Riumi

Ringrazio per non aver ricevuto alcuna comunicazione in merito alle recenti modifiche della Privacy Policy.
A seguito della consultazione della versione attualmente pubblicata e della documentazione relativa al plugin per la lista server, si rilevano diverse criticità che necessitano di chiarimento e adeguamento, ai sensi del Regolamento (UE) 2016/679 (GDPR).
Assenza di comunicazione delle modifiche alla Privacy Policy
Non risulta alcuna informazione agli utenti in merito alle modifiche apportate alla Privacy Policy, con conseguente criticità rispetto ai principi di trasparenza e correttezza di cui agli artt. 5, 12 e 13 del GDPR.
Mancata indicazione delle basi giuridiche del trattamento (art. 6 GDPR)
Per i trattamenti descritti, inclusi quelli effettuati tramite il plugin per la lista server, non vengono specificate le basi giuridiche del trattamento (consenso, esecuzione di un contratto, obbligo legale, legittimo interesse).
Assenza di informazioni sui tempi di conservazione dei dati
Non vengono indicati i periodi di conservazione dei dati personali né i criteri utilizzati per determinarli, inclusi:
• dati degli account
• dati tecnici dei server
• dati relativi ai giocatori online
• dati di telemetria e log
in contrasto con l’art. 13, par. 2, lett. a) del GDPR.
Descrizione incompleta dei diritti dell’interessato
• Non è presente una sezione chiara e completa sui diritti degli interessati (artt. 15–22 GDPR), né sulle modalità pratiche per esercitarli.
Mancata indicazione del diritto di reclamo all’Autorità di controllo
• Non viene indicata la possibilità per l’utente di proporre reclamo al Garante per la Protezione dei Dati Personali, come richiesto dall’art. 13, par. 2, lett. d) del GDPR.
Trattamenti di marketing e notifiche push non adeguatamente regolamentati
L’invio di notifiche push per finalità di direct marketing, incluse comunicazioni relative a servizi o prodotti di terzi o non correlati al servizio principale, non è accompagnato da informazioni chiare sulla raccolta del consenso né sulle modalità di revoca.
Utilizzo di cookie e strumenti di tracciamento senza sufficiente chiarezza
L’utilizzo di cookie, localStorage, sessionStorage e altri strumenti di tracciamento non distingue chiaramente tra strumenti tecnici e non tecnici, né descrive in modo adeguato le modalità di gestione del consenso.
Trasferimenti di dati verso Paesi extra-UE non disciplinati
L’utilizzo di servizi forniti da soggetti potenzialmente extra-UE (es. Google, Meta, Stripe, PayPal, AWS, Cloudflare) non è accompagnato da informazioni sui trasferimenti internazionali dei dati e sulle garanzie adottate ai sensi degli artt. 44 e ss. del GDPR.
Eccessiva genericità nella descrizione di alcuni trattamenti
L’uso di formulazioni generiche quali “varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio” non consente una comprensione effettiva delle categorie di dati trattati, in contrasto con i requisiti di chiarezza e specificità del GDPR.
Trattamento di dati personali dei giocatori non adeguatamente descritto
Il plugin, se configurato con determinate capability, trasmette:
• nome e UUID dei giocatori online
• associazione giocatore–mondo
• informazioni temporali e di attività
Tali dati costituiscono dati personali e il loro trattamento non risulta adeguatamente descritto nella Privacy Policy.
Mancata individuazione dei ruoli privacy (titolare / responsabile / contitolare)
Non è chiarito il ruolo di:
• hytale.it
• amministratore del server
• proprietario dell’account
con riferimento al trattamento dei dati dei giocatori trasmessi tramite il plugin, come richiesto dagli artt. 4 e 26–28 del GDPR.
Assenza di informativa verso i giocatori (interessati terzi)
I giocatori i cui dati vengono trasmessi dal plugin non risultano essere destinatari di un’informativa privacy specifica, nonostante non siano direttamente utenti registrati della piattaforma.
Telemetria e dati di performance non sufficientemente delimitati
• L’invio di dati di performance, mondi, plugin installati e metriche di sistema non è accompagnato da:
• una chiara finalità
• una base giuridica esplicita
• limiti di conservazione
con possibile eccedenza rispetto al principio di minimizzazione (art. 5, par. 1, lett. c GDPR).
Responsabilità e sanzioni non accompagnate da adeguata informativa privacy
Le misure sanzionatorie previste (esclusione permanente dalla lista, ban dell’account) non sono accompagnate da una chiara descrizione del trattamento dei dati utilizzati per l’accertamento delle violazioni, né delle relative basi giuridiche.

Confido in una sollecita risoluzione.

La nuova, nuova privacy policy invece la trovo adeguata.
Spero continuerete ad ascoltare, anche se potreste migliorare la comunicazione con gli utenti.

L'hash è lo stesso, avevo anche già provato a riscaricarlo.
I dati aggiuntivi rispetto al puro status sono dati tecnici, per i quali non solo andrebbe chiesto un consenso opt-in, ma bisognerebbe innanzitutto dichiararne chiaramente la raccolta (io so decompilare un plugin, ma gli altri cosa ne sanno di che dati prendete?). E in ogni caso, a che servono agli utenti? A che vi serve il boot time del server? O la view distance, che è la prima cosa che viene resa dinamica da un plugin di ottimizzazione? Ed in ogni caso, a prescindere dall'utilità, se pubblicarli o meno è una prerogativa dei server.
Il debug lo ho svolto io, visto che rimanere segnalato offline è comunque un danno non indifferente.
{"success": false,"error":"Invalid request data","errors":{"plugins.18.group":["Il campo plugins.18.group è obbligatorio."]}}
In altre parole un plugin di terze parti che non dichiara il group. La problematica non sarebbe nemmeno sorta se non aveste cercato di ottenere la lista dei plugin.
Sia chiaro, non è che ritenga la lista dei plugin necessariamente un segreto di stato; tutt'altro, il valore di un server non sta certo in una selezione di plugin, spesso di terze parti o magari invece custom, e quindi non replicabili. Ciò che però non mi piace è la mancanza di trasparenza e in generale telemetria non richiesta, telemetria che, ciò che è peggio, volete persino pubblicare. Peraltro, non so perché abbiate deciso di chiedere alla community di far girare un plugin closed source sul proprio hardware. Sono 30 righe di codice, andava reso open source prima del rilascio.
Non state amministrando una lista contenente server "community", community di cui fate egualmente parte anche voi in quanto server, ci sono team interi di persone dietro progetti seri, quindi, per favore, trattateli come tali.
Dato che tanto il fix da fare è lato backend, mi sono preso la libertà di patcharmi da solo il jar e di non inviarvi la lista dei plugin, visto che non vi serve né compete, né telemetria di performance, visto che - di nuovo - nemmeno la usate.
Confido che rivedrete internamente la policy e che potremo superare questo incidente nel migliore dei modi.
Cordialmente,
Tig3r

Consultando la privacy policy attualmente pubblicata ho notato che l’informativa descrive principalmente il trattamento dei dati relativi all’utilizzo del sito web, ma non risulta chiaro se e come siano trattati i dati raccolti tramite il client/JAR utilizzato dai server.
In particolare, chiedo gentilmente se possiate chiarire:
chi è il Titolare del trattamento per i dati raccolti tramite il client/JAR;
quali categorie di dati tecnici vengono raccolte e trasmesse (ad esempio metriche di funzionamento del server);
le finalità del trattamento di tali dati;
la base giuridica del trattamento;
se tali dati siano necessari al funzionamento del servizio di server listing;
se esiste una privacy policy dedicata o un’integrazione dell’informativa attuale relativa a questo specifico servizio.
Grazie.

Sì, se posso permettermi un commento che non ha a che fare necessariamente con la tua situazione specifica:
Abilitare un plugin senza annunciarlo e farsi schizzare in cima alla lista è poco fair nei confronti dei server owner.
Sigh.

Consultando la privacy policy attualmente pubblicata ho notato che l’informativa descrive principalmente il trattamento dei dati relativi all’utilizzo del sito web, ma non risulta chiaro se e come siano trattati i dati raccolti tramite il client/JAR utilizzato dai server.
In particolare, chiedo gentilmente se possiate chiarire:
chi è il Titolare del trattamento per i dati raccolti tramite il client/JAR;
quali categorie di dati tecnici vengono raccolte e trasmesse (ad esempio metriche di funzionamento del server);
le finalità del trattamento di tali dati;
la base giuridica del trattamento;
se tali dati siano necessari al funzionamento del servizio di server listing;
se esiste una privacy policy dedicata o un’integrazione dell’informativa attuale relativa a questo specifico servizio.
Grazie.