Penso che sarebbe estremamente utile per i moderatori del sito se gli IP venissero registrati per post.
Sono un amministratore di un forum che consente agli utenti di condividere account in alcune circostanze, e recentemente ho riscontrato un problema di moderazione dopo che un account condiviso ha pubblicato contenuti che violavano le regole; non siamo stati in grado di determinare con certezza quale utente avesse creato i post.
Inoltre, la possibilità di vedere da quale IP proviene un post può essere utile nel caso in cui l’account di un utente venga compromesso.
C’è molta rabbia contro il tracciamento degli IP e la condivisione degli account da parte degli utenti sembra un caso limite, che dubito accadrà, ma puoi trovarlo nel production.log. Dovresti essere in grado di cercare una stringa nel post per scoprirlo.
Ricordo qualcosa a riguardo, motivo per cui penso che la richiesta di desiderio non verrà probabilmente accettata, ma sono abbastanza sicuro che i log di Rails abbiano numeri I’ll.
No. Gli IP non hanno nulla a che fare con il GDPR. Ha importanza solo se il target sta cercando di identificare gli utenti come persone — e ciò è quasi impossibile tramite gli IP.
Il mio IP è ora 84.230.91.162. Se Meta costruirà un sistema in cui lo collegherà al mio nome Jakke Lehtonen e utilizzerà l’IP di proposito (è una parola?) per identificarmi in quel modo, quel database e l’uso dei dati IP rientrano nel GDPR. Ma non l’IP di per sé.
E se/quando Discourse salverà tutti gli IP e li collegherà a una persona reale dell’utente — SE viene fornito un nome — può rientrare nel GDPR nel senso che Discourse non può salvare quei dati fino alla fine del mondo. Ma poiché è quasi impossibile utilizzare l’IP come identificatore a livello di app/sito web (gli operatori hanno dati più accurati), non ha importanza. E il mio IP cambierà domani, immagino, e subito dopo qualche altro utente finlandese otterrà quell’IP, e se lui/lei è un utente qui, ci troveremo in una situazione divertente .
Ed è per questo che la rimozione o le richieste di dati non si applicano ai log del server.
Solo l’uso, lo scopo, è importante quando il bersaglio di qualsiasi atto o pezzo di dati è l’identificazione di una persona reale.
L’IP è sempre collegata all’utente che ha effettuato l’accesso con un dato indirizzo IP. Non viene mostrata pubblicamente ma per lo più nel backend (log dell’amministratore o del server).
Certo, è perché è anche nei log del server. Ma l’IP di per sé non identifica una persona reale, questo è il punto principale.
Il GDPR regola la raccolta e l’utilizzo di dati che possono e saranno utilizzati per identificare una persona. Certo, possiamo creare molti database diversi che possono o non possono essere legali a livello locale, ma è un gioco diverso rispetto al GDPR.
Google Analytics è in grossi guai in Europa, ma non è perché raccoglie dati personali. È perché Google trasferisce quei dati negli Stati Uniti, dove la NSA e altre autorità possono accedervi, e questo è contro le regole dell’UE.
Sto cercando di dire che c’è molta confusione su quando si applica il GDPR, ed è un vero casino. Ma i principi fondamentali sono davvero facili da capire:
i dati sono dati personali che possono e identificheranno una persona reale
tali dati verranno utilizzati per identificare una persona reale
per quanto tempo tali dati vengono salvati
l’utente è a conoscenza di tale utilizzo
L’IP non può essere utilizzato in nessuno di questi casi.
Questo è il tuo vero problema. Non si risolve aggiungendo più log. Dovresti vietare la condivisione degli account e ritenere il proprietario effettivo responsabile di tutto ciò che accade sotto il suo account utente.
Concordato. Considera l’aggiunta di uno dei plugin che consente agli utenti di un gruppo di pubblicare con l’identità di un gruppo, memorizzando al contempo il vero autore del post nel backend affinché i moderatori possano ispezionarlo.
Chiarimo innanzitutto il dibattito sul fatto che si tratti di dati personali (sì, lo sono).
Gli indirizzi IP sono inequivocabilmente dati personali (salvo in rarissime circostanze, nessuna delle quali è presente qui). Non è rilevante se si riesca a identificare l’interessato da un indirizzo IP, poiché è comunque possibile utilizzare un indirizzo IP per isolare un interessato.
Le persone spesso affermano che gli indirizzi IP non sono dati personali perché non identificano direttamente. Questo semplicemente non è vero. Nel caso Breyer contro Repubblica Federale di Germania, la Corte di Giustizia Europea ha stabilito che gli indirizzi IP sono dati personali perché l’IP può essere collegato a una persona tramite il provider di servizi Internet (ISP). Non importa se il proprietario del forum (titolare del trattamento) è in grado di farlo; fintanto che è possibile, gli indirizzi IP saranno considerati dati personali. Ad esempio, quando tu, come proprietario del forum, fornisci gli indirizzi IP alla polizia, che ottiene poi le informazioni della persona dietro l’IP dall’ISP tramite un’ordinanza del tribunale. Inoltre, il GDPR stesso chiarisce nella premessa 30 che gli indirizzi IP sono dati personali.
Ora, da un punto di vista legale, potresti assolutamente registrare gli indirizzi IP in una certa misura. In che misura dipende molto dalle circostanze specifiche, ma registrare per, diciamo, un mese sarebbe piuttosto ragionevole per proteggersi da comportamenti scorretti. Aggiungi adeguate misure di sicurezza, come la pseudonimizzazione degli IP tramite hashing, ecc.
Esiste questa idea che solo perché qualcosa sono dati personali non si è autorizzati a trattarli senza consenso. Questo è fondamentalmente errato. Lo scopo del GDPR è consentire il trattamento dei dati personali e stabilisce un certo insieme di regole.
E si applica solo agli ISP, perché sono gli unici che possono collegare quei dati a una persona (ed è per questo che i governi regolano per quanto tempo quei dati devono essere salvati E chi ottiene quelle informazioni). Come ben sa un avvocato
Penso che abbiamo fatto esattamente questo per un cliente. Dovrebbe essere un plugin abbastanza semplice in cui l’IP del post viene salvato in un campo personalizzato del post.
Non si applica solo agli ISP, e se avessi letto la sentenza lo sapresti La corte ha stabilito che gli indirizzi IP dinamici costituiscono “dati personali” anche quando solo una terza parte (in questo caso un fornitore di servizi Internet) dispone dei dati aggiuntivi necessari per identificare l’individuo.
Non importa se il sito web stesso è in grado di identificare l’interessato, ma solo se è possibile tramite l’ISP.
Questo è vero, soprattutto di questi tempi. Conosco solo due persone che condividono un account del forum perché sono sposate.
Potrebbe essere ideale avere una policy del forum contro la condivisione degli account per evitare questo rischio di non sapere chi ha pubblicato cosa.
Ho anche visto termini legali che affermano che gli account del forum non possono essere ereditati, il che potrebbe essere una buona idea averlo per iscritto nel caso in cui ciò possa causare problemi.
La domanda originale riguardava come moderare un problema in cui qualcuno aveva pubblicato qualcosa al di fuori delle linee guida della community, con un account condiviso da più persone. Se i post avessero una firma dell’indirizzo IP da cui sono stati pubblicati, i moderatori potrebbero sapere chi ha scritto post specifici.
Ciò funzionerebbe solo se i titolari dell’account avessero notificato ai moderatori/amministratori di aver concesso a qualcun altro il permesso di utilizzare il proprio account da un indirizzo o paese specifico diverso.
La seconda domanda riguardava se un account fosse compromesso, nel senso se le informazioni di accesso fossero state rubate. Ci sono notifiche automatiche inviate via email su accessi insoliti da paesi diversi.
La corte ha stabilito che gli indirizzi IP dinamici costituiscono “dati personali” anche quando solo una terza parte (in questo caso un fornitore di servizi Internet) dispone dei dati aggiuntivi necessari per identificare l’individuo.