Regolamento UE 2016/679 (privacy)

25/05/2018 22:55:41 e modificato da ilgrandeinverno il 25/05/2018 23:37:18

Ciao a tutti

Se può essere utile a qualcuno che intende imbarcarsi negli adempimenti necessari per la ricezione di un consenso valido da parte di giocatori fra i 14 e i 16 anni, vi linkiamo la modulistica che abbiamo predisposto:

http://www.ilgrandeinverno.it/liberatoria16.php ↗

Si tratta di un modulo in PDF da scaricare e che va compilato e firmato da entrambi i genitori (o dal tutore legale in assenza di questi) e rinviato (scansionato, o fotografato) all'indirizzo email del titolare del trattamento dei dati indicato sull'informativa, assieme a copie dei documenti di identità da entrambi i genitori.

Speravamo ne bastasse uno solo, di genitore, ma é il sito stesso del Garante a parlare esplicitamente al plurale proprio nella guida all'applicazione del regolamento, ed essendo già certi che, ad esempio, per l'autorizzazione all'uso di fotografie di minori occorreva già prima del regolamento UE il consenso scritto di entrambi i genitori, abbiamo adattato in tal senso la modulistica.

Ovviamente al titolare viene rinviata solo la prima pagina (il modulo compilato, crocettato e firmato), la seconda pagina del PDF è solo di spiegazioni/istruzioni e può essere trattenuta dai genitori.

---

NB: La nostra modulistica é valida per i giocatori maggiori di 14 anni e fino ai 16. Dai 16 ai 18 non è necessaria unicamente perchè non prevediamo alcun tipo di profilazione a fini pubblicitari o di promozione commerciale, nè la sottoscrizione di alcun servizio a pagamento, nè la trasmissione a terzi dei dati degli interessati.

Chi ha gadget in vendita, propone formule "freemium", utilizza i dati per finalità di profilazione commerciali o l'invio di proposte pubblicitarie, oppure trasmette a terzi i dati degli utenti, deve attrezzarsi di conseguenza anche per i giocatori tra i 16 e i 18, ai quali è riconosciuta una solo parziale autonomia nel conferire il consenso al trattamento dei dati e sono dove non siano coinvolte finalità commerciali (vendita di servizi a pagamento, profilazione commerciale, trasmissione dei dati a terzi soggetti).

NB 2: E' chiaramente specificato, sia nell'informativa che nella modulistica, che il titolare del trattamento dei dati conserva copia del modulo e dei documenti inviati per un periodo non inferiore a 5 anni dopo il compimento della maggiore età da parte del minore.
Questo per ovvia tutela legale di chi si prende la grana di non fare come alcuni noti social che hanno semplicemente tagliato la testa al toro inibendo l'accesso ai minori, e deve essere in condizione di dimostrare, anche a distanza di tempo ragionevole, di aver proceduto come richiesto nell'ottenere il consenso di un minore (traduzione: non è previsto l'esercizio del "diritto all'oblio/cancellazione dei dati" nel caso delle autorizzazioni trasmesse dai genitori).

NB 3: Va da sè che la modulistica e le copie dei documenti devono essere rinviati indietro da uno degli indirizzi email indicati dai genitori, non dall'indirizzo email del giocatore minore.

---

quota

26/05/2018 00:12:31

Comunque se ci si pensa bene, è una legge formidabile, ora per crearsi un account email/password bisogna aspettare che i genitori mandino i loro documenti al sito.

Ora se io fossi un genitore e volessi tutelare la mia di privacy e non ho proprio l'interesse di inviare i miei dati Personali (quelli seri non ste cagatine email/username xD) in giro sui siti di chiunque XD

Della serie la privacy è importante !

Fortunatamente se uno non tratta davvero dati personali può liberarsi da questa farsa, indicando che il servizio/sito è solo disponibile per i maggiorenni, che poi appunto se non tratti dati personali come, nome cognome età, si può registrare pure il minore.

In futuro probabilmente se vorranno del tutto massacrare il web, ci si registrerà con carta di credito o niente.

quota

26/05/2018 01:22:18 e modificato da ghennadi72 il 26/05/2018 02:43:19

Vero. E' proprio uno dei paradossi della normativa. Per "proteggere" un singolo dato personale di un minore, sulla cui definizione di "dato personale" si potrebbero sollevare legittimi dubbi (l'indirizzo email) si innesca una pantomima che costringe a raccogliere una mole di dati personali dieci volte superiore e riguardante un minimo di due persone, ma più probabilmente tre, anzichè una.

Pantomima giustificata, almeno sulla carta, dalle implicazioni non direttamente legate alla pura e semplice protezione di un dato di per sè quasi sempre innocuo, dell'accesso indiscriminato dei minori ai servizi online e dal modo in cui sono ritenuti (in parte giustamente) soggetti deboli da tutelare, anche se questo si traduce sul piano pratico nello scegliere tra mostruosità pratiche e il farsi furbi e limitarsi a mentire quando si deve dichiarare la propria età.

Un altro paradosso è la puntigliosità con cui si è veluto mettere nero su bianco il diritto all'oblio e alla cancellazione dei dati, senza considerare l'ovvia conseguenza pratica di una procedura di raccolta del consenso per tramite dei genitori: dal momento che se prendo i dati di un minore senza fare i passi previsti violo la normativa e mi espongo a sanzioni amministrative, se non penali, devo essere in grado di dimostrare (quantomeno entro i tempi di prescrizione) che almeno "sul mio lato" ho fatto tutti i passi necessari quando andavano fatti, nel caso mi venisse contestato.

E come faccio se il genitore pretende di esercitare il diritto all'oblio/cancellazione dei dati personali e magari, il giorno dopo che io ho ottemperato e provveduto a cancellarli, decide di denunciarmi perchè suo figlio ha giocato per dei mesi da me, si è preso una sfilza di insufficienze a scuola e mi accusa di averlo lasciato giocare senza passare per il loro consenso?

Situazioni al limite dell'assurdo e con un bassissimo indice di probabilità di verificarsi, indubbiamente.

Ma parlando di sanzioni amministrative e penali anche un rischio dello zero-virgola percento é più che sufficiente a portare all'ovvia conseguenza di escludere i dati raccolti dalla possibilità di esercitare il diritto all'oblio invocando la legittima tutela degli interessi del titolare del trattamento dei dati.

Quindi per trattare e conservare UN dato (di dubbia natura) personale, nel caso di un minore sono costretto, nell'ordine, a:

- Chiedere i dati personali di altre due persone

- Chiedere alle persone in questione di darmi i mezzi per poterle, nei limiti del ragionevole, identificare, ossia copie dei documenti

- Chiedere altri dati personali dell'utente minore, quando a me serviva solo la dannata email

- Inibire preventivamente la possibilità di avvalersi di uno dei tanto sbandierati "nuovi diritti", ossia il famigerato diritto all'oblio, perchè ovviamente non sono così c0g1##e da mettermi in condizione di essere denunciato dal primo genitore pirla che decide di dare la colpa a me se suo figlio ha preso una carrettata di insufficienze stando a giocare in rete fino alle 2 di notte ogni giorno della settimana

Per finire, il risultato di tutta la manfrina sarà che probabilmente 9 minori su 10 si faranno furbi e non dichiareranno di essere minorenni quando si registrano, per evitarsi tutta la trafila. E così siamo tutti contenti.

Ma, appunto, sì: la privacy è importante.

E stavolta non abbiamo neanche la possibilità di dire che è la "solita italianata", perchè l'ha partorita la UE.


Sfortunatamente sulla natura dell'indirizzo email come dato personale c'è ormai una letteratura più che sufficiente.

Possiamo discutere quanto ci pare sull'assurdità della cosa considerando che esitono al mondo migliaia di servizi email gratuiti che non richiedono alcuna forma di autenticazione almeno minimale e che di per sé un indirizzo email non fornisce alcuna informazione sull'identità di chi lo usa.

Il problema é: vuoi trovarti un giorno a doverne discutere davanti a un giudice, non sapendo se avrai di fronte qualcuno con un minimo di competenza su come funziona concretamente la rete o qualcuno che tratta certe materie (es. la natura di un indirizzo email nella pratica quotidiana della "vita in rete") solo da un punto di vista teorico, procedendo per analogia con l'indirizzo di residenza?

Lo so anch'io che la probabilità è minima. Non è in discussione se la cosa sia sensata o assurda, o quanto grandi o quanto piccoli siano i rischi nel caso in cui uno decida di strabattersene.

Se quei rischi non vuoi correrli, ma ti secca anche rinunciare ai giocatori (che dichiarano di essere) minorenni, i passi da seguire sono chiari.

---

quota

26/05/2018 07:00:36

So che l'esempio che hai citato è abbastanza estrema come cosa, anche se non mi stupirei che qualche genitore infervorato possa arrivare a tal punto XD.

Ma la soluzione è semplice secondo me, specifichi nel regolamento che in caso venga chiesta la cancellazione dei dati personali del genitore (io lo farei anche nel caso di un utente che mi chieda la cancellazione della mail) l'account di gioco viene disattivato.

E' nei tuoi diritti di fornitore del servizio farlo.



Questo purtroppo è uno dei problemi maggiori, ed è il motivo per cui consiglio, se non se ne ha proprio bisogno per qualche motivo specifico di salvare i dati in forma anonima o semianonima.

quota

26/05/2018 10:17:46

Si effettivamente.. comunque indubbiamente, per quanto mi riguarda non voglio avere niente a che fare con i minori, quindi indicando che la registrazione al servizio/sito web è puramente per una persona maggiorenne ovviamente si scansa il problema di dover gestire documenti. Ovviamente si indica che in caso se un minore si è registrato all'insaputa bla bla si provvede a rimuovere l'account.

Un po come ha fatto forumfree da quello che ho potuto vedere, ma sappiamo tutti che forumfree non è certo un servizio con maggioranza di maggiorenni. hehe

quota

26/05/2018 17:07:49

Domanda "scema" che però credo possa essere utile anche ad altri gestori:

Il nome utente (il nome del PG, nel caso in cui utente e PG abbiano nomi/accessi differenti) può essere conservato in DB dopo i famosi 180 giorni, fermo restando che venga cancellato qualsiasi dato personale ad esso collegato? (cancellando quindi mail, IP, password ed eventuali altri....)?

Chiedo perché immagino una bacheca scritta negli anni alla quale di colpo vengono a mancare "gli autori".

Non parlo quindi tanto della lista personaggi iscritti, ma i nomi utente/nome e cognome dei PG di chi ha contribuito a scrivere dei post... che siano diari o regolamenti.

Se la domanda ha già una risposta, mi scuso e non mi offendo se mi rispondete: Vai a leggere "lì" :-)

---

quota

26/05/2018 21:42:01 e modificato da ghennadi72 il 26/05/2018 21:52:35

Sì, non è un dato personale, nonostante i dubbi sollevati più indietro nel thread sulla natura di "dato personale" di un semplice nickname, che a differenza di un indirizzo email non è "unico" (Loki85 potrebbe essere Giovannino Persichetti sulla tua land, Biancamaria Sacchetto sulla mia, William Doe su deviantart e Agilulfo Sanpancrazi su gdr-online.com, per intenderci).

Ovviamente non dichiararlo come "dato personale" nell'informativa sottoposta agli utenti all'iscrizione. :)


ps:
A proposito dei "famosi" 180 giorni è bene ricordare che non sono un termine assoluto, se è "famoso" é solo perchè in una delle vecchie versioni del PEL veniva suggerito come termine massimo di conservazione.
E anche perchè in effetti 180 giorni (sei mesi) sono un tempo ragionevole per dare per scontato che se un utente non si è più collegato, lo si può tranquillamente prendere come una manifestazione di disinteresse che giustifica il fare spazio nel database, ma questa è più una questione di gestione razionale di un database che di privacy :-)

In realtà i termini massimi di conservazione dei devono essere proporzionati all'uso che ne viene fatto e alle finalità per cui vengono trattati e conservati. Nessuna delibera del garante n+ legge dello stato ha mai stabilito che i giochi di ruolo online debbano cancellare i dati dopo 6 mesi dal loro ultimo utilizzo, per essere chiari.

Per esempio il Garante ha affermato chiaramente, a quesito posto da una gioielleria dotata anche di shop online, che 10 anni sono un tempo ragionevole e giustificato.

Ovviamente noi non vendiamo gioielli, e ovviamente il gioielliere in questione aveva necessità di tutelarsi considerando la natura delle transazioni online di cui si occupa, ma questo renda l'idea anche del "terrorismo" psicologico che si è fatto in passato sulla presunta necessità di trattenere i dati il meno possibile.

Noi non vendiamo gioielli, appunto, ma alcuni gestori offrono gadget a pagamento e pacchetti premium, quindi si può tranquillamente presumere che per tutelarsi possano specificare tempi ben più lunghi di quelli che venivano suggeriti anni addietro.

La questione chiave è il tempo proporzionato all'uso che viene fatto dei dati, sul quale intervengono anche le questioni di tutela del legittimo interesse di chi raccoglie i dati (parlando chiaro: utenti bannati). L'importante è che i tempi siano chiaramente specificati e compresi dall'utente quando presta il consenso.

---

quota

26/05/2018 22:53:54

Scusate ma l'autorizzazione del genitore non serve solo per i minori di 16 anni e non per i minori in generale?
Anche il modulo di Grande Inverno è per 14/16enni

---

quota

26/05/2018 23:06:06 e modificato da ghennadi72 il 26/05/2018 23:07:10

Esatto.

Può servire nella fascia 16-18 solo nel caso in cui tra le finalità della raccolta dati vi siano profilazione commerciale, cessione dei dati a terzi (ovviamente escluse le eventuali richieste delle autorità competenti) o l'accesso a servizi a pagamento. In quel caso l'espressione del consenso da parte dei genitori é richiesta anche sopra i 16 anni, se no riguarda solo gli under 16.

---

quota

26/05/2018 23:08:54

Ok, grazie, mi stavano venendo dei dubbi.

---

quota