Preguntas sobre anonimización de usuarios y GDPR

Hola,

En una instancia pública de Discourse, un usuario solicitó recientemente la eliminación de su cuenta de usuario, a lo que un moderador respondió utilizando la función de anonimización de Discourse.

Sin embargo, noté rápidamente que el ID de usuario recién asignado se podía usar en el formulario de búsqueda avanzada para buscar todos los mensajes anteriores de ese publicador. Es bastante fácil que dichas publicaciones contengan datos que puedan ayudar a identificar al usuario y vincular sus actividades en línea con la cuenta “anonimizada” a su existencia física (por ejemplo, un apellido, una edad, la mención del lugar donde viven…).

Esto crea un problema porque no cumple con la solicitud de esos publicadores de proteger sus derechos de privacidad. Incluso pueden pensar que su solicitud se cumplió mientras que la información en realidad quedará expuesta y será muy fácil de descubrir por otros. Además, quizás eran menores de edad cuando usaban esa cuenta, lo que crea problemas adicionales.

Si bien no soy abogado, esto ciertamente no cumple con la ley de al menos algunos países europeos, incluido, creo, Francia, de la cual soy ciudadano (para los francófonos que lean esto, aquí tienen un enlace a la página dedicada de nuestra agencia oficial de protección de datos: Le droit à l’effacement : supprimer vos données en ligne | CNIL). Se entiende generalmente que eliminar datos de usuario realmente significa la eliminación de cualquier tipo de dato que pueda ayudar a identificar al usuario (no necesita ser un nombre oficial completo o un identificador inequívoco: cualquier mención de características personales, por imprecisa que sea, es suficiente).

Dado que probablemente no quieran que los administradores y moderadores revisen todo el historial de publicaciones de un usuario que solicita anonimización, y que eliminen manualmente cualquier información potencialmente personal en el contenido de esas publicaciones, me parece que la única solución razonable es eliminar físicamente todas las publicaciones de esa persona, y cualquier cita de las mismas en publicaciones posteriores.

Además, si existe la preocupación de que esto pueda interrumpir discusiones pasadas, quizás quieran dar a los usuarios y moderadores dos opciones: anonimización superficial (comportamiento actual) y eliminación completa (como se propuso anteriormente).

PD: No proporciono enlaces a la instancia original de Discourse, porque solo correría el riesgo de publicitar a alguien que pidió ser olvidado. Por supuesto, puedo enviarlos en privado a los mantenedores de Discourse.

Ya existe una opción para borrar una cuenta por completo. Solo necesitas eliminar todas las publicaciones y luego eliminar la cuenta.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

Además, si deseas que las publicaciones permanezcan pero no estén vinculadas a un usuario específico, puedes anonimizar la cuenta y luego fusionarla con la cuenta del sistema u otra cuenta que pueda servir como marcador de posición para todos los usuarios anonimizados.

Nota: esa advertencia es solo una configuración que se puede anular.

Screenshot_20240313_134621_Chrome1080×913 129 KB

Discourse tiene una opción que podría usarse.

Fusionar Cuentas

Screenshot_20240313-144239864×1698 137 KB

Simplemente fusione cada cuenta anonimizada nueva con cada cuenta anonimizada nueva.

Claro que una eliminación completa o un conjunto de palabras clave podrían ser útiles para eliminar posibles identificadores. Lo anterior, sin embargo, dificultaría el uso de las cadenas de mensajes.

Otra característica que quizás Anonymize podría tener es una solicitud de función para establecer el perfil de usuario anonimizado como Privado. Entonces, el perfil de usuario no sería visible.

Tampoco soy abogado, pero un entendimiento básico del cumplimiento del RGPD (no específico de cada país) es que se puede mantener con una política de obligar a que las personas no publiquen ningún tipo de información de identificación personal en las publicaciones del foro.

Eso requiere una supervisión activa para mantenerlo, pero mientras se haga, la función de anonimización técnicamente ni siquiera es necesaria para cumplir con el RGPD. Una cuenta de usuario podría simplemente suspenderse permanentemente siempre que su nombre de usuario y tarjeta no los identifiquen, entonces no se mantiene ningún dato personal. (Edición: no hay datos personales a la vista del público, pero la base de datos todavía tiene el correo electrónico + la dirección IP a menos que la cuenta se anonimice).

Puede ser un desafío si los administradores del foro no cumplen voluntariamente con todos los requisitos, entonces todo lo que se puede hacer es denunciarlos por ello y puede haber una citación o una llamada de un regulador para hacer cumplir el cumplimiento.

Edición: La cuenta debe anonimizarse para purgar la dirección IP/correo electrónico de la base de datos, lo cual es importante para el RGPD, pero estos nunca se publican a la vista del público por el sistema, a diferencia del nombre de usuario que puede ser un nombre legalmente identificable.

Además, una vez que algo se ha publicado en Internet público durante más de dos meses, puede haber archivos públicos o no públicos hechos de eso, por lo que simplemente eliminar las publicaciones originales del discurso no cambiará eso. Es importante que las personas tengan cuidado de no compartir información personal en las publicaciones del foro si desean ser anónimas o poder tener su cuenta completamente anonimizada.

Tu frase debería continuar: …que es recopilado por el sistema.

Incluyendo Francia, porque eso es algo a nivel de la UE, no nacional.

En mi experiencia, eso no coincide con los patrones de publicación reales en ningún foro del mundo real. Incluso en entornos relativamente impersonales (como una comunidad de código abierto), algunas personas todavía publican ocasionalmente información personal que podría ayudar, más o menos fácilmente, a un lector a identificarlas incluso después de que el nombre de usuario haya sido anonimizado.

En otras palabras, creo que el tipo de foro que describes probablemente no existe en la práctica.

Gracias por esto. Yo mismo no soy moderador, pero estoy transmitiendo la información.

Estas leyes, como usted señala, están abiertas a interpretación.

Discourse proporciona múltiples opciones que los administradores del foro son libres de usar a su discreción, según lo consideren oportuno para hacer cumplir su propia interpretación de la ley.

Tenemos múltiples clientes con integraciones de solicitudes de eliminación del RGPD apuntando a su sitio; algunos de ellos eliminan las publicaciones y cuentas directamente, otros anonimizan. Algunos lo hacen manualmente.

Pero lo que hagan es su decisión; nosotros no somos los propietarios de los datos de los foros, ellos sí lo son. Y si consideran que nuestro manejo de la anonimización es insuficiente (lo han hecho), entonces lo abordamos (lo hicimos).

Si siente que la anonimización fue insuficiente en el sitio del que está hablando, lo mejor es que lo aborde con ellos.

Hm. Se siente extraño que los mantenedores del sitio deban ser responsables de los rastros personales que las personas han entretejido en la red de conversaciones de un foro.

No sé qué significa “IOW”, pero he visto que esta práctica se mantiene en un foro con sede en EE. UU. para el cumplimiento de la FTC, y también el RGPD para usuarios europeos. Estoy en EE. UU., no en la UE.

Aquí en Meta, es política no firmar las publicaciones, ya que la tarjeta de usuario actúa como firma donde las personas pueden tener un enlace a su propio sitio y alguna información de contacto personal, siempre y cuando eso esté restringido a la tarjeta de usuario y no sea necesario publicarlo en las publicaciones.

Es común que la gente olvide si esa es una política, por lo que requiere moderación activa para mantenerla, tal vez no sea una práctica común, pero existe.

¡Eso es útil, gracias!

Sí, lo sé

Eso es lo que hice, y me sugirieron en respuesta que lo preguntara en meta.discourse.org, de ahí este tema

“En otras palabras”

Gracias, luego hubo otro acrónimo “IME”, ese también es un misterio.

Estaba hablando específicamente de información de contacto personal directa, que es lo que la FTC regula, así como el RGPD.

Declaraciones como “Vivo en Suecia” no tienen por qué ser censuradas para cumplir con el RGPD.

Eso me suena a que los administradores del foro en cuestión no son conscientes de la funcionalidad disponible. Puedo decirte con absoluta convicción que proporcionamos todas las herramientas necesarias para usar Discourse de manera que cumpla con el RGPD. Cómo elijan usar esas herramientas es discrecional.

“IME” creo que significa “In My Example” (En mi ejemplo).

La UE es interesante, ya que la responsabilidad recae en el administrador del sitio para “bloquear” las IPs de la UE si no cumplen con el RGPD. Podría tener algo no del todo correcto en mi recuerdo.

Pequeño ajuste: Yo diría que significa «En mi experiencia».

¡Así es! Disculpa por eso.

Si bien “Vivo en Suecia” no es lo suficientemente distintivo, “Tengo 14 años y vivo en este pequeño pueblo de Suecia” probablemente lo sea.

Según mi entendimiento, la definición del RGPD es mucho más amplia que la “información de contacto personal directa”, y también lo es la de las leyes nacionales anteriores al RGPD, como en Francia.

Ver What is considered personal data under the EU GDPR? - GDPR.eu

Y en particular este ejemplo:

Hay millones de Roberts en el mundo, pero cuando dices el nombre “Robert”, generalmente intentas llamar la atención de la persona que tienes delante. Al añadir otro punto de datos al nombre (en este ejemplo, la proximidad), tienes suficiente información para identificar a un individuo específico. Estos puntos de datos son identificadores.

No, ni de lejos.

Y el RGPD no es para eso, en absoluto. Un usuario puede revelar todo lo personal que quiera.

Gracias por aclarar, es difícil seguir la pista de todas estas abreviaturas.

@pitrou todo bien, demasiadas abreviaturas para memorizar. . A menudo tengo que buscarlas en Google cuando no estoy familiarizado con alguna.

Por defecto, la función de anonimización solo elimina la dirección IP, el correo electrónico y el nombre de usuario de la cuenta de la base de datos, lo que no garantiza la protección del anonimato de alguien, dependiendo de lo que haya publicado en un sitio que no se haya editado.

Para la situación que describes, puede ser mejor presentar una denuncia ante las autoridades francesas si los administradores del sitio no cumplen con su responsabilidad ante el RGPD francés y otras leyes pertinentes.