Regolamento UE 2016/679 (privacy)

06/05/2018 21:43:48 e modificato da staff em il 06/05/2018 21:44:48

Diciamo che il nuovo GDPR è abbastanza chiaro su questo argomento. Fissa l'età, in cui non si può esprimere il consenso in rete, dai 13 anni ai 16 anni, lasciando poi libero ciascun paese, aderente al SEE di decidere l'età. Esempio, la Spagna ha già scelto per i 14 anni a posto dei 16. In Italia non si è ancora fatta chiarezza o presa una decisione in merito. I 16 anni sono una tutela, ovviamente, ma è un peccato escludere da giochi, come i nostri, i più piccoli.

---

quota

10/05/2018 15:56:43 e modificato da kanade tachibana il 10/05/2018 15:58:40

Il massimo è essere obbligati a fornire una carta di credito per verificare l'età. (la privacy è diventato uno slogan) e per fare cosa? creare un account su un sito XD

Si stava meglio quando si stava peggio (tipo quando i politici e company non si interessavano di internet)

quota

10/05/2018 19:14:42 e modificato da quartz il 10/05/2018 19:15:48

Personalmente non sono per nulla preoccupato e quindi spero non lo siano neppure quelli che leggono qui :-)

Sul "non rientriamo in alcuna categoria" non sono d'accordo. La categoria alla quale si applica il Regolamento è tutti coloro che raccolgono dati personali. Siccome la mail è un dato personale e non ho mai visto un GDR che non la chieda per l'iscrizione, rientriamo nella categoria.
L'unica esenzione c'è per chi raccoglie dati personali per uso esclusivamente personale o domestico, cosa nella quale non rientra il PBC, come avevo se non sbaglio anche già scritto.


Condivido in pieno l'idea che probabilmente nessuno molesterà il gestore di PBC sull'argomento gestione dati personali, perché poco pratico e troppo costoso per una ripicchetta. Però ci sono persone a cui piace essere a posto ed ordinati a prescindere e che, se lo sforzo non è eccessivo, sono contenti di mettersi in regola con poco.
Inoltre probabilmente non è certamente e, nell'eventualità, è sempre meglio essere a posto. Tanto più che la cosa più "pesante" da implementare sono probabilmente le misure di sicurezza per proteggere il sito, ma che sono più o meno le stesse che servono per evitare che qualcuno entri nel tuo gioco e lo cancelli o lo riempia di insulti alla tua persona (il tu qui è generico). Quindi è altamente consigliabile che tu usi queste misure di sicurezza, perché se la denuncia al Garante o la causa in Tribunale è rara, l'hackeraggio di un GDR è invece una cosa estremamente comune.


P.s.: non mi sono dimenticato di aggiornare l'articolo originale, ma siccome sto lavorando con un informatico a qualcosa di non troppo lontano, sto aspettando il momento giusto per chiedergli qualche chiarimento e così scrivere un po' meglio di quelle cose delle quali, onestamente, non capisco nulla

---

quota

10/05/2018 21:17:10

La chiarezza l'ha fatta l’Autorità garante per l’infanzia e l’adolescenza nel parere inviato al Governo in merito allo schema di decreto in prossima uscita.
L'età minima per l'espressione autonoma del consenso ai dati personali all'atto dell'iscrizione a qualsiasi servizio digitale online resta 16 anni.

Prevedibile, considerando che in Italia, persino l'autorizzazione a foto o video, nelle scuole, abbisogna della firma dei genitori sotto (addirittura) ai 18 anni.

La Spagna, nel 2014 ha agito alzando la media allora osservata (13) e ben prima che intervenisse il regolamento in questione, a 14. Credo quindi, che considerando l'orientamento protezionistico, alzeranno a breve anche loro.

---

quota

10/05/2018 21:52:53 e modificato da staff em il 10/05/2018 21:54:11

Da quello che ho letto ai primi di maggio non è che sia così certo che il limite dei 16 anni resti. A mio avviso rivedranno ancora o quanto meno ci spero! 😏

---

quota

11/05/2018 02:12:34 e modificato da ilgrandeinverno il 11/05/2018 02:16:44

E' difficile, purtroppo. Perchè di fatto, almeno nel nostro paese, andrebbe in contraddizione con altri aspetti della privacy vigenti che continuano a considerare i 18 anni come limite prefissato dalla legge per il consenso. ;-)

---

quota

11/05/2018 09:15:50 e modificato da dyrr il 11/05/2018 09:20:20

Anche l'ip non è sempre un dato personale o meglio lo diventa quando:



L'esempio lampante di questo è come, nonostante il log degli accessi ad ogni elemento di un sito web di apache salvi l'ip in ogni sua entrata ma l'host condiviso non è in grado di incrociare l'ip con un nominativo, questo non è un dato personale trattato per loro.

quota

11/05/2018 10:38:28 e modificato da kanade tachibana il 11/05/2018 10:41:35

Ho visto che ad esempio forum free nella pagina della privacy ha specificato che il loro servizio è riservato a solo chi ha compiuto 18 anni.

Quindi semplicemente in questo modo si scavalca il problema di dover eventualmente avere a che fare con il consenso dei genitori recapitato via email (pensate appunto per quei siti che hanno registrazioni giornaliere nell'ordine di numeri con 3 zeri)
Cosa diventa una registrazione manuale, vogliamo sfiorare il ridicolo?
Anche le email temporanee non dovrebbero essere un problema in questo caso.
Tanto per essere chiari, chi si registra ad un sito come forumfree (dove sappiamo tutti, che la maggioranza degli iscritti è minorenne) davvero credono che con questo regolamento chiederanno il consenso ai genitori? Ma se neanche gli adulti leggono i regolamenti in fase di creazione dell'account.

In un momento storico dove tutti ormai sono abituati ad usare uno smartphone e fare tutto in modo rapido, pensano davvero che la gente si ferma a leggere ste stronzate XD
È stato un modo ottimale per mettere alla strette i gestori di portali e siti web, questo senza dubbio.

Abbiamo visto la normativa sui cookies, serviva davvero infestare il web con quella barra di spam? Semplicemente no, esistono funzioni apposite nel browser di navigazione.

quindi non è un problema se tracci i visitatori sul tuo portale

quota

12/05/2018 15:40:43

Vorrei chiedere una informazione direttamente ai gestori del portale GDR ONLINE nonché ai principali gestori di giochi di ruolo qui presenti.
Mi scuso se tale domanda sia già stata posta in precedenza, ma mi sto un attimo perdendo tra le pagine.

Noi stiamo aggiornando l'informativa privacy sul nostro portale. In merito alle nuove prescrizioni, come noto, vi è la necessità di indicare il Titolare del Trattamento dei dati.
Ho avuto modo di vedere che Grande Inverno ha individuato il nome preciso del Trattamento dei Dati, mentre dall'informativa privacy di GDR ONLINE non si deduce il nome del titolare del trattamento bensì esclusivamente l'indirizzo di contatto.

Secondo voi, possiamo anche noi attenerci esclusivamente ad inserire l'indirizzo mail del titolare del trattamento ( magari individuandolo con lo psudonimo/nickname all'interno del gioco) oppure siamo obbligati a rendere il nome e cognome pubblicamente visibile dalla nostra Informativa?

Grazie per la risposta!

---

quota

13/05/2018 04:24:59 e modificato da ghennadi72 il 13/05/2018 16:52:07

Considerando n.39
[...]
Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.
[...]

---------

Considerando n.42:
[...]
Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
[...]

---------

Articolo 13
Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (C60-C62)
1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
[...]

---------

Articolo 14
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato (C60-C62)
1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

---------


Direi che la risposta é no. In generale, non bastassero gli articoli e i consideranda che ti ho quotato, ci si può arrivare benissimo "a senso", al perchè un semplice indirizzo email non può essere indicato come Titolare del Trattamento dei Dati.
Questa soluzione viola gravemente il principio di trasparenza sul quale il regolamento punta parecchio.

E' invece esclusa (in realtà neanche con la vecchia normativa esistevano obblighi in tal senso) la "necessità" (cfr. vecchie formulazioni del PEL) di indicare anche recapiti fisici del titolare del trattamento dei dati.

Ossia: l'indirizzo email va benissimo come "dato di contatto" ma non dà all'interessato la necessaria informazione sull'identità di chi tratta i dati.

Più esplicito ancora: l'interessato deve sapere a chi sta affidando i suoi dati personali e un indirizzo email non è un "chi" ma un recapito. L'interessato non ha alcun modo di sapere chi accede a quell'indirizzo email, se solo l'ignoto titolare, sua madre, suo cugino, la sua fidanzata, il suo gatto o un intero gruppo di persone che usano quell'indirizzo in modo condiviso.

Dall'indirizzo email si può comunque risalire al titolare, eventualmente tramite il provider e tramite pubbliche autorità?

E' irrilevante, perchè è dovere del titolare (vedi sopra, articoli e consideranda) fornire all'interessato le informazioni richieste nel modo più chiaro, comprensibile, trasparente e accessibile, non costringerlo a rivolgersi a terzi o ad andare per tentativi per sapere a chi ha affidato i suoi dati personali.

E un'altra grave violazione è che privando l'interessato dell'informazione sull'identità del titolare del trattamento dei dati, si ostacola l'esercizio dei diritti dell'interessato, anzichè agevolarlo (che è un altro degli doveridel titolare definiti in modo chiarissimo dal regolamento).

Ad esempio volendo presentare un ricorso, un reclamo o una segnalazione al garante, uno dei dati che è necessario fornire è proprio l'identità del Titolare per il quale si presenta un ricorso/reclamo/segnalazione

Dal sito del Garante:



nb: questo problema c'è anche al contrario, visto che in genere noi bastardissimi gestori ci accontentiamo di chiedere un indirizzo email senza poterlo effettivamente associare ad alcuna persona fisica univocamente identificabile, tant'è che un utente bannato si ritrova col ban sull'indirizzo email ma può benissimo ripresentarsi 5 minuti dopo con un altro indirizzo email (al punto da generare più che qualche legittimo dubbio sulla natura di "dato personale" di un indirizzo email puro e semplice, magari temporaneo, magari attivato tramite servizi che non prevedono alcuna effettiva "autenticazione" del richiedente, e che non viene associato, lato gestore, ad alcuna persona fisica).

E' ingiusto? Può esporre il titolare del trattamento dei dati (tipicamente: il gestore) a grattacapi, noie, spam, seccature e persecuzioni dall'idiota di turno che comincia a farsi i ca##i tuoi cercandoti su facebook, sull'elenco telefonico, ecc?
Sì, considerando che a noi gestori viene "idealmente" richiesto persino di dichiarare quale mano usiamo per grattarci il naso e a giustificare se e quanto a lungo tratteniamo un indirizzo email di un utente bannato, è tremendamente ingiusto.
Ma a termini di regolamento così stanno le cose.

Ps: credo che questo valga anche come risposta al "vademecum" suggerito da quartz:


Infatti non è così, sia ai fini delle conseguenze pratiche (esercizio dei diritti dell'interessato) che ai fini teorici e di impostazione generale del regolamento e di requisiti di trasparenza e accessibilità.
La questione dello "pseudonimo" peraltro (con tutti i dubbi già espressi) riguarda l'interessato, non il titolare del trattamento dei dati. E riguarda esclusivamente il quesito se lo pseudonimo in quanto tale rappresenti un dato personale o no, non il fatto che lo pseudonimo sia un identificativo valido quando si tratta di sapere a chi stai mettendo in mano i tuoi dati personali.

Anche perchè il "nickname" è anche qualcosa che diventa identificativo dell'utente solo dopo la registrazione (e il conferimento del consenso al trattamento dei dati), quindi al momento della registrazione non esiste ed è piuttosto dubbio che possa essere preso in considerazione.

Senza contare che i nickname "Loki", "Morgana" o "DarthVader" possono avere valenza identificativa nell'ambito di una singola community ma non hanno alcun valore identificativo al di fuori di essa.

---

quota

Il PbC in Cifre

Analisi statistica sul play by chat nell'anno 2011 ricavato da osservazione amtematica delle presenze

Le donne di Tolkien

Il Professor T. e le donne. Il femminile nel mondo e nelle opere di J.R.R. Tolkien

Mondomago

Recensione di Mondomago gioco di ruolo online ambientato nel mondo di Harry Potter

Galadriel

Lo Specchio di Galadriel e l'immaginario femminile nell'opera di Tolkien