Ciao a tutti,
in buona parte condivido quanto detto da Tomtom, per quanto riguarda la messa in regola dei vecchi siti la mia preoccupazione riguarda i vecchi siti 1.5 -2.5 per i quali quasi certamente non verranno scritti componenti, ergo si dovrà fare tutto a manina e quindi lavorarci più a lungo, in questi casi se pensiamo ad un proprietario di sito che non si preoccupa minimamente di avere un sito aggiornato e attuale, possiamo facilmente intuire che sia poco propenso a scucire qualche Euro per l’adeguamento quindi più che opportunità diventa un problema.
Dal punto di vista legale ho consultato un mio amico avvocato e docente di diritto informatico il quale è stato relatore sulla privacy alcuni anni or sono a Joomla day Milano, gli ho posto la mia domanda con mia relativa risposta (un po’ marzulliana) che riporto di seguito:
mia domanda
Se dopo essere stato opportunamente informato da me, magari via PEC, il titolare del trattamento non procede con la redazione di un contratto dove si specifica chi è il titolare, chi è il responsabile ecc. e non mi dà mandato di provvedere alla pubblicazione di tali dati sul proprio sito, chi risponde in solido di eventuali violazioni della privacy?
Mia risposta Marzulliana:
La mia risposta è che essendo stato ufficialmente e in modo documentabile informato, il titolare del sito e quindi del trattamento, disattendendo quanto prescritto dal GDPR si assume tutte le responsabilità del caso, salvo a danni dovuti a colpa grave o dolo procurati da terzi.
Stessa cosa per quanto riguarda il certificato SSL, io informo il titolare che non è obbligatorio ma fortemente raccomandato l’utilizzo di certificati di criptazione, se poi il titolare ritiene non opportuno adottare tale misura se ne assume tutte le responsabilità.
Risposta avvocato:
Qui concordo con te. Se non hai un incarico che prevede tale attività, è essenziale che tu tenga traccia (perfetta la PEC) delle tue comunicazioni in cui gli dici di cosa c'è bisogno di fare per rispettare GDPR. Anche perché non sei un DPO ma al limite sei un responsabile esterno del trattamento relativamente all'attività che svolgi.
Quindi con tale risposta possiamo dire che i clienti recalcitrati nel esborsare per adeguarsi alla normativa si possono sistemare con una PEC anche se bisogna prima valutare bene e capire cosa si deve fare per essere GDPR compliance.
In merito ad un livellamento dei prezzi dei siti web, concordo pienamente con Tomtom, anche se non sarei così fiducioso, in particolare per quanto riguarda l’Italia nella quale finisce sempre tutto a tarallucci e vino.
Personalmente non ho ancora sentito di siti sanzionati per inosservanza della normativa 2014 riguardante le cookies, eppure se ne trovano ancora molti in rete, d’altro canto sarebbe auspicabile un’azione sanzionatoria per i cugini, cognati e sviluppatori della domenica, sarebbe un evento qualificante per chi come noi si spacca la testa e non solo per fare le cose al meglio, ma come accade sempre nel nostro bel paese sta bene chi se ne sbatte e fa il furbo a scapito delle persone serie.
Quanto sopra anche se demoralizzante non ci esime dal continuare a fare le cose al meglio per quanto mi riguarda.
Dal punto di vista pratico a mio avviso è ancora tutto da ben definire, in quanto da quanto riferitomi, in Italia debbono ancora emanare il decreto attuativo del GDPR e come al solito verrà fatto 3 giorni prima del 25 maggio se non 3 giorni dopo, ergo conviene tenersi aggiornati e comunicare tra di noi in merito.
Sempre da indiscrezioni provenienti da chi fa il consulente privacy di mestiere, solo il 3% delle aziende si sta preoccupando di rendersi GDPR copliance, io per primo ho alcuni clienti di un certo peso come per esempio una multinazionale con 39 stabilimenti in tutto il mondo, la quale a mia domanda “come ci regoliamo con il GDPR” fatta alcune settimane or sono deve ancora rispondermi, in quanto come dice il mio amico avocato prima di muoversi conviene attendere prima di intraprendere azioni che potrebbero risultare non idonee.
In molti casi nascono particolari esigenze, ad esempio io ho sviluppato un sito fatto per la comunicazione con gli organi di stampa e la popolazione, il titolare del sito e quindi del trattamento dei dati è il mio cliente, ma lo sviluppo della struttura e dei contenuti l’ho fatta in sinergia con l’ufficio stampa / comunicazione del mio cliente che è un terzo soggetto esterno all’azienda titolare. Allo stato dell’arte io intervengo sul sito per quanto concerne gli aggiornamenti CMS, componenti o eventuali modifiche strutturali, ma l’ufficio stampa interviene nel sito con l’aggiornamento dei contenuti, quindi il titolare del trattamento è uno ma i responsabili sono due dei quali necessita delineare bene nero su bianco chi è responsabile di che cosa.
La speranza è che non sia come di frequente accade, nelle quali certe cose vengano fatte per normare e regolamentare ma poi finiscano sempre per colpire i piccoli mai i grandi. Non a caso la bega FB Cambridge Analitica è scoppiata prima del 25 maggio così che se sanzione dovrà essere, sarà basata sulla vecchia normativa e non sulla nuova la quale prevede sanzioni ben più pesanti.
Come diceva quel tale “a pensar male spesso si ci azzecca”
