Siti personali: privacy, log in e newsletter

[sali40]

Scusate l'intromissione.

In pratica, le norme sulla privacy non si applicano esclusivamente all'agendina che teniamo in tasca (sia essa cartacea sia essa elettronica o "embedded" nel cellulare).

Ovviamente, in questa esclusione entrano le persone fisiche siano esse in quanto tali siano esse in quanto responsabili di aziende.

Nel primo caso l'agendina conterrà i nomi di amici e parenti, nel secondo caso di clienti o fornitori, ad esempio.

Da qualche parte - non ricordo esattamente dove e in che termini - ho letto, però, che la "diligenza" nel trattamento di questi dati deve essere sufficientemente elevata. In buona sostanza, devo porre in essere tutti gli strumenti necessari per non perdere l'agendina e, nel caso in cui la perdessi, rendere non leggibili i dati inseriti (protezione con password forte, ad esempio).

Per quanto riguarda le newsletter, io porrei attenzione al significato di "consenso dell'interessato".

Il modulino entro il quale io inserisco l'indirizzo e-mail del mio vicino di casa per iscriverlo a una newsletter, non è, ovviamente, ammesso.

Non è stato l'interessato, ovviamente, a dare il suo consenso.

Si potrebbe ovviare facendo seguire, alla richiesta di iscrizione, una (e una sola) e-mail per l'attivazione (come si fa per l'iscrizione, per intenderci.

Alternativa: mettere un avviso in cui si scrive che esiste la possibilità di iscrizione alla newsletter, chiedere che venga inviata e-mail di richiesta specificando che sarà l'indirizzo mittente ad essere iscritto alla newsletter.

Il tutto, ovviamente, fermo restando (e quoto in toto il post di apertura) il DPS, l'avviso-richiesta di autorizzazione dei dati personali, l'indicazione delle misure di sicurezza adottate, l'indicazione del luogo di deposito dei dati stessi.

In effetti e ad assoluto rigor di legge, occorrerebbe anche che l'host - in quanto responsabile della tenuta dei dati - e l'amministratore del sito - che costituisce, invece, il titolare del trattamento - sottoscrivessero apposito disciplinare-incarico

[56francesco]

ma che confusione infernale...

http://www.interlex.it/675/tutela/p081127.htm

per chi ha voglia e tempo...

parolina magica:
formazione professionale della web-agency e del suo staff..
volendo anche e-learning, ma non gratis altrimenti come dal dietista o dallo psicologo, non vale!
 

[sali40]

Credo di aver capito che il topic faccia riferimento a siti di piccole dimensioni. In questo caso il titolare del trattamento e l'amministratore di sistema possono coincidere. In special modo se il titolare del trattamento (proprietario del sito) non ha dipendenti e possiede le competenze per poter assolvere al compito.

Se il proprietario del sito è anche colui il quale effettua gli aggiornamenti ed è il "webmaster", non può poi esserci una terza figura che si assuma le responsabilità delle "malefatte" del webmaster

Ciò che ho dimenticato, nel precedente post, invece, è che il componente per le newsletter deve consentire (e deve essere configurato) in modo da inviare singole e-mail, ovvero, nel caso di e-mail per gruppi, che gli indirizzi vengano inseriti in BCC (o ccn che dir si voglia)

[56francesco]

Credo di aver capito che il topic faccia riferimento a siti di piccole dimensioni. In questo caso il titolare del trattamento e l'amministratore di sistema possono coincidere. In special modo se il titolare del trattamento (proprietario del sito)

diciamo che questo forum dovrebbe trasudare chiarezza in merito all'argomento sito web, così non è invece, ma siamo in italia e non in europa o comunque all'estero..

mai incontrato ad esempio un sito italiano  dove nell'iscrizione alla newsletter  visualizzi un messaggio tipo: non useremo il tuo indirizzo per niente altro che la newsletter, (all'estero li incontro sempre più frequente, persino su siti localizzati in turchia o altri paesi asiatici)

invece immagino che siamo noi ad avere alla più alta percentuale di caselle e-mail cosiddette bidone..

immagino ancora che la cifratura delle email sia sempre sconosciuta, mentre ci propinano la firma digitale e la posta certificata, ma all'estero esiste niente del genere?

per non dire di chi viene a lamentarsi che da sito non riesce ad inviare le sue pregiate email  (tutto spamm  per me) ignaro dei filtri dei server e della esistenza dei server dedicati a tale funzione..

ma dopottutto perchè no?
l'europa è lontana, assai....

[56francesco]

due articoli per riflettere a che punto siamo:
http://www.primadanoi.it/modules/news/article.php?storyid=3303
http://www.interlex.it/accesso/italia2008.htm

aberrante:

Ma la cosa è meno facile di quello che sembra: il sito della Gazzetta ufficiale non offre il testo completo della legge. Ci sono sette pagine, da scaricare una alla volta, di riproduzione fotografica, con tanto di sovrastampa "COPIA TRATTA DA GURITEL - GAZZETTA UFFICIALE ON LI..".

E' un'assurdità proporre la riproduzione fotografica di un documento disponibile nel più comodo formato testuale (che potrebbe essere certificato con una firma elettronica). Ma la cosa più grave è che queste sette pagine in formato pdf non si possono unire. Insomma, non si può avere il testo completo della legge in un unico documento. Una serie di "lucchetti elettronici" lo impedisce. Si tratta di sistemi di DRM (Digital Rights Management), che lo stampatore della Gazzetta impiega come se fosse il "proprietario" del testo (in violazione dell'art. 5 della legge sul diritto d'autore, che dice: "Le disposizioni di questa legge non si applicano ai testi degli atti ufficiali dello stato e delle amministrazioni pubbliche, sia italiane che straniere".

[Milcon]

ciao,
per me internet e il web, chimiamoli un pò come vogliamo, anche se le differenze sono notevoli, devono rimanere uno spazio libero come i suoi creatori lo hanno stabilito sin dall'inzio. La stessa politica dell' open source vuol dire propio questo: condivisione e libertà. Penso leggendo questo che la regolmentazione sta arrivando piano piao, anche sul web.

[56francesco]

milcon, lo spamm è un'arma, un'arma potentissima e prima di tutto è violenza allo stato puro...
ti obbliga a rinchiuderti dietro la registrazione, ad isolare il tuo forum da intere zone geografiche...
che lo spamm  è la negazione di qualsiasi spazio libero me lo hanno spiegato almeno dieci anni fa in rete chi lo aveva capito già molto prima di me..
ma era nell'altra metà del nome a dominio, una rete grande come l'altra parte, questa che conosci,  ma ora non esiste quasi più..
;-)

[Milcon]

infatti ho dovuto nel mio sito isolare gli ip perchè dannosi e non veritieri, in fase di registrazione. Ma allora tutto questo è giusto? è giusto che ci sia una regolamentazione anche su internet, mi sembra di capire che avremo più problemi per aquistare un dominio e che dovremo essere più responsabili a condividere le informazioni degli altri.

[56francesco]

vorrai dire che dovrai essere più irresponsabile di prima e tacere, come fa lo spamm: intasa le risorse della rete di monnezza per toglierti spazio ...
spamm e regolamenti, stessa firma e stessa puzza.
 

[alex02]

Scusate l'intromissione ma ho letto una serie di inesattezze e mi pareva giusto intervenire. Dunque relativamente all'affermazione riportata nel post di apertura di questo topic c'è un grossolano errore, si afferma che si rende obbligatoria la stesura di un DpS per tutti quei soggetti che trattano dati personali con l'ausilio di strumenti elettronici ma l'affermazione non é esatta in quanto l'allegato B, meglio conosciuto come disciplinare tecnico, precisa che la stesura del DPS si rende obbligatoria solo per quei soggetti che trattano dati personali "SENSIBILI" con l'ausilio di strumenti elettronici. Dunque la definizione di dati sensibili non trova certo alcun riscontro con nome, cognome e indirizzo email in quanto queste informazioni sono definite DATI COMUNI e non sensibili.
Ricordò che vengono annoverati come dati sensibili le informazioni che possono ricondurre direttamente o indirettamente al pensiero politico, religioso e/o alle tendenze razziali/sessuali di un soggetto nonché le informazioni a carattere giudiziario (eventuali iscrizioni nel casellario giudiziario etc.etc.).
chiarito questo equivoco passo al problema email.
Risulta obbligatoria o'autorizzazione preventiva del soggetto prima di inondarlo di spam (pubblicitá piú concretamente) e che tale autorizzazione é implicita in un sito in cui nella sezione di sottoscrizione alla newsletter si scrive esplicitamente il contenuto che tali newsletters riporteranno (pubblicitá, informazioni etc.).
Ora il mio dito é stanco ma resto a disposizione per approfondire la questione.
Buon proseguimento

[pisolino1976]

Dunque relativamente all'affermazione riportata nel post di apertura di questo topic c'è un grossolano errore, si afferma che si rende obbligatoria la stesura di un DpS per tutti quei soggetti che trattano dati personali con l'ausilio di strumenti elettronici ma l'affermazione non é esatta in quanto l'allegato B, meglio conosciuto come disciplinare tecnico, precisa che la stesura del DPS si rende obbligatoria solo per quei soggetti che trattano dati personali "SENSIBILI" con l'ausilio di strumenti elettronici. Dunque la definizione di dati sensibili non trova certo alcun riscontro con nome, cognome e indirizzo email in quanto queste informazioni sono definite DATI COMUNI e non sensibili.

Per Alex02: Confermo la tua tesi. Provvederò al più presto a correggere il post da te sagnalato.

Per Tutti: Riporto le fonti a sostegno della tesi di Alex02:

• art. 34 - Trattamento con strumenti elettronici -"Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: (...bla, bla, bla,....)"

• Allegato B) art. 19 - Disciplinare tecnico in materia di misure minime di sicurezza- "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: (...bla, bla, bla,...)"

Per Alex02:

Risulta obbligatoria o'autorizzazione preventiva del soggetto prima di inondarlo di spam (pubblicitá piú concretamente) e che tale autorizzazione é implicita in un sito in cui nella sezione di sottoscrizione alla newsletter si scrive esplicitamente il contenuto che tali newsletters riporteranno (pubblicitá, informazioni etc.).

Il consenso è effettivamente implicito nella sottoscrizione della newsletter, laddove c'è un'informativa. Su questo siamo daccordo, ma tale obbligo è previsto del Codice sulla Privacy per coloro che sono soggetti alle prescrizioni ed alle procedure in esso previste.

....e quelli non soggetti? Riporto ancora una volta l'art. 5, comma 3 "Il trattamento dei personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusionche". I soggetti richiamati dalla norma, che non sono obbligati al Codice, chi sono? Si identificano in base all'attività svolta? Si identificano in base a cosa ci fanno con questi dati? L'unica cosa che sappiamo leggendo la norma, è che non si tratta di società o enti collettivi in genere, ma esclusivamente di persone fisiche

Adeguarsi alle prescizioni previste dal Codice può apparire un segno di civiltà.
Ma allora io vi chiedo: cos'è il diritto alla privacy? Secondo me, non è certo una cosa astratta e di interpretazione soggettiva.
Alla sua corretta interpretazione ci deve pensare la legge, che deve stabilire definizioni, procedure e vincoli. .....e allora non mi sembra normale che uno si adegui al Codice, giusto per stare tranquilli, se poi il medesimo provvedimento intende esclude la sua applicazione ai casi come quello da me trattato.
Se in Italia esiste un principio immanente nel nostro ordinamento, che è quello della certezza del diritto, non mi sembra legittimo un'interpretazione estensiva di obblighi giuridici ad personam, nel senso che ognuno fa come gli pare poiché la norma non è chiara.
Adeguarsi acriticamente a questi nuovi vincoli giuridici, non mi sembra affatto un senso di civilà, bensì il contrario, nel senso che ognuno fa come gli pare e piace a prescindere dalle regole: un sistema anarchico lo fa, uno democratico non lo dovrebbe permettere.


Per tutti: comunico che ho mandato una mail al Garante sulla Privacy, vediamo che esce fuori (...sperando che ripondono...).[/list]

[pisolino1976]

Il Garante Ptivacy non ha ancora risposto al mio appello.

Aggiungo quindi altre informazioni da fonti nazionali ed internazionali che consentino di meglio interpretare il comma 3 dell'art. 5 (Oggetto ed ambito di applicazione) che stabilisce come

"Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione".

L'organismo comunitario che si occupa dell'interpretazione e della regolamentazione sulla privacy, sull'opuscolo principale reperibile all'indirizzo http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm chiarisce che:

La direttiva sulla protezione dei dati non si applica ai dati trattati per motivi puramente personali o attività domestiche (ad esempio un’agenda elettronica personale o un file con i particolari della famiglia e degli amici).

Ciò sembrerebbe confermare la mia teoria in base alla quale i siti di proprietà di persone fisiche che sono anche gli amministratori dei medesimi e che li utilizzano per fini non imprenditoriali non sarebbero soggetti a tutti i vincoli e alle procedure previste dal Codice sulla privacy, purché i dati raccolti non vengono poi comunicati a terzi.

In altri termini, sembra affermare che io, persona fisica, potrei costruire un sito tipo un Social Network con i contributi spontanei di amici e di vari utenti identificati solo dall'user-id e raccogliere i loro dati personali per l'accesso senza richiedergli alcun consenso e ciò ovviamente fin tanto che i dati li ho solo io.

Spero ancora che qualcuno mi possa aiutare a trovare qualche info in più, a favore o a sfavore di questa tesi, in modo da chiarirla una volta per tutte. L'argomento sembra peraltro essere stato visualizzato da molti.

Chiedo tuttavia di fornire delle argomentazioni basate su fonti documentate e non su considerazioni personali, altrimenti si rischia di non fare mai un passo avanti sulla questione da me sollevata.