(...premetto innanzitutto che non sapevo dove aprire questa discussione, pertanto se è necessario spostarla provvedete al più presto.... ritengo peraltro che potrebbe essere utile per un eventuale Wiki..., metto a mia disposione le mie competenze giuridiche, nei limiti delle mie possibilità, ....porgo le mie scuse preventive se il post è lungo ma ho cercato di evitare che si aprisse una discussione senza partire da validi elementi; preciso tuttavia che aggiornerò questo post man mano che si amplia la discussione)
Ho visto che c'è molta discussione sulla necessità o meno del rispetto della normativa sulla privacy.
Io dico la mia su una "questione parallela" alle importanti discussioni che si sono create, in quanto ritengo che l'aver discusso tanto sulle questioni "a valle", su tutte, sulle modalità applicative e sulle procedure da adottare per rispettare tale provvedimento, e non sulle questioni "a monte", ossia su chi è soggetto a tale normativa, abbia ingenerato confusione in un gruppo di utenti, qual'è quello "dei non web agency" che sta crescendo in maniera esponenziale proprio grazie allo sviluppo dei CMS Oper Source, come Joomla.
Andiamo quindi al dunque....
Volendo costruire un sito che contenga news ed approfondimenti creati inizialmente da me, e man mano da tutti gli utenti registrati, mi si è posto il primo problema: essendo il sito (o meglio il dominio) non intestato ad un'attività imprenditoriale, cosa c'è da fare ai fini della privacy?
(testo aggiunto e poi parzialmente corretto...) Aggiungo peraltro che la questione sollevata ha notevoli implicazioni pratiche, perché se io, nelle condizioni che ho richiamato(sito personale su un server nazionale), sono soggetto alle prescrizioni del Codice sulla Privacy, viene di conseguenza che il trattamento effettuato con strumenti elettronici, mi comporta oltre a tutti gli obblighi di informativa, anche quello di predisposizione del Documento Programmatico sulla Sicurezza (DPS). Ancora, il mancato rispetto di questa normativa mi comporta anche conseguenza sanzionatori pesanti in caso di mancato rispetto.
(testo aggiunto...) Per dire la mia sull'argomento, dapprima richiamo degli elementi oggettivi su cui ragionare, poi faccio delle considerazioni personali sull'interpretazione di questi elementi.
(testo aggiunto...) Vorrei quindi che sull'interpretazione da me fornita, vengano effettuate da voi lettori delle considerazioni, personali o professionali che siano, anche al fine di consentirmi di migliorare il contenuto del post, per il bene di tutti.
(testo aggiunto...) In questo senso, il testo che segue non rappresenta assolutamente una "informativa al trattamento dei dati" che molti di voi inseriscono o intendono inserire sulle vostre pagine web, ma rappresenta invece un punto di partenza su cui sarebbe opportuno che tutti ragionassimo. Potrà al limite diventarlo quando ci saranno numerosi contributi.
Richiamo quindi un estratto del D.Lgs. 196/2003:
- comma 3 dell'art. 5 (Oggetto ed ambito di applicazione): Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
- art. 4, comma 1 (Definizioni):
Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
....l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
.....m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
- Art. 15 (Danni cagionati per effetto del trattamento):
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
- art. 11 (Modalità del trattamento e requisiti dei dati):
I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
- art. 31 (Obblighi di Sicurezza):
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
- art. 131 (Comunicazioni indesiderate).
1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. È vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
- art. 133. (Codice di deontologia e di buona condotta)
Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato da fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole e interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei princìpi di cui all'articolo 11, anche ai fini dell'eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato.
...ci siete, è troppa roba...... è tutta quella che bisogna sapere però.
Da ciò concludo verso le seguenti considerazioni personali:1) Le regole stabilite nella Legge sulla privacy non si applicano quando sussistono contemporaneamente due presupposti:
a) deve trattarsi esclusivamente di persone fisiche, escludendosi dunque forme aggregate tipo società, cooperative, consorzi, associazioni o fondazioni;
b) gli scopi di tale trattamento sono riferiti a scopi esclusivamente personali, o in altri termini, non imprenditoriali;
2) Quando i dati (nome, cognome e email) vengono raccolti per l'accesso ai contenuti registrati di un sito costruito con Joomla (es. classico il Log-In al sito), non occorre osservare le procedure imposte dalla Legge sulla Privacy, fin tanto che tali dati non vengono trattati anche per essere comunicati a terzi, in qualsiasi modo ciò avvenga. Per ottemperare a tale esigenza occorre quindi che la banca dati degli utenti registrati venga gestita esclusivamente dall'amministratore del sito, che secondo me deve essere anche il titolare del dominio. E' inoltre necessario che venga sempre visualizzato l'user-id o un alias dell'utente, non potendo mai essere mostrato il nome, cognome e l'email dell'utente.
3) Per quanto riguarda le newsletter o mailing-list (o chiamatele come vi pare) lo scopo del legislatore ed attualmente dell'Autorità Garante (che oggi può essere adeguatamente rinominata Autorità Anti-Spamming
) è quello di tutelare dallo spamming, pertanto le procedure di registrazione non sono soggette ad alcuna accettazione della legge sulla privacy, fintanto, ripeto, questi dati non vengono comunicati a terzi;
4) le newsletter provenienti da siti appartenenti ad una persona fisica non imprenditore non sono mai da considerare spamming, e secondo me, anche se contengono messaggi pubblicitari (la responsabilità potrebbe essere diversa ed inquadrabile esclusivamente nell'ambito del reato di violenza privata)
5) Per quanto riguarda i forum, valgono gli stessi principi.
6) L'amministratore deve comunque sempre ottemperare ai requisiti di cui all'art. 15 e 31. Per ottemperare a questi requisiti, innanzitutto si devono aggiornare costantemente Joomla ed i componenti, plug, estensioni. Si devono inoltre seguire le regole previste dal Forum sulla sicurezza. Ancora se si tiene una copia di backup, occorre che questa sia affidabile (nel senso che non si distrugga faciamente) e sicura (ossia crittografata); A cilò si aggiunge che la sicurezza delle informazioni contenute nel vostro sito dipende anche da chi questo sito ve lo ha dato. Pertanto vi invito a leggere al pià presto cosa avete espressamente accettato quanto avete aperto un dominio.
7) Se qualcuno intende comunque inserire una Privacy Policy, non è necessario che ogni volta che si acquisiscono dati (es. Log-in) o si usano quelli già in possesso anche per altri scopi (ovviamente non imprenditoriali), si deve spiegare cosa ci fa e farsi rilasciare il consenso, può farlo tranquillamente anche utilizzando un unica pagina di riepilogo.
8 ) Il singolo individuo non imprenditore non è mai un
fornitore di servizi di comunicazione ed informazione, in quanto egli non è soggetto alla legge sulla privacy secondo le regole sopra specificate. Da ciò consegue che non sono a lui applicabili di Codici Deontologici e di Condotta.
Detto questo, la questione è:
siamo tutti daccordo? C'é qualcosa che mi è sfuggito? In realtà aggiungerò prossimamente qualcosa di importante(sempre secondo me) su cosa deve intendersi per "dato personale". Andiamo in ordine tuttavia.
Spero di non essere stato troppo esagerato
(Il seguente articolo viene rilasciato sotto Licenza Creative Commons Attribuzione-Non commerciale-Condividi ver. 2.5 ITA)
