Privacy by default: visibilità e-mail e notifiche #2

Segnalo che i nuovi iscritti a questa piattaforma hanno, per impostazione predefinita:

le notifiche e-mail abilitate;
l'indirizzo e-mail visibile.

Tali impostazioni dovrebbero essere disabilitate di default e attivabili solo su espressa richiesta dell'utente.

Art. 25, § 2, GDPR: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica».

l'indirizzo e-mail visibile.

👍

Preciso che l'indirizzo e-mail è visibile solo agli utenti registrati su questa piattaforma e non pubblicamente a tutti i visitatori.
Tuttavia conoscere reciprocamente tale informazione non è necessario ai fini del suo utilizzo.
Dunque concordo con la scelta di rendere l'informazione riservata quale impostazione di default.

le notifiche e-mail abilitate;

👎

Questa istanza di Gitea prevede tre sistemi di notifica:

web (non push);
e-mail;
Telegram (tramite webhook)

La prima è integrata nell'interfaccia web, ma richiede un'interazione attiva da parte dell'utente, il quale deve accedere con le proprie credenziali e navigare (caricare nuove pagine) affinché le notifiche generate tra i rendering delle pagine siano mostrate.
Il sistema non garantisce dunque una segnalazione efficiente e tempestiva delle operazioni eseguite sulla piattaforma, requisito fondamentale per un'attività collaborativa soddisfacente.

La seconda integra le carenze della prima in modo efficiente, accessibile e chirurgico, consegnando le sole notifiche aventi una correlazione stretta con il singolo utente, relative ai repository/organizzazioni che segue esplicitamente, di cui è responsabile come membro di un team, oppure in caso di citazione diretta da parte di un altro utente.
Non a caso, la richiesta dell'indirizzo e-mail in fase di registrazione, utilizzata nell'immediato per confermarla, è necessaria anche per tale fine.

La terza soluzione, da noi scelta ed implementata, garantisce un ulteriore grado di controllo, nonché facoltativo, in merito a tutte le attività svolte sulla piattaforma, pubblicando, attraverso un bot Telegram collegato a Gitea tramite webhook, l'intera cronistoria delle azioni, senza filtri, sul canale pubblico “LUGCE | DEV”.
Per godere di tale servizio, occorre essere in possesso ed utilizzare un account Telegram. Dunque, seppur comodo, è deficitario in accessibilità (occorre precisare che Telegram fornisce pubblico accesso a tali informazioni attraverso la propria piattaforma web, vedi LUGCE | DEV, non configurandosi però come sistema di notifica).

Per concludere dunque, ritengo che le notifiche e-mail, in quanto parte integrante del processo partecipativo previsto dalla piattaforma e dalle modalità espresse dall'associazione, non ledendo in alcuna forma i diritti dell'utente, debbano restare attive in modo predefinito, garantendo tuttavia all'utente la possibilità di modificare tale impostazione in ogni momento, così come attualmente avviene.

> - l'indirizzo e-mail visibile. 👍 Preciso che l'indirizzo e-mail è visibile **solo** agli utenti registrati su questa piattaforma e non pubblicamente a tutti i visitatori. Tuttavia conoscere reciprocamente tale informazione non è necessario ai fini del suo utilizzo. Dunque concordo con la scelta di rendere l'informazione riservata quale impostazione di *default*. > - le notifiche e-mail abilitate; 👎 Questa istanza di *Gitea* prevede tre sistemi di notifica: - web (**non *push***); - e-mail; - *Telegram* (tramite *webhook*) La prima è integrata nell'interfaccia web, ma richiede un'interazione attiva da parte dell'utente, il quale deve accedere con le proprie credenziali e navigare (caricare nuove pagine) affinché le notifiche generate tra i *rendering* delle pagine siano mostrate. Il sistema non garantisce dunque una segnalazione efficiente e tempestiva delle operazioni eseguite sulla piattaforma, requisito fondamentale per un'attività collaborativa soddisfacente. La seconda integra le carenze della prima in modo efficiente, accessibile e chirurgico, consegnando le sole notifiche aventi una correlazione stretta con il singolo utente, relative ai *repository*/organizzazioni che segue esplicitamente, di cui è responsabile come membro di un *team*, oppure in caso di citazione diretta da parte di un altro utente. Non a caso, la richiesta dell'indirizzo e-mail in fase di registrazione, utilizzata nell'immediato per confermarla, è necessaria anche per tale fine. La terza soluzione, da noi scelta ed implementata, garantisce un ulteriore grado di controllo, nonché facoltativo, in merito a tutte le attività svolte sulla piattaforma, pubblicando, attraverso un *bot Telegram* collegato a *Gitea* tramite *webhook*, l'intera cronistoria delle azioni, senza filtri, sul canale pubblico “LUGCE | DEV”. Per godere di tale servizio, occorre essere in possesso ed utilizzare un account *Telegram*. Dunque, seppur comodo, è deficitario in accessibilità (occorre precisare che Telegram fornisce pubblico accesso a tali informazioni attraverso la propria piattaforma web, vedi [LUGCE | DEV](https://t.me/s/lugce_dev), non configurandosi però come sistema di notifica). Per concludere dunque, ritengo che le notifiche e-mail, in quanto parte integrante del processo partecipativo previsto dalla piattaforma e dalle modalità espresse dall'associazione, non ledendo in alcuna forma i diritti dell'utente, debbano restare attive in modo predefinito, garantendo tuttavia all'utente la possibilità di modificare tale impostazione in ogni momento, così come attualmente avviene.

Per concludere dunque, ritengo che le notifiche e-mail, in quanto parte integrante del processo partecipativo previsto dalla piattaforma e dalle modalità espresse dall'associazione, non ledendo in alcuna forma i diritti dell'utente, debbano restare attive in modo predefinito, garantendo tuttavia all'utente la possibilità di modificare tale impostazione in ogni momento, così come attualmente avviene.

Condivido le premesse, nondimeno resta ferma la circostanza che le notifiche via e-mail sono un trattamento non necessario del dato personale 'indirizzo di posta elettronica'. In effetti è necessario soltanto ciò che è indispensabile per l'interazione con la piattaforma ed è evidente che è possibile interagire anche con le notifiche e-mail disabilitate. Pertanto, ai sensi della normativa richiamata, vanno disattivate di default, salva la possibilità di inserire apposita casella di controllo da flaggare al momento della registrazione.

Es.

desidero ricevere notifiche via e-mail

Condivido le premesse, nondimeno resta ferma la circostanza che le notifiche via e-mail sono un trattamento non necessario del dato personale 'indirizzo di posta elettronica'.

Non sono d'accordo. Come da concorde e citata premessa, le notifiche (nella misura in cui si possano definire tali) sono parte integrante del workflow richiesto nel processo partecipativo promosso dall'associazione (a differenza delle generiche piattaforme di code hosting, in cui non è indispensabile l'interazione con utenti terzi), nonché l'unico metodo per garantire all'utente regolare e tempestivo avviso delle attività di terzi che lo vedono direttamente coinvolto.

La disattivazione predefinita, silente e dunque promossa di tale funzione ha l'effetto indesiderato di rallentare ulteriormente l'operato associativo, nonché di rendere macchinosa e poco accessibile l'esperienza dell'utente stesso, ai suoi danni e dell'intera comunità.

Le notifiche delle attività che riguardano l'utente non sono un trattamento non necessario del dato personale 'indirizzo di posta elettronica', ma un trattamento funzionale ai fini collaborativi, nel rispetto di tutti gli utenti interconnessi.

Se tali notifiche avessero trattato informazioni non pertinenti agli scopi associativi ed intrinsechi della propria registrazione alla piattaforma, alle attività svolte o nell'interesse del singolo utente, come ad esempio lo sono le notifiche generiche del canale Telegram, o comunicazioni terze da parte della piattaforma, sarebbe stato un trattamento del dato non necessario, ma non sono queste le circostanze.

Le stesse piattaforme di code hosting (ma in realtà di qualsiasi tipologia, social, etc), siano libere o proprietarie, più o meno note, prevedono che le notifiche e-mail, relative alle proprie interazioni, siano recapitate direttamente all'utente, quale forma predefinita di contatto, non violando alcun diritto dell'utente, lasciando tuttavia che lo stesso, in un secondo momento, possa scegliere di disattivarle.

salva la possibilità di inserire apposita casella di controllo da flaggare al momento della registrazione.

Come già menzionato nell'issue #1, non è tecnicamente conveniente, al momento, integrare alcuna ulteriore casella di controllo nel modulo di registrazione di Gitea.

È possibile alternativamente addizionare un avviso, come quello proposto per l'informativa della privacy che, dunque, sarebbe ulteriormente ridondante, trattandosi della medesima materia.

Per concludere, le notifiche e-mail, così come implementate su Gitea, ovvero mirate ed essenziali, sono da intendersi un trattamento del dato personale 'indirizzo di posta elettronica' necessario ai fini dell'attività svolta sulla piattaforma, al pari della e-mail di conferma come atto finale della propria registrazione (ovvero che non a caso dimostra la veridicità della propria casella di posta al fine di poter ricevere successive notificazioni).

Tuttavia, ribadisco, resta un diritto dell'utente quello di scegliere una modalità di notifica differente in un secondo momento, come quella più invasiva di Telegram, o per mezzo dell'app Android GitNex, come di non ricerverle affatto o, nei fatti, non adoperare la piattaforma.

> Condivido le premesse, nondimeno resta ferma la circostanza che le notifiche via e-mail sono un trattamento non necessario del dato personale 'indirizzo di posta elettronica'. Non sono d'accordo. Come da concorde e citata premessa, le notifiche (nella misura in cui si possano definire tali) sono parte integrante del *workflow* richiesto nel processo partecipativo promosso dall'associazione (a differenza delle generiche piattaforme di *code hosting*, in cui non è indispensabile l'interazione con utenti terzi), nonché l'unico metodo per garantire all'utente regolare e tempestivo avviso delle attività di terzi che lo vedono direttamente coinvolto. La disattivazione predefinita, silente e dunque promossa di tale funzione ha l'effetto indesiderato di rallentare ulteriormente l'operato associativo, nonché di rendere macchinosa e poco accessibile l'esperienza dell'utente stesso, ai suoi danni e dell'intera comunità. Le notifiche delle attività che riguardano l'utente non sono un trattamento non necessario del dato personale 'indirizzo di posta elettronica', ma un trattamento funzionale ai fini collaborativi, nel rispetto di tutti gli utenti interconnessi. Se tali notifiche avessero trattato informazioni non pertinenti agli scopi associativi ed intrinsechi della propria registrazione alla piattaforma, alle attività svolte o nell'interesse del singolo utente, come ad esempio lo sono le notifiche generiche del canale *Telegram*, o comunicazioni terze da parte della piattaforma, sarebbe stato un trattamento del dato non necessario, ma non sono queste le circostanze. Le stesse piattaforme di *code hosting* (ma in realtà di qualsiasi tipologia, social, etc), siano libere o proprietarie, più o meno note, prevedono che le notifiche e-mail, relative alle proprie interazioni, siano recapitate direttamente all'utente, quale forma predefinita di contatto, non violando alcun diritto dell'utente, lasciando tuttavia che lo stesso, in un secondo momento, possa scegliere di disattivarle. > salva la possibilità di inserire apposita casella di controllo da flaggare al momento della registrazione. Come già menzionato nell'*issue* #1, non è tecnicamente conveniente, al momento, integrare alcuna ulteriore casella di controllo nel modulo di registrazione di *Gitea*. È possibile alternativamente addizionare un avviso, come quello proposto per l'informativa della *privacy* che, dunque, sarebbe ulteriormente ridondante, trattandosi della medesima materia. Per concludere, le notifiche e-mail, così come implementate su Gitea, ovvero mirate ed essenziali, sono da intendersi un trattamento del dato personale 'indirizzo di posta elettronica' necessario ai fini dell'attività svolta sulla piattaforma, al pari della e-mail di conferma come atto finale della propria registrazione (ovvero che non a caso dimostra la veridicità della propria casella di posta al fine di poter ricevere successive notificazioni). Tuttavia, ribadisco, resta un diritto dell'utente quello di scegliere una modalità di notifica differente in un secondo momento, come quella più invasiva di *Telegram*, o per mezzo dell'*app* *Android* [GitNex](https://gitnex.com/), come di non ricerverle affatto o, nei fatti, non adoperare la piattaforma.

Farò degli approfondimenti sul punto. Le linee guida riflettono le mie preoccupazioni, nondimeno in questi giorni rifletterò a una soluzione diversa da quella già proposta. Ad esempio, penso all'inserzione di appositi paragrafi nella informativa privacy dedicati ai singoli servizi web, in modo da rendere più 'trasparente' il trattamento che viene fatto dei dati. La disciplina eurounitaria sul trattamento dei dati è molto flessibile, però ovviamente quando si lascia il tracciato bisogna riflettere su soluzioni che possano essere equiparabili a quelle proposte sotto il profilo delle garanzie.

Ad esempio, penso all'inserzione di appositi paragrafi nella informativa privacy dedicati ai singoli servizi web, in modo da rendere più 'trasparente' il trattamento che viene fatto dei dati.

Avevo pensato alla medesima soluzione, ovvero ad una maggiore specificità (senza incastrarsi però in dettagli vincolanti) da implementare nella nostra informativa, anche se la modifica richiedebbe un ulteriore e impegnativo approfondimento.

Quello che però ancora non mi è chiaro è in quale misura le notifiche personali e-mail contrastino con il citato Art. 25, § 2, del GDPR.

Essendo le notifiche e-mail parte integrante del servizio, nonché delle finalità per il quale è richiesto il trattamento dei dati, e non essendo le stesse in relazione con persone fisiche al di fuori dell'utente stesso, mi sembra possano essere interpretate in linea con la normativa.

Farò degli approfondimenti sul punto.

Concordo. Meglio porre maggiore attenzione al caso per una soluzione definitiva e priva di dubbi.

Tali impostazioni dovrebbero essere disabilitate di default e attivabili solo su espressa richiesta dell'utente.

A questo punto penso sia meglio rendere indipendenti le due richieste dell'issue, procedendo con la parte per cui si è raggiunto il consenso, ovvero la disattivazione predefinita dell'esposizione del proprio indirizzo di posta agli altri utenti registrati.

Se per te va bene, procedo con quest'ultima.

A questo punto penso sia meglio rendere indipendenti le due richieste dell'issue, procedendo con la parte per cui si è raggiunto il consenso, ovvero la disattivazione predefinita dell'esposizione del proprio indirizzo di posta agli altri utenti registrati.

Se per te va bene, procedo con quest'ultima.

Sì, perfetto.

Per il resto, come detto, farò ulteriori approfondimenti.

Sì, perfetto.

Fatto.

Per il resto, come detto, farò ulteriori approfondimenti.

Perfetto.

Nel frattempo potresti modificare l'issue inserendo un checkbox per ognuna delle due richieste, e flaggando la prima, così che sia noto che è stata implementata.