Regolamento UE 2016/679 (privacy) postato il 09/11/2017 21:10:23 nel forum leggi e legalità e modificato da ilgrandeinverno il 09/11/2017 21:38:13
Ciao a tutti.
Abbiamo pensato di condividere qualche riflessione sull'adeguamento delle informative sulla privacy che utilizziamo nei nostri giochi, alla nuova normativa europea. Con la proverbiale pignoleria che ci contraddistingue ci siamo portati avanti, modificando già la nostra privacy policy, ma ci sono riflessioni, dubbi e soluzioni che condivideremmo volentieri con i colleghi (e in generale con chiunque gestisca blog, community online, ecc potenzialmente chiamati in causa dal cambio di normativa).
Normativa che concede fino al 18 Maggio 2018 come termine ultimo per adeguarsi alle nuove disposizioni.
Link al Regolamento UE 2016/679 "Regolamento europeo in materia di protezione dei dati personali"
http://www.garanteprivacy.it/regolamentoue
Il link è al sito del Garante per la Privacy, in quanto contiene già tutta una serie di riferimenti (incluso il link al regolamento integrale)
Il consiglio che diamo ai colleghi gestori (ma è estensibile anche a titolari di blog e portali come questo) è di non attendere la sera del 17 Maggio dell'anno prossimo per pensare a come adeguare le proprie regole di raccolta, trattamento, conservazione e protezione dei dati.
In sostanza va in pensione il caro vecchio buon D.Lgs. 196/2003 che per quasi 15 anni ha "protetto" la riservatezza dei dati personali e sensibili.
Dal punto di vista puramente sostanziale, nella raccolta e gestione dei dati personali degli utenti, per i gestori (e incaricati abilitati) di giochi come i nostri, le cose non cambieranno moltissimo, ma le nuove regole richiedono formulazioni diverse delle finalità di raccolta & trattamento dei dati, alcune scelte ed espressioni esplicite di consenso che "un tempo" si potevano dare per implicite e dichiarazioni aggiuntive sulle politiche di sicurezza dei dati trattati e conservati.
Oltre ad alcuni termini più stringenti per l'esercizio dei diritti dell'interessato e termini più stringenti applicati al consenso prestato dai minori (che sarà interessante vedere come verrà applicato nel mercato delle APP ludiche per smartphone) e per finire una dichiarazione più precisa delle figure abilitate a trattare i dati personali raccolti oltre al titolare.
Nel portarci avanti, ai nostri utenti abbiamo chiarito subito che si tratterà di una transizione, perchè il voluminoso regolamento presenta non pochi punti problematici per chi vuole applicarlo a realtà online, amatoriali e non.
Il sito del Garante per la Privacy ha già pubblicato degli ottimi ed interessanti "manuali" su quello che cambia e come gestire la transizione, ma l'accento è ovviamente posto sulle grandi aziende e le pubbliche amministrazioni.
Per avere la mole di chiarimenti, pronunciamenti e raccomandazioni oggi esistenti e disponibili per il vecchio codice, a cui ispirarsi per tracciare in sicurezza le nostre privacy policy, bisognerà attendere.
Quindi è bene specificare che le regole saranno via via adeguate ogni qualvolta il Garante fornirà ulteriori pronunciamenti sui criteri di applicazione pratica, gettando un occhio anche al vastissimo mondo delle community online e non solo alle grandi aziende, pubbliche amministrazioni e colossi della rete come Google, Facebook o Amazon (che per carità, hanno ovviamente la precedenza).
Consigliamo di dare una lettura non solo al Regolamento in sé, ma anche al lungo elenco delle motivazioni, pubblicato in testa al documento, che chiarisce anche il perchè di certe scelte e dà sicuramente un indizio dell'approccio che adotteranno gli stati nazionali e le autorità nazionali nel fornire ulteriori raccomandazioni e chiarimenti su materie che al momento sono espresse in modo generico.
Qualcun altro ha già iniziato a metterci mano e farsi un'idea? Esperienze, dubbi, perplessità, soluzioni che vi va di condividere?
09/11/2017 22:32:31
Partendo dal presupposto che si parla di quelle famose informative che nessuno legge mai (Privacy Policy e Disclaimer dei siti web) in linea di massima sarebbe sufficiente aggiornare quelle.
Il vero problema, per moltissimi GDR, è rispettarle.
A prescindere dal documentino che può essere o non essere aggiornato, ci sono gdr che passano ancora i dati in chiaro. Gdr che nelle newsletters mostrano l'elenco degli altri mittenti e via discorrendo.
Non ha senso adoperarsi ad aggiornare il disclaimer quando, registrandosi, si ha il dubbio che la propria password venga inserita in chiaro nel database.
Ora, a prescindere dall'inadeguatezza di alcuni sistemi attualmente online, si ritorna sempre al solito discorso, un sito web chiuso, accessibile tramite registrazione, deve in qualche modo garantirsi protezione ed un mezzo per allontanare individui non graditi.
L'imposizione di dover dichiarare una tempistica chiara che indica per quanto tempo verranno conservati i dati lascia il tempo che trova.
Chi può, e come, determinare se, dopo un determinato lasso di tempo il sistema ha conservato i dati che avrebbe dovuto cancellare ?
Spostare quei dati in un db esterno dopo averli cifrati, equivale a conservarli ? O la stessa cifratura, logicamente, li trasforma in dati diversi da quelli passati dall'utente ?
L'obbligo di dover dichiarare, in una pagina pubblica, i dati personali del titolare del trattamento dei dati e di chi è preposto alla loro sicurezza, non è una violazione della stessa privacy del titolare ?
Detto questo, è un discorso che lascia il tempo che trova, normalmente l'utente inserisce Email e Password, una volta cifrate entrambe sono e rimangono un mucchietto di byte inutilizzabili. Dubito si possa reclamare la paternità di un nickname, per cui, salvo la richiesta di diritto all'Oblio, anche con questo nuovo decreto la solfa cambierà poco.
10/11/2017 00:00:47 e modificato da ilgrandeinverno il 10/11/2017 00:02:12
Ottime domande Raysmoke e vedo che hai centrato alcuni dei punti critici, non solo del nuovo regolamento ma anche della normativa precedente.
Il discorso sulle manchevolezze tecniche e quella che è poi la disattenzione che porta a vanificare la meglio scrita delle informative è vero, ma in generale conviene partire dall'assunto che il gestore farà il possibile per rispettare quello che scrive.
Peraltro se già usando il classico link di recupero della password, ti viene rimandata indietro la password in chiaro, anzichè una generata a caso o una richiesta di impostarne una nuova, si ha la certezza, altro che il dubbio, che la password viene salvata in chiaro o comunque mascherata in modo ridicolmente fragile, tipo con base encode 64 e simili -___-
Le newsletter via mail con gli indirizzi in chiaro sono anche peggio ovviamente.
Venendo alle questioni serie. Per quanto riguarda i tempi di conservazione il problema non sono tanto i tempi, che basta siano chiaramente dichiarati. Quanto quello che succede quando l'utente richiede la cancellazione/oscuramento dei dati. Richiesta che per la vecchia normativa poteva essere avanzata dove vi fosse un "trattamento illecito" degli stessi (si dimenticavano sempre l'esistenza di questa condizione). Purtroppo la dicitura è sparita dal nuovo regolamento, anche se qualche legittimo workaround basato sul legittimo interesse del titolare del servizio permette di trovare un buon compromesso tra le necessità del gestore e la volontà dell'utente che vuole essere "dimenticato".
Per i tempi di conservazione, considera che anche con la vecchia normativa i tempi di conservazione, anche in assenza di riutilizzo del servizio, potevano essere molto lunghi. Molto più lunghi di quello che si consigliava qui, dove ai gestori veniva detto (non si è mai capito sulla base di cosa) che i dati potevano essere conservati per massimo sei mesi dopo l'ultimo utilizzo da parte dell'utente.
Ci sono risposte esplicite del Garante a quesiti altrettanto specifici che chiariscono senza margine di dubbio che il periodo di conservazione deve essere commisurato alle esigenze di funzionamento del servizio in questione.
C'è per esempio il caso di un pronunciamento su una contestazione che ha riguardato il sito internet di una nota gioielleria. Il garante ha chiarito che per le esigenze tecniche del servizio il periodo di conservazione, a prescindere che l'utente registrato al sito usasse o meno l'account, poteva arrivare anche a 10 anni.
Questo anche per dire quanto "terrorismo" si sia fatto nei confronti dei gestori, ventilando inesistenti obblighi a cancellare i dati il prima possibile, solo per dar retta alle fregole di qualche complessato che ha scambiato i gestori per il regime della repubblica popolare cinese.
Il problema dei tempi di conservazione nel caso di un ban perpetuo, in particolare, trova risposta nella natura stessa dell'esigenza tecnica e nella necessità di renderlo efficace. Tanto per dirne una.
10/11/2017 00:54:50
10/11/2017 00:59:00
In caso di ban perpetuo già conserviamo i dati vita natural durante. Al momento è tutto cifrato tramite sha1, con la versione 2.0 ed il passaggio a laravel, se non ricordo male, la cifratura nativa del FW è AES256.
Insomma, direi più che sufficiente per un PBC.
In più, già viene garantito all'utente in fase di accettazione che i dati personali non verranno mai forniti a terze parti ne usati per scopi che vadano oltre il saltuario invio di comunicazioni tramite mail (cosa che alla fine, neppure facciamo).
Purtroppo tutta la faccenda verte sempre verso un aspetto legale che quasi nessuno è intenzionato a seguire. Un'eventuale richiesta di diritto all'oblio, avanzata da un utente che per vari motivi è stato allontanato in maniera perpetua dal portale va a creare una situazione di stallo in cui entrambi fanno valere i propri diritti.
Ma finché il tutto non si porta davanti ad una figura imparziale che possa decretare chi dei due abbia torto o ragione, si finisce con il ridurre tutto a misere chiacchiere da bar.
Insomma, per quanto importante sia la questione privacy, purtroppo allo stato attuale delle cose, lascia molto il tempo che trova.
Quoto sgt. Carter sulla qualità del post aperto, anche se tuttavia dubito diventerà un argomento "caldo".
10/11/2017 01:41:09 e modificato da ilgrandeinverno il 10/11/2017 01:41:28
10/11/2017 01:47:41
10/11/2017 01:49:16
10/11/2017 02:09:17
10/11/2017 02:17:53
10/11/2017 02:39:01 e modificato da dyrr il 10/11/2017 02:46:49
Volendo avere le spalle coperte si l'hash di una crittografia monodirezionale è più sicura per diversi motivi e in diverse situaizoni.
C'è da dire che questa differenza tra dati anonimi, pseudoanonimi e recente e in continua evoluzione, vedi per esempio il fatto che alcune fonti considerano un ash monodirezionale anonimo, altre pseudoanonimo, e che il testo del nuovo regolamento è ancora acerbo riguardo la cosa.
Se dovessi fare una land nuova crittograferei mail e ip come hash non solo per i ban ma anche per gli account normali, tanto per i controlli che devo fare sugli ip mi basta sapere se due ip sono uguali, quindi confronto tra hash e non quale è l'ip. non devo geolocalizzarlo o altro. Per quanto riguarda la mail stessa cosa tanto pe ril recupero pass mi basta chiedere al giocatore di inserire mail e nome del pg/user con cui si è registrato, far eil confronto degli hash delle due email e se coincidono spedire la mail all'indirizzo inserito dall'utente. diverso è il caos in cui io dovessi usare la mail di registrazione per una newsletter, in quel caso per forza dovrei affidarmi ad una bidirezionale.
Discussione seguita da
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Leggi e Legalità Elenco Forum
World of Warship: Aggiornamento 13.11: anteprima
gdr-online.com ha risposto alla discussione: Parere su BrowserGame
Sea of Conquest → Vivi un'avventura tra i mari! Dal cuore del Mare del Diavolo, un paradiso piratesco brulicante di magia, tesori e avventure, salperai verso l'ignoto!
W40K Dathyar: Specializzazioni
NosTale: Ora nel NosMall: dolcissimi mini-pet
DarkOrbit: Aggiorna la scatola dell'Apocalisse!
I dati del generatore di rank sono stati aggiornati!
Storie di Agarthi → Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, diventa quello che hai sempre cercato.
aik ha aperto una nuova discussione: Parere su BrowserGame
eXtremelot: La Bussola dei Cartografi di Lot
Dallas Black Gold: [Trama] JFK Memorial
Hero Wars: Artefatti dei Titani!
Hero Wars → Costruisci la tua squadra di eroi leggendari e domina il campo di battaglia! Strategia, tattica e potenza si scontrano in questo RPG ricco di azione!
bother ha recensito Never Have I Ever: Mysteries of Laconia Bay
Games of Thrones Winter is Coming: #giveaways codice regalo! 🥳
Enlisted: Migliorare e ottimizzare le ombre
Road to Hamartia: CACCIA: Sarà uno o tre?
Pandora Upside Down High School → La prima scuola per sovrannaturali al mondo vi attende! Scoprite il vostro cammino Ancestrale relazionandovi con i compagni e le attività dei club
Undead - Intervista al gestore del play by chat sui Vampiri Undead! Entra nell'oscurita!
Power GdR One Piece - Intervista al gestore del play by forum Power GdR One Piece. All'arrembaggio!
Mutation GdR - Intervista alla gestione del PbC con i mutati urban fantasy Mutation GdR!
Felix Felicis - Intervista alle gestrici del play by forum Felix Felicis GdR - Harry Potter GdR
Lista MMO - Lista dei giochi con tag "MMO". Gioca gratis!
Politica dei Vertici - Consigli utili, piccole accortezze, e riflessioni sulla politica dei Gestori nei GDR
War Thunder ↗.jpg){kind=logo}
.png)
.png){kind=avatar}
Exclusive Villa GdR ↗
Entropia Universe ↗
