Joomla.it Forum
Joomla! 1.5.x (versione con supporto terminato) => Joomla! 1.5 => : pisolino1976 04 Feb 2009, 15:14:46
-
(...premetto innanzitutto che non sapevo dove aprire questa discussione, pertanto se è necessario spostarla provvedete al più presto.... ritengo peraltro che potrebbe essere utile per un eventuale Wiki..., metto a mia disposione le mie competenze giuridiche, nei limiti delle mie possibilità, ....porgo le mie scuse preventive se il post è lungo ma ho cercato di evitare che si aprisse una discussione senza partire da validi elementi; preciso tuttavia che aggiornerò questo post man mano che si amplia la discussione)
Ho visto che c'è molta discussione sulla necessità o meno del rispetto della normativa sulla privacy. Io dico la mia su una "questione parallela" alle importanti discussioni che si sono create, in quanto ritengo che l'aver discusso tanto sulle questioni "a valle", su tutte, sulle modalità applicative e sulle procedure da adottare per rispettare tale provvedimento, e non sulle questioni "a monte", ossia su chi è soggetto a tale normativa, abbia ingenerato confusione in un gruppo di utenti, qual'è quello "dei non web agency" che sta crescendo in maniera esponenziale proprio grazie allo sviluppo dei CMS Oper Source, come Joomla.
Andiamo quindi al dunque....
Volendo costruire un sito che contenga news ed approfondimenti creati inizialmente da me, e man mano da tutti gli utenti registrati, mi si è posto il primo problema: essendo il sito (o meglio il dominio) non intestato ad un'attività imprenditoriale, cosa c'è da fare ai fini della privacy?
(testo aggiunto e poi parzialmente corretto...) Aggiungo peraltro che la questione sollevata ha notevoli implicazioni pratiche, perché se io, nelle condizioni che ho richiamato(sito personale su un server nazionale), sono soggetto alle prescrizioni del Codice sulla Privacy, viene di conseguenza che il trattamento effettuato con strumenti elettronici, mi comporta oltre a tutti gli obblighi di informativa, anche quello di predisposizione del Documento Programmatico sulla Sicurezza (DPS). Ancora, il mancato rispetto di questa normativa mi comporta anche conseguenza sanzionatori pesanti in caso di mancato rispetto.
(testo aggiunto...) Per dire la mia sull'argomento, dapprima richiamo degli elementi oggettivi su cui ragionare, poi faccio delle considerazioni personali sull'interpretazione di questi elementi.
(testo aggiunto...) Vorrei quindi che sull'interpretazione da me fornita, vengano effettuate da voi lettori delle considerazioni, personali o professionali che siano, anche al fine di consentirmi di migliorare il contenuto del post, per il bene di tutti.
(testo aggiunto...) In questo senso, il testo che segue non rappresenta assolutamente una "informativa al trattamento dei dati" che molti di voi inseriscono o intendono inserire sulle vostre pagine web, ma rappresenta invece un punto di partenza su cui sarebbe opportuno che tutti ragionassimo. Potrà al limite diventarlo quando ci saranno numerosi contributi.
Richiamo quindi un estratto del D.Lgs. 196/2003:
- comma 3 dell'art. 5 (Oggetto ed ambito di applicazione): Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
- art. 4, comma 1 (Definizioni):
Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
....l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
.....m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
- Art. 15 (Danni cagionati per effetto del trattamento):
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
- art. 11 (Modalità del trattamento e requisiti dei dati):
I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
- art. 31 (Obblighi di Sicurezza):
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
- art. 131 (Comunicazioni indesiderate).
1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. È vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
- art. 133. (Codice di deontologia e di buona condotta)
Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato da fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole e interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei princìpi di cui all'articolo 11, anche ai fini dell'eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato.
...ci siete, è troppa roba...... è tutta quella che bisogna sapere però.
Da ciò concludo verso le seguenti considerazioni personali:
1) Le regole stabilite nella Legge sulla privacy non si applicano quando sussistono contemporaneamente due presupposti:
a) deve trattarsi esclusivamente di persone fisiche, escludendosi dunque forme aggregate tipo società, cooperative, consorzi, associazioni o fondazioni;
b) gli scopi di tale trattamento sono riferiti a scopi esclusivamente personali, o in altri termini, non imprenditoriali;
2) Quando i dati (nome, cognome e email) vengono raccolti per l'accesso ai contenuti registrati di un sito costruito con Joomla (es. classico il Log-In al sito), non occorre osservare le procedure imposte dalla Legge sulla Privacy, fin tanto che tali dati non vengono trattati anche per essere comunicati a terzi, in qualsiasi modo ciò avvenga. Per ottemperare a tale esigenza occorre quindi che la banca dati degli utenti registrati venga gestita esclusivamente dall'amministratore del sito, che secondo me deve essere anche il titolare del dominio. E' inoltre necessario che venga sempre visualizzato l'user-id o un alias dell'utente, non potendo mai essere mostrato il nome, cognome e l'email dell'utente.
3) Per quanto riguarda le newsletter o mailing-list (o chiamatele come vi pare) lo scopo del legislatore ed attualmente dell'Autorità Garante (che oggi può essere adeguatamente rinominata Autorità Anti-Spamming ;)) è quello di tutelare dallo spamming, pertanto le procedure di registrazione non sono soggette ad alcuna accettazione della legge sulla privacy, fintanto, ripeto, questi dati non vengono comunicati a terzi;
4) le newsletter provenienti da siti appartenenti ad una persona fisica non imprenditore non sono mai da considerare spamming, e secondo me, anche se contengono messaggi pubblicitari (la responsabilità potrebbe essere diversa ed inquadrabile esclusivamente nell'ambito del reato di violenza privata)
5) Per quanto riguarda i forum, valgono gli stessi principi.
6) L'amministratore deve comunque sempre ottemperare ai requisiti di cui all'art. 15 e 31. Per ottemperare a questi requisiti, innanzitutto si devono aggiornare costantemente Joomla ed i componenti, plug, estensioni. Si devono inoltre seguire le regole previste dal Forum sulla sicurezza. Ancora se si tiene una copia di backup, occorre che questa sia affidabile (nel senso che non si distrugga faciamente) e sicura (ossia crittografata); A cilò si aggiunge che la sicurezza delle informazioni contenute nel vostro sito dipende anche da chi questo sito ve lo ha dato. Pertanto vi invito a leggere al pià presto cosa avete espressamente accettato quanto avete aperto un dominio.
7) Se qualcuno intende comunque inserire una Privacy Policy, non è necessario che ogni volta che si acquisiscono dati (es. Log-in) o si usano quelli già in possesso anche per altri scopi (ovviamente non imprenditoriali), si deve spiegare cosa ci fa e farsi rilasciare il consenso, può farlo tranquillamente anche utilizzando un unica pagina di riepilogo.
8 ) Il singolo individuo non imprenditore non è mai un fornitore di servizi di comunicazione ed informazione, in quanto egli non è soggetto alla legge sulla privacy secondo le regole sopra specificate. Da ciò consegue che non sono a lui applicabili di Codici Deontologici e di Condotta.
Detto questo, la questione è: siamo tutti daccordo? C'é qualcosa che mi è sfuggito?
In realtà aggiungerò prossimamente qualcosa di importante(sempre secondo me) su cosa deve intendersi per "dato personale". Andiamo in ordine tuttavia.
Spero di non essere stato troppo esagerato ;D
(Il seguente articolo viene rilasciato sotto Licenza Creative Commons Attribuzione-Non commerciale-Condividi ver. 2.5 ITA)
-
4) le newsletter provenienti da siti appartenenti ad una persona fisica non imprenditore non sono mai da considerare spamming, e secondo me, anche se contengono messaggi pubblicitari (la responsabilità potrebbe essere diversa ed inquadrabile esclusivamente nell'ambito del reato di violenza privata)
in italia? o all'estero?
una citazione sarebbe quando mai necessaria...
ps
per cortesia, caratteri normali, ho moderato una parte, apprezzerei che per la restante ci pensassi da solo,
grazie.
azz...
finito di leggere ora
ma scusa, come ti viene in mente di scrivere una quantità così indefinita di inesattezze?
proporrò agli altri moderatori che questo topic venga cancellato del tutto, è pericoloso per chi lo legge.
-
Allora vediamo.....
Per quanto riguarda la forma, ho corretto la seconda parte con un carattere non grassetto. Evidenzio come l'uso del grassetto, del corsivo e del colore è stato appositamente utilizzato per alleggerire il testo.
Vediamo quindi la sostanza.
Circa la citazione che fai, non ho compreso le questioni sollevate. Puoi cortesemente riformularle? Che intendi dire?
Per quanto riguarda infine la parte finale della risposta da te formulata, io non posso che rispondere che sarei pienamente daccordo con te nell'eliminare sul nascere questo post e il suo contenuto di inesattezze indefinite, se cortesemente potresti indicarmi laddove queste si trovano, in quanto se è vero che può ritenersi corretto o meno quanto da me argomentato, è altrettanto vero che la validità di una tesi o di un'altra deve essere necessariamente fondata su di una adeguata motivazione. Da questo punto di vista, io ho tentato di fornirla..... la tua, ancora la devo leggere.
-
...ritengo peraltro che potrebbe essere utile per un eventuale Wiki...
Ciao pisolino1976, grazie per l'aiuto e la condivisione di queste informazioni, l'idea di inserirle in un apposito spazio del wiki (http://wiki.joomla.it/) credo sia ottima, così che chi vuole approfondire o eventualmente correggere questi contenuti possa dare il suo contributo.
-
Se c'e' qualcun'altro che vuole partecipare al dibattito mettendo al servizio del forum la propria conoscenza su questo argomento e' libero di farlo,credo che a beneficiarne sarebbero tutti quanti.
-
un informativa che al suo interno ha:
...secondo me...
mi pare pretenziosa :D
-
Ciao Pisolino, ho letto il tuo primo post. Non sono tanto sicuro riguardo al punto 3
Per quanto riguarda le newsletter o mailing-list (o chiamatele come vi pare) lo scopo del legislatore ed attualmente dell'Autorità Garante (che oggi può essere adeguatamente rinominata Autorità Anti-Spamming Wink) è quello di tutelare dallo spamming, pertanto le procedure di registrazione non sono soggette ad alcuna accettazione della legge sulla privacy, fintanto, ripeto, questi dati non vengono comunicati a terzi
perchè bisogna vedere, secondo me (ma sono ignorante in materia) cosa viene davvero richiesto nella procedura di registrazione, per non violare l'art. 11 da te citato. Oppure ho capito male il punto 3... ::)
ciao
-
Aggiungo che la mia discussione sembra essere stata aperta anche da altri. Riporto i seguenti Link:
(....testo eliminato....)
http://blog.tagliaerbe.com/2008/05/blog-e-trattamento-dei-dati-personali-come-comportarsi.html (http://blog.tagliaerbe.com/2008/05/blog-e-trattamento-dei-dati-personali-come-comportarsi.html)
-
ciao pisolino,
non stiamo a scrivere io son con te io no l'obiettivo qui è avere idee chiare in merito alla legislazione, non tifare per una fazione o l'altra...io ti chiedo:
non ti sembra campata in aria un'informativa che contiene un "secondo me"?
-
Ciao,
potete consigliarmi come poter inserire in questo form:
http://www.unicaarteceramica.it/newsletter.html, il consenso o diniego per l'autorizzazione al trattamento dei dati personali?
Grazie
-
Aspè Odino, il "secondo me" l'ho trovato nelle considerazioni di pisolino.. io ho cercato di vedere i punti forniti come deduzioni personali sulla base della normativa, non come un'informativa sulla questione. Essendo deduzioni probabilmente (sicuramente) sono migliorabili sulla base di una discussione tra persone informate (non io)...
-
non serve nessun consenso al trattamento per una newsletter, lo scopo è chiaro, io che mi segno ti sto chiedendo di usare una mia casella email per mandarmi una circolare ogni tanto, quindi non devi trattare niente devi solo inviarmi la circolare senza rendere noto la mia casella email agli altri utenti, (cioè invio in ccn)
semmai tu aggiungi una riga a modo "anglossassone" dove dichiari ufficialmente che:
il vostro indirizzo email sarà utilizzato SOLO per inviare la newletter!!
ed inoltre TU devi pubblicare (e tenere traccia di eventuali modifiche) la informativa di cui all'art 13,
dove se vuoi ripeterai che le caselle email fornite per la newletter sono utilizzate SOLO per quel servizio, oltre al resto della pappardella che ovviamente conoscerai benissimo...
-
Apri il codice dove è presente il form e lo inserisci lì.
Non so quali file ha il componente (non l'ho più scaricato visto che ci vuole il login e mi sono trovata bene anche con altri componenti), però se provi ad aprirli lo vedi dove è.
Se hai dei problemi con questo, dicci i file e il codice all'interno (non tutto, solo la parte per visualizzare il form).
-
Aspè Odino, il "secondo me" l'ho trovato nelle considerazioni di pisolino.. io ho cercato di vedere i punti forniti come deduzioni personali sulla base della normativa, non come un'informativa sulla questione. Essendo deduzioni probabilmente (sicuramente) sono migliorabili sulla base di una discussione tra persone informate (non io)...
ben comunque il problema è che dobbiamo trovare testi di legge che non lascino spazio ai "secondo me", se troviamo qualcosa che elimini ogni dubbio...perfetto :)
Essendo poi questo un argomento molto delicato più ci andiamo con sicurezza e piedi di pionbo meglio è ;)
-
Grazie ad entrambi per la risposta, attuerò ambedue le soluzioni:
Inserisco nel corpo della e.mail la specifica come indicatomi da francesco 56 e la stessa specifica nel form come consigliato da ventus85.In effetti l'unico dato trattato è l'indirizzo di posta!
-
Esatto Odino! Il punto è rispettare nei limiti del possibile le vigenti normative, non si sa mai....
Comunque non trovo il form, o meglio 8)non sono certo che sia esatto, verificando con firebug mi indica subscribeform, io ne ho trovato due, il file:form e subscribe ?
[allegato eliminato da un amministratore - Il file era vecchio]
-
Esatto Odino! Il punto è rispettare nei limiti del possibile le vigenti normative, non si sa mai....
Correggiamo in:
Esatto Odino! Il punto è rispettare IN TODO le vigenti normative, non si sa mai....
:)
-
....allora, fornirò qualche informazione in più e risponderò anche a qualcuno.
Risposta a 56Francesco: Se ho capito ciò che mi chiedi, allora ti preciso che faccio riferimento al concetto di residenza del soggetto che invia la mail e che deve necessariamente essere comunitaria, altrimenti il D.L.S. 196/2003, quale emanazione della Legge Comunitaria 2002 che ha ratificato la relativa direttiva comunitaria non sarebbe applicabile(...che adesso non ne ricordo il numero). Possiamo poi discutere se il server di invio è fuori dalla comunità europea, ma io ritengo che sul punto il legislatore comuntario e nazionale, siano un pò arretrati. Ragioniamo intanto dai presupposi da cui sono partito io: sito di persona residente in Italia, che ha uno spazio web affittato da una società italiana.
Risposta a Kriss: Io non sto discutendo su cosa ci faccio con i dati che qualcuno mi da, e dunque sul contenuto dell'informativa, ma se tale informativa è obbligatoria o meno. Mi spiego in altri termini. Se io soggetto non imprenditore ho uno spazio web affittato da una società italiana, allora sembra che l'art. 5 comma 3 esclude l'applicazione della normativa contenuta nel D.Lgs. 196/2003. Da ciò conseguirebbe che non è obbligatorio per legge il rilascio del consenso come normalmente si fa sull'informativa al trattamento dei dati personali con la firma su quelle cartacee o con la spunta del relativo checkbox su quelle informatiche, e ciò in quanto non sono applicabili le prescrizioni del Codice sulla Privacy. In questo senso, un soggetto non imprenditore che detiene i dati a scopo personale, non sarebbe obbligato a nulla, in quanto il Codice lo consente.
Risposta a Odino e Kriss:: Io non ho inserito alcun modello base di informativa, ma soltanto riportato ciò che penso sulla questione. Proprio perché si tratta di mie considerazioni richiedono una discussione nel merito, perché in mancanza di un chiarimento ufficiale, mi sembra che il legislatore nazionale e comunitario si siano dimenticati di chi come me ha un semplice sito web personale con cui condividere conoscenze con altri. D'altro canto il Codice è del 2003 e la relativa direttiva comunitaria ancora prima. Voglio dire che quando è stata pensata, il popolo di chi aveva un sito web personale era praticamente inesistente, mentre oggi è una parte considerevole del web. Circa poi il fatto che ho inserito dei Link con chi è a favore o contro, preciso che è chiaro che ciò che conta è la legge, ma in casi come questi la legge non dice nulla, è l'interprete a doversi fare carico di questo onere, fornendo chiaramente opportune argomentazioni nel merito. Non si tratta infatti di dire io sono daccordo, io no, ma di argomentare una questione. A tale scopo ho riportato qualcun'altro che ne ha parlato. Se ne avete voi qualcun'altro segnalatemelo (...correggerò comunque il post)
Ulteriore considerazione: Il rispetto "in abbondanza" del Codice sulla Privacy non è una metodo che risolve la questione da me sollevata, e vi spiego perché (...sempre secondo me...). A prescindere che facendo così, ci "scervelliamo" per far funzionare il nostro Joomla in modo che per ogni cosa che facciamo con i dati personali sia richiesto sempre il consenso, vi è un'importante implicazione pratica e giuridica. Se infatti io, nelle condizioni che ho richiamato(sito personale con scopi personali su un server nazionale) sono soggetto alle prescrizioni del Codice sulla Privacy, viene di conseguenza che il trattamento che io farei dei dati personali, essendo effettuato con strumenti elettronici mi impone, oltre a tutti gli obblighi di informativa e di consenso, anche quello di predisposizione del Documento Programmatico sulla Sicurezza (DPS). Ma allora a questo punto se un mio amico mi da un'informazione di un terzo che non conosco, anche in questo caso dovrei formulare un DPS. Il che mi sembra un po assurdo.
Risposta ad Odino: Parto da questa ultima considerazione per discutere di una questione fondamentalte. Se l'interpretazione che prevale è quella che bisogna rispettare comunque il Codice sulla privacy, allora è necessario che ciò deve essere fatto con la massima attenzione, perché il Codice sulla Privacy commina anche sazioni penali in caso di mancato rispetto. Voglio dire in altri termini che se io mi adeguo per timore o perché così ha detto il Garante sulla Privacy, poi mi devo adeguare anche alle conseguenze penali che da questo comportamento posso scaturire. Se invece io ne sarei escluso per legge (o in quanto la legge viene interpretata in questo modo) nulla questio.
-
Già in "Todo"!Giusta rettifica! :)E per i cookies sapete cosa prevede la normativa del garante?
Per adesso in riferimento all'invio delle newsletter, tra l'altro non eslicitamente citate ma indicate come spamming ho trovato questo:http://www.garanteprivacy.it/garante/doc.jsp?ID=1028065
-
Riporto ora alcuni il contenuto di alcuni atti legislativi:
Questo è un estratto del testo della Relazione di accompagnamento alla richiesta di Parere n. 238 con cui il Ministro propose l'attuale DLGS 196/2003. Egli in merito all'attuale comma 3 dice solo che "il comma 3 riproduce la disposizione al trattamento effettuato per fini esclusivamente personali (art. 5 L. n. 675/1996)"
Questo è un estratto dal testo della Relazione di accompagnamento al progetto di legge che ha portato poi alla Legge 675/1996 (AC. 1530). In questo testo originario dobbiamo far attenzione quanto di parla dell'art. 3.
Così argomentava il suo proponente:
"L'articolo 2 determina il campo di applicazione della legge alla quale sono soggetti (articolo 3, paragrafo 1, della Convenzione n. 108) sia il settore pubblico sia quello privato, con alcune esclusioni. L'articolo 3 individua, anzitutto, i trattamenti per scopi puramente personali i quali, in termini conformi alla direttiva, saranno esclusi dal campo applicativo sia della legge che della Convenzione di Strasburgo, nei modi previsti dal relativo articolo 3, paragrafo 2, lettera a), della Convenzione. L'articolo 3 del presente disegno di legge non entra nel merito del genere di "scopo personale", che potrà anche essere legato allo svolgimento di un'attività professionale, sempreché i dati non siano diffusi a terzi, fatta salva la possibilità di comunicazioni episodiche e non sistematiche; tuttavia, anche questo tipo di trattamenti dovrà essere protetto da misure idonee di sicurezza.
L'articolo 3 non ripropone il discusso principio della cosìddetta "libertà informatica" del quale si è prospettata, con varie formule, la positivizzazione. A prescindere dal dibattito dottrinale sulla proprietà o meno di una simile nozione (e circa i soggetti che in versanti "contrapposti" possono invocarne la titolarità), si è preso atto delle critiche e delle perplessità emerse in sede internazionale in termini di conformità alla Convenzione. Il diritto ad informarsi e ad essere informati è stato cristallizzato in una norma - più corretta - sul campo di applicazione della legge. Dal lato "contrario", per quanto riguarda il diritto ad essere tutelati nei confronti del trattamento dei dati, si potrà fare riferimento alle norme che sanciscono i diritti dell'interessato e la loro azionabilità (esempio, articoli 13 e 29)."
Questo è il testo dell'originaria direttiva comunitaria 95/46/CE, di cui richiamo in estratto parte dell'art. 3.
Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali;
- effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
- effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.
Questo infine è l'organismo comunitario che interpreta e regolamenta le direttive comunitarie sulla privacy
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm)
-
Scusate l'intromissione.
In pratica, le norme sulla privacy non si applicano esclusivamente all'agendina che teniamo in tasca (sia essa cartacea sia essa elettronica o "embedded" nel cellulare).
Ovviamente, in questa esclusione entrano le persone fisiche siano esse in quanto tali siano esse in quanto responsabili di aziende.
Nel primo caso l'agendina conterrà i nomi di amici e parenti, nel secondo caso di clienti o fornitori, ad esempio.
Da qualche parte - non ricordo esattamente dove e in che termini - ho letto, però, che la "diligenza" nel trattamento di questi dati deve essere sufficientemente elevata. In buona sostanza, devo porre in essere tutti gli strumenti necessari per non perdere l'agendina e, nel caso in cui la perdessi, rendere non leggibili i dati inseriti (protezione con password forte, ad esempio).
Per quanto riguarda le newsletter, io porrei attenzione al significato di "consenso dell'interessato".
Il modulino entro il quale io inserisco l'indirizzo e-mail del mio vicino di casa per iscriverlo a una newsletter, non è, ovviamente, ammesso.
Non è stato l'interessato, ovviamente, a dare il suo consenso.
Si potrebbe ovviare facendo seguire, alla richiesta di iscrizione, una (e una sola) e-mail per l'attivazione (come si fa per l'iscrizione, per intenderci.
Alternativa: mettere un avviso in cui si scrive che esiste la possibilità di iscrizione alla newsletter, chiedere che venga inviata e-mail di richiesta specificando che sarà l'indirizzo mittente ad essere iscritto alla newsletter.
Il tutto, ovviamente, fermo restando (e quoto in toto il post di apertura) il DPS, l'avviso-richiesta di autorizzazione dei dati personali, l'indicazione delle misure di sicurezza adottate, l'indicazione del luogo di deposito dei dati stessi.
In effetti e ad assoluto rigor di legge, occorrerebbe anche che l'host - in quanto responsabile della tenuta dei dati - e l'amministratore del sito - che costituisce, invece, il titolare del trattamento - sottoscrivessero apposito disciplinare-incarico
-
ma che confusione infernale...
http://www.interlex.it/675/tutela/p081127.htm
per chi ha voglia e tempo...
parolina magica:
formazione professionale della web-agency e del suo staff..
volendo anche e-learning, ma non gratis altrimenti come dal dietista o dallo psicologo, non vale!
:D :D
-
Credo di aver capito che il topic faccia riferimento a siti di piccole dimensioni. In questo caso il titolare del trattamento e l'amministratore di sistema possono coincidere. In special modo se il titolare del trattamento (proprietario del sito) non ha dipendenti e possiede le competenze per poter assolvere al compito.
Se il proprietario del sito è anche colui il quale effettua gli aggiornamenti ed è il "webmaster", non può poi esserci una terza figura che si assuma le responsabilità delle "malefatte" del webmaster
Ciò che ho dimenticato, nel precedente post, invece, è che il componente per le newsletter deve consentire (e deve essere configurato) in modo da inviare singole e-mail, ovvero, nel caso di e-mail per gruppi, che gli indirizzi vengano inseriti in BCC (o ccn che dir si voglia)
-
Credo di aver capito che il topic faccia riferimento a siti di piccole dimensioni. In questo caso il titolare del trattamento e l'amministratore di sistema possono coincidere. In special modo se il titolare del trattamento (proprietario del sito)
diciamo che questo forum dovrebbe trasudare chiarezza in merito all'argomento sito web, così non è invece, ma siamo in italia e non in europa o comunque all'estero..
mai incontrato ad esempio un sito italiano dove nell'iscrizione alla newsletter visualizzi un messaggio tipo: non useremo il tuo indirizzo per niente altro che la newsletter, (all'estero li incontro sempre più frequente, persino su siti localizzati in turchia o altri paesi asiatici)
invece immagino che siamo noi ad avere alla più alta percentuale di caselle e-mail cosiddette bidone..
immagino ancora che la cifratura delle email sia sempre sconosciuta, mentre ci propinano la firma digitale e la posta certificata, ma all'estero esiste niente del genere?
per non dire di chi viene a lamentarsi che da sito non riesce ad inviare le sue pregiate email (tutto spamm per me) ignaro dei filtri dei server e della esistenza dei server dedicati a tale funzione..
ma dopottutto perchè no?
l'europa è lontana, assai....
-
due articoli per riflettere a che punto siamo:
http://www.primadanoi.it/modules/news/article.php?storyid=3303 (http://www.primadanoi.it/modules/news/article.php?storyid=3303)
http://www.interlex.it/accesso/italia2008.htm (http://www.interlex.it/accesso/italia2008.htm)
aberrante:
Ma la cosa è meno facile di quello che sembra: il sito della Gazzetta ufficiale non offre il testo completo della legge. Ci sono sette pagine, da scaricare una alla volta, di riproduzione fotografica, con tanto di sovrastampa "COPIA TRATTA DA GURITEL - GAZZETTA UFFICIALE ON LI..".
E' un'assurdità proporre la riproduzione fotografica di un documento disponibile nel più comodo formato testuale (che potrebbe essere certificato con una firma elettronica). Ma la cosa più grave è che queste sette pagine in formato pdf non si possono unire. Insomma, non si può avere il testo completo della legge in un unico documento. Una serie di "lucchetti elettronici" lo impedisce. Si tratta di sistemi di DRM (Digital Rights Management), che lo stampatore della Gazzetta impiega come se fosse il "proprietario" del testo (in violazione dell'art. 5 della legge sul diritto d'autore, che dice: "Le disposizioni di questa legge non si applicano ai testi degli atti ufficiali dello stato e delle amministrazioni pubbliche, sia italiane che straniere".
-
ciao,
per me internet e il web, chimiamoli un pò come vogliamo, anche se le differenze sono notevoli, devono rimanere uno spazio libero come i suoi creatori lo hanno stabilito sin dall'inzio. La stessa politica dell' open source vuol dire propio questo: condivisione e libertà. Penso leggendo questo che la regolmentazione sta arrivando piano piao, anche sul web. :)
-
milcon, lo spamm è un'arma, un'arma potentissima e prima di tutto è violenza allo stato puro...
ti obbliga a rinchiuderti dietro la registrazione, ad isolare il tuo forum da intere zone geografiche...
che lo spamm è la negazione di qualsiasi spazio libero me lo hanno spiegato almeno dieci anni fa in rete chi lo aveva capito già molto prima di me..
ma era nell'altra metà del nome a dominio, una rete grande come l'altra parte, questa che conosci, ma ora non esiste quasi più..
;-)
-
infatti ho dovuto nel mio sito isolare gli ip perchè dannosi e non veritieri, in fase di registrazione. Ma allora tutto questo è giusto? è giusto che ci sia una regolamentazione anche su internet, mi sembra di capire che avremo più problemi per aquistare un dominio e che dovremo essere più responsabili a condividere le informazioni degli altri. :)
-
vorrai dire che dovrai essere più irresponsabile di prima e tacere, come fa lo spamm: intasa le risorse della rete di monnezza per toglierti spazio ...
spamm e regolamenti, stessa firma e stessa puzza.
;)
-
Scusate l'intromissione ma ho letto una serie di inesattezze e mi pareva giusto intervenire. Dunque relativamente all'affermazione riportata nel post di apertura di questo topic c'è un grossolano errore, si afferma che si rende obbligatoria la stesura di un DpS per tutti quei soggetti che trattano dati personali con l'ausilio di strumenti elettronici ma l'affermazione non é esatta in quanto l'allegato B, meglio conosciuto come disciplinare tecnico, precisa che la stesura del DPS si rende obbligatoria solo per quei soggetti che trattano dati personali "SENSIBILI" con l'ausilio di strumenti elettronici. Dunque la definizione di dati sensibili non trova certo alcun riscontro con nome, cognome e indirizzo email in quanto queste informazioni sono definite DATI COMUNI e non sensibili.
Ricordò che vengono annoverati come dati sensibili le informazioni che possono ricondurre direttamente o indirettamente al pensiero politico, religioso e/o alle tendenze razziali/sessuali di un soggetto nonché le informazioni a carattere giudiziario (eventuali iscrizioni nel casellario giudiziario etc.etc.).
chiarito questo equivoco passo al problema email.
Risulta obbligatoria o'autorizzazione preventiva del soggetto prima di inondarlo di spam (pubblicitá piú concretamente) e che tale autorizzazione é implicita in un sito in cui nella sezione di sottoscrizione alla newsletter si scrive esplicitamente il contenuto che tali newsletters riporteranno (pubblicitá, informazioni etc.).
Ora il mio dito é stanco ma resto a disposizione per approfondire la questione.
Buon proseguimento
-
Dunque relativamente all'affermazione riportata nel post di apertura di questo topic c'è un grossolano errore, si afferma che si rende obbligatoria la stesura di un DpS per tutti quei soggetti che trattano dati personali con l'ausilio di strumenti elettronici ma l'affermazione non é esatta in quanto l'allegato B, meglio conosciuto come disciplinare tecnico, precisa che la stesura del DPS si rende obbligatoria solo per quei soggetti che trattano dati personali "SENSIBILI" con l'ausilio di strumenti elettronici. Dunque la definizione di dati sensibili non trova certo alcun riscontro con nome, cognome e indirizzo email in quanto queste informazioni sono definite DATI COMUNI e non sensibili.
Per Alex02: Confermo la tua tesi. Provvederò al più presto a correggere il post da te sagnalato.
Per Tutti: Riporto le fonti a sostegno della tesi di Alex02:
- art. 34 - Trattamento con strumenti elettronici -"Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: (...bla, bla, bla,....)"
- Allegato B) art. 19 - Disciplinare tecnico in materia di misure minime di sicurezza- "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: (...bla, bla, bla,...)"
Per Alex02:
Risulta obbligatoria o'autorizzazione preventiva del soggetto prima di inondarlo di spam (pubblicitá piú concretamente) e che tale autorizzazione é implicita in un sito in cui nella sezione di sottoscrizione alla newsletter si scrive esplicitamente il contenuto che tali newsletters riporteranno (pubblicitá, informazioni etc.).
Il consenso è effettivamente implicito nella sottoscrizione della newsletter, laddove c'è un'informativa. Su questo siamo daccordo, ma tale obbligo è previsto del Codice sulla Privacy per coloro che sono soggetti alle prescrizioni ed alle procedure in esso previste.
....e quelli non soggetti? Riporto ancora una volta l'art. 5, comma 3 "Il trattamento dei personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusionche". I soggetti richiamati dalla norma, che non sono obbligati al Codice, chi sono? Si identificano in base all'attività svolta? Si identificano in base a cosa ci fanno con questi dati? L'unica cosa che sappiamo leggendo la norma, è che non si tratta di società o enti collettivi in genere, ma esclusivamente di persone fisiche
Adeguarsi alle prescizioni previste dal Codice può apparire un segno di civiltà.
Ma allora io vi chiedo: cos'è il diritto alla privacy? Secondo me, non è certo una cosa astratta e di interpretazione soggettiva.
Alla sua corretta interpretazione ci deve pensare la legge, che deve stabilire definizioni, procedure e vincoli. .....e allora non mi sembra normale che uno si adegui al Codice, giusto per stare tranquilli, se poi il medesimo provvedimento intende esclude la sua applicazione ai casi come quello da me trattato.
Se in Italia esiste un principio immanente nel nostro ordinamento, che è quello della certezza del diritto, non mi sembra legittimo un'interpretazione estensiva di obblighi giuridici ad personam, nel senso che ognuno fa come gli pare poiché la norma non è chiara.
Adeguarsi acriticamente a questi nuovi vincoli giuridici, non mi sembra affatto un senso di civilà, bensì il contrario, nel senso che ognuno fa come gli pare e piace a prescindere dalle regole: un sistema anarchico lo fa, uno democratico non lo dovrebbe permettere.
Per tutti: comunico che ho mandato una mail al Garante sulla Privacy, vediamo che esce fuori (...sperando che ripondono...).[/list]
-
Il Garante Ptivacy non ha ancora risposto al mio appello.
Aggiungo quindi altre informazioni da fonti nazionali ed internazionali che consentino di meglio interpretare il comma 3 dell'art. 5 (Oggetto ed ambito di applicazione) che stabilisce come "Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione".
L'organismo comunitario che si occupa dell'interpretazione e della regolamentazione sulla privacy, sull'opuscolo principale reperibile all'indirizzo http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm (http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm) chiarisce che:
La direttiva sulla protezione dei dati non si applica ai dati trattati per motivi puramente personali o attività domestiche (ad esempio un’agenda elettronica personale o un file con i particolari della famiglia e degli amici).
Ciò sembrerebbe confermare la mia teoria in base alla quale i siti di proprietà di persone fisiche che sono anche gli amministratori dei medesimi e che li utilizzano per fini non imprenditoriali non sarebbero soggetti a tutti i vincoli e alle procedure previste dal Codice sulla privacy, purché i dati raccolti non vengono poi comunicati a terzi.
In altri termini, sembra affermare che io, persona fisica, potrei costruire un sito tipo un Social Network con i contributi spontanei di amici e di vari utenti identificati solo dall'user-id e raccogliere i loro dati personali per l'accesso senza richiedergli alcun consenso e ciò ovviamente fin tanto che i dati li ho solo io.
Spero ancora che qualcuno mi possa aiutare a trovare qualche info in più, a favore o a sfavore di questa tesi, in modo da chiarirla una volta per tutte. L'argomento sembra peraltro essere stato visualizzato da molti.
Chiedo tuttavia di fornire delle argomentazioni basate su fonti documentate e non su considerazioni personali, altrimenti si rischia di non fare mai un passo avanti sulla questione da me sollevata.