Regolamento UE 2016/679 (privacy)

10/12/2017 10:40:49

ghennadi72 ha scritto:

il giocatore invoca le norme sul diritto d'autore a protezione del suo "parto creativo", ma quello a cui punta realmente, di solito, è la cancellazione delle tracce delle sue attività all'interno gioco.

Anche qui non sarebbe sufficiente una liberatoria? da accettare al momento della creazione account? E riportata in regolamento?
Non sono pochi i siti e le società culturali (ad esempio) che si impossessano di opere altrui in cambio della liberatoria di usare la loro opera a proprio piacimento.

10/12/2017 13:26:06 e modificato da quartz il 10/12/2017 13:27:12

Per quanto riguarda i disclaimer sul diritto d'autore vi posso aiutare molto facilmente.
Il documento informatico è equiparato a quello scritto ai fini di tante cose ivi compresa la prova scritta dei contratti che la richiedono (art. 20 codice amministrazione digitale [Dlgs 82/2005]). Per maggiore chiarezza: il codice dice che è liberamente valutabile dal giudice, ma è un tecnicismo basato sull'ipotesi delle firme digitali "forti" che invece fanno piena prova.
Quindi, in sintesi, per gli scopi dei gdr la clausola va benissimo: difficile provare il "non ero io" se poi hai usato lo stesso account che ha accettato l'informativa e inviato i testi per i quali poi rivendichi la proprietà.

Per i messaggi privati non privati quoto Ghennadi. Dovrebbe esserci già una discussione in giro, se la trovo la linko per twocow

16/03/2018 15:17:24 e modificato da psycho-corvo il 16/03/2018 15:24:19

Scusate ma la normativa non dovrebbe applicarsi a persone fisiche (i gestori), quindi i GDR dovrebbero essere salvi, a meno che non si tratti di GDR che usano il proprio DB per scopi di business come mandare una newsletter pubblicitaria etc.
Non mi risulta che quando uno salva il numero di cellulare di una persona sul proprio device chiede di fare l'opt-in alla persona. Se si legge la normativa è tutto per amministrazioni pubbliche ed aziende, soprattutto nel caso ci sia rivendita di dati.

Per quanto riguarda invece le password ed il livello di criptazione non frega nulla proprio, quindi chiaro, scuro o grigino non ha importanza.
Che poi dico è un GDR non la banca, io sono più diffidente di giochi dove lo staff ha libero accesso e si leggono missive/messaggi interni di ogni utente come se niente fosse, ma poi ti dicono che criptano le password dell'account PG.

16/03/2018 16:06:02

psycho-corvo ha scritto: Scusate ma la normativa non dovrebbe applicarsi a persone fisiche (i gestori), quindi i GDR dovrebbero essere salvi, a meno che non si tratti di GDR che usano il proprio DB per scopi di business come mandare una newsletter pubblicitaria etc.

Guarda, ripensavo proprio oggi a questo thread perché mi sto occupando per una questione lavorativa non correlata ai gdr di studiarmi articolo per articolo il nuovo regolamento GDPR (quello di cui si parla qui) e pensavo che sarebbe stato utile un "quadro generale" anche per il PBC, perché tanto il lavoro lo sto comunque facendo.

Per questo ti posso dire con certezza che le attività escluse sono si quelle delle persone fisiche, ma effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico (art. 2, comma 1°, lett c) ).
Il creare un sito per giocarci con un numero indefinito di persone che non conosci prima non mi sembra un'attività domestica e certamente non è un'attività esclusivamente personale.

Tra l'altro, siccome le normative europee spiegano in anticipo a che servono, nel 18° considerando (le frasette messe prima del regolamento vero e proprio) ti fanno proprio l'esempio: "Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell'ambito di tali attività a carattere personale o domestico"

Quindi si, si applica. E ad un certo punto conviene pure si applichi (in modo intelligente) perché altrimenti il gestore avrebbe sempre l'obbligo di cancellare sempre tutto quello che gli viene richiesto dall'utente e non potrebbe, ad esempio, trattenere i dati dei giocatori bannati dal sito, che risulterebbero per finalità collegate al trattamento di dati in generale.

Comunque, mi riprometto di dire qualcosa in più quando avrò finito di studiare il regolamento e avrò un po' di tempo per farlo ;-)

19/03/2018 03:06:58 e modificato da ghennadi72 il 19/03/2018 08:55:24

jerome ha scritto:
Intanto veramente grazie per questa importante condivisione. Ho letto parte del regolamento e devo dire che i suoi contenuti sono da mal di testa e non è facile tutelarsi a 360° gradi se non in taluni casi, quasi impossibile.

A dire il vero per avere delle specifiche concretamente applicabili sarà necessario, come per il vecchio D.Lgs. 196/2003, attendere pronunciamenti e chiarimenti da parte del Garante.

Prendi ad esempio la famigerata questione dei tempi di conservazione dei dati "per esigenze funzionali al servizio", che anche con le vecchie norme (attuali ancora per qualche mese) erano tutt'altro che una materia da prendere sotto gamba.

In questa sede si è fatto quasi terrorismo per anni, dicendo ai gestori che al massimo i dati potevano essere conservati massimo 6 mesi oltre l'ultimo accesso dell'utente. Oppure, all'estremo opposto, si è fatta un po' troppa faciloneria all'insegna del "tanto a noi chi ci si fila?"

Quando poi il garante stesso, esplicitamente interpellato sulla materia (quanto a lungo è lecito trattenere i dati di un utente anche dopo che ha smesso di usare il servizio online al quale si è registrato), ha fatto una valutazione specifica, basata sull'analisi delle necessità che giustificano o meno la conservazione ai fini dell'operabilità del servizio, e ha indicato un tempo limite di 10 anni. Ok, quella era una gioielleria che vende online, ma interessante è il modo in cui il Garante ha indicato quell'arco temporale: a che cosa serve conservare i dati di un utente dopo che ha smesso di usare un servizio al quale si è registrato?
La risposta data lascia ben sperare, una volta tanto, sul fatto che l'autorità faccia considerazioni di merito e non spari numeri e limiti sull'onda di un principio astratto che poi si rivela tremendamente inapplicabile o applicabile con enormi problemi per chi deve tutelare non solo la privacy del singolo utente che ha smesso di usare un servizio, ma anche la sicurezza del servizio offerto e la serenità degli altri utenti/giocatori.

Per dirla in termini più espliciti: evitare che le norme sulla privacy finiscano per tutelare più mascalzoni, troll e disturbatori, che l'utenza di un servizio nel suo insieme.

L'altro tema caldo sul quale vedo problemi di applicabilità (o meglio: rogne, rogne, rogne) è quello del trattamento dei dati dei minori, in particolare quelli di fascia tra i 16 e i 18, che hanno sì riconosciuta una limitata possibilità di conferire l'autorizzazione al trattamento dei propri dati (purchè per finalità non di mercato, il che include le attività di profilazione commerciale, giochi "freemium", forse anche giochi, siti e community massicciamente impegnati in campagne commerciali) ma devono comunque farlo per tramite dei genitori o tutori legali.

Su questo una cosa è abbastanza chiara: tutte quelle formule di accettazione implicita che per comodità eravamo abituati ad usare, basate sul "si da per scontato che [XYZ] siccome non possiamo verificare", sulle quali la normativa precedente lasciava molte più porte aperte, da maggio in poi sono molto più a rischio.

Poi siamo sempre d'accordo che a servizi amatoriali come i nostri, come un blog o un forum di appassionati di pokemon, nessuno andrà mai a fare le stesse pulci che farebbe (?) a una banca, un'associazione di categoria, un comune o a un'agenzia immobiliare.

Ma personalmente finchè non vedrò esplicitato con chiarezza e scritto nero su bianco dall'UE o dal Garante che "blogger, gestori di forum e comunità online amatoriali non a scopo di lucro sono esentati dai seguenti obblighi: [XYZ]" resto dell'idea che prendere l'argomento alla leggera sia molto, molto pericoloso. E che sia un po' irresponsabile consigliarlo agli altri.

Il matto bannato di cui hai trattenuto ovviamente i dati per garantire l'applicabilità del ban e disposto a pagare i 150€ di deposito di un'istanza al garante, prima o poi lo troverai: e il gestore coinvolto temo avrà qualche problema, se tutta la sua linea difensiva sarà basata sul "mi avevano detto che per noi ci sarebbe stato un occhio di riguardo e maggiore tolleranza perchè non siamo un'impresa".

19/03/2018 16:18:24

jerome ha scritto: Però c'è anche da dire che se qualcuno va in giro a calunniare il gestore o il suo sito si passa ad una bella denuncia. Anche perchè le recensioni negative sono sempre e comunque (e anche adesso) passibili di denuncia e al 99% il recensore/calunniatore paga.

Vorrei essere meno pessimista e dare ragione alla tua statistica... ma non credo che nel 99% un calunniatore online paghi.

20/03/2018 00:04:49

seralia ha scritto:
Vorrei essere meno pessimista e dare ragione alla tua statistica... ma non credo che nel 99% un calunniatore online paghi.

Purtroppo confermo. C'è anzitutto il problema dell'identificabilità di chi commenta. Poi il problema che molto spesso il confine tra una calunnia e una legittima opinione, o qualcosa che può essere realisticamente presentato come tale, è molto labile finchè non ci sono accuse dirette e infondate/diffamanti nei confronti di persone fisiche o soggetti identificabili con qualcosa di più preciso di una scheda che presenta un prodotto.

E infine, molto più importante, c'è un problema di opportunità e costi/benefici. ma il discorso commenti/recensioni è meglio tenerlo fuori.

Tornando all'argomento minori, è vero che non possiamo fare molto più che "fidarci" che gli utenti dichiarino il vero. Questo però significa anche che dobbiamo metterli in condizione di esprimere, presupponendo la buona fede, tutto quello che necessita.

20/03/2018 08:27:02

ghennadi72 ha scritto:
Tornando all'argomento minori, è vero che non possiamo fare molto più che "fidarci" che gli utenti dichiarino il vero. Questo però significa anche che dobbiamo metterli in condizione di esprimere, presupponendo la buona fede, tutto quello che necessita.

Non sono esperta in questa specifica materia, quindi domando: in presenza di chiaro disclaimer pre registrazione sui limiti di età; di chiare note in regolamento del "servizio" sui limiti di età, sulla possibilità dello staff di chiedere un documento in caso di dubbi, sulla richiesta vincolante agli utenti di segnalare i casi di violazione dei limiti di età di cui entrassero a conoscienza... si può dire di sentirsi più "tranquilli" che mettendo solo una immagine "18+" in home... o è la stessa cosa, legalmente, davanti ad eventuali problemi?

16/04/2018 13:15:55

L'avevo un po' promesso, ma mi ci è voluto un po' di tempo per mettere insieme gli elementi del nuovo regolamento sulla privacy che potessero interessare il GDR e con qualche elemento di novità.
Prima di (eventualmente) postarlo come articolo, lo vorrei proporre al consensus di chi si è studiato la materia, per verificare se si possono integrare le conoscenze o se è necessario approfondire alcuni punti.
Ma senza ulteriori indugi...

[INIZIO]

GDPR e GDR - Nuovo Regolamento privacy e noi

Il 25 maggio 2018 entrerà in vigore il Regolamento UE 2016 679 http://194.242.234.211/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando ↗ che in linguaggio anglofono chiamano General Data Protection Regulation, o in breve GDPR, e che noi potremmo tramquillamente chiamare Regolamento Privacy.
Il nuovo regolamento prevede una serie di novità anche molto importanti in materia di trattamento di dati personali ed aggiorna le direttive europee in materia e, quindi, anche il Decreto Legislativo 196 del 2003, quello che di solito si chiama Codice della Privacy.
Per il mondo del GDR e la creazione di siti amatoriali, le novità sono ridotte, ma significative. Per questo è opportuno conoscerle bene.

Un passo indietro: com'è sempre stato
A ragionare in termini di consenso al trattamento dei dati personali ed informativa privacy siamo (o meglio, dovremmo essere) già abbastanza abituati.
Se pure non tutti ne conoscevano i dettagli, le leggi in materia di privacy sono percepite da tutti come abitudine, sia nella spunta della casellina "acconsento al trattamento dati" ogni volta che ci si registra in un nuovo sito, sia come generale consapevolezza che qualcosa sulla privacy va scritta nel mio GDR, almeno per prendere la spunta verde nel defunto progetto legalità.
Quindi dovremmo sapere tutti che la legge prevedeva e prevede ancora il consenso dell'utente al trattamento dei suoi dati personali e che il trattamento è anche, in qualche modo, "quello che facciamo nei GDR quando un utente si iscrive e chiede nome e password".
Qui si aprirebbe un bel tema su cosa sia un dato personale, ma fortunatamente il Regolamento Privacy ci ha pensato lui e quindi si può passare subito alle novità.

LE NOVITA' DEL REGOLAMENTO PRIVACY

1 - Cos'è un dato personale
Il Regolamento Privacy si è preso la briga di definire con attenzione cosa sia un dato personale

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identifi­cativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

Si tratta, quindi, di una serie di indicazioni sulla persona, che possano in qualche modo descriverla. Come regola generalissima, se un'informazione può descrivere una persona e differenziarla da un'altra, quell'informazione è un dato personale. Una definizione piuttosto ampia, vero?
Però, prima che qualcuno lo chieda, specifico che questo riguarda solo le informazioni che vengono "raccolte" dal sistema, nel nostro caso dal gdr. Se per esempio esiste una bacheca interna e qualcuno posta "Salve, sono Mario. Io e mio fratello Luigi facciamo gli idraulici e ci piace picchiare scimmie giganti e cavalcare dinosauri" non c'è bisogno di alcun consenso perché è una divulgazione spontanea. Potrebbe darsi che, in caso di richiesta, siate obbligati alla cancellazione, ma a questo ci arriviamo tra un po'.

Invece volevo attirare la vostra attenzione su un punto particolare:
"«dato personale»: /.../ un identifi­cativo online". Il nickname, quindi, è diventato dato personale. Perché il dato sia personale e quindi identificativo, dovrebbe descrivere la persona al di fuori dell'ambiente specifico: quando creo il mio personaggio e lo chiamo Mario, quella è una credenziale d'accesso e non un dato personale. Ad esempio, la raccolta del nome di un PG che ha giocato su un dato GDR come fa GDR - Online potrebbe essere un dato personale e quindi lo sarebbe anche l'eventuale raccolta del dato "il tuo nick su GDR - Online" fatto da un eventuale GDR.


1.1 - Cosa non è un dato personale
La definizione sembra abbastanza chiara, ma a scanso di equivoci lo specifico: le azioni postate, i post in bacheca, la scheda del personaggio e le vicende che l'hanno interessato non sono strettamente dati personali.
Sono, invece, opere letterarie derivate, probabilmente non originali o solo in parte originali e che, in ogni caso, non rientrano nella definizione di dato personale.
Nello spirito del Regolamento Privacy, e soprattutto per chiarire da subito cosa accade nel GDR, consiglio di dire chiaro e tondo che la cancellazione del personaggio e dei relativi dati di gioco non è prevista.


2 - Il consenso
Già sappiamo che per trattare dati personali, cioè per raccogliere i dati minimi per consentire la creazione di un account su un GDR, serve il consenso del titolare del trattamento, cioè il giocatore.
La più importante novità del Regolamento Privacy è che l'informativa sui dati personali sulla base della quale si da il consenso deve essere facilmente comprensibile ed usare un linguaggio semplice e chiaro: niente legalese, quindi, ma una semplice spiegazione in italiano comune di quali dati si usano, perché li si raccoglie, quanto li si conserva, come si possono modificare e cancellare e se ci sono dei dati che chi gestisce il servizio si conserva e per quali finalità (consigliatissimo, vediamo dopo quali e perché).
Se poi il consenso è inserito in una dichiarazione più ampia, va esposto in modo distinto dal resto.

C'è una seconda altra cosa importantissima che va fatta, e cioè rendere il consenso al trattamento dei dati come facilmente identificabile. Inoltre, se mettete una spunta classica tipo "Consento al trattamento dei dati" dovreste fare il modo che la spunta sia di default non spuntata.

L'ultima cosa, molto importante per un gestore, è che chi tratta i dati personali deve essere in grado di provare di aver ricevuto il consenso. Perciò il buon programmatore dovrebbe industriarsi a creare uno spazio nel quale confluiscono tutte le dichiarazioni di consenso ed il buon gestore farebbe bene a fare un backup periodico quantomeno di questa parte del suo database.

Questo vuol dire, tra le altre cose, che copiare e incollare pezzi della normativa di riferimento ora non è più sufficiente ed il gestore si deve industriare a scrivere un testo sintetico con l'indicazione dei dati che conserva.


3 - Il diritto all'oblio
E' adesso consentito a chiunque di chiedere quali dati personali ha comunicato, la correzione o la cancellazione degli stessi o di revocare in ogni momento il consenso al trattamento dei dati personali.
Questo vuol dire, in parole semplici, che il giocatore ha diritto a modificare i suoi dati ed a cancellarsi quando vuole.

La cancellazione in partocolare sembra essere un punto critico per noi giocatori di ruolo, perché è una richiesta si verifica molto spesso (di solito a seguito di abbandoni clamorosi o sanzioni disciplinari).
Il Regolamento prevede che venga fatto senza ingiustificati ritardi il che vuol dire non immediatamente, ma con ragionevole puntualità rispetto all'attività svolta. Questo vuol dire che va fatto presto, ma senza scapicollarsi.

E' importante sapere che il gestore non è obbligato a cancellare tutto e sempre, ma può opporre il rifiuto alla cancellazione in alcuni casi.
Innanzi tutto, il diritto alla cancellazione sussiste solo in alcuni casi, ovvero se il trattamento non è più necessario, ovvero (segiutemi, è importante), se "l'interessato revoca il consenso su cui si basa il trattamento /.../ e se non sussiste altro fondamento giuridico per il trattamento" (art. 17). Sembrerebbe, quindi, che il gestore sia sempre costretto a cancellare tutto in caso di revoca, il che aprirebbe la strada, ad esempio, alla obbligatoria cancellazione del dati del rosicone bannato che, quindi, poi potrebbe reiscriversi.
C'è però quella parte in neretto, cioè l'esistenza di un altro fondamento giuridico, che per il gestore previdente potrebbe tranquillamente essere "il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali" (art. 6, comma 1, lett g) ).
In altri termini, conservare alcuni dei dati personali dei propri utenti anche dopo la cancellazione è possibile, se e finché tutela il legittimo interesse del gestore e degli altri utenti ad essere lasciati in pace dai disturbatori: una cosa molto facile da argomentare.
Una volta stabilito questo, se il gestore previdente si vuole premunire da queste eventualità, farebbe bene ad indicare nell'informativa privacy quali sono i dati che si conserva per sempre e comunque e che lo fa per un legittimo interesse: se chiedete a me, può tenersi le mail dei bannati per verificare che non tornino, non tutte le mail di tutti i giocatori cancellatisi se non indica almeno un altro legittimo interesse a farlo.


3.1 - Il diritto all'oblio - Conseguenza della richiesta
Mi sembra evidente che la richiesta di cancellazione dei dati personali relativi alla creazione dell'account di gioco comporta la cancellazione dell'account di gioco: da un lato, la richiesta di cancellazione di dati essenziali alla creazione ed al mantenimento dell'account lo rende ingestibile e d'altro canto se i dati non erano essenziali alla creazione ed al mantenimento dell'account che li hai chiesti a fare?


4 - I dati del titolare del trattamento
Come in precedenza, è necessario indicare i dati del titolare del trattamento dei dati personali e, se c'è (in un gdr è difficile) il responsabile del trattamento.
Poiché il Regolamento Privacy dà dignità autonoma allo pseudonimo e poiché per diverse autorità pubbliche si è detto che l'importante è fornire i sistemi per contattarlo (molte PA, per risparmiare, scrivono "il funzionario facente funzione"), è possibile che si possa indicare la voce "Titolare del Trattamento: Quartz".
Maneggiate questa informazione con prudenza, perché non è detto che sia così.


5 - L'hosting e quanto questo ci protegga
Per il resto delle applicazioni del Regolamento, una grandissima protezione ai gestori la dà il fatto che operano in hosting su servizi privati, i quali sono operatori imprenditoriali tenuti ad un altissimo standard di tutela.
Infatti, in soldoni, il Regolamento Privacy richiede a tutti gli operatori che gestiscono dati di comportarsi con uno standard di sicurezza adeguato a quello che fanno: Facebook ha molti, molti più oneri di un sito amatoriale che parla di un interesse di nicchia e chi gestisce questo secondo è tenuto a standard "amatoriali".
Il fatto che chi gestisce il sito amatoriale si appoggi ad un hosting imprenditoriale gli consente di poter dire: "la mia misura adeguata è stata rivolgermi a qualcuno che ha degli standard imposti più alti dei miei".

[FINE]

Se qualcuno ha osservazioni, le leggo volentieri.
Se qualcuno ha dubbi o pensa ci siano argomenti importanti che però non sono trattati, li tratto volentieri.

16/04/2018 14:18:54

Grazie, grazie, la mia pesaculaggine aveva raggiunto vette rare. 😆
Quindi, in un eventuale documento privacy, sarebbe utile introdurre - ai nostri fini - una distinzione chiara fra disattivazione dell'account e cancellazione dell'account, come è sulle maggiori piattaforme?
Della serie: puoi disattivare il tuo account, nel senso che te lo archivio e non è più operativo / visibile al pubblico, ma non te lo cancello (o comunque non cancello tutti i dati ad esso associati ) per le ragioni A, B, C.