Ma la Privacy?

[Spike1]

@Ivan (ovviamente tutto ciò che dico è IMHO, non sono un consulente  sulla privacy):

1) In linea teorica il tuo fornitore di hosting dovrebbe averti inviato una comunicazione in merito alle modalità di trattamento dei dati (in soldoni, chi può accedere ai database e per fare cosa e quali misure di sicurezza sono adottate sul server(a mio avviso, a questo proposito, un hosting senza adeguata policy di backup non può essere utilizzato), in modo che tu possa comunicarlo nell'informativa ai tuoi utenti (anche senza eventualmente specificarlo, ripeto IMHO). Alzi la mano chi l'ha ricevuta (questa sarebbe una delle cose 'tipiche' da definire nel codice di autoregolamentazione).

2)Credo sia mal posta la domanda, nell'informativa devi specificare che i dati (quali???) saranno pubblicati nel sistema di gestione degli annunci e quindi questo configura la tipologia di trattamento definita come diffusione (a quel punto se l'utente acconsente, non è più un problema perchè gli hai detto che i suopi dati (specificando esattamente quali e in che modo, sarnno diffusi (che significa resi pubblici, come appunto avviene con la pubblicazione in chiaro in pagine ad accesso non limitato).

3) La cosa migliore è scrivere un'adeguata e dettagliata informativa e utilizzare il double opt-in per la registrazione (ovvero l'utente compila il modulo di registrazione (per l'invio del quale è necessaria la spunta della checkbox in cui si chiede espressamente il consenso), riceve una mail di richiesta conferma, clicca sul link contenuto nella mail e solo a quel punto risulta registrato.

A me sembra che in questo modo sia ragionevolmente (sic!) coperto l'ambito di richiesta di consenso e informativa.

[Spike1]

@ GMarche: mi pare che in nessuna parte del codice si parli di 'contratto'.

L'obiezione che sollevi (interessante) io la riverserei in capo all'utente. Quando compila un form sul mio sito, deve spuntare la/e casella/e sul consenso, accanto alle quali si trova il link che conduce alla pagina dell'informativa. Questa pagina è stampabile. Se l'utente non la stampa, è lui che non si è tutelato.

Si potrebbe obiettare che una stampata di una pagina web è modificabile a piacimento, hmmm... già allora che si fa?

Non ho risposte... (e penso che un simile problema non interessi a nessuno nella pratica)... Forse inserire l'informativa nella mail che viene inviata all'utente in fase di richiesta di conferma registrazione (ma per un semplice form di richiesta info?).
Perchè la mail deve essere conservata dal provider per (mi pare) 5 anni...

Mah?!?

[GMarche]

Secondo me comunque fondamentalmente è un contratto gratuito che l'utente sottoscrive...

Per i contratti se vengono modificati, si deve comunicare le modifiche 30/60 giorni prima agli utenti...

[ivan]

@Ivan (ovviamente tutto ciò che dico è IMHO, non sono un consulente  sulla privacy):

3) La cosa migliore è scrivere un'adeguata e dettagliata informativa e utilizzare il double opt-in per la registrazione (ovvero l'utente compila il modulo di registrazione (per l'invio del quale è necessaria la spunta della checkbox in cui si chiede espressamente il consenso), riceve una mail di richiesta conferma, clicca sul link contenuto nella mail e solo a quel punto risulta registrato.

Grazie Spike1 per le risposte. In merito al terzo punto, ammesso che ci sia anche il double opt-in, un domani come dimostro che quell'utente ha ricevuto una mail ed ha risposto alla stessa autorizzando il trattamento? Devo stamparla? Ha valore?
Ho provato a vedere se la cosa era risolvibile tramite PEC (posta elettronica certificata) ma non si puo' perche' la casella di posta ceritificata riceve mail solo ed esclusivamente da la altre caselle certificate
Ho scritto anche al garante.....peggio che andar di notte.
Ciao

[Leonardo]

Perdonatemi, ma io alcune cose proprio non le ho capite in merito alla privacy: 1) se io gestisco un sito joomla dove raccolgo, ad esempio, nome ed email degli utenti per la mia newsletter, dovro' chiedere l'autorizzazione agli stessi in fase di immissione di tali dati. A questo punto io sarei il titolare del trattamento, ma visto che i dati si trovano sul server dove risiede il mio sito e non sul mio pc, come faccio a garantire che gli stessi saranno trattati in rispetto della 196/03?
2) se, per esempio, pubblico annunci sul mio sito, rendero' l'informativa solo per esso; quando passano gli spider dei vari motori ed indicizzano la pagina con i dati, di chi è la responsabilità?
3) per farmi autorizzare al trattamento, ad esempio pubblicare un numero di cellulare per un annuncio, come si fa'? ha valore una mail che mi spedisce l'utente con la quale mi autorizza?
Stop. Spero di non avervi annoiato, ma attorno a questi agomenti regna il caos totale. Saluti.

Buongiorno ragazzi,
seguo i vs post con un interesse immenso e devo dire che sinceramente sono estremamente interessanti...secondo me meriterebbe questo argomento uno spazio apposito sul forum...che ne dite amministratori ? 

Comunque il fatto è che anche nel mio sito volevo fare una semplice newsletter con un form di registrazione in cui l'unico dato obbligatorio ovviamente è la mail e con un secondo campo facoltativo dove poter inserire un nome anche di fantasia o un nickname....ma credo che lo leverò perchè se uno mi ci mette nome e cognome sò già fregato ..da da...dato sensibile...

Ma il problema non è solo qui....vabbè faccio in modo che uno metta solo la mail...perfetto...a questo punto se non erro dovrebbe bastare l'informativa per il trattamento dei dati personali specificando che gli stessi servono unicamente per mandare una newsletter e che le mail non vengono cedute a terzi ..che sono archiviate elettronicamente presso il mio hosting provider che adotta tutta una serie di misure di protezione etc etc...

La fregatura dove sta ? ...se uno mi si registra alla newsletter con una mail che è palesemente dato sensibile ..tipo nome.cognome@cattolici.net io sò belle fregato xchè se questo dato oltre ad essere personale è pure sensibile io dovrei anche redigere il DPS come privato gestore di un sito ??

Quale soluzione ? lo cancello o in fase di registrazione specifico chiaramente che non sono accettati dati sensibili e che quindi se inseriti saranno cancellati dall'amministratore del sito ? è sufficiente una manleva del genere specificata sul link che richiama la legge sulla privacy per sollevarmi dall'annosa questione ?

Altre due cose per favore :
- allora anche nel form dei contatti standard di Joomla dove uno può inviarti una richiesta per mail andrebbe fatto un richiamo al link della privacy ? con gli stessi problemi di cui sopra però...
- volevo mettere sù anche un guestbook per i visitatori: oltre al problema della mail qui c'è anche quello che che il componente che vorrei usare quando uno scrive nel guestbook mette l'indirizzo IP del pc dal quale uno scrive..non sò come levarlo e non sò se questo mi potrebbe creare dei problemi...per il 99% dei casi l'ip è dinamico ma se anche per uno solo è statico ? l'IP di un pc può essere considerato dato personale ? che stò sparando una boiata ?    ...il fatto è che mi stò un pò terrorizzando leggendo quello che può succedere a chi sgarra...

Grazie a tutti. 

[Leonardo]

INTEGRAZIONE AL MIO PRECEDENTE MESSAGGIO

Sicuramente molti l'avranno già visto ma dato che qui ci si dà una mano a vicenda spero che a qualcuno faccia piacere sapere che sul sito del Garante per la Privacy c'è un modulo in PDF con il quale un utente può rivolgersi al titolare del trattamento dei dati e richiedere alcune cose... E' fatto molto bene e sicuramente metterlo nei propri siti oltre alle altre informative necessarie secondo me aumenta il senso di responsabilità che il sito dedica a questa materia...credo che un utente non possa che essere molto soddisfatto della presenza di questo documento e da parte di chi ha la facoltà e l'obbligo di controllare che i nostri siti siano in regola ...beh credo che dia ovviamente l'impressione di "cose fatte in piena regola" ed una chiara e palese trasparenza sulla volontà per il gestore del sito di essere a posto con la legge di cui discutiamo su questo post.

Ovviamente io per il mio prenderò spunto dal sito del Garante per quanto riguarda il loro richiamo alla "Privacy Policy".. se no quale meglio di quello ?!? 

[Jeck Scalia]

E' un problema inesitente.........
mi occupo di legge sulla privacy in ambiente scolastico,tale legge trova applicazione nel caso vengano trattati dati personali sensibili (religione,stato fisico,stato patrimoniale) cioè dati che contribuiscano ad individuare particolari tendenze  e/o problemi individuali.
Se nei vostri siti chiedete di mettere un segno di spunta sulla voce "religione professata" oppure "mangiate o meno la carne di maiale" ed ancora "il vostro conto in banca è coperto?" se sì "mi dite il numero?" allora siete soggetti alla succitata..............
fd aka lonely
p.s.
da cittadino italiano mi permetto di di dire che è una delle leggi più insulse mai approvate,ma solo perchè  non sono stati definiti con chiarezza ( al solito) i campi di intervento nè le modalità.
fd aka lonely

Che si un problema inesistente non direi per niente, potreste chiederlo ai ragazzi che si sono presi 18.000 euro di multa per aver omesso il form di privacy e la normativa in questione, e sopratutto per non aver redatto il DPS informatico.

Anche se è una legge insulsa direi che non è da sottovalutare.

[GMarche]

Ripeto... ma come si garantisce le cose scritte nella pagina da accettare per la privacy?

Se io oggi scrivo in quella pagina da accettare solo "pinco pallino" e poi se succede qualcosa, la modifico subito mettendoci frasi che mi tutelano...

[maxdg]

Ripeto... ma come si garantisce le cose scritte nella pagina da accettare per la privacy?

Prima di tutto, qual'è il problema?
Un'eventuale contestazione in sede civile o penale?

Non ne vedo altri... in quel caso i logs del server devono essere a disposizione dell'autorità giudiziaria.. e quelli "parlano".. 

[maxdg]

...potreste chiederlo ai ragazzi...

Volentieri.
Chi sono, questi?

[Spike1]

@Leonardo e Maxdg: Io avrei da obiettare sul fatto che un indirizzo e-mail, per quanto sotto un dominio particolare, come quelli riportati, possa essere considerato dato sensibile.

Avere un indirizzo di posta mionome@cattolici.it, a mio avviso non equivale all'informazione 'io sono cattolico'.

Non ho idea di cosa ci sia nel sito in questione nè se esista... ma poniamo il caso che esista e ci sia una sezione riservata ai rapporti con le altre religioni e io sia il responsabile di questa sezione e casualmente sia ebreo o musulmano o qualsiasi altra cosa  (non poniamo limiti all'ampiezza di vedute) e abbia il mio indirizzo mail...

Oppure, esempio più plausibile, supponiamo io sia un medico esperto di alzhameir e gestisca il relativo sito, ciò non mi identifica ovviamente come affetto da tale malattia...

Stessa cosa per quanto riguarda le preferenze sessuali, potrei essere il webmaster del sito dell'arcigay (con mio proprio indirizzo mail) pur essendo etero...

P.S.: Anch'io sarei interessato a sapere chi sono i 'ragazzi' che hanno preso 18000 euro di multa per irregolarità nel sito e mancanza DPS.

[GMarche]

Ma scusate non basta telefonare alla Polizia Postale e chiedergli se l'email viene considerata dato sensibile?

Ciao ciao

[surfbit]

Ma scusate non basta telefonare alla Polizia Postale e chiedergli se l'email viene considerata dato sensibile?

Ciao ciao

Mi risulta che l'email non è un dato sensibile ma un dato personale.

[sali40]

Scusate, mi intrometto. Tardivamente, ma l'argomento mi pare ormai ben trattato.
Come precedentemente più volte scritto, c'è una differenza fondamentale fra "dato personale" e "dato sensibile" (ci sarebbe una terza categoria: i "dati giudiziari").
Correttamente i dati sanitari, politici, religiosi, sessuali etc sono dati sensibili
Per quanto riguarda l'indirizzo e-mail (giusto per limitarci al caso più eclatante), ci sono già stati dei pronunciamenti del garante. A prescindere se il dominio possa o meno individuare un "dato sensibile", a prescindere se si possano desumere ulteriodi "dati personali" (il caso di "nome.cognome", ad esempio), costituisce in sè un dato personale utilizzabile esclusivamente per la ragione per cui è stato fornito.
Stia tranquillo l'amico joomlista che si preoccupava della liberatoria della ragazza cui è stato "estorto" il numero di telefono per metterlo in una rubrica personale. Ma stia tranquillo giusto perché, accortisi della madornalità della cosa, c'è stata prima una decisione del garante che è poi stata recepita in una delle tante modifiche e integrazioni alla legge (oggi "CODICE"). Se la raccolta è per uso personale, il "CODICE" non si applica.
Certo, se la ragazza, giusto per farti dispetto dovesse negare di essere stata essa stessa a darti il numero ... sono cavoli 

P.S.: Acc... quasi dimenticavo. Anche nel caso della rubrichetta telefonica con i numeri di telefono degli amici, però, pur non applicandosi il "CODICE" nella sua interezza, si applicano gli articoli 15 (Danni cagionati per effetto del trattamento) e 31 (Obblighi di sicurezza).
Giusto  per la cronaca, con "trattamento" si intende "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati"
 

[maxdg]

@Leonardo e Maxdg: Io avrei da obiettare sul fatto che un indirizzo e-mail, per quanto sotto un dominio particolare, come quelli riportati, possa essere considerato dato sensibile.

In effetti, l'uso del condizionale e la definizione dell'ambito (contestazione legale) non sono stati del tutto casuali.
Di innocenti dentro e delinquenti a piede libero è pieno il mondo.. dunque non sottovaluterei il potere d'intepretazione della legge da parte d'un buon avvocato..

@sali40 : ...da oggi starò attento anche a dove lascio il cellulare, allora... 

[GMarche]

Mi ripeto...
Perchè invece di fare tante supposizioni non si chiede alla Polizia Postale?

http://www.paginebianche.it/execute.cgi?btt=1&tl=2&tr=101&tc=&cb=&tq=2&qs=polizia+postale&qsn=&dv=&ind=&nc=&x=0&y=0

Ciao ciao

[angelcs]

Ragazzi secondo me bisogna rimboccarsi le maniche e fare un componente adatto, anche perchè molti componenti traggono dati sensibili come per esempio:

com_alberghi
com_sigu
com_communitybuilder
e credo altri

che ne dite?

[maxdg]

Mi ripeto...
Perchè invece di fare tante supposizioni non si chiede alla Polizia Postale?

Ma perché non ci sono supposizioni: lo sappiamo.
La discussione è più di natura filosofica, ovvero SE è possibile risalire ad una caratteristica "sensibile" da un dato "personale" (in questo caso l'email) ed è giusto che qusto argomento venga discusso tra i cosiddetti operatori del settore.. non sarebbe la prima volta che si legifera "alla ca**o" tanto per mettere una pezza per scoprire poi (per merito dei succitati) di aver fatto casino..

Pensa a quando la territorialità di un'azienda in rete la si voleva attribuire alla residenza fisica del server... come se io potessi costituire un'azienda USA e pagare le tasse in USA solo perché ho un sito di ecommerce in un server USA... ma sono iscritto alla Camera di Commercio della mia città... robe da matti..

[Wildcat Hendrix]

Stavo leggendo con molta curiosità questi post alla ricerca di info utili al mio caso. Io sto per aprire un negozio online e mi stavo facendo un sacco di paranoie sul dps, multe, casini vari, soldi da spendere per mettersi in regola ecc. ho deciso quindi di chiamare il garante per la privacy e ho spiegato il mio caso, quindi:

vendita online
database clienti
ecc

mi è stato detto che l'unica cosa che devo fare è quella di inserire nel sito l'informativa sul trattamento dei dati in cui si spiega che i dati forniti verranno utilizzati solo per gestione interna (fatture ...). insomma bisogna inserire il testo della legge in questione.

ho chiesto:
quindi basta solo mettere l'informativa con una casella di spunta per l'accettazione?
Risposta: no, non è obbligatorio che il cliente spunti nulla!

per quel che mi riguarda sono a posto. meglio di loro non so a chi chiedere. io per sicurezza la casella di spunta la lascio.

Ps.: certo che è veramente assurda questa situazione. c'è un caos enorme. non si capisce che cosa si deve fare e come. fanno le leggi ma non danno una mano a chi le vuole rispettare.
Forse sarò il solo a pensarla così ma è alquanto sgradevole.

[crimenx]

Stavo leggendo con molta curiosità questi post alla ricerca di info utili al mio caso. Io sto per aprire un negozio online e mi stavo facendo un sacco di paranoie sul dps, multe, casini vari, soldi da spendere per mettersi in regola ecc. ho deciso quindi di chiamare il garante per la privacy e ho spiegato il mio caso, quindi:

vendita online
database clienti
ecc

Se hai un'attività di e-commerce il consenso non è obbligatorio in quanto "e' necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato" (Art. 24 - Casi nei quali puo' essere effettuato il trattamento senza consenso)