¡Hola!
Quiero proponerle a la organización crear un método para identificar participantes de forma anónima.
En las Encounter, al tener una red propia, es relativamente sencillo montar servicios de modo que únicamente los participantes del evento puedan conectarse a ellos. Sin embargo como este año estaremos todos desde casa es necesario abrir el servicio a todo Internet lo que puede no funcionar demasiado bien.
Para poder limitar el acceso únicamente a participantes del evento, es necesario que haya alguna forma de autentificarlos pero puede ser complicado para la organización hacer esto de una forma en que se cumpla con la GDPR. Además diferentes servicios tienen diferentes requisitos respecto a la forma de manejar la autentificación de los usuarios.
La idea que tengo por ahora es la siguiente:
1. El creador del servicio se registra en el sistema y la organización le da un identificador y un API key aleatorio.
2. El participante puede registrarse para usar el servicio indicando un identificador propio (que debe ser único para el servicio y puede cambiar), el sistema le da otro API key aleatorio.
3. El participante se identifica con el servicio usando su identificador propio.
4. El servicio utiliza una API de la organización para enviar el identificador (y sus propias credenciales) para solicitar el API key de ese participante. Si todo está en orden, la API devuelve el API key del participante.
5. El servicio utiliza la API key devuelta por el sistema para autenticar al usuario.
Con este sistema se garantizan varias cosas que el creador del sistema sólo puede saber el identificador del usuario (elegido por el mismo) y que este participa en el evento, pero nada más, con lo que debería ser razonable de cara a la GDPR, especialmente si se especifica claramente que al utilizar el servicio para registrar un usuario y generar una API-key consientes que estos datos se transmitan a un tercero.
¿Cómo lo veis? ¿Qué pensáis al respecto?