Regolamento UE 2016/679 (privacy)

Regolamento UE 2016/679 (privacy) postato il 09/11/2017 21:10:23 nel forum leggi e legalità e modificato da ilgrandeinverno il 09/11/2017 21:38:13

Ciao a tutti.

Abbiamo pensato di condividere qualche riflessione sull'adeguamento delle informative sulla privacy che utilizziamo nei nostri giochi, alla nuova normativa europea. Con la proverbiale pignoleria che ci contraddistingue ci siamo portati avanti, modificando già la nostra privacy policy, ma ci sono riflessioni, dubbi e soluzioni che condivideremmo volentieri con i colleghi (e in generale con chiunque gestisca blog, community online, ecc potenzialmente chiamati in causa dal cambio di normativa).

Normativa che concede fino al 18 Maggio 2018 come termine ultimo per adeguarsi alle nuove disposizioni.

Link al Regolamento UE 2016/679 "Regolamento europeo in materia di protezione dei dati personali"
http://www.garanteprivacy.it/regolamentoue ↗

Il link è al sito del Garante per la Privacy, in quanto contiene già tutta una serie di riferimenti (incluso il link al regolamento integrale)

Il consiglio che diamo ai colleghi gestori (ma è estensibile anche a titolari di blog e portali come questo) è di non attendere la sera del 17 Maggio dell'anno prossimo per pensare a come adeguare le proprie regole di raccolta, trattamento, conservazione e protezione dei dati.

In sostanza va in pensione il caro vecchio buon D.Lgs. 196/2003 che per quasi 15 anni ha "protetto" la riservatezza dei dati personali e sensibili.

Dal punto di vista puramente sostanziale, nella raccolta e gestione dei dati personali degli utenti, per i gestori (e incaricati abilitati) di giochi come i nostri, le cose non cambieranno moltissimo, ma le nuove regole richiedono formulazioni diverse delle finalità di raccolta & trattamento dei dati, alcune scelte ed espressioni esplicite di consenso che "un tempo" si potevano dare per implicite e dichiarazioni aggiuntive sulle politiche di sicurezza dei dati trattati e conservati.

Oltre ad alcuni termini più stringenti per l'esercizio dei diritti dell'interessato e termini più stringenti applicati al consenso prestato dai minori (che sarà interessante vedere come verrà applicato nel mercato delle APP ludiche per smartphone) e per finire una dichiarazione più precisa delle figure abilitate a trattare i dati personali raccolti oltre al titolare.

Nel portarci avanti, ai nostri utenti abbiamo chiarito subito che si tratterà di una transizione, perchè il voluminoso regolamento presenta non pochi punti problematici per chi vuole applicarlo a realtà online, amatoriali e non.

Il sito del Garante per la Privacy ha già pubblicato degli ottimi ed interessanti "manuali" su quello che cambia e come gestire la transizione, ma l'accento è ovviamente posto sulle grandi aziende e le pubbliche amministrazioni.

Per avere la mole di chiarimenti, pronunciamenti e raccomandazioni oggi esistenti e disponibili per il vecchio codice, a cui ispirarsi per tracciare in sicurezza le nostre privacy policy, bisognerà attendere.
Quindi è bene specificare che le regole saranno via via adeguate ogni qualvolta il Garante fornirà ulteriori pronunciamenti sui criteri di applicazione pratica, gettando un occhio anche al vastissimo mondo delle community online e non solo alle grandi aziende, pubbliche amministrazioni e colossi della rete come Google, Facebook o Amazon (che per carità, hanno ovviamente la precedenza).

Consigliamo di dare una lettura non solo al Regolamento in sé, ma anche al lungo elenco delle motivazioni, pubblicato in testa al documento, che chiarisce anche il perchè di certe scelte e dà sicuramente un indizio dell'approccio che adotteranno gli stati nazionali e le autorità nazionali nel fornire ulteriori raccomandazioni e chiarimenti su materie che al momento sono espresse in modo generico.

Qualcun altro ha già iniziato a metterci mano e farsi un'idea? Esperienze, dubbi, perplessità, soluzioni che vi va di condividere?

---

quota

09/11/2017 22:32:31

Partendo dal presupposto che si parla di quelle famose informative che nessuno legge mai (Privacy Policy e Disclaimer dei siti web) in linea di massima sarebbe sufficiente aggiornare quelle.

Il vero problema, per moltissimi GDR, è rispettarle.

A prescindere dal documentino che può essere o non essere aggiornato, ci sono gdr che passano ancora i dati in chiaro. Gdr che nelle newsletters mostrano l'elenco degli altri mittenti e via discorrendo.

Non ha senso adoperarsi ad aggiornare il disclaimer quando, registrandosi, si ha il dubbio che la propria password venga inserita in chiaro nel database.

Ora, a prescindere dall'inadeguatezza di alcuni sistemi attualmente online, si ritorna sempre al solito discorso, un sito web chiuso, accessibile tramite registrazione, deve in qualche modo garantirsi protezione ed un mezzo per allontanare individui non graditi.

L'imposizione di dover dichiarare una tempistica chiara che indica per quanto tempo verranno conservati i dati lascia il tempo che trova.

Chi può, e come, determinare se, dopo un determinato lasso di tempo il sistema ha conservato i dati che avrebbe dovuto cancellare ?

Spostare quei dati in un db esterno dopo averli cifrati, equivale a conservarli ? O la stessa cifratura, logicamente, li trasforma in dati diversi da quelli passati dall'utente ?

L'obbligo di dover dichiarare, in una pagina pubblica, i dati personali del titolare del trattamento dei dati e di chi è preposto alla loro sicurezza, non è una violazione della stessa privacy del titolare ?

Detto questo, è un discorso che lascia il tempo che trova, normalmente l'utente inserisce Email e Password, una volta cifrate entrambe sono e rimangono un mucchietto di byte inutilizzabili. Dubito si possa reclamare la paternità di un nickname, per cui, salvo la richiesta di diritto all'Oblio, anche con questo nuovo decreto la solfa cambierà poco.

quota

10/11/2017 00:00:47 e modificato da ilgrandeinverno il 10/11/2017 00:02:12

Ottime domande Raysmoke e vedo che hai centrato alcuni dei punti critici, non solo del nuovo regolamento ma anche della normativa precedente.

Il discorso sulle manchevolezze tecniche e quella che è poi la disattenzione che porta a vanificare la meglio scrita delle informative è vero, ma in generale conviene partire dall'assunto che il gestore farà il possibile per rispettare quello che scrive.

Peraltro se già usando il classico link di recupero della password, ti viene rimandata indietro la password in chiaro, anzichè una generata a caso o una richiesta di impostarne una nuova, si ha la certezza, altro che il dubbio, che la password viene salvata in chiaro o comunque mascherata in modo ridicolmente fragile, tipo con base encode 64 e simili -___-

Le newsletter via mail con gli indirizzi in chiaro sono anche peggio ovviamente.

Venendo alle questioni serie. Per quanto riguarda i tempi di conservazione il problema non sono tanto i tempi, che basta siano chiaramente dichiarati. Quanto quello che succede quando l'utente richiede la cancellazione/oscuramento dei dati. Richiesta che per la vecchia normativa poteva essere avanzata dove vi fosse un "trattamento illecito" degli stessi (si dimenticavano sempre l'esistenza di questa condizione). Purtroppo la dicitura è sparita dal nuovo regolamento, anche se qualche legittimo workaround basato sul legittimo interesse del titolare del servizio permette di trovare un buon compromesso tra le necessità del gestore e la volontà dell'utente che vuole essere "dimenticato".

Per i tempi di conservazione, considera che anche con la vecchia normativa i tempi di conservazione, anche in assenza di riutilizzo del servizio, potevano essere molto lunghi. Molto più lunghi di quello che si consigliava qui, dove ai gestori veniva detto (non si è mai capito sulla base di cosa) che i dati potevano essere conservati per massimo sei mesi dopo l'ultimo utilizzo da parte dell'utente.

Ci sono risposte esplicite del Garante a quesiti altrettanto specifici che chiariscono senza margine di dubbio che il periodo di conservazione deve essere commisurato alle esigenze di funzionamento del servizio in questione.
C'è per esempio il caso di un pronunciamento su una contestazione che ha riguardato il sito internet di una nota gioielleria. Il garante ha chiarito che per le esigenze tecniche del servizio il periodo di conservazione, a prescindere che l'utente registrato al sito usasse o meno l'account, poteva arrivare anche a 10 anni.

Questo anche per dire quanto "terrorismo" si sia fatto nei confronti dei gestori, ventilando inesistenti obblighi a cancellare i dati il prima possibile, solo per dar retta alle fregole di qualche complessato che ha scambiato i gestori per il regime della repubblica popolare cinese.

Il problema dei tempi di conservazione nel caso di un ban perpetuo, in particolare, trova risposta nella natura stessa dell'esigenza tecnica e nella necessità di renderlo efficace. Tanto per dirne una.

---

quota

10/11/2017 00:54:50

Per quanto questo punto sia, purtroppo, vero, mi sembra che il post de ilgrandeinverno sia encomiabile. Un aiuto in più offerto a quei gestori che ci tengono veramente al rispetto delle regole, delle normative e delle leggi.

Se poi c'è chi preferisce ignorarle o aggiorna solamente il proprio "disclaimer", amen, lo fa a proprio rischi e pericolo.

Il consiglio solito per gli utenti è: SE pensate che un sito (un GdR o qualsiasi altro sito) non rispetti i vostri diritti in materia di privacy e sicurezza informatica NON vi iscrivete o fatelo consci dei rischi che correte.

---

quota

10/11/2017 00:59:00

In caso di ban perpetuo già conserviamo i dati vita natural durante. Al momento è tutto cifrato tramite sha1, con la versione 2.0 ed il passaggio a laravel, se non ricordo male, la cifratura nativa del FW è AES256.

Insomma, direi più che sufficiente per un PBC.

In più, già viene garantito all'utente in fase di accettazione che i dati personali non verranno mai forniti a terze parti ne usati per scopi che vadano oltre il saltuario invio di comunicazioni tramite mail (cosa che alla fine, neppure facciamo).

Purtroppo tutta la faccenda verte sempre verso un aspetto legale che quasi nessuno è intenzionato a seguire. Un'eventuale richiesta di diritto all'oblio, avanzata da un utente che per vari motivi è stato allontanato in maniera perpetua dal portale va a creare una situazione di stallo in cui entrambi fanno valere i propri diritti.

Ma finché il tutto non si porta davanti ad una figura imparziale che possa decretare chi dei due abbia torto o ragione, si finisce con il ridurre tutto a misere chiacchiere da bar.

Insomma, per quanto importante sia la questione privacy, purtroppo allo stato attuale delle cose, lascia molto il tempo che trova.

Quoto sgt. Carter sulla qualità del post aperto, anche se tuttavia dubito diventerà un argomento "caldo".

quota

10/11/2017 01:41:09 e modificato da ilgrandeinverno il 10/11/2017 01:41:28

Prescindendo dal fatto che quasi tutti gli argomenti che trattiamo qui non sono diversi da chiacchiere da bar e meno male, perchè teoricamente qui ci stiamo per parlare di gioco, se intendi dire che fin quando tu, gestore generico, non sei e non sarai denunciato la questione ha poco peso, perdonami, non è un ragionamento coerente.

Partendo da quest'assunto (ovvero: quale sfigatissimo giocatore/gestore sosterrà mai i costi di una denuncia per violazione della privacy?) tutto, incluso il plagio, l'utilizzo indebito di loghi, il diritto d'autore e di immagine, la diffusione di corrispondenza privata viene a cadere, inclusi decine di thread in cui questo o quell'utente lamentano queste violazioni e che sono ben altro che "freddi".

Ti faccio presente che in questo contesto, negli anni, ho visto comportamenti aberranti che spesso hanno portato in campo anche genitori o case editrici, che qualche soldino in più per trascinare in giudizio la gente ce l'hanno.

E allora è un dovere di qualsiasi portale e qualsiasi comunità che pretendano di offrire un servizio su internet quanto meno garantire l'informazione sulla legge in materia e cercare di impegnarsi lavorando per offrire dei servizi che la rispettino, secondo noi.

E specifico che diverse persone ci hanno chiesto, in questi anni, di usare sia la nostra privacy policy che aspetti del regolamento, strettamente legati a questioni legali: quindi questo interesse, magari non viene espresso in pubblico, ma in privato certamente c'è chi se ne preoccupa.

Per noi il problema non è sollevare "argomenti caldi" ma utili e rendere chiaro che se serve, la disponibilità a dare una mano o a fornire materiale, c'è.

---

quota

10/11/2017 01:47:41

No, in realtà era un velato attacco al modo di gestire questo tipo di controversie. XD

Scrivere che il sistema giudiziario della nostra amata nazione fa schifo mi sembrava troppo diretto <_<'

quota

10/11/2017 01:49:16

Epperò una marea di gente chiede di giocare l'avvocato, il notaro, il giudice.
Magari, col gioco di ruolo, qualche Inquisitore decente c'esce fuori anche in Real. ☕

---

quota

10/11/2017 02:09:17

Piccolo tecnicismo:

Dati come li salvate ora con crittografia monodirezionale dovrebbero (e dico dovrebbero eprchè qui ci sono interpretaizoni differenti) diventare dati anonimi e quindi non essere più soggetti alle norme sul trattamento dei dati personali. Eventualmente dopo discutiamo sul tipo di dato

Dati salvati nel nuovo modo con crittografia bidirezionale invece sono dati pseudoanonimi potendo essere decriptati e quindi sono sottoposti alla stessa normativa pe rilt rattamento dei dati personali.

Perchè ho detto eventualmente parliamo del tipo di dati a cui appartengono quelli del primo caso. Perchè qui la materia è un po' fumosa, perchè esempio di una mail hashata con sha-1, sha-512 o simili, il confronto con una mail inserita al momento dell'iscrizione per vedere se si tratta di una mail bannata potrebbe essere fatto confrontando gli hash di quella bannata con l'hash di quella inserita e quindi alcune fonti definiscono un hash come un dato anonimo, altri come pseudoanonimo anche quello.

A questo si aggiunge poi il discorso trattamento basato su legittimi interessi, ove si contrappone il legittimo interesse del titolare del trattamento nella conservazione dei dati contro quello dell'interessato a volerne la cancellazione anche se questi in una situaizone del genere e il chi abbia ragione dipende da chi si occupa di una controversia del genere.



Una denuncia per un reato penale (bruttissima dicitura lo so ma era per far capire cosa intendo) non ha costi.
Eventuali costi sono per avvocati/periti in caso di procedimenti civili.

quota

10/11/2017 02:17:53

Quindi se uno volesse "lavarsene" le mani e avere "le spalle coperte" è preferibile optare per una monodirezionale ?

Li metto tra virgolette specificando che non è quella l'intenzione dietro la domanda, ma pura informazione accademica.

quota

10/11/2017 02:39:01 e modificato da dyrr il 10/11/2017 02:46:49

Volendo avere le spalle coperte si l'hash di una crittografia monodirezionale è più sicura per diversi motivi e in diverse situaizoni.

C'è da dire che questa differenza tra dati anonimi, pseudoanonimi e recente e in continua evoluzione, vedi per esempio il fatto che alcune fonti considerano un ash monodirezionale anonimo, altre pseudoanonimo, e che il testo del nuovo regolamento è ancora acerbo riguardo la cosa.

Se dovessi fare una land nuova crittograferei mail e ip come hash non solo per i ban ma anche per gli account normali, tanto per i controlli che devo fare sugli ip mi basta sapere se due ip sono uguali, quindi confronto tra hash e non quale è l'ip. non devo geolocalizzarlo o altro. Per quanto riguarda la mail stessa cosa tanto pe ril recupero pass mi basta chiedere al giocatore di inserire mail e nome del pg/user con cui si è registrato, far eil confronto degli hash delle due email e se coincidono spedire la mail all'indirizzo inserito dall'utente. diverso è il caos in cui io dovessi usare la mail di registrazione per una newsletter, in quel caso per forza dovrei affidarmi ad una bidirezionale.

quota

Rolenet

Intervista a Lindy di Rolenet il social network dei GdR!

Kyudo

Gli otto movimenti del Kyudo... l'arte Giapponese dell'arco!

Migliorare il WiFi

Scopri come migliorare la rete WiFi di casa per giocare online senza lag!

Diffusione dei GdR

Articolo sulla diffusione giochi di ruolo dello Strategia Blog