Autore Topic: Normativa Privacy e controlli della GdF (Letto 7936 volte)

artenelweb · « **il:** 05 Mar 2010, 13:15:49 »

Salve,
vedo che la questione della Privacy e del relativo consenso ai dati non è stata presa in considerazione dagli sviluppatori di VirtueMart. Non vedo plugin o path o non ne sono a conoscenza.

Il problema sta diventando molto ma molto serio in quanto so per certo che la GdF su mandato del Garante sta eseguendo controlli on-line per verificare le form se sono compatibili con la normativa e sta conseguentemente elevando le contravvenzioni che sono spaventose.

Allora credo che sia il caso di approfondire la questione e di trovare le soluzioni migliori.

Nel form di registrazione di VirtueMart non trovo un'area di semplice testo da inserire dove incollare la normativa della Privacy ma solo il TIP che accetta fino a 250 caratteri mi sembra) troppo pochi per tutto il testo..

Ho però creato la doppia casella di spunta per il consenso dei dati come da esempio: http://www.artenelweb.net/cmsjoomla/index.php?option=com_virtuemart&page=shop.registration&Itemid=77

Questo mio sito è un CMS di prova.

Per adesso tutto qua e mi auguro di ricevere interessanti risposte.
Un saluto a tutti,
Franco Conti

cesare_t · « **Risposta #1 il:** 11 Mar 2010, 17:01:53 »

si, hai ragione.
Io ho approcciato joomla da poco per realizzare una integrazione con il nostro software per la gestione delle compravendite su ebay e virtuemart.
Sto pasticciando un po' e la prima cosa che ho notato è che nei moduli di iscrizione (anche in quello di joomla mi pare) non c'è la possibilità di aggiungere la doppia spunta per il trattamento dei dati.

Ho visto il tuo sito di test, come hai fatto?

grazie!

56francesco · « **Risposta #2 il:** 11 Mar 2010, 17:07:32 »

quale consenso dovrebbe prestare un utente che paga addirittura per ottenere un prodotto?

in questo caso il codice è chiaro: si tratta di dati necessari per la fatturazione quindi nessun consenso deve essere prestato..

la informativa invece deve tenerla il venditore ben esposta al pubblico e deve indicare per benino i dati essenziali previsti dalla legge...

un utente che acquista e paga ha il diritto di non vedersi inondata la sua casella di posta di monnezza varia,
solo in tal caso servirebbe un consenso espresso e documentabile, cioè per spammare
se la finanza facesse davvero il suo lavoro ci sarebbero meno spammer in giro e sarebbe una bella cosa..

i componenti di joomla (virtuemart compreso) sono perfettamente allineati agli standard della privacy.

cesare_t · « **Risposta #3 il:** 11 Mar 2010, 17:15:39 »

hem, non credo.
Sicuramente l'acquirente deve concedere l'autorizzazione al trattamento dei dati personali, sempre che vengano conservati (ma virutemart lo fa).
Poi se si vuole usare l'indirizzo di posta elettronica per le comunicazioni devi autorizzare pure questo utilizzo.
Se poi vuoi poter cedere i dati trattati a terzi devi autorizzarlo.

Di default mi pare che non ci siano queste cose.

Ma ho approcciato joomla/virtuemart da poco, quindi potrei sbagliarmi.

56francesco · « **Risposta #4 il:** 11 Mar 2010, 17:20:19 »

Citazione

Sicuramente l'acquirente deve concedere l'autorizzazione al trattamento dei dati personali

fonte normativa please...

jk4nik · « **Risposta #5 il:** 11 Mar 2010, 17:21:11 »

infatti dici bene Francesco, c'è un sacco di gente in giro che chiede il consenso per i dati della fatturazione che non è assolutamente necessario.

comunque artenelweb, se cerchi bene in giro ci sono delle patch per fare quello che dici tu (in determinate situazioni) con VM 1.1.3 e 1.1.4

cesare_t · « **Risposta #6 il:** 11 Mar 2010, 17:25:14 »

mah.
il codice della privacy direi.

Tutti i trattamenti in forma elettronica devono essere autorizzati. Anche se non sensibili ma solo personali.

Questo mi pare di ricordare. Da qualche parte dovrei avere la legge. Non ti lascio in sospeso, vado a cercarla.

Però tu mi sembri molto sicuro.
Tu mi sai citare la norma e perchè escludi che ci debba essere il trattamento?

56francesco · « **Risposta #7 il:** 11 Mar 2010, 17:40:47 »

Citazione

perchè escludi che ci debba essere il trattamento?

se c'è il trattamento allora bisogna anche verificare se esso rientra nella autorizzazione generale in cui si opera a volte può essere necessaria la comunicazione al garante e quindi occorre chiedere il consenso..
in sintesi: per inviare la newsletter serve il consenso, altrimenti no.

Per la cronaca compro spesso on line, con le ditte tagliane mi trovo a rispondere sempre e sistematicamente no, non voglio la vostra maledetta newslettera e sistematicamente mi infestano la casella..

i fornitori stranieri, turchia, america, resto europa ecc.. sono decisamente più rispettosi del cliente.
Questione di civiltà, e lo dico con rammarico noi il peggio del peggio di tutti oramai.

jk4nik · « **Risposta #8 il:** 11 Mar 2010, 18:02:58 »

questa dovrebbe essere l'ultima con la proroga

http://www.garanteprivacy.it/garante/doc.jsp?ID=1683005

e poi per non confondersi con la legislazione precedente e per avere un piccolo "indice"

http://www.garanteprivacy.it/garante/doc.jsp?ID=1557339

e poi questa:

http://www.garanteprivacy.it/garante/doc.jsp?ID=1637984

cesare_t · « **Risposta #9 il:** 11 Mar 2010, 19:44:43 »

vado a rileggere i link che hai postato.
Tu fai rientrare in un discorso di autorizzazione implicita il trattamento dei dati personali, secondo me non è così.
Certamente l'invio di una newsletter a fronte di una non concessione di autorizzazione rappresenta un illecito.
Però un venditore può subordinare l'iscrizione all'accesso dei propri servizi.
Il riferimento ad altre realtà straniere vale per modo di dire.
La normativa sulla privacy italiana è tra le più all'avanguardia, mi pare, credo presa almeno in parte da quella USA.

Poi il discorso di rispetto del cliente è altra cosa ancora, va oltre le normative.

Mi riservo di rileggere un po' di normativa per postare altri commenti.

jk4nik · « **Risposta #10 il:** 11 Mar 2010, 19:59:59 »

non ci siamo capiti cesare.

io e francesco partiamo dal presupposto (supportato dalla legge) che se nel sito faccio vendita, i dati li uso solo ed esclusivamente per spedire e fatturare, punto, e non per spammare a iosa. e in questa maniera non serve nessun consenso. perchè ti dico già a priori nelle mie condizioni di vendita che i tuoi dati non li userò per altri fini e tantomeno li cederò a terzi.

56francesco · « **Risposta #11 il:** 11 Mar 2010, 20:45:57 »

Citazione

La normativa sulla privacy italiana è tra le più all'avanguardia, mi pare, credo presa almeno in parte da quella USA.

la normativa europea già vigente neanche è stata ncora tradotta in tagliano..
no, no, siamo ingenui ancora in fatto di e-commerce sia come aziende che come clientela..
due esempi lato aziende:
a- chi tiene in azienda i certificati (obbligatori) dei mobili e arredi che utilizza come archivio? ed è un loro diritto ottenerli..
b- chi legge i relativi contratti per verificare che l'hoster o la web agency o loro dipendenti infedeli non possano ciuliargli impunentemente il database clienti e/o prodotti?
ma se lo faccio notare mi dicono... maaaa il programma privacy non li prevede questi dati, quindi non ci vanno nel dippiesse, come mai tu li vuoi?

artenelweb · « **Risposta #12 il:** 16 Mar 2010, 11:38:05 »

Si il tema è molto caldo. Un mio amico finanziere, che appunto sta svolgendo controlli sui siti, mi ha ieri confermato che la sanzione parte minima da seimila euro per un testo privacy assente o non conforme. Quindi sono dolori.
Io ho risolto in questo modo (utilizzando appunto una path specifica). Questo è un sito di prova.
http://www.artenelweb.net/cmsjoomla/index.php?option=com_virtuemart&page=shop.registration&Itemid=77&vmcchk=1&Itemid=77

56francesco · « **Risposta #13 il:** 16 Mar 2010, 11:55:01 »

Citazione

per un testo privacy assente o non conforme.

esatto.. una informativa di cui all'art 13 non solo deve essere presente, ma deve anche essere conforme, contenere cioè gli elementi previsti dallo stesso articolo, basta leggere..

Anche una prestazione di consenso approssimativa, cioè non documentabile è sanzionata, ad esempio una chek-box non basta ma il coso deve come minimo memorizzare nel database qualche cosa, ad esempio:
data - ora - email - flag si/no - (in certi casi memorizzerei il quesito al quale si da il consenso)

e il tutto deve essere ben descritto nel famoso documento denominato DPS (o dichiarazione sostitutiva che è la stessa cosa)

in definitiva, per stare al sicuro, io direi che la web-agency deve chiedere al cliente la bozza di dps da seguire, oppure avere al suo interno un consulente codice privay il di cui costo va ovviamente tenuto presente in fase di preventivo...

artenelweb · « **Risposta #14 il:** 16 Mar 2010, 16:17:56 »

La cosa ovviamente si va davvero complicata. Anche l'adeguamento dei vecchi siti causa una bega col cliente che, anzichè capire il servizio che gli si rende, lo percepisce come fastidio.

56francesco · « **Risposta #15 il:** 16 Mar 2010, 16:22:26 »

ehh già, per non dire le nuove norme sulla territorialità per quando riguarda i servizi..

mitico_good · « **Risposta #16 il:** 02 Apr 2010, 12:16:14 »

Citazione da: artenelweb - 16 Mar 2010, 11:38:05

Si il tema è molto caldo. Un mio amico finanziere, che appunto sta svolgendo controlli sui siti, mi ha ieri confermato che la sanzione parte minima da seimila euro per un testo privacy assente o non conforme. Quindi sono dolori.
Io ho risolto in questo modo (utilizzando appunto una path specifica). Questo è un sito di prova.
http://www.artenelweb.net/cmsjoomla/index.php?option=com_virtuemart&page=shop.registration&Itemid=77&vmcchk=1&Itemid=77

spettacolo ... potresti darmi l'indicazione di dove trovo la patch che hai usato?
Grazie

jk4nik · « **Risposta #17 il:** 02 Apr 2010, 13:05:11 »

senza linkare siti esterni usa google e la trovi immediatamente

mitico_good · « **Risposta #18 il:** 22 Apr 2010, 22:12:16 »

mi sebra che di link inutili sul forum c'è ne sono parecchi, c'è chi presenta il suo sito infinite volte anche se cambia solo il colore del testo .....

comunque tornando all'oggetto del topic:
immagino che sia il modulo che si trova ampiamente descritto sul forum di supporto italiano di vm

bene allora non serve a nulla per la privacy, è solo fi facciata.
prvata ad andre lato backend su un utente registrato e vedrete che i dati di assenso non vengono memorizzati sul db
provate a creare a un account e ad andare sulla pagina del profilo lato front-end e vedre che neanche li c'è traccia dell'assenso alla privacy e bisognerà di nuovo cliccare sull'accettazione .......
quindi non serve a niente se non a far finta di essere in regoa, ma in caso di contestazioni non c'è salvezza

jk4nik · « **Risposta #19 il:** 22 Apr 2010, 22:21:27 »

dovresti dirlo a loro allora, non a noi che abbiamo ribadito che non serve poco o nulla fatto in quella maniera.

siccome la loro competenza è indiscussa se qualcosa non ti sembra corretto devi segnalarlo direttamente a loro che provvederanno a farti sapere sul da farsi.

in ogni caso ti confermo che NON è assolutamente come dici tu, non hai letto e approfondito abbastanza nel loro forum e non hai applicato tutto quello che loro indicavano, o lo hai applicato malamente o saltando dei passaggi.

parlar male si sta poco, però bisogna sapere quello che si dice e prendersi le proprie responsabilità...

ciao
jk