phpBB-Italia.it

Premetto che ho cercato molto sul forum prima di creare un nuovo topic.
Sono così vecchio del mondo dei forum da sapere che prima di scrivere una cosa nuova bisogna verificare se c'è già un topic.
Non ho trovato nulla, ma non sono sicuro di avere cercato bene perchè la questione può essere presentata sotto diversi nomi.

Allora, la questione riguarda il GDPR e le scelte dell'utente sul forum.

Il problema me lo sono posto principalmente per il pannello in cui l'utente abilita la ricezione delle email di notifica sul forum.
Da un punto di vista GDPR il pannello è compliant perchè l'utente stesso li abilita, che vale come manifestazione del consenso... ma non come dimostrazione.
Per la dimostrazione dovremmo avere un famoso "log" (almeno) che ci dice quando uno ha flaggato, cosa ha flaggato, quando ha deflaggato... log necessario in caso di contestazione per dimostrare la nostra buona fede.

(Ovviamente il log dovrebbe servire anche per il famoso flag "Avvisami via email quando si risponde in questo argomento"...)

Ho cercato cercato e cercato ma non ho trovato una estensione che registri un log dei flag. Su Wordpress sono mesi che è uscito... su phpBB nulla? O sono io che non so cercare?
Voi come avete risolto?

Nell'ambito del phpBB3, il meglio che c'è al momento, è quello che si può fare con l'estensione Privacy Policy, c.d. Estensione di david. Estensione che sicuramente avrai individuato nella tua ricerca.
Nei dati sulla Privacy, dell'estensione relativa, non vedo in effetti queste voci. Ma sapendo come ragionano al com, avranno detto: se l'email non mi arriva, non ho dato il consenso; se arriva, l'ho dato. In effetti, non è possibile che l'email arrivi senza il consenso. Per cui, il semplice fatto che l'email arrivi, è prova del consenso dato. Che poi questo si sia fatto con piena consapevolezza, è altra questione.

Ciao Angolo.

Si certo, avevo visto il topic che parla di questa estensione.
Ma quindi neanche questa registra i log?

In realtà il concetto se ricevo una mail ho espresso il consenso \ se non la ricevo non l'ho espresso non è conforme al GDPR. La normativa parla espressamente di consenso espresso e granulate (ogni flag una finalità) e di "dimostrazione" del consenso. Per dimostrare il consenso ricevuto un log è proprio il minimo necessario immancabile.

Ma quindi ad oggi nessun forum registra log? Quindi tutti forum, a meno di mettere mani sul codice, non sono GDPR compliant?
Sono davvero stupito di questa cosa perchè su WP esistono già tantissimi plugin per la registrazionedei log, per tutte cose, flag, mail, iscrizioni, eccetera.
Dovrebbe assolutamente esserci qualcosa di simile anche per phpBB...

Come già detto, al momento, l'estensione citata, è il meglio che c'è nel phpBB3. Peraltro, l'estensione in questione è una RC6, e prossimamente, ci sarà una RC7. Dunque, non è ancora una versione stabile, e pertanto facilmente, potrebbe avere ulteriori miglioramenti, non solo tecnici, ma anche relativi all'uniformità alla normativa.


Tuttavia, quello che tu chiedi, potrebbe e dico potrebbe, essere in contrasto proprio con il GDPR e comunque, con le normative sulla privacy in generale. Nel senso che, quello che tu chiedi, è quello che ogni singolo utente, può verificare dal proprio PCU oppure andando su notifiche>impostazioni.
Ebbene: io amministratore, posso vedere (e modificare) le mie impostazioni. Ma io amministratore, non posso né vedere, né modificare quelle di un altro utente, non da PCA. Posso modificare quasi tutto, del profilo di un utente, ma non queste voci. Perché? Perché il visualizzare queste impostazioni sarebbe una violazione della privacy, e il modificarle, ancora di più. In breve, io da amministratore, non devo sapere come tu hai modificato la ricezione dell'email. Io ti posso inviare ad esempio, un messaggio privato, ma non posso e non devo sapere (sul piano della normativa) se tu hai attivato l'avviso via email. Se non altro, perché l'utente mi potrebbe dire: "E tu come fai saperlo?" Infatti, sono le uniche opzioni che non sono accessibili da PCA. Per assurdo, puoi anche modificare l'email dell'utente, ma non puoi vedere se l'utente ne ha consentito la ricezione. Non puoi sottoscrivere un argomento ad un utente. Non parlo di potere tecnico, parlo di potere giuridico.

Non so cosa abbiano fatto su WordPress, eccellente ormai CMS. Ma non è detto che tutti i plug in relativi al GDPR, siano in sé... legali. O ottimali.


Se non altro, nel testo dell'informativa, si dovrebbe inserire: "Accetti che l'amministratore sia informato delle tue scelte, in riferimento alla ricezione delle email". Se non altro.

Ciao.

Ti ringrazio di nuovo per la risposta. Quindi forse mi conviene aspettare l'uscita della nuova versione e vedere se c'è qualcosa in questo senso?

Riguardo la questione necessità del log: non voglio essere insistente, perchè sono nuovo di questo forum e perchè non voglio convincere nessuno, però ti devo dire (libero di credermi o meno, ma in materia GDPR diciamo che appartengo alla categoria dei tecnici) che stai dando una interpretazione logica del Regolamento UE ma la normativa non si basa sulla logica bensì sulle regole che prescrive... (che nel caso del GDPR sono abbastanza discutibili)

Quello che dici è correttissimo per i messaggi privati all'interno del forum per esempio, nessuno deve poterli vedere.

Ma le scelte dell'utente non sono una questione privata, esprimono il consenso al trattamento dei suoi dati personali dato al titolare del trattamento, quindi è normale che il titolare ne abbia consapevolezza e il log dimostra che ha avuto il permesso.

Se il titolare del trattamento manda una mail all'utente è perchè questo lo ha autorizzato esprimendo il suo consenso. Senza consenso non la può mandare. Per sapere se ha il consenso, deve sapere se ha flaggato di si :-) e il log dimostra che l'ha avuto o no.

Questa non è una questione di Wordpress, che anzi si è anche adeguato con un certo ritardo, ma la dimostrazione del consenso come dicevo nei post precedenti è uno dei pilastri del GDPR. Il consenso implicito non è contemplato. Non più almeno. Si dava per buono con la normativa predente.

Spero di aver espresso chiaramente il concetto. Scusami se dal messaggio posso sembrare insistente, ma mi sento di darti per sicura questa cosa :-)

Nessuna insistenza tranquillo. Ma nemmeno io insisto. Infatti ho detto: potrebbe; non ho detto: è. Quando si tratta di leggi e normative, c'è sempre la sagra delle interpretazioni. E questo è sicuro. È... non... potrebbe.

Ti conviene installare comunque l'estensione citata e mantenerla aggiornata.

Diciamo che nel mio caso il problema GDPR è relativo perchè ho un forum di supporto ad un altro sito, per cui gestisco privacy e cookie attraverso il sito principale... quello che non posso gestire dal sito primario sono proprio i log, per ovvi motivi.