Ciao a tutti,

scusate se apro una discussione già discussa nel forum in lingua inglese, ma considerato che LimeSurvey è una delle piattaforme più utilizzate negli enti pubblici e privati italiani, volevo capire come vi state organizzando relativamente alla nuova normativa europea sulla privacy (GDPR).

Ho visto che è stato realizzato un plugin che consente di cancellare i dati inseriti a seguito di invito (con token), ma ho notato che non utilizza il publicurl (vi sarei grato se qualcuno potesse aiutarmi ad identificare una soluzione).

Ho letto inoltre che anche altri utilizzatori di altre nazioni vorrebbero che LimeSurvey diventasse pienamente conforme al nuovo regolamento europeo sulla privacy (penso ad esempio alla pseudonimizzazione dei dati), ma mi pare di aver capito che non ci sono prospettive in tal senso, almeno a breve termine.

Pertanto sarei curioso di capire come vi state organizzando e se ci sono altri plugin utili in tal senso. Inoltre, esistono delle procedure che possano aiutarci ad essere conformi alla nuova normativa?

Grazie e ciao,
Francesco

Questa cosa della normativa GDPR e delle implicazioni sulle limesurvey con partecipanti è certamente da approfondire. Ho alcuni dubbi in merito alle tue osservazioni:
1) tu parli di un "plugin che consente di cancellare i dati inseriti a seguito di invito (con token)", ma esattamente quali dati cancella, e soprattutto: si tratta di una cancellazione opzionale?
2) dici che questo plugin non utilizza il publicurl, puoi spiegarmi meglio questa cosa?
3) potresti spiegarmi in quale modo le operazioni con i token di limesurvey potrebbero violare la nuova normativa, e in generale quali sono i dati del partecipanti tutelati dalla GDPR

Ciao,

ti rispondo per punti:
1) il plugin consente agli utenti di oscurare i dati inseriti nel questionario. In pratica l'utente riceve nella mail di invito anche un link ad un pagina contenente i suoi dati personali. Da questa pagina ha la possibilità di "oscurare" i dati (nel senso che tutti i dati vengono sovrascritti con una stringa standard

2) Il link presente nella mail (che è possibile aggiungere con la keyword @@@TOKENREMOVE@@@) riporta la url del questionario. Se si utilizza un reverse proxy, come nel mio caso, la url interna e la url esterna differiscono. In questo caso la url di default scelta da LimeSurvey è quella interna, ma LimeSurvey prevede anche la possibilità di configurare una "publicurl", ovvero un indirizzo che deve essere visualizzato nelle mail che vengono inviate ai partecipanti. Questo plugin, invece, visualizza sempre l'indirizzo interno, e quindi non è utilizzabile nel mio caso, salvo una piccola modifica che sono costretto a fare a mano. Non credo che la modifica sia complicata, probabilmente basta capire quale metodo php chiamare per costruire correttamente la url. Al momento ho corretto inserendo in maniera statica una parte dell'indirizzo.

3) La nuova normativa prevede moltissime attività da parte degli amministratori di sistema. Tra queste anche il fatto che solo gli operatori abilitati possano effettivamente accedere ai dati. Questo significa che un sistemista non dovrebbe essere in grado di visualizzare le risposte date da un certo utente, e nemmeno la mail o i riferimenti dell'utente. Nel caso di LimeSurvey le credenziali del db sono memorizzate nel file config.php, e chiunque ha accesso alla macchina virtuale, è in grado di accedere alla base dati ed estrarre le informazioni. Per questo volevo capire come si stanno organizzando gli altri, al fine di poter prendere spunto da quanto di positivo è stato già fatto.
Inoltre ci sono gli obblighi di conservare i log degli accessi in formati immodificabili per almeno 6 mesi, e la pseudonimizzazione dei dati (ovvero la necessità di memorizzare in posti distinti i dati personali e le risposte), che credo rappresenti davvero un'utopia...

Purtroppo la normativa è davvero molto complessa, credo che non sia neanche del tutto chiara.

Inoltre sarei davvero curioso di sapere cosa ha fatto LimeSurvey per rendere compliant la versione Professional ( www.limesurvey.org/customer-support/freq...ns?view=faq&faqid=43 )...

Grazie e ciao,
Francesco

Ho ancora parecchi dubbi...
Quando dici "il plugin consente agli utenti di oscurare i dati inseriti nel questionario", forse non intendi i dati che lui stesso ha inserito nel questionario. Insomma: forse intendi dati in possesso degli admin di indagine quando si effettua una indagine con partecipanti. Questi normalmente sono NOME, COGNOME e EMAIL. Eventualmente si possono aggiungere attributi aggiuntivi, ma sinceramente non ha molto senso aggiungere dati personali sulla tabella dei rispondenti.
Ma il mio dubbio più grande riguarda il fatto che esiste già la possibilità di separare la tabella dei rispondenti dalla tabella delle risposte: è sufficente rendere l'indagine ANONIMA. In questo modo sul db delle risposte non viene memorizzata nessuna informazione che consente di risalire al rispondente (anche la data di invio della risposta non viene salvata), mentre sul db dei rispondenti viene salvato soltanto l'esito (questionario inviato o no), in modo da gestire i promemoria.
Inoltre nella nuova versione di LimeSurvey è stata introdotta tutta la parte di impostazione dei termini di indagine, in modo da comunicare al rispondente l'utilizzo dei dati e dare la possibilità di non accettare i termini, e quindi non rispondere al questionario.

Ok, quindi se segnalo l'indagine come anonima, chi accede alla base dati non ha la possibilità di ricostruire l'associazione tra dati del partecipante e risposte. Non lo sapevo, grazie.

La richiesta di cancellazione dei dati può riguardare l'intero questionario. Adesso chiunque può richiedere la cancellazione dei dati inviati in qualsiasi momento. Ho ovviato per il momento inserendo un indirizzo mail al quale far pervenire tutte le richieste di cancellazione.

Per quanto riguarda la funzionalità di gestione dei termini di indagine, la sto utilizzando e la reputo ottima!

Grazie mille,
Francesco

Continuo a non capire completamente questa cancellazione dei dati.
Per quale motivo dovrei chiedere a un rispondente di inserire nel questionario informazioni personali, e poi dargli la possibilità di cancellarle?
Insomma: io farei una domanda filtro del tipo: "In questa sezione ti verranno chieste delle informazioni personali, se non vuoi rispondere o non autorizzi il trattamente di questi dati personali, rispondere no e proseguire con il questionario"....e a quel punto le informazioni personali non gliele fai proprio inserire, anzichè cancellare ex-post.
O forse ancora non ho capito l'iter di raccolta dati che state effettuando

Scusate se riprendo un topic vecchio.
Il plugin consente di cancellare i dati personali preesistenti ad eventuali sue risposte, quali nome, cognome ed email. Questi dati sono "protetti" dalla GDPR.
Per la normativa, anche se magari poco prima ha risposto a una o più domande, l'utente ha diritto di ripensarci e chiedere la cancellazione sia dei dati di base (token) che delle risposte. Queste ultime il plugin non le cancella.

P.S.: grazie a Francesco per l'importante annotazione su publicurl e reverse proxy.

Per cancellare tutte le risposte di un questionario durante la compilazione dello stesso questionario dovrebbe essere disponibile il pulsante di reset del questionario stesso

Questo però non risolverebbe il problema del diritto all'oblio nel caso il questionario sia stato già inviato.

LimeSurvey è un software dedicato alla raccolta dei dati nell'ambito di un processo statistico. La fase di raccolta ha un inizio e una fine, e al termine i dati raccolti vengono trattati per realizzare delle stime aggregate. Nelle indagini e ricerche al di fuori della statistica ufficiale (per cui esiste una legislazione dedicata sul trattamento dei dati personali per finalità statistiche) i dati personali non dovrebbero mai essere oggetto di osservazione, quindi essere presenti nel questionario. L'unico dato personale "consentito" dovrebbe essere quello di contatto (nome, cognome, email).
Poi ci sono tutta una serie di utilizzi non statistici di LimeSurvey che nessuno puo' vietare, essendo un open source installabile ovunque. Tra questi utilizzi certamente c'è quello della "modulistica", cioè utilizzare quello che è stato pensato come un questionario statistico e trasformarlo in modulo on-line. Nei moduli di qualsiasi genere (richieste, iscrizioni, adesioni, etc..) è normale richiedere dati personali, e soprattutto da parte dell'amministratore della modulistica è necessario il trattamento del dato a livello micro, e non aggregato.
Per questo motivo ritengo che come software statistico, gli sforzi di adeguamento alla GDPR debbano limitarsi ai dati di contatto, cioè alle sole informazioni preimpostate nella tabella dei partecipanti

A mio parere però la questione è più complessa:

Qualora i dati personali possano essere lecitamente trattati, essendo il trattamento necessario per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per i legittimi interessi di un titolare del trattamento o di terzi, l'interessato dovrebbe comunque avere il diritto di opporsi al trattamento dei dati personali che riguardano la sua situazione particolare. È opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato.

fonte: www.privacy-regulation.eu/it/r69.htm


Questo comunque non toglie che nel caso di utlizzo da parte di enti non di pubblico interesse, comunque da prevedere per questo tipo di software, potrebbe essere utile la possibilità di gestire direttamente le richieste di cessazione del trattamento.

Con LimeSurvey, per indagini non anonime, è possibile consentire la modifica dei dati del questionario anche dopo l'invio definitivo dello stesso, per tutta la durata della survey. Questa possibilità rimane anche se sono state cancellate le informazioni di contatto. Quindi il rispondente che ha già inviato dei dati personali e che ci ha improvvisamente ripensato, potrebbe rientrare nel questionario e cancellare o negare l'assenso ai propri dati personale, usando il link contenente nella prima mail di invito.