sito ha preso questa decisione, è generalmente venuta da un luogo in cui vuole che l’utente abbia la possibilità, anche se è doloroso per il forum nel suo complesso. Se l’utente decide di premere il pulsante, è qualcosa che deve accettare/tollerare, mentre potrebbe non essere qualcosa che vogliono incoraggiare come politica dello staff.

Queste opzioni consentiranno solo all’utente di eliminare i propri post. Tuttavia, per la conformità GDPR/CA, se un utente desidera eliminare il proprio account, è necessario l’intervento dell’amministratore. Vorrei impostare un processo in cui darei all’utente la possibilità di eliminare il proprio account e far sì che Discourse lo anonimizzi automaticamente in modo da non perdere la cronologia, ma allo stesso tempo rispettare il desiderio dell’utente di eliminare il proprio account, senza l’intervento dell’amministratore. È possibile?

Non nell’interfaccia utente predefinita.

I nostri clienti che necessitano di automatizzare questo processo configurano una pagina centrale di eliminazione account GDPR esterna a Discourse che elimina l’account su tutti i loro sistemi, incluso il loro sito Discourse. Questo viene realizzato tramite una chiamata all’API dal loro motore di conformità centrale.

Grazie per il chiarimento. Sarebbe possibile includere questa opzione come opzione configurabile nell’interfaccia delle impostazioni di amministrazione? Sarebbe molto utile avere 2 opzioni disponibili per gli amministratori del sito:

1. Consenti sempre agli utenti di eliminare i propri account e tutti i post in modo permanente
2. Consenti sempre agli utenti di eliminare i propri account e anonimizzare tutti i post

Sarebbe un’aggiunta molto preziosa per la conformità e la facilità di manutenzione. Sono difficili da implementare?

Per la conformità al GDPR, l’anonimizzazione potrebbe essere sufficiente, ed è un’opzione diversa dalla cancellazione; se un account viene completamente cancellato, non rimane nulla da anonimizzare.

Non sono un avvocato e non offro consulenza legale.

Un rischio da considerare è anche se vi sia mai un accesso non autorizzato a un account; ciò sarebbe un problema se l’account venisse eliminato in modo permanente e non potesse essere recuperato da qualcuno diverso dall’individuo autorizzato per quell’account.

Questo potrebbe essere il motivo per cui hanno alcune misure di sicurezza in atto e la cancellazione completa dell’account deve essere richiesta per prima e poi revisionata per assicurarsi che sia valida.

Non sono sicuro che abbia senso. Anche se penso che i motivi siano stati trattati abbastanza bene nei post precedenti e negli argomenti collegati, se rileggi.

Ci sono un paio di argomenti di Feature su questo a cui potresti voler aggiungere il tuo caso d’uso/la tua voce:

Non ha nulla a che fare con il GDPR.

La mia comprensione è che il GDPR richieda che gli account delle persone possano essere resi anonimi, ma non necessariamente che i post vengano eliminati.

Consiglierei cautela generale a chiunque fornisca consulenza legale, poiché ciò comporta un rischio di responsabilità se ciò che viene detto non è del tutto accurato.

Prima che questo degeneri in un’altra discussione sul GDPR, penso che dovremmo chiuderla qui. Ci sono già molte discussioni sul GDPR se le persone cercano.