Perguntas sobre anonimização de usuários e GDPR

Olá,

Em uma instância pública do Discourse, um usuário solicitou recentemente a exclusão de sua conta de usuário, ao que um moderador respondeu usando o recurso de anonimização do Discourse.

No entanto, notei rapidamente que o ID de usuário recém-atribuído podia ser usado no formulário de pesquisa avançada para procurar todas as mensagens anteriores daquele remetente. É muito fácil que tais postagens contenham dados que possam ajudar a identificar o usuário e vincular suas atividades online à conta “anonimizada” à sua existência física (por exemplo, um sobrenome, uma idade, a menção do local onde moram…).

Isso cria um problema porque não atende à solicitação desses remetentes para proteger seus direitos de privacidade. Eles podem até pensar que sua solicitação foi atendida, enquanto informações reais permanecerão disponíveis e muito fáceis de serem descobertas por outros. Além disso, talvez eles fossem menores de idade ao usar essa conta, o que cria problemas adicionais.

Embora eu não seja advogado, isso certamente não está em conformidade com a lei de pelo menos alguns países europeus - incluindo, creio eu, a França, da qual sou cidadão (para falantes de francês que leem isto, aqui está um link para a página dedicada da nossa agência oficial de proteção de dados: Le droit à l’effacement : supprimer vos données en ligne | CNIL). Geralmente se entende que excluir dados do usuário realmente significa exclusão de qualquer tipo de dado que possa ajudar a identificar o usuário (não precisa ser um nome oficial completo ou um identificador inequívoco: qualquer menção a características pessoais, por mais imprecisa que seja, é suficiente).

Dado que você provavelmente não quer que administradores e moderadores revisem todo o histórico de postagens de um usuário solicitando anonimização e apaguem manualmente qualquer informação potencialmente pessoal no conteúdo dessas postagens, parece-me que a única solução razoável é excluir fisicamente todas as postagens dessa pessoa e quaisquer citações delas em postagens subsequentes.

Além disso, se houver a preocupação de que isso possa interromper discussões passadas, talvez você queira dar aos usuários e moderadores duas opções: anonimização superficial (comportamento atual) e exclusão completa (como proposto acima).

PS: Não estou fornecendo links para a instância original do Discourse, pois isso apenas arriscaria divulgar alguém que pediu para ser esquecido. Claro, posso enviá-los privadamente aos mantenedores do Discourse.

Já existe uma opção para apagar completamente uma conta. Basta excluir todas as postagens e, em seguida, excluir a conta.

Screenshot_20240313_133522_Chrome1079×2362 151 KB

Além disso, se você quiser que as postagens permaneçam, mas não vinculadas a um usuário específico, você pode anonimizar a conta e, em seguida, mesclá-la com a conta do sistema ou com outra conta que possa servir como um espaço reservado para todos os usuários anonimizados.

Observação: esse aviso é apenas uma configuração que pode ser substituída.

Screenshot_20240313_134621_Chrome1080×913 129 KB

O Discourse tem uma opção que poderia ser usada.

Mesclar Contas

Screenshot_20240313-144239864×1698 137 KB

Simplesmente mescle cada nova conta anonimizada com cada nova conta anonimizada.

Claro que uma exclusão completa ou um conjunto de palavras-chave poderiam ser úteis para remover possíveis identificadores. O acima, no entanto, tornaria mais difícil o uso de cadeias de mensagens.

Outro recurso que talvez o Anonymize pudesse ter é um pedido de recurso para definir o perfil do usuário anonimizado como Privado. Assim, o perfil do usuário não seria visualizável.

Eu também não sou advogado, mas o entendimento básico da conformidade com o GDPR (não específico do país) é que isso pode ser mantido com uma política de impor que as pessoas não publiquem nenhum tipo de informação pessoalmente identificável em postagens de fórum.

Isso requer monitoramento ativo para ser mantido, mas desde que isso seja feito, o recurso de anonimização tecnicamente nem é necessário para cumprir o GDPR. Uma conta de usuário poderia simplesmente ser suspensa permanentemente, desde que o nome de usuário e o cartão não os identifiquem, então não há dados pessoais mantidos. (Edição: nenhum dado pessoal em visualização pública, mas o banco de dados ainda tem e-mail + endereço IP, a menos que a conta seja anonimizada).

Pode ser um desafio se os administradores do fórum não cumprirem todos os requisitos voluntariamente, então tudo o que pode ser feito é denunciá-los por isso e pode haver uma citação ou chamada de um regulador para impor a conformidade.

Edição: A conta precisa ser anonimizada para purgar o endereço IP/e-mail do banco de dados, o que é importante para o GDPR, mas esses nunca são publicados na visualização pública pelo sistema, ao contrário do nome de usuário que pode ser um nome legalmente identificável.

Além disso, uma vez que algo foi publicado na internet pública por mais de dois meses, podem ser feitos arquivos públicos ou não públicos disso, então apenas excluir as postagens originais do discurso não mudará isso. É importante que as pessoas tomem cuidado para não compartilhar informações pessoais em postagens de fórum se quiserem ser anônimas ou ter a conta totalmente anonimizada.

Sua frase deve continuar: …que é coletado pelo sistema.

Incluindo a França, porque isso é uma coisa em nível da UE, não nacional.

Na minha experiência, isso não corresponde aos padrões reais de postagem em nenhum fórum do mundo real. Mesmo em ambientes relativamente impessoais (como uma comunidade de código aberto), algumas pessoas ainda, ocasionalmente, postam informações pessoais que podem, mais ou menos facilmente, ajudar um leitor a identificá-las, mesmo após o nome de usuário ter sido anonimizado.

Ou seja, acho que o tipo de fórum que você está descrevendo provavelmente não existe na prática.

Obrigado por isso. Eu mesmo não sou moderador, mas estou encaminhando a informação.

Essas leis, como você aponta, estão abertas à interpretação.

O Discourse oferece várias opções que os administradores do fórum são livres para usar a seu critério, conforme acharem adequado para impor sua própria interpretação da lei.

Temos vários clientes com integrações de solicitação de exclusão do GDPR apontando para seus sites; alguns deles excluem as postagens e contas imediatamente, outros anonimizam. Alguns o fazem manualmente.

Mas o que eles fazem é decisão deles - nós não somos o proprietário dos dados dos fóruns - eles são. E se eles acharem que nosso manuseio de anonimização é insuficiente (eles acharam), então nós o abordamos (nós o fizemos).

Se você sentir que a anonimização foi insuficiente no site sobre o qual você está falando, é melhor abordá-lo com eles.

Hm. Parece estranho que os mantenedores do site sejam responsáveis por rastros pessoais que as pessoas entrelaçaram na teia de conversas em um fórum.

Não sei o que “IOW” significa, mas já vi essa prática mantida em um fórum baseado nos EUA para conformidade com a FTC, também GDPR para usuários europeus. Eu estou nos EUA, não na UE.

Aqui na Meta, é política não assinar posts, pois o cartão de usuário atua como assinatura, onde as pessoas podem ter um link para seu próprio site e algumas informações de contato pessoal, desde que isso seja restrito ao cartão de usuário e não precise ser postado nos posts.

É comum as pessoas esquecerem se essa é uma política, então requer moderação ativa para manter, talvez não seja uma prática comum, mas existe.

Isso é útil, obrigado!

Sim, eu sei

Foi o que fiz, e foi sugerido em resposta que eu perguntasse em meta.discourse.org, daí este tópico

“Em outras palavras”

Obrigado, então houve outro acrônimo “IME”, esse também é um mistério.

Eu estava falando especificamente sobre informações de contato pessoal direto, que é o que a FTC regula, assim como o GDPR.

Declarações como “Eu moro na Suécia” não precisam ser censuradas para conformidade com o GDPR.

Isso me soa como se os administradores do fórum em questão não estivessem cientes da funcionalidade disponível. Posso dizer com absoluta convicção que fornecemos todas as ferramentas necessárias para usar o Discourse de forma compatível com o GDPR. Como eles escolhem usar essas ferramentas é discricionário.

“IME” eu acredito que significa “In My Example” (No Meu Exemplo).

A UE é interessante, pois o ônus está no administrador do site para “Bloquear” IPs da UE se não estiverem em conformidade com o GDPR. Eu poderia ter algo parcialmente incorreto na minha lembrança.

Pequeno ajuste: Eu diria que é “Na Minha Experiência”.

É isso mesmo! Desculpe por isso.

Embora “Eu moro na Suécia” não seja distintivo o suficiente, “Eu tenho 14 anos e moro nesta pequena vila na Suécia” provavelmente é.

Pelo que entendi, a definição do GDPR é muito mais ampla do que “informações de contato pessoal direto”, e o mesmo se aplica a leis nacionais anteriores ao GDPR, como na França.

Veja What is considered personal data under the EU GDPR? - GDPR.eu

E em particular este exemplo:

Existem milhões de Roberts no mundo, mas quando você diz o nome “Robert”, geralmente está tentando chamar a atenção da pessoa que está à sua frente. Ao adicionar outro ponto de dados ao nome (neste exemplo, proximidade), você tem informações suficientes para identificar um indivíduo específico. Esses pontos de dados são identificadores.

Não, nem de longe.

E o GDPR não é para isso, de forma alguma. Um usuário pode revelar o quanto quiser de informações pessoais.

Obrigado por esclarecer, é difícil acompanhar todas essas abreviações.

@pitrou tudo bem, muitas abreviações para memorizar. . Frequentemente tenho que pesquisá-las quando não estou familiarizado com alguma.

Por padrão, tudo o que o recurso de anonimização faz é remover o endereço I.P. da conta, e-mail e nome de usuário do banco de dados, o que não é garantia de proteger o anonimato de alguém, dependendo do que foi publicado em um site que não foi editado.

Para a situação que você descreveu, pode ser melhor registrar um boletim de ocorrência junto às autoridades francesas se os administradores do site não estiverem cumprindo sua responsabilidade com o GDPR francês e outras leis relevantes.