Domande sull'anonimizzazione degli utenti e GDPR

Ciao,

Su un’istanza pubblica di Discourse, un utente ha recentemente richiesto l’eliminazione del proprio account utente, al che un moderatore ha risposto utilizzando la funzionalità di anonimizzazione di Discourse.

Tuttavia, ho notato rapidamente che l’ID utente appena assegnato poteva essere utilizzato nel modulo di ricerca avanzata per cercare tutti i messaggi passati di quell’utente. È abbastanza facile che tali post contengano dati che possono aiutare a identificare l’utente e collegare le sue attività online all’account “anonimizzato” alla sua esistenza fisica (ad esempio, un cognome, un’età, la menzione del luogo in cui vive…).

Ciò crea un problema perché non soddisfa la richiesta di tali utenti di proteggere i propri diritti alla privacy. Potrebbero persino pensare che la loro richiesta sia stata soddisfatta, mentre le informazioni rimarranno in giro e saranno molto facili da scoprire per gli altri. Inoltre, forse erano minorenni quando hanno utilizzato quell’account, il che crea problemi aggiuntivi.

Sebbene non sia un avvocato, questo certamente non è conforme alla legge di almeno alcuni paesi europei, inclusa, credo, la Francia di cui sono cittadino (per i francofoni che leggono, ecco un link alla pagina dedicata della nostra agenzia ufficiale per la protezione dei dati: Le droit à l’effacement : supprimer vos données en ligne | CNIL). È generalmente inteso che l’eliminazione dei dati dell’utente significa davvero eliminazione di qualsiasi tipo di dato che possa aiutare a identificare l’utente (non è necessario che sia un nome ufficiale completo o un identificatore inequivocabile: qualsiasi menzione di caratteristiche personali, per quanto imprecisa, è sufficiente).

Dato che probabilmente non volete che amministratori e moderatori vadano in tutta la cronologia dei post di un utente che richiede l’anonimizzazione, e cancellino manualmente qualsiasi informazione potenzialmente personale nel contenuto di quei post, mi sembra che l’unica soluzione ragionevole sia eliminare fisicamente tutti i post di quella persona e qualsiasi citazione di essi nei post successivi.

Inoltre, se c’è la preoccupazione che ciò possa interrompere le discussioni passate, forse volete dare agli utenti e ai moderatori due opzioni: anonimizzazione superficiale (comportamento attuale) ed eliminazione completa (come proposto sopra).

PS: Non fornirò link all’istanza Discourse originale, perché ciò rischierebbe solo di rendere pubblica una persona che ha chiesto di essere dimenticata. Naturalmente, posso inviarli privatamente ai manutentori di Discourse.

Esiste già un’opzione per eliminare completamente un account. Devi solo eliminare tutti i post e poi eliminare l’account.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

Inoltre, se desideri che i post rimangano ma non siano collegati a un utente specifico, puoi anonimizzare l’account e quindi unirlo all’account di sistema o a un altro account che possa fungere da segnaposto per tutti gli utenti anonimizzati.

Nota: quell’avviso è solo un’impostazione che può essere sovrascritta.

Screenshot_20240313_134621_Chrome1080×913 129 KB

Discourse ha un’opzione che potrebbe essere utilizzata.

Unisci account

Screenshot_20240313-144239864×1698 137 KB

Semplicemente unisci ogni nuovo account anonimizzato con ogni nuovo account anonimizzato.

Certo, una cancellazione completa o un set di parole chiave potrebbero essere utili per rimuovere possibili identificatori. Sopra, tuttavia, renderebbe più difficile l’uso delle catene di messaggi.

Un’altra funzionalità che forse Anonymize potrebbe richiedere è impostare il profilo utente anonimizzato come privato. Quindi il profilo utente non sarebbe visibile.

Non sono nemmeno un avvocato, ma una comprensione di base della conformità al GDPR (non specifica per paese) è che può essere mantenuta con una politica che impone alle persone di non pubblicare alcun tipo di informazione di identificazione personale nei post del forum.

Ciò richiede un monitoraggio attivo per essere mantenuto, ma finché ciò viene fatto, la funzionalità di anonimizzazione tecnicamente non è nemmeno richiesta per soddisfare il GDPR. Un account utente potrebbe semplicemente essere sospeso permanentemente purché il nome utente e la scheda non li identifichino, quindi non vengono mantenuti dati personali. (Modifica: nessun dato personale in vista pubblica, ma il database ha ancora e-mail + indirizzo IP a meno che l’account non sia anonimizzato).

Può essere una sfida se gli amministratori del forum non soddisfano tutti i requisiti volontariamente, quindi tutto ciò che si può fare è segnalarli per questo e potrebbe esserci una citazione o una chiamata da un regolatore per far rispettare la conformità.

Modifica: l’account deve essere anonimizzato per eliminare l’indirizzo IP/e-mail dal database, il che è importante per il GDPR, ma questi non vengono mai pubblicati alla vista pubblica dal sistema, a differenza del nome utente che potrebbe essere un nome legalmente identificabile.

Inoltre, una volta che qualcosa è stato pubblicato su Internet pubblico per oltre due mesi, potrebbero essere creati archivi pubblici o non pubblici, quindi la semplice eliminazione dei post originali del discorso non cambierà ciò. È importante che le persone prestino attenzione a non condividere informazioni personali nei post del forum se desiderano essere anonime o avere l’account completamente anonimizzato.

La tua frase dovrebbe continuare: …che viene raccolta dal sistema.

Inclusa la Francia, perché si tratta di una cosa a livello UE, non nazionale.

Per mia esperienza, ciò non corrisponde ai modelli di pubblicazione effettivi in alcun forum del mondo reale. Anche in contesti relativamente impersonali (come una comunità open source), alcune persone pubblicano ancora, occasionalmente, informazioni personali che potrebbero più o meno facilmente aiutare un lettore a identificarle anche dopo che il nome utente è stato anonimizzato.

In altre parole, penso che il tipo di forum che stai descrivendo probabilmente non esista nella pratica.

Grazie per questo. Non sono un moderatore, ma sto inoltrando le informazioni.

Queste leggi, come sottolinei, sono aperte all’interpretazione.

Discourse fornisce molteplici opzioni che gli amministratori del forum sono liberi di utilizzare a loro discrezione, come ritengono opportuno per far rispettare la propria interpretazione della legge.

Abbiamo molti clienti con integrazioni per richieste di eliminazione GDPR che puntano ai loro siti; alcuni eliminano i post e gli account del tutto, altri anonimizzano. Alcuni lo fanno manualmente.

Ma ciò che fanno è una loro decisione - noi non siamo i proprietari dei dati dei forum - loro lo sono. E se scoprono che la nostra gestione dell’anonimizzazione è insufficiente (cosa che è successa), la affrontiamo (cosa che abbiamo fatto).

Se ritieni che l’anonimizzazione sia stata insufficiente sul sito di cui stai parlando, è meglio affrontarlo direttamente con loro.

Hm. Sembra strano che i manutentori del sito debbano essere responsabili delle tracce personali che le persone hanno intrecciato nella rete di conversazioni in un forum.

Non so cosa significhi “IOW”, ma ho visto questa pratica mantenuta in un forum con sede negli Stati Uniti per la conformità FTC, anche GDPR per gli utenti europei. Mi trovo negli Stati Uniti, non nell’UE.

Qui su Meta è politica non firmare i post, poiché la scheda utente funge da firma dove le persone possono avere un link al proprio sito e alcune informazioni di contatto personali, purché ciò sia limitato alla scheda utente e non debba essere pubblicato nei post.

È comune che le persone dimentichino se si tratta di una politica, quindi richiede una moderazione attiva per mantenerla, forse non è una pratica comune ma esiste.

È utile, grazie!

Sì, lo so

È quello che ho fatto, e mi è stato suggerito in risposta di chiedere su meta.discourse.org, da cui questo argomento

“In altre parole”

Grazie, poi c’era un altro acronimo “IME”, anche quello è un mistero.

Stavo parlando specificamente di informazioni di contatto personali dirette, che è ciò che la FTC regola, così come il GDPR.

Affermazioni come “Vivo in Svezia” non devono essere censurate per la conformità al GDPR.

Mi sembra che gli amministratori del forum in questione non siano a conoscenza della funzionalità disponibile. Posso dirti con assoluta convinzione che forniamo tutti gli strumenti necessari per utilizzare Discourse in modo conforme al GDPR. Come scelgano di utilizzare tali strumenti è discrezionale.

“IME” credo significhi In My Example (Nel Mio Esempio).

L’UE è interessante perché l’onere ricade sull’amministratore del sito per “bloccare” gli IP dell’UE se non conformi al GDPR. Potrei avere in parte qualcosa di non del tutto corretto nel mio ricordo.

Piccola correzione: direi che significa “Nella mia esperienza”.

È corretto! Mi scuso per l’errore.

Mentre “Vivo in Svezia” non è abbastanza distintivo, “Ho 14 anni e vivo in questo piccolo villaggio in Svezia” probabilmente lo è.

Per quanto ne so, la definizione del GDPR è molto più ampia di “informazioni di contatto personali dirette”, così come lo sono quelle delle leggi nazionali precedenti al GDPR, come in Francia.

Vedi What is considered personal data under the EU GDPR? - GDPR.eu

E in particolare questo esempio:

Ci sono milioni di Robert nel mondo, ma quando dici il nome “Robert”, in genere stai cercando di attirare l’attenzione della persona che hai di fronte. Aggiungendo un altro punto dati al nome (in questo esempio, la prossimità), hai abbastanza informazioni per identificare un individuo specifico. Questi punti dati sono identificatori.

No, non lo è nemmeno lontanamente.

E il GDPR non serve a questo, per niente. Un utente può rivelare materiale personale quanto vuole.

Grazie per aver chiarito, è difficile tenere traccia di tutte queste abbreviazioni.

@pitrou tutto bene, troppe abbreviazioni da memorizzare. . Spesso devo cercarle su Google quando non ne conosco una.

Per impostazione predefinita, la funzionalità di anonimizzazione rimuove solo l’indirizzo IP, l’e-mail e il nome utente dell’account dal database, il che non garantisce la protezione dell’anonimato di qualcuno, a seconda di ciò che ha pubblicato su un sito che non è stato modificato.

Per la situazione che hai descritto, potrebbe essere meglio presentare una denuncia alle autorità francesi se gli amministratori del sito non stanno adempiendo alla loro responsabilità nei confronti del GDPR francese e di altre leggi pertinenti.