Tempi di conservazione dei dati personali

Tempi di conservazione dei dati personali postato il 16/10/2011 14:59:07 nel forum leggi e legalità e modificato da ghennadi72 il 16/10/2011 15:06:49

Tra le varie specifiche riguardanti la conservazione dei dati personali (in particolare l'indirizzo email) mi chiedevo se esista un limite di tempo massimo per la conservazione nel database.

Spiego qual'è il mio problema: laddove un account rimane inutilizzato oltre il termine previsto dalla nostra informativa sulla privacy, gli script di manutenzione automatica cancellano l'account e tutti i dati connessi (personaggi, messaggeria interna, oggetti, etc). Lo stesso dicasi per le richieste esplicite di cancellazione dell'account da parte di un giocatore.

Nel caso degli utenti bannati definitivamente, é abbastanza ovvio che la prima cosa che si banna con l'account é l'indirizzo email utilizzato per registrarsi. Ma affinchè il ban sia efficace, la mail deve essere conservata ben oltre il limite di tot mesi previsto normalmente dall'informativa sulla privacy.

Mi chiedo quindi come procedere, se non specificando nell'informativa un termine temporale differenziato per l'utente bannato in via definitiva e se la normativa preveda un limite massimo di tempo oltre il quale l'email non può essere conservata. Insomma vorrei capire come regolarmi per il caso del classico "esilio perpetuo".

E, come ci si deve comportare, in caso di richiesta di cancellazione del dato da parte di un utente bannato (ossia: Ban dell'utente > Utente chiede la rimozione dei suoi dati), richiesta che renderebbe ovviamente inefficace il ban consentendogli tecnicamente la reiscrizione 5 nanosecondi dopo la cancellazione della mail bannata dal database.

Una possibilità, nel caso sia presente un limite massimo preciso (come si regola allora chi prevede l'esilio perpetuo fino al 2041 etc?) potrebbe essere quella di crittare, allo stesso modo della password, l'indirizzo email bannato?

In questo modo pure essendo conservato a tempo indeterminato nel database, sarebbe inaccessibile e illeggibile per gli admin, al pari delle password, e si limiterebbe a bloccare i tentativi di riutilizzare la stessa mail per registrarsi.

---

quota

16/10/2011 15:45:32

Beh, se non è una cosa imposta dalla legislatura, direi che aggiungere una dicitura nel regolamento che dica "Gli indirizzi email bannati non rispettano i limiti di cancellazione di cui sopra per ragioni di funzionalità", non dovrebbe essere una cosa troppo strana.

Però mi piace l'idea di ridurre l'email dei bannati in forma di hash, è un modo per tenere memorizzata l'email e allo stesso tempo non tenerla. Certo...può sempre accadere lo sfortunattissimo caso che due email diverse diano lo stesso hash e magari qualcuno non riesca a iscriversi.

---

quota

16/10/2011 15:45:55

credo che il problema sia facilmente risolvibile inserendo comunicazione della probabile conservazione prolungata dei dati personali per fini legati alla sola gestione del sito. In iscrizione dai comunicazione e inserisci nelle clausole che l'utente va ad accettare iscrivendosi.

quota

16/10/2011 19:41:41

Piccola integrazione "tecnica".

L'ip nella maggior parte dei casi è dinamico e viene assegnato ogni volta che si riavvia il router.

Se è statico (fisso, appunto) basta usare un proxy online. A migliaia e gratuiti, anche estensioni per firefox per dire :P

quota

16/10/2011 19:48:19

Indubbiamente se viene fatta una richiesta esplicita di cancellazione devi cancellare tutto, email inclusa. Ip non saprei, dato che il gestore stesso la maggior parte delle volte non è più in grado di dire quale indirizzo IP appartiene a quale utente, impossibile quindi cancellare.
Ma la clausola nel regolamento può essere applicata nel caso che l'utente non richieda la cancellazione; cosa che credo sia la più frequente. Mi è capitato raramente di ricevere richieste di cancellazione.

Questa conoscenza sembra spopolare su questo forum. Come detto anche da blancks qualche giorno fa in un altro thread, il ban via IP è assolutamente INUTILE. A meno che l'utente non abiti negli Stati Uniti D'america (dove gli indirizzi sono assegnati in modo statico, a ogni contratto Internet), in Europa gli indirizzi IP sono assegnati in modo variabile. Questo significa che ogni singola volta che mi connetto a internet ho un indirizzo IP diverso. Inutile quindi bannarmi per IP; mi disconnetto, mi riconnetto e sono di nuovo dentro.
L'unico caso in cui il ban per IP può essere utile è con gli abbonati di Fastweb, dato che fastweb ha un'assegnazione statica degli IP. Ma ATTENZIONE, gli indirizzi IP di Fastweb sono condivisi da più utenti! Questo vuole dire che se io sono un utente fastweb e tu gestore mi banni, molto probabilmente hai bannato anche il mio vicino di casa e mezzo quartiere della mia città.
Quindi sfatiamo il mito, il ban per IP è inutile, anzi può essere anche nocivo per una land.
Non c'è un buon modo per bannare una persona, dati tutti i mezzi esistenti per nascondere la propria identità in rete.

---

quota

16/10/2011 22:26:43

Yes. Credo sia l'unica legalmente accettabile.

---

quota

17/10/2011 11:04:54

Siccome l'argomento mi interessa ti chiedo un paio di precisazioni

1 - Immagino che si intenda solo se crittografata in maniera univoca ossia con algoritmi tipo SHA-1, SHA-512 e non se criptata tramite algoritmi biunivoci trmaite u queli è possibile decriptarla tipo l'mcrypt giusto?

2 - Nel momento in cui appunto in seguito al ban viene richiesta la cancellazione di ogni dato personale la mail viene trasformata in hash con un algoritmo di una certa robustezza, non viene più considerato come dato personale per quanto sia l'hash di un dato personale/sensibile giusto

3 - Discorso IP, ho cercato tempo fa anche sul sito del garante sulla privacy e in giro per la rete ma non ho trovato una risposta ufficiale.
Viene o non viene considerato dato personale/sensibile o no?

Lo chiedo perchè mi piacerebbe avere dei riferimenti normativi da poter citare in caso richiesto.

quota

17/10/2011 16:40:11

1 - Ovviamente.
2 - Cripti l'email in fase di registrazione; il dato, non essendo più utilizzabile in quanto la criptazione usata non è reversibile, cessa di avere valenza di dato personale e/o sensibile.
3 - E' proprio la vaghezza della normativa che finisce col far ricadere qualunque cosa nel calderone.

---

quota

17/10/2011 18:50:24

Poco pratico, Gemini, crittarla in fase di registrazione.

La mail é l'unico eventuale canale diretto per il recupero della password o il suo reset, e non solo, anche per garantire un canale "affidbile" di comunicazione tra gestione ed utente titolare dell'account. Finchè l'utente utilizza il sito, la sua mail dovrebbe essere disponibile in chiaro ai titolari del servizio, o quantomeno al responsabile del trattamento dati indicato nell'informativa.

E' al momento del ban che dovrebbe scattare la crittazione, in modo che come avviene per la password, l'indirizzo originario non è più disponibile "in chiaro" (quindi è inutilizzabile), ma se venisse reinserito per registrare un nuovo account l'hash restituirebbe la corrispondenza al valore salvato nell'ipotetica tabella degli utenti bannati e impedirebbe la registrazione.

Se mai la domanda che mi pongo a questo punto é se non sarebbe bene inserire quest'informazione nel PEL perchè se come dici *deve* esserci un termine alla conservazione dell'email anche per gli utenti bannati, sospetto che tante bandierine verdi diventerebbero gialle laddove non si dichiara esplicitamente cosa viene fatto delle email degli utenti bannati "a vita".

---

quota

17/10/2011 19:34:44

Che sia criptata o meno poco importa in quanto l'utente per recuperare la password digiterà la propria email d'iscrizione, quindi puoi rigenerare l'hash ed eseguire il matching sul db as always.

Anche per quanto riguarda l'attivazione dell'account, l'utente fornisce la propria mail in fase d'iscrizione ed è pertanto possibile eseguire la procedura di iscrizione con invio email contenente il link di conferma pur criptando le mail conservate sul db.

Se il sito prevede delle newsletter io scinderei il servizio a parte creando un nuovo elenco di mail "in chiaro" sul db dove però è la gente a decidere di infilarci la mail o rimuoverla.

In genere non è la gestione di un sito a dover contattare per email i propri utenti ma è il contrario, pertanto dovrebbe poter essere possibile rispondere in quanto contattati via email dall'interessato la sua mail è in chiaro nel vostro client di posta elettronica.


Poi, dipende generalmente dai casi ma non è impossibile trattenere ed usare email criptate conservate nei database.


ps: consiglio di passare ad algoritmi più forti di sha1, perlomeno dallo sha256 in su.

---

quota

17/10/2011 20:08:11 e modificato da ghennadi72 il 17/10/2011 20:33:57

Fino a un certo punto. Autorizzare il reset della password tramite il semplice inserimento dell'indirizzo di posta elettronica, senza alcuna verifica che la richiesta provenga almeno dal titolare dell'indirizzo di posta elettronica, é un sistema terribilmente insicuro.

Ti faccio l'esempio più banale: Paperino e Gastone sono giocatori "amici" che si "frequentano" regolarmente, oltre che sulla land dove giocano, anche in msn, skype, facebook e chi più ne ha più ne metta. Entrambi sono mossi da profonda passione verso Paperina, ma Paperino riesce ad arrivare al conquibus con Paperina prima di Gastone.
Gastone, che rosica per questo e che conosce benissimo gli indirizzi email di Paperino usati su msn, skype e facebook, decide di vendicarsi e che fa? Si collega alla bella paginetta di reset della password che non gli chiede un tubo se non un indirizzo email, e resetta la password di Paperino senza che Paperino l'abbia mai chiesto. Poi logga fingendosi Paperino, si tromba pure Clarabella, Minnie e Nonna Papera andandosene a vantare con Paperina (che ovviamente molla Paperino e si mette con Gastone), e tanto per sovrappiù va a rubare i soldi a Zio Paperone e Rockerduck, badando a farsi vedere bene dal commissario Basettoni mentre esce con la refurtiva. E per finire regala la famigerata auto targata 313 alla Banda Bassotti.

Non so gli altri gestori, ma ad occhio circa la metà dei nostri account é registrata usando indirizzi di msn: live, hotmail, msn.com ossia indirizzi tipicamente pubblici, o pseudo tali, e facilmente associabili ai giocatori.

Ecco perchè personalmente non farei MAI E POI MAI una procedura di reset password (recupero? se è crittata per davvero come la recuperi senza violare il PEL?) che chiede solo l'indirizzo email come verifica.

Il sistema deve essere in grado di comunicare via mail con l'utente. Il top sarebbe neanche la rigenerazione al volo di una nuova pasword, ma l'invio di un link via mail con codice di conferma e necessità di cliccare su quel link prima di procedere effettivamente al cambio di password, tanto per avere la garanzia che il cambio password parta davvero dall'utente titolare di quella mail.

Questa fra parentesi é una delle ragioni per cui non consentiamo l'utilizzo di email "usa e getta" (10minutesmail e simili) per registrare gli account: quei domini li blocchiamo a monte e via via che ne scopriamo altri, li inseriamo in blacklist, cancellando senza preavviso gli account di chi li ha usati (ovviamente c'è un bell'avviso in rosso lampeggiante alla registrazione che chiarisce il punto).

nb: questo ovviamente non mette al sicuro dalla "peggior situazione possibile" ossia che anche la sicurezza dell'acount email sia stata compromessa. Ma a quel punto hai poco da fare, a meno di non cominciare a vagliare registrazione e procedure di autenticazione sul retina-scan o sull'uso delle impronte digitali :-)


Dal punto di vista tecnico è possibilissimo. Dal punto di vista gestionale, dipende: dalla politica gestionale, appunto. L'invio di newsletter non è certo il solo utilizzo dell'email dell'utente che una gestione può mettere in atto per esigenze di servizio strettamente legate alle funzionalità del gioco.

Ovviamente non è un must, dipende da come è stata impostata la policy di rapporto con gli utenti. Se essa prevede che in caso di necessità debba essere aperto un canale bidirezionale di comunicazione tra gestione e utenza, l'indirizzo email devi consevarlo per forza finchè l'utente utilizza il tuo gioco.

Normalmente la politica gestionale nei confronti dell'utenza dovrebbe essere facilmente desumibile tanto dal regolamento quanto dall'informativa sul trattamento dei dati. Per quanto mi riguarda un utente tanto geloso della propria privacy da farsi venire le convulsioni anche solo all'idea di poter essere ipoteticamente contattato per esigenze di servizio dalla gestione del sito in cui gioca, senza alcuna possibile relazione con spam e amenità simili, ha piena facoltà di non iscriversi e campare felice nella sua torre d'avorio. :-)

---

quota