Ma la Privacy?

[alexred]

ok, stiamo sperimentando la modifica del componente di registrazione di joomla per mostrare e fare accettare l'Informativa sulla tutela dei dati personali (Legge 196/03).
Probabilmente dalla prossima versione italiana di Joomla verrà inserita questa modifica.

[Victor]

come si puo' inserire su joomla+CB l'accettazione???

[joomlapixel]

Pur restando pienamente convinto delle questioni da me riportate nei post precedenti,vi allego i riferimenti che abbiamo inserito nella compilazione del DPS.
Faccio presente che se è vs intenzione "prevenire" abbiate cura di inserire i riferimenti in chiusura anche nelle email inviate.
Legge privacy
Informazioni sulla tutela dei dati personali D.lgs 196/03
I dati personali raccolti in questo form ed ogni altra eventuale informazione a Lei associabile, direttamente od indirettamente, sono trattati ed utilizzati in conformità al Decreto Legislativo n.196/2003 ("Codice in materia di protezione dei dati personali") . Ai sensi e per gli effetti dell'articolo 13 del Codice, Spider 4 Web s.r.l. La informa che i dati da Lei forniti sono trattati mediante strumenti e procedure informatiche, per le seguenti finalità:
- rispondere ai quesiti da Lei formulati;
- tenere un data base delle domande, proposte, comunicazioni più frequenti;
Il conferimento dei Dati di Registrazione ha natura obbligatorio e il mancato conferimento, anche parziale, dei dati indicati espressamente come necessari per il perseguimento delle finalità determinerà l'impossibilità per Spider 4 Web s.r.l. di rispondere ai Suoi quesiti.
I dati da Lei forniti potranno essere esclusivamente conosciuti dai dipendenti di Spider 4 Web s.r.l. specificatamente autorizzati a trattare tali dati in qualità di incaricati al trattamento ex art. 30 D.lgs 196/03, e comunque al solo fine di perfezionare le attività da Lei richieste. Gli incaricati sono tenuti al segreto e alla riservatezza anche sulla base di apposito regolamento interno.
In ogni caso i dati non saranno mai diffusi.
Il titolare del trattamento è Spider 4 Web s.r.l. - Via Bassi, 81 - 33080 Fiume Veneto (PN) - telefono  + 39 0434 564161 in persona del suo legale rappresentante. In ogni momento Lei potrà esercitare i diritti che le spettano ai sensi dell'art. 7 del D.lgs.196/2003 e che per Sua comodità riproduciamo integralmente:
 
Decreto Legislativo n.196/2003
Art. 7 - Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Sulla base di quanto sopra riportato, vistando la casella in calce, viene manifestato il consenso al trattamento dei dati personali nel rispetto dell'art. 13 del D.lgs 196/03, dando atto che ha preso visione, compreso ed accettato quanto sopra esposto.   
Spero sia utile (e non pretenzioso)
fd aka lonely

[onoremthefirst]

Volevo aggiungere la mia, senza dare contro a nessuno ma espongo solamente la mia conoscenza in materia che mi sono fatto per i miei siti dopo aver letto più volte (a suo tempo) tutti gli articoli del decreto in questione.

username e password NON sono dati personali
email E' dato personale
religione E' dato sensibile (occorre autorizzazione garante)
nome e cognome SONO dati personali

Se tratti solo i primi non hai bisogno di niente (legge anti terrorismo a parte che obbliga ad identificare qualunque messaggio inviato in rete) ma il sito è inutile, che ci fai con gli utenti se non hai neanche la loro email per confermare la registrazione?
Puoi avere quindi un forum, ma solo con nickname e password, garantendo l'identificazione dell'ip e dell'orario dei post. (insensato quindi)

Se tratti l'email e/o nome, cognome, ecc... in maniera elettronica (sito web con db) devi proporre l'informativa sulla privacy, rispettare le misure minime di sicurezza e compilare il DPS e farlo timbrare alla posta (Documento Programmatico sulla Sicurezza). Devi fare le lettere d'incarico a chi maneggerà i dati x te (eventuali moderatori che hanno accesso ai dati), devi nominare un responsabile alla sicurezza (anche te stesso) e devi fornire il tuo indirizzo e recapito di casa (se sei un privato come me) come titolare del trattamento dei dati che deve essere comunicato e ben visibile quando ti registri.

Se tratti dati sensibili.... ti serve di arrivare anche alla separazione degli identificativi dai dati usando db separati, ecc..., devi avere una autorizzazione che scade ogni 12 mesi dal garante, ecc..

Purtroppo chi vuole rispettare la legge si deve fare le modifiche a mano al sito perchè nessun componente supporta ciò che è NORMALE ed OBBLIGATORIO ad oggi.

Leggermente diverso il discorso se i dati sono sono su supporti cartacei.

Senza polemica o superiorità........
Buona Giornata a tutti.

[onoremthefirst]

Aggiungo inoltre che un discorso analogo vale per i dati di navigazione raccolti dal sito ed in particolare dalle statistiche.
browser, colori, schermo, ip, pagine viste, orario, ecc...

[alcatcla]

Il discorso sulla legge sulla privacy è semplice:
-dati "personali" (quelli che consentono l'identificazione del soggetto) sono nome, cognome, email, numero di telefono/cellulare, indirizzo, codice fiscale, ecc. ecc.
E' necessario un consenso esplicito da parte dell'utente per poterli memorizzare + un altro consenso per poterli usare per fini "commerciali" (pubblicità, ecc.) + un altro consenso esplicito per poterli cedere a terzi (non deve mancare la citazione degli articoli di legge inerenti a queste attività).

Quando mi sono registrato su questo forum... nessuno mi ha chiesto nulla 

-dati "sensibili" sono tutti quelli che riguardano invece la sfera privata del soggetto, come: credo religioso, credo politico, informazioni sanitarie, stato economico, fedina penale, ecc. ecc. Come ha detto onoremthefirst questi dati vanno trattati con un riguardo particolare (credo sia necessaria anche una forma di crittografia sul DB).

Non prendetela come una polemica, però... occhio ! Fare siti "dinamici" non è propriamente un gioco da ragazzi !

[Stefano]

in realtà qualcosa esiste:
il componente akolegals serve proprio a questo, e lo puoi collegare tramite il modulo di iscrizione di community builder..
se guardi il mio sito trovi tutto 

dove trovo il "componente akolegals"

ci sono passaggi particolari per istallarlo

Grazie

[surfbit]

Se tratti solo i primi non hai bisogno di niente (legge anti terrorismo a parte che obbliga ad identificare qualunque messaggio inviato in rete) ma il sito è inutile, che ci fai con gli utenti se non hai neanche la loro email per confermare la registrazione?
Puoi avere quindi un forum, ma solo con nickname e password, garantendo l'identificazione dell'ip e dell'orario dei post. (insensato quindi)

Il cosiddetto “Decreto Pisanu” riguardante le nuove misure antiterrorismo sancisce l’obbligo di conservazione da parte di titolari e gestori di Hot-Spot ed Internet Point, sino al 31 dicembre 2007, di tutti i dati di traffico telefonico e telematico effettuato dai loro utenti.
Le norme antiterrorismo si applicano a provider di servizi di telecomunicazioni
soggetti che offrono accessi ad Internet in luoghi o locali pubblici (gestori di Hot-Spot, titolari di Internet Point, Internet Café, strutture ricettive, club e circoli privati, aeroporti, biblioteche, ecc.)

[Rb1971]

... ma una domanda: AkoLegal in italiano, dove si può scaricare?

[maxdg]

Il discorso sulla legge sulla privacy è semplice:

... .. una legge italiana "semplice"?
Ma quando mai?

-dati "personali" (quelli che consentono l'identificazione del soggetto) sono nome, cognome, email, numero di telefono/cellulare, indirizzo, codice fiscale, ecc. ecc.

Ancora, non è del tutto corretto.
In alcuni casi anche l'email può essere considerata dato sensibile. Ti faccio tre esempi:

nome.cognome@arcigay.it
nome.cognome@cattolici.it
nome.cognome@alzheimer.it

In fase di contestazione legale sarebbe facile per chi accusa dimostrare che questi indirizzi permettono di risalire a caratteristiche sessuali, religiose e politiche del soggetto; dati considerati sensibili.

Stesso dicasi per l'indirizzo, qualora io avessi il domicilio presso un qualsiasi indirizzo che, tramite lo stesso meccanismo di cui sopra, potesse svelare uno o più dati sensibili.

[maxdg]

In che modo riusciresti a risalire alla mia persona utilizzando il mio username e la mia email?
 

A parte il caso lampante in cui la tua email sia franco@danese.it ... ?
Con un reverse lookup, ad esempio... (hotmail poi.. ) sempre che  in fase di signup tu abbia inserito i tuoi dati reali.. 

Sono tutti servizi a pagamento ormai (quelli che funzionano) e stiamo comunque parlando di sistemi "accessibili all'utente medio"...
(a buon intenditor)

PS:
via t*********o - s. p****o v*******o 7***7 (B.)

... ci ho preso..? 

[maxdg]

come si puo' inserire su joomla+CB l'accettazione???

Esiste un campo apposito, nell'amministrazione di CB, dove inserire un indirizzo che punti ad una pagina Terms & Conditions.

[dna]

Ma al di là della registrazione al sito o ad una newsletter...per un semplice form vale lo stesso discorso?

Cioè, se io ho "nome" "email" e "messaggio" in maniera che uno mi mandi una mail per chiedermi informazioni o altro? Quindi in teoria lo stesso discorso dovrebbe valere per un mailTo...

Ma allora se io conosco una ragazza e le chiedo il nome ed il numero di telefono devo farle firmare un foglio sulla privacy?


Ok, io capisco che siamo in italia e quindi tutto non ha senso, ma mica uno è obbligato a darmi i suoi dati, cioè, non vuoi iscriverti al mio forum perchè non ti faccio vedere cosa ne faccio dei tuoi dati? Ok, non farlo e stop, se lo fai io coi tuoi dati poi (in teoria) faccio quel che mi pare...

Ma che andassero a lavorare o, meglio ancora, crepassero tutti...

[surfbit]

Ma al di là della registrazione al sito o ad una newsletter...per un semplice form vale lo stesso discorso?

Cioè, se io ho "nome" "email" e "messaggio" in maniera che uno mi mandi una mail per chiedermi informazioni o altro? Quindi in teoria lo stesso discorso dovrebbe valere per un mailTo...

Ma allora se io conosco una ragazza e le chiedo il nome ed il numero di telefono devo farle firmare un foglio sulla privacy?


Ok, io capisco che siamo in italia e quindi tutto non ha senso, ma mica uno è obbligato a darmi i suoi dati, cioè, non vuoi iscriverti al mio forum perchè non ti faccio vedere cosa ne faccio dei tuoi dati? Ok, non farlo e stop, se lo fai io coi tuoi dati poi (in teoria) faccio quel che mi pare...

Ma che andassero a lavorare o, meglio ancora, crepassero tutti...

Il tema della Privacy non è da sottovalutare!! Se io mi iscrivo in un forum e metto il mio indirizzo e-mail senza mettere altri dati personali, ho sempre iserito un dato di un  mio riferimento!! E' devo sapere cosa fà l'amministratore del servizio con questa mia e-mail!! La dà in mano alla lista degli spammer  La legge della privacy tutela questo!!

[dna]

Il tema della Privacy non è da sottovalutare!! Se io mi iscrivo in un forum e metto il mio indirizzo e-mail senza mettere altri dati personali, ho sempre iserito un dato di un  mio riferimento!! E' devo sapere cosa fà l'amministratore del servizio con questa mia e-mail!! La dà in mano alla lista degli spammer  La legge della privacy tutela questo!!

è comunque una cosa campata per aria...io mi iscrivo al forum, tu mi dici che non dai la mail a nessuno, ma come me lo garnatisci? In nessun modo...poi ripeto, volendo può essere una cosa in più, ma io posso darti il mio indirizzo e-mail e dirti: fanne quello che vuoi...dallo a chi ti pare...o no?

In ogni caso non hai risposto alla mia domanda principale (il resto sono solo polemiche mie...) è necessario, obbligatorio anche in un form (esempio la classica pagina contatti del sito)? Non è sufficiente mettere un link ad una pagina in cui si spiega cosa si fa coi dati personali in tutte le pagine?

[surfbit]

Quando si parla di dati personali in riguardo ad un servizio web ci deve essere specificato un resposabile e titolare del trattamento!! In genere quando ti registri da qualche parte clicci su accetti!! In questa pagina deve essere specificato oltre a responsabile la modalità del trattamento e i diritti dell'interessato!! Se non si tratta solo di e-mail ma anche di altri dati tipo quelli sensibili il titolare deve redarre il documento programmatico di sicurezza!!

[TH3WiZARD]

Il componente in questione, dopo tutto ciò che ho letto, non so se metterlo..... , sono confuso, per sicurezza ho scritto 4 righe nella sezione disclamer del sito, almeno con quelle non ci dovrebbero essere più problemi.

Ho inserito nella prima parte, il disclamer di Joomla, preso tale e quale com'era, e poi ci ho aggiunto del mio, voi che ne pensate, può andare bene?


Questo sito web è realizzato con Joomla! Il software ed il template utilizzati sono registrati sotto Copyright 2005 da Open Source Matters. Tutti gli altri contenuti, incluso i dati inseriti in questo sito web e nei template aggiunti dopo la procedura di installazione sono tutelati in base ai diritti d´autore dai loro rispettivi proprietari.

Se volete distribuire, la copia o modifiche a Joomla!, si prega di farlo sotto i termini della Licenza Pubblica e Generale GNU. Se avete poca dimestichezza con questa licenza, è probabile che desidererete leggere 'Come applicare questi termini al vostro programma' e le FAQ 'FAQ - Licenza Pubblica GNU e Generale'.

Questo sito rappresenta il punto di incontro virtuale di una comunità di persone unite dalla passione per il gioco, i suoi contenuti sono interamente riferiti al gioco, in tutte le sue sfumature, non hanno quindi nessuna attinenza con alcuna vicenda reale il sito non è una strumentalizzazione politica e non mira a diventarlo, inoltre questo sito NON è a scopo di lucro ed i contenuti presenti non sono lesivi di nessun tipo di diritto, non sono a sfondo pedo/***grafico, non sono a sfondo terroristico, non promuovono l'incitamento alla violenza o la discriminazione raziale.

Il sito in questione non è coperto da diritti di copyright, i contenuti in esso presenti sono di libera visione e di libera divulgazione.

Si consiglia inoltre di non inserire dati personali o sensibili, benchè i contenuti comunitari presenti nel sito siano protetti. I dati richiesti in fase di registrazione al sito non sono tali da essere considerati sensibili dato che molto vaghi, quindi il sito, non necessità di un garante. 

Lo Staff non si ritiene responsabile dell'utilizzo improprio che Terze parti potrebbero fare dei contenuti di questo sito.

Grazie Arrivederci

[Spike1]

Un po' in ritardo, ma dico anche la mia:

Premessa: mi sono interessato alla questione privacy abbastanza presto e un 2/3 webbit fa (a Padova e poi a Milano) avevo seguito alcuni seminari in proposito. Sulla scorta di quanto scritto nel codice e parlando con l'avvocato (non ricordo il nome) che seguiva questi aspetti e con (anche qui non ricordo il nome) con una persona di IWA, era emersa la necessità (prevista dal codice) di redigere una proposta di codice di autoregolamentazione da parte degli operatori del settore da sottoporre al garante affichè si basasse su qualcosa per pubblicare poi in gazzetta il codice di autoregolamentazione (che ad esempio esiste per i giornalisti).
Abbiamo discusso un po' ma poi è morta lì.

Fine premessa.

1)Se si trattano dati personali si è soggetti alla legge sulla privacy. Dati personali, è già stato detto, sono tutti i dati che consentono, anche non direttamente ma mediante confronto con altri dati, di risalire all'identità di una persona. Trattamento significa praticamente qualsiasi cosa, anche solo immagazzinamento.
Pertanto, ovunque l'utente inserisca il proprio indirizzo e-mail ci apprestiamo ad effettuare un trattamento di dati.

2) Se siamo soggetti alla legge sulla privacy, dobbiamo rispettarla in toto. La richiesta di consenso e l'informativa sono solo alcuni degli adempimenti, ma non tutti (o meglio spesso è richiesto almeno un'altro adempimento, vediamo più avanti).

3) In qualsiasi pagina si chieda l'inserimento di dati, deve esserci (direttamente o con rimando a pagina specifica) una richiesta di consenso specifica e un'informativa specifica. (Es: abbiamo 3 form? Ok, sono necessari 3 informative distinte (o un'unica che contempli però le 3 diverse situazioni di raccolta dati). Non solo. Se i dati che raccogliamo con un form vogliamo utilizzarli per scopi distinti (es 1 rispondere alla richiesta, 2 inviare informazioni commerciali, ecc...) dobbiamo tassativamente (molto spesso non rispettato) chiedere il consenso separatamente (tante volte quante sono gli utilizzi che ne vogliamo fare), perchè il consenso è all'utilizzo (e siccome esiste l'art. 7, l'utente può variare in qualsiasi momento ciò che ci consente di fare, pertanto non viene ritenuto ammissibile ammassare gli utilizzi diversi dietro un'unica richiesta di consenso).

4) Veniamo ora agli altri eventuali obblighi (escluso DPS). Eventuali, perchè grazie ad uno scambio di vedute sull'argomento con 3mentina sul forum americano ho mutato la mia posizione.
Ovvero, il problema è la necessità di applicare quanto contenuto  nel regolamento di attuazione (caratteristiche password, scadenze ecc...) agli account di admin (o meglio agli account che possono gestire i dati degli utenti).
Giustamente questo obbligo può essere riversato interamente in capo al gestore del sito che attuerà quanto necessario mediante un'adeguata policy (ovvero DPS).
Tuttavia è buona pratica (ovvero il fruitore è più contento) da parte di una software house (sto generalizzando ok) fornire un sw che aiuti chi lo utilizza ad ottemperare agli obblighi cui è soggetto. Tutto ciò si traduce in: sarebbe bello avere l'admin di Joomla che ci ricorda la scadenza della password, la necessità di modificarla (con disabilitazione automatica), controllasse la 'bontà della password, controllasse lo stesso username non venga assegnato ad altro utente (ovviamente quando il precedente è stato eliminato), ecc... ecc..

Ad esempio: da gennaio c'è l'obbligo (per semplificare diciamo così) di riportare in fattura anche il codice fiscale oltre alla P.Iva.
Bene, a fine 2006 o inizio 2007, non ricordo più, il team americano di Zen Cart ha rilasciato una nuova versione dove era stato eliminato un campo che noi italiani usavamo per la partita iva. Risultato? La nuova versione di Zen Cart non è più user friendly (ovvero se si vuole usare quella, bisogna ad ogni ordine contattare l'aquirente e chiedergli i dati).
Risultato bis? Mi sono dovuto smazzare una serie di modifiche a un po' di files per fare in modo che si potesse gestire partita iva e codice fiscale.

Nel caso di Zen Cart (visto che sono il responsabile tecnico di ZC Italia) ho ritenuto opportuno (per non limitare la diffusione del software) di fare questi interventi.
Ma mettermi a fare lo stesso per Joomla, proprio non posso.

[ivan]

Perdonatemi, ma io alcune cose proprio non le ho capite in merito alla privacy: 1) se io gestisco un sito joomla dove raccolgo, ad esempio, nome ed email degli utenti per la mia newsletter, dovro' chiedere l'autorizzazione agli stessi in fase di immissione di tali dati. A questo punto io sarei il titolare del trattamento, ma visto che i dati si trovano sul server dove risiede il mio sito e non sul mio pc, come faccio a garantire che gli stessi saranno trattati in rispetto della 196/03?
2) se, per esempio, pubblico annunci sul mio sito, rendero' l'informativa solo per esso; quando passano gli spider dei vari motori ed indicizzano la pagina con i dati, di chi è la responsabilità?
3) per farmi autorizzare al trattamento, ad esempio pubblicare un numero di cellulare per un annuncio, come si fa'? ha valore una mail che mi spedisce l'utente con la quale mi autorizza?
Stop. Spero di non avervi annoiato, ma attorno a questi agomenti regna il caos totale. Saluti.

[GMarche]

Scusate  ma fondamentalmetne gli utenti non devono sottoscrivere un contratto?

Se si che prove si hanno di cosa c'era scritto nel contratto ad esempio qualche giorno prima?

Ciao ciao