Regolamento UE 2016/679 (privacy)

06/05/2018 21:43:48 e modificato da staff em il 06/05/2018 21:44:48

ghennadi72 ha scritto: Il problema sono le due fasce intermedie:
14,15 anni: è richiesto che il consenso sia fornito dai genitori a prescindere dalla natura del servizio (gratuito, freeemium, a pagamento)

16,17 anni: è richiesto che il consenso sia espresso dai genitori solo per servizi di natura commerciale (sarebbe interessante approfondire la questione per chi usa formule freemium, in cui il gioco di per sè è gratuito, ma dà la possibilità di acquistare questo o quel "pack" che conferisce dei bonus dietro pagamento di denaro).

Diciamo che il nuovo GDPR è abbastanza chiaro su questo argomento. Fissa l'età, in cui non si può esprimere il consenso in rete, dai 13 anni ai 16 anni, lasciando poi libero ciascun paese, aderente al SEE di decidere l'età. Esempio, la Spagna ha già scelto per i 14 anni a posto dei 16. In Italia non si è ancora fatta chiarezza o presa una decisione in merito. I 16 anni sono una tutela, ovviamente, ma è un peccato escludere da giochi, come i nostri, i più piccoli.

10/05/2018 15:56:43 e modificato da kanade tachibana il 10/05/2018 15:58:40

Il massimo è essere obbligati a fornire una carta di credito per verificare l'età. (la privacy è diventato uno slogan) e per fare cosa? creare un account su un sito XD

Si stava meglio quando si stava peggio (tipo quando i politici e company non si interessavano di internet)

10/05/2018 19:14:42 e modificato da quartz il 10/05/2018 19:15:48

jerome ha scritto: Infatti non rientriamo in alcuna categoria e secondo me ci si sta preoccupando troppo.

Personalmente non sono per nulla preoccupato e quindi spero non lo siano neppure quelli che leggono qui :-)

Sul "non rientriamo in alcuna categoria" non sono d'accordo. La categoria alla quale si applica il Regolamento è tutti coloro che raccolgono dati personali. Siccome la mail è un dato personale e non ho mai visto un GDR che non la chieda per l'iscrizione, rientriamo nella categoria.
L'unica esenzione c'è per chi raccoglie dati personali per uso esclusivamente personale o domestico, cosa nella quale non rientra il PBC, come avevo se non sbaglio anche già scritto.


Condivido in pieno l'idea che probabilmente nessuno molesterà il gestore di PBC sull'argomento gestione dati personali, perché poco pratico e troppo costoso per una ripicchetta. Però ci sono persone a cui piace essere a posto ed ordinati a prescindere e che, se lo sforzo non è eccessivo, sono contenti di mettersi in regola con poco.
Inoltre probabilmente non è certamente e, nell'eventualità, è sempre meglio essere a posto. Tanto più che la cosa più "pesante" da implementare sono probabilmente le misure di sicurezza per proteggere il sito, ma che sono più o meno le stesse che servono per evitare che qualcuno entri nel tuo gioco e lo cancelli o lo riempia di insulti alla tua persona (il tu qui è generico). Quindi è altamente consigliabile che tu usi queste misure di sicurezza, perché se la denuncia al Garante o la causa in Tribunale è rara, l'hackeraggio di un GDR è invece una cosa estremamente comune.


P.s.: non mi sono dimenticato di aggiornare l'articolo originale, ma siccome sto lavorando con un informatico a qualcosa di non troppo lontano, sto aspettando il momento giusto per chiedergli qualche chiarimento e così scrivere un po' meglio di quelle cose delle quali, onestamente, non capisco nulla

10/05/2018 21:17:10

staff em ha scritto:
Diciamo che il nuovo GDPR è abbastanza chiaro su questo argomento. Fissa l'età, in cui non si può esprimere il consenso in rete, dai 13 anni ai 16 anni, lasciando poi libero ciascun paese, aderente al SEE di decidere l'età. Esempio, la Spagna ha già scelto per i 14 anni a posto dei 16. In Italia non si è ancora fatta chiarezza o presa una decisione in merito. I 16 anni sono una tutela, ovviamente, ma è un peccato escludere da giochi, come i nostri, i più piccoli.

La chiarezza l'ha fatta l’Autorità garante per l’infanzia e l’adolescenza nel parere inviato al Governo in merito allo schema di decreto in prossima uscita.
L'età minima per l'espressione autonoma del consenso ai dati personali all'atto dell'iscrizione a qualsiasi servizio digitale online resta 16 anni.

Prevedibile, considerando che in Italia, persino l'autorizzazione a foto o video, nelle scuole, abbisogna della firma dei genitori sotto (addirittura) ai 18 anni.

La Spagna, nel 2014 ha agito alzando la media allora osservata (13) e ben prima che intervenisse il regolamento in questione, a 14. Credo quindi, che considerando l'orientamento protezionistico, alzeranno a breve anche loro.

10/05/2018 21:52:53 e modificato da staff em il 10/05/2018 21:54:11

ilgrandeinverno ha scritto:
La chiarezza l'ha fatta l’Autorità garante per l’infanzia e l’adolescenza nel parere inviato al Governo in merito allo schema di decreto in prossima uscita.
L'età minima per l'espressione autonoma del consenso ai dati personali all'atto dell'iscrizione a qualsiasi servizio digitale online resta 16 anni.

Da quello che ho letto ai primi di maggio non è che sia così certo che il limite dei 16 anni resti. A mio avviso rivedranno ancora o quanto meno ci spero! 😏

11/05/2018 02:12:34 e modificato da ilgrandeinverno il 11/05/2018 02:16:44

staff em ha scritto:
Da quello che ho letto ai primi di maggio non è che sia così certo che il limite dei 16 anni resti. A mio avviso rivedranno ancora o quanto meno ci spero! 😏

E' difficile, purtroppo. Perchè di fatto, almeno nel nostro paese, andrebbe in contraddizione con altri aspetti della privacy vigenti che continuano a considerare i 18 anni come limite prefissato dalla legge per il consenso. ;-)

11/05/2018 09:15:50 e modificato da dyrr il 11/05/2018 09:20:20

come ci comportiamo con gli IP?

Anche l'ip non è sempre un dato personale o meglio lo diventa quando:

gli indirizzi IP sarebbero dati personali non sempre ma solo in caso in cui l’utente abbia condiviso anche un indirizzo elettronico che menzioni la sua identità e che l’operatore del sito possa identificare tale utente incrociando il suo nome con l’indirizzo IP del suo computer

L'esempio lampante di questo è come, nonostante il log degli accessi ad ogni elemento di un sito web di apache salvi l'ip in ogni sua entrata ma l'host condiviso non è in grado di incrociare l'ip con un nominativo, questo non è un dato personale trattato per loro.

11/05/2018 10:38:28 e modificato da kanade tachibana il 11/05/2018 10:41:35

Ho visto che ad esempio forum free nella pagina della privacy ha specificato che il loro servizio è riservato a solo chi ha compiuto 18 anni.

Quindi semplicemente in questo modo si scavalca il problema di dover eventualmente avere a che fare con il consenso dei genitori recapitato via email (pensate appunto per quei siti che hanno registrazioni giornaliere nell'ordine di numeri con 3 zeri)
Cosa diventa una registrazione manuale, vogliamo sfiorare il ridicolo?
Anche le email temporanee non dovrebbero essere un problema in questo caso.
Tanto per essere chiari, chi si registra ad un sito come forumfree (dove sappiamo tutti, che la maggioranza degli iscritti è minorenne) davvero credono che con questo regolamento chiederanno il consenso ai genitori? Ma se neanche gli adulti leggono i regolamenti in fase di creazione dell'account.

In un momento storico dove tutti ormai sono abituati ad usare uno smartphone e fare tutto in modo rapido, pensano davvero che la gente si ferma a leggere ste stronzate XD
È stato un modo ottimale per mettere alla strette i gestori di portali e siti web, questo senza dubbio.

Abbiamo visto la normativa sui cookies, serviva davvero infestare il web con quella barra di spam? Semplicemente no, esistono funzioni apposite nel browser di navigazione.

dyrr ha scritto: non è in grado di incrociare l'ip con un nominativo, questo non è un dato personale trattato per loro.

quindi non è un problema se tracci i visitatori sul tuo portale

12/05/2018 15:40:43

Vorrei chiedere una informazione direttamente ai gestori del portale GDR ONLINE nonché ai principali gestori di giochi di ruolo qui presenti.
Mi scuso se tale domanda sia già stata posta in precedenza, ma mi sto un attimo perdendo tra le pagine.

Noi stiamo aggiornando l'informativa privacy sul nostro portale. In merito alle nuove prescrizioni, come noto, vi è la necessità di indicare il Titolare del Trattamento dei dati.
Ho avuto modo di vedere che Grande Inverno ha individuato il nome preciso del Trattamento dei Dati, mentre dall'informativa privacy di GDR ONLINE non si deduce il nome del titolare del trattamento bensì esclusivamente l'indirizzo di contatto.

Secondo voi, possiamo anche noi attenerci esclusivamente ad inserire l'indirizzo mail del titolare del trattamento ( magari individuandolo con lo psudonimo/nickname all'interno del gioco) oppure siamo obbligati a rendere il nome e cognome pubblicamente visibile dalla nostra Informativa?

Grazie per la risposta!

13/05/2018 04:24:59 e modificato da ghennadi72 il 13/05/2018 16:52:07

crystaltokyo ha scritto:
Secondo voi, possiamo anche noi attenerci esclusivamente ad inserire l'indirizzo mail del titolare del trattamento ( magari individuandolo con lo psudonimo/nickname all'interno del gioco) oppure siamo obbligati a rendere il nome e cognome pubblicamente visibile dalla nostra Informativa?

Considerando n.39
[...]
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.
[...]

---------

Considerando n.42:
[...]
Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
[...]

---------

Articolo 13
Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (C60-C62)
1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
[...]

---------

Articolo 14
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (C60-C62)
1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

---------


Direi che la risposta é no. In generale, non bastassero gli articoli e i consideranda che ti ho quotato, ci si può arrivare benissimo "a senso", al perchè un semplice indirizzo email non può essere indicato come Titolare del Trattamento dei Dati.
Questa soluzione viola gravemente il principio di trasparenza sul quale il regolamento punta parecchio.

E' invece esclusa (in realtà neanche con la vecchia normativa esistevano obblighi in tal senso) la "necessità" (cfr. vecchie formulazioni del PEL) di indicare anche recapiti fisici del titolare del trattamento dei dati.

Ossia: l'indirizzo email va benissimo come "dato di contatto" ma non dà all'interessato la necessaria informazione sull'identità di chi tratta i dati.

Più esplicito ancora: l'interessato deve sapere a chi sta affidando i suoi dati personali e un indirizzo email non è un "chi" ma un recapito. L'interessato non ha alcun modo di sapere chi accede a quell'indirizzo email, se solo l'ignoto titolare, sua madre, suo cugino, la sua fidanzata, il suo gatto o un intero gruppo di persone che usano quell'indirizzo in modo condiviso.

Dall'indirizzo email si può comunque risalire al titolare, eventualmente tramite il provider e tramite pubbliche autorità?

E' irrilevante, perchè è dovere del titolare (vedi sopra, articoli e consideranda) fornire all'interessato le informazioni richieste nel modo più chiaro, comprensibile, trasparente e accessibile, non costringerlo a rivolgersi a terzi o ad andare per tentativi per sapere a chi ha affidato i suoi dati personali.

E un'altra grave violazione è che privando l'interessato dell'informazione sull'identità del titolare del trattamento dei dati, si ostacola l'esercizio dei diritti dell'interessato, anzichè agevolarlo (che è un altro degli doveridel titolare definiti in modo chiarissimo dal regolamento).

Ad esempio volendo presentare un ricorso, un reclamo o una segnalazione al garante, uno dei dati che è necessario fornire è proprio l'identità del Titolare per il quale si presenta un ricorso/reclamo/segnalazione

Dal sito del Garante:

17. Come si propone un ricorso al Garante?

Il ricorso deve contenere:
• la sottoscrizione del ricorrente autenticata nelle forme di legge;
• gli estremi identificativi completi del titolare del trattamento nei cui confronti è presentato;
[...]

nb: questo problema c'è anche al contrario, visto che in genere noi bastardissimi gestori ci accontentiamo di chiedere un indirizzo email senza poterlo effettivamente associare ad alcuna persona fisica univocamente identificabile, tant'è che un utente bannato si ritrova col ban sull'indirizzo email ma può benissimo ripresentarsi 5 minuti dopo con un altro indirizzo email (al punto da generare più che qualche legittimo dubbio sulla natura di "dato personale" di un indirizzo email puro e semplice, magari temporaneo, magari attivato tramite servizi che non prevedono alcuna effettiva "autenticazione" del richiedente, e che non viene associato, lato gestore, ad alcuna persona fisica).

E' ingiusto? Può esporre il titolare del trattamento dei dati (tipicamente: il gestore) a grattacapi, noie, spam, seccature e persecuzioni dall'idiota di turno che comincia a farsi i ca##i tuoi cercandoti su facebook, sull'elenco telefonico, ecc?
Sì, considerando che a noi gestori viene "idealmente" richiesto persino di dichiarare quale mano usiamo per grattarci il naso e a giustificare se e quanto a lungo tratteniamo un indirizzo email di un utente bannato, è tremendamente ingiusto.
Ma a termini di regolamento così stanno le cose.

Ps: credo che questo valga anche come risposta al "vademecum" suggerito da quartz:

4 - I dati del titolare del trattamento
Come in precedenza, è necessario indicare i dati del titolare del trattamento dei dati personali e, se c'è (in un gdr è difficile) il responsabile del trattamento.
Poiché il Regolamento Privacy dà dignità autonoma allo pseudonimo e poiché per diverse autorità pubbliche si è detto che l'importante è fornire i sistemi per contattarlo (molte PA, per risparmiare, scrivono "il funzionario facente funzione"), è possibile che si possa indicare la voce "Titolare del Trattamento: Quartz".
Maneggiate questa informazione con prudenza, perché non è detto che sia così.

Infatti non è così, sia ai fini delle conseguenze pratiche (esercizio dei diritti dell'interessato) che ai fini teorici e di impostazione generale del regolamento e di requisiti di trasparenza e accessibilità.
La questione dello "pseudonimo" peraltro (con tutti i dubbi già espressi) riguarda l'interessato, non il titolare del trattamento dei dati. E riguarda esclusivamente il quesito se lo pseudonimo in quanto tale rappresenti un dato personale o no, non il fatto che lo pseudonimo sia un identificativo valido quando si tratta di sapere a chi stai mettendo in mano i tuoi dati personali.

Anche perchè il "nickname" è anche qualcosa che diventa identificativo dell'utente solo dopo la registrazione (e il conferimento del consenso al trattamento dei dati), quindi al momento della registrazione non esiste ed è piuttosto dubbio che possa essere preso in considerazione.

Senza contare che i nickname "Loki", "Morgana" o "DarthVader" possono avere valenza identificativa nell'ambito di una singola community ma non hanno alcun valore identificativo al di fuori di essa.