+ Rispondi alla Discussione
Risultati da 1 a 49 di 49

Sul GDPR

Ultimo Messaggio di hub il:
  1. #1
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58

    Sul GDPR

    Sto leggendo in rete a proposito del GDPR ed anche il thread su questo forum (che peraltro nasce anni fa).
    La confusione è ai massimi livelli.

    Lo spirito della legge è volto a tutelare la privacy dell'utente onde evitare quanto è recentemente successo.
    Da qui a farne un caso generalizzato mi sembra però eccessivo e mi piacerebbe che ci fossero qui degli approfondimenti in tal senso.
    Al di là degli aspetti tecnici della gestione della problematica, differenti da sito a sito, ce ne sono alcuni di natura strettamente interpretativa.

    Anonimato
    Come si può conciliare l'anonimato di un utente, arrivando persino a non tracciare il suo indirizzo IP, e poi avere la responsabilità di quanto questo ha scritto sul sito.

    Rimozione dei dati e diritto all'oblio
    Desiderio legittimo da parte dell'utente, ma non sempre è possibile perché al suo post ci possono essere associati altri post, articoli, link, ecc. e si verrebbero a generare degli "orfani".
    Non sempre si tratta di insulti e chi ha inserito un post a seguito di un altro avrebbe altrettanto diritto a non vederlo rimosso come conseguenza della rimozione del post "radice".
    La cessione dei diritti di quanto scritto potrebbe ovviare all'obbligo di rimozione?

    Dati in moduli
    Ci sono moduli che vengono compilati da utenti che non sono registrati al sito. Come posso consentire loro di prendere successivamente diretta visione di quanto raccolto?
    Anche una successiva richiesta potrei non avere modo di verificare che provenga dalla stessa persona che ha inserito i dati.
    Al massimo posso inviare copia del modulo all'indirizzo di posta (sempre che sia stato comunicato) al momento della iniziale ricezione del modulo.

    Inoltre questi moduli sono spesso inviati dall'utente su sua iniziativa per sollecitare una richiesta di contatto, per avere maggiori informazioni o un preventivo oppure anche per potere inserire un contratto che non sempre poi può trovare una conclusione positiva.
    Oltre agli obblighi di legge (10 anni per le transazioni concluse positivamente) questi dati potrebbero essere conservati per comunicazioni successive.
    In precedenza bastava che l'utente richiedesse la cancellazione; oggi sembra che l'utente debba essere messo in grado di farlo autonomamente.

    Social ed Advertising
    Ogni sito ha ormai dei pulsanti per la condivisione dei suoi contenuti; alcuni permettono anche il login attraverso i le credenziali dei social; infine ci sono i servizi di advertising.
    Nessuno di questi è gestito direttamente dal sito.
    Ci sono poi altri servizi, ad esempio quelli di chat o helpdesk online, che sono attivati dal titolare del sito, ma vengono gestiti da una azienda esterna che poi interagisce direttamente con l'utente. Anche in questo caso i soli dati presenti sul sito sono quelli presenti nel modulo di configurazione e non c'è alcuna informazione su cosa venga invece tracciato da parte dell'azienda titolare del servizio.

    Al massimo posso informare l'utente di quale servizi ho attivato sul sito, ma quali servizi tecnici questi abbiano a loro volta attivato e quali dati raccolgano non li posso conoscere. Posso invece fornire dei link alle loro informative, link che però cambiano continuamente. Devo essere io a verificarlo?

    Hosting & C.
    Io posso implementare tutti i servizi di sicurezza che voglio,ma se il sito è attivato presso un'azienda esterna non ho alcun controllo su ciò che viene fatto presso le loro sale macchine. Oltre tutto, con le CDN il sito potrebbe risiedere chissà dove e persino replicato.
    Per quanto seria possa essere la società non posso garantire che un loro tecnico si sia fatto una copia di tutti i DB su un loro server.

    Grazie anticipate per il contributo

  2. #2
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Sto leggendo in rete a proposito del GDPR ed anche il thread su questo forum (che peraltro nasce anni fa).
    La confusione è ai massimi livelli.
    Ciao, ho partecipato da poco a un webinar organizzato da Iubenda, che non è stato poi così chiaro nel far capire come adeguarsi. In sintesi, mio punto di vista, il GDPR non va confuso con l'attuale normativa sui cookies ma diventa un'importantissima integrazione che riguarda in senso stretto come e in che modo verranno conservati e gestiti i dati della gente.

    Il GDPR impone anche la trasparenza, per esempio se io compilo un modulo informazioni sul tuo sito vorrei capire perché, e a che titolo, tu fai in modo di tracciare anche il mio indirizzo IP.
    Se io do esplicito consenso a fornirti la mia mail al fine di permetterti di rispondermi voglio anche sapere se oltre alla mail tu prelevi anche altre informazioni che io potrei non avere alcuna intenzione di fornirti, indirizzo IP, ma anche browser, sistema operativo, etc.
    Quindi nel migliore dei comportamenti tu dovresti limitarti a memorizzare il mio nome e la mia mail, niente altro, ed è più che sufficiente per rispondere al modulo che ho compilato.
    Trovarmi iscritto automaticamente a una newsletter solo perché ti ho chiesto un'informazione non sarà più possibile, e direi cosa buona e giusta.

    Ma oltre questo il GDPR ti chiede la massima responsabilità nella gestione della mail che ti ho fornito. In teoria, tornando all'esempio del modulo informativo, dovrebbe essere tua cura cancellare la mia mail dopo aver risposto alle mie richieste, e la cosa ha senso: ti ho contattato, mi hai risposto, ti ho ringraziato, da questo momento in avanti che motivo hai di conservare la mia mail?
    Va da se che per chi gestisce per esempio un ecommerce la cosa si fa molto più seria e complessa, cioè chiunque possa accedere alle mail degli utenti registrati deve garantire il massimo della riservatezza e cura, e quel "chiunque" non dovrà più essere un chiunque ma persona che a sua volta dovrà garantire la massima riservatezza dei dati.

    Poi, devi garantire in modo semplice, chiaro e inequivocabile la procedura per poter cancellare, o modificare, i miei dati ovunque tu li abbia memorizzati.
    Per il GDPDR i dati degli utenti sono sacri, anzi di più e come tali dovrai trattarli.

    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Come si può conciliare l'anonimato di un utente, arrivando persino a non tracciare il suo indirizzo IP, e poi avere la responsabilità di quanto questo ha scritto sul sito.
    Tracciare un utente (monitorarlo, conservare i suoi dati email, IP, etc.), o essere responsabili di ciò che scrive sono due aspetti completamente differenti.
    L'utente è responsabilie di ciò che scrive, tu però hai l'obbligo di "moderare" se ciò che scrive è illegale o peggio, cosa che nulla ha a che vedere con il GDPR.
    Nel caso, saranno le autorità, Polizia postale, etc., a rintracciare i dati dell'utente, il suo indirizzo IP.

    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Rimozione dei dati e diritto all'oblio
    Desiderio legittimo da parte dell'utente, ma non sempre è possibile perché al suo post ci possono essere associati altri post, articoli, link, ecc. e si verrebbero a generare degli "orfani".
    Purtroppo questo è un problema tuo, o meglio della piattaforma che utilizzi, un "problema tecnico" che devi risolvere. Il fatto che ad esempio una piattaforma Forum non permetta la rimozione completa dei miei dati, la mia mail ad esempio, non solo non è una giustificazione valida ma rischi dei guai anche molto seri. In realtà tecnicamente puoi in svariati modi sostituire username e mail con utenti fittizi lasciando inalterato il flusso di risposte e commenti, in alcuni casi non semplice ma quasi sempre fattibile.

    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Dati in moduli
    Ci sono moduli che vengono compilati da utenti che non sono registrati al sito. Come posso consentire loro di prendere successivamente diretta visione di quanto raccolto?
    Come ho scritto sopra, una volta concluso il ciclo domanda - risposta, non hai alcun motivo di conservare i miei dati.
    Nel tuo modulo di richiesta informazioni se chiarisci questo fin da subito, assumendoti la resposabilità cioè pubblicando in un'apposita pagina i tuoi dati come responsabile titolare del trattamento dei dati, specificando che una volta conclusa, soddisfatta, la richiesta dell'utente i suoi dati verranno completamente cancellati, hai risolto gran parte dei problemi.

    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Social ed Advertising
    Ogni sito ha ormai dei pulsanti per la condivisione dei suoi contenuti; alcuni permettono anche il login attraverso i le credenziali dei social; infine ci sono i servizi di advertising.
    Nessuno di questi è gestito direttamente dal sito.
    Questa è una bella domanda, che Iubenda non ha chiarito molto bene, il mio pensiero personale è che se ad esempio nel tuo Blog per i commenti usi un servizio esterno, hai comunque accesso sia ai commenti che alcuni dati come ad esempio nome e mail. Capisci anche tu che è quindi molto facile inserire la gente in newsletter o altro e se non lo fai tu potrebbe farlo la piattaforma stessa.

    Tornando alla normativa sui cookies, con il GDPR ci si dovrebbe scordare metodi impliciti di accettazione, ad esempio lo scrolling della pagina. Comunque, ammesso che sarà fattibile l'accettazione implicita, l'utente deve essere messo al corrente, con informazioni estese in apposita pagina, di cosa accetta, chi è responsabile dei dati, quali sono i servizi esterni che potrebbero memorizzarli e come e in che modo può rifiutarsi o richiedere modifiche o cancellazioni.

    Io personalmente sono arrivato alla conclusione che se hai un blog senza commenti ti limiti a comunicare in che modo e perché il tuo blog invia nel computer degli utenti uno o più cookies, per esempio il tracciamento di Analytics o cookies tecnici per memorizzare alcune funzioni.
    Se hai un blog con commenti, un forum, un ecommerce, la cosa diventa più complicata, più seria, perché si mette in moto un meccanismo di dichiarazioni e responsabilità.
    Penso anche, spero, che dopo il 25 maggio le cose si faranno man mano più chiare.

  3. #3
    User Newbie
    Data Registrazione
    May 2018
    Località
    fondi
    Messaggi
    3
    io ho domande a cui non ho trovato risposte: (le scrivo qui cosi mi rimangono visto che oggi sento mio cugino che lavora al garante della privacy)

    1 Paypal - come gestisco i dati che devo per forza passare a paypal per pagamento con pay pal o carta di credito? ci pensano loro? se qualcuno mi chiede di rimuovere i propri dati quelli inerenti al pagamento non posso rimuoverli.
    2 in pratica non si puo' usare piu' gmail perche' sava gli indirizzi email
    3 se mi inviano una e mail con il flag consenso poi devo rimuoverlo per non conservare i dati, ma come dimostrare che ho ricevuto il consenso in caso qualcuno lo richieda ?
    4 come gestire i dati che si forniscono a un corriere dopo l'ordine?
    5 come gestire i dati per la fattura? quelli rimangono per almeno 10 anni. non si possono rimuovere anche dopo una richiesta
    6 il drop shipping muore il 25.. se non si possono fornire i dati per la spedizione a un fornitore esterno
    7 come gestire eventuali servizi esterni? mailchimp, gdrive (dove magari ho un back up delle vecchie DDT ingresso dove ho applicato il dropshippin e quindi c'e' l'indirizzo del cliente)
    8 in caso di richiesta rimozione dovrei anche rimuovrli da un ipotetico gestionale che pero' serve per la fatturazione e spedizione...

  4. #4
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    @hub
    Sono d'accordo su molte tue osservazioni, ma su altre nutro comunque dei dubbi.

    Intanto, sempre leggendo nel web, sembrerebbe che GPDR non ha nulla ha che fare con la Cookies Law salvo forse ribadire che non sono ammesse forme di accettazione automatica della policy.
    Quindi lo scrolling non dovrebbe essere più un modo implicito di accettare la policy.

    Per quanto riguarda l'uso dei dati per le mailing list concordo con te che l'utente deve approvare un eventuale loro uso al di fuori del ciclo "domanda - risposta -mille grazie".
    Mi interrogo però se poi i dati non vengano comunque raccolti in altro modo, ad esempio con i contratti cartacei che firmiamo dappertutto. Riflessione che ci porterebbe però in OT.

    Sul diritto all'oblio, concordo che è un problema tecnico diverso da caso a caso, sito a sito, ed infatti ho aperto il post dicendo che mi interessava di più l'interpretazione normativa.
    Chiedevo poi, riguardo a questo tema, se la policy potesse prevedere la cessione dei diritti su quanto pubblicato. In questo modo anche la rimozione dell'utente non dovrebbe implicare la rimozione dell'articolo.

    Non sono invece d'accordo con la tua opinione circa l'anonimato e la responsabilità editoriale perché richiama una discussione che si sta portando avanti da anni.
    Non sto parlando dell'insulto o comunque di quanto sia immediatamente percepibile come "reato", anche se non è affatto detto che il webmaster sia in grado di moderare in tempo reale ciò che viene scritto.
    Se in un post apparentemente normale vengono lesi i diritti di qualcuno, non è affatto detto che questa lesione sia immediatamente percepibile da parte del webmaster.
    Se, ad esempio, in un post si afferma "sono il distributore del prodotto X"; oppure "Y è il distributore del prodotto X" non può il webmaster sapere se questo sia vero e pertanto il vero distributore potrebbe aprire una contestazione.
    Nel momento in cui questa si apre come farà il webmaster a segnalare la titolarità dell'articolo? E come fanno le autorità a risalire all'IP se nel sito non è stato rilevato? Anche il Log, da quello che ho capito, andrebbe anonimizzato.

    Infine, non hai espresso neppure tu un parere sul problema dell'accesso ai dati collocati presso una server farm.

    Grazie per il contributo.
    Ciao

  5. #5
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    Citazione Originariamente Scritto da magisound Visualizza Messaggio
    io ho domande a cui non ho trovato risposte:
    ...
    Per quello che riguarda le transazioni commerciali dovrebbero essere sempre conservate perché la legge che le impone ha una priorità maggiore rispetto a quella sulla privacy.
    I dati relativi all'esecuzione della transazione commerciale, come ad esempio i dati di spedizione, in teoria andrebbero rimossi dopo la transazione sempre che non siano sempre relativi alla transazione stessa.
    In altre parole se ti ho spedito il pacco ad un Indirizzo io devo conservare questo dato anche in seguito alla spedizione stessa.

    Per i dati relativi a PayPal o Carta di credito in teoria dovrebbe essere la banca a riceverli direttamente e non dovrebbero transitare dal tuo sito.
    Tu dovresti passare i tuoi dati (ad esempio l'importo); PayPal richiede l'accesso all'utente, verifica il pagamento e se va a buon fine trasmette a te la segnalazione.

    Non ho capito i punti 2 e 3.

  6. #6
    Esperto L'avatar di criceto
    Data Registrazione
    Oct 2007
    Località
    Torino
    Messaggi
    4,070
    Tenderei a mettere un punto fermo.
    1) Tutti i dati contabili indispensabili per un rapporto commerciale non sono sottoposti alle regole dell'oblio e non sono soggetti a consenso per il trattamento se a questo limitato.
    2) La conservazione degli stessi segue le regole del Codice Civile.
    3) La tutela dei dati di cui sopra segue le regole del GDPR per quanto riguarda custodia e riservatezza.
    Sorcettoroditore

  7. #7
    User Newbie
    Data Registrazione
    May 2018
    Località
    fondi
    Messaggi
    3
    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Per quello che riguarda le transazioni commerciali dovrebbero essere sempre conservate perché la legge che le impone ha una priorità maggiore rispetto a quella sulla privacy.
    I dati relativi all'esecuzione della transazione commerciale, come ad esempio i dati di spedizione, in teoria andrebbero rimossi dopo la transazione sempre che non siano sempre relativi alla transazione stessa.
    In altre parole se ti ho spedito il pacco ad un Indirizzo io devo conservare questo dato anche in seguito alla spedizione stessa.

    Per i dati relativi a PayPal o Carta di credito in teoria dovrebbe essere la banca a riceverli direttamente e non dovrebbero transitare dal tuo sito.
    Tu dovresti passare i tuoi dati (ad esempio l'importo); PayPal richiede l'accesso all'utente, verifica il pagamento e se va a buon fine trasmette a te la segnalazione.

    Non ho capito i punti 2 e 3.

    a pay pal invii i dati utente (nome cognome indirizzo e mail indirizzo) poi cosa se ne fa? (ho letto che li condivide con 600 diverse cose

    punto 2 ) se si usa gmail tipo server di posta, (sai e' comodo) ricevo una e mail su GMAL e rispondo da gmail anche usando pop3 e smtp esterni , questo auto conserva l'indirizzo del mittente / destinatario

    punto 3) poniamo che ricevo una e mail dove c'e' il consenso al trattamento dei dati personali.. poi la cancello.. per non conservare nulla, se qualcuno(tipo ente controllore) mi chiede di verificare se appare il consenso al trattamento dei dati personali ..
    ovviamente non le ho in quanto cancellate, certo questo punto e' un po paranoico.. ma sai come e'.. in italia ti ci fanno diventare

  8. #8
    User
    Data Registrazione
    Apr 2017
    Località
    Monza
    Messaggi
    75
    Devo dire che anche io sono rimasto un po' confuso, più che altro perché pur leggendo diversi articoli, mi sembra che ci siano poche guide pratiche.

    La maggior parte dei siti, in teoria avrà solo a che fare con i cookies tipo Analytics e similari e con i dati raccolti via form.

    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?
    Guide e Consigli su web design e web marketing WebAssistente

  9. #9
    User Newbie
    Data Registrazione
    May 2018
    Località
    fondi
    Messaggi
    3
    Citazione Originariamente Scritto da luqweb Visualizza Messaggio
    Devo dire che anche io sono rimasto un po' confuso, più che altro perché pur leggendo diversi articoli, mi sembra che ci siano poche guide pratiche.

    La maggior parte dei siti, in teoria avrà solo a che fare con i cookies tipo Analytics e similari e con i dati raccolti via form.

    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?
    da quello che ho letto non puoi, o per farlo devi chiedere una specie di revisione / autorizzazione a fornire a terze parti (per le quali tu saresti responsabile) pagando 150 euro..
    ma ognuno scrive una cosa diversa quindi non e' facile capirci qualcosa

  10. #10
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    Citazione Originariamente Scritto da criceto Visualizza Messaggio
    Tenderei a mettere un punto fermo.
    3) La tutela dei dati di cui sopra ...
    Ti riferisci a quali dati? A quali messaggi?

  11. #11
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Se, ad esempio, in un post si afferma "sono il distributore del prodotto X"; oppure "Y è il distributore del prodotto X" non può il webmaster sapere se questo sia vero e pertanto il vero distributore potrebbe aprire una contestazione.
    Il proprietario del Blog ha l'obbligo di intervenire, moderando, quando un eventuale commento è palesemente diffamatorio, incita violenza, razzismo, apologia del fascismo e così via, in un tempo massimo di 48 ore.
    Nel tuo esempio il problema è di chi ha scritto il falso, non certo tuo.

    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Infine, non hai espresso neppure tu un parere sul problema dell'accesso ai dati collocati presso una server farm.
    che più o meno sono le stesse domande di magisound:

    Citazione Originariamente Scritto da magisound Visualizza Messaggio
    4 come gestire i dati che si forniscono a un corriere dopo l'ordine?
    7 come gestire eventuali servizi esterni? mailchimp, gdrive (dove magari ho un back up delle vecchie DDT ingresso dove ho applicato il dropshippin e quindi c'e' l'indirizzo del cliente)
    Come Paypal, Gmail, Ebay, servizi di Hosting e cosi via si adeguano al GDPR non sono problemi tuoi, nostri, ma di questi.
    Per chiarire, è comunque tuo impegno accertarti che i servizi esterni che scegli per i tuoi utenti siano validi e in linea con la normativa.


    Citazione Originariamente Scritto da criceto Visualizza Messaggio
    Tenderei a mettere un punto fermo.
    1) Tutti i dati contabili indispensabili per un rapporto commerciale non sono sottoposti alle regole dell'oblio e non sono soggetti a consenso per il trattamento se a questo limitato.
    2) La conservazione degli stessi segue le regole del Codice Civile.
    3) La tutela dei dati di cui sopra segue le regole del GDPR per quanto riguarda custodia e riservatezza.
    E certamente giusto, e per fare anche un ulteriore esempio, se domani mattina mi ricovero in ospedale per un controllo, potrò mai contattare la struttura ospedaliera e chiedere la cancellazione totale dei miei dati? Beh certamente no.


    Citazione Originariamente Scritto da luqweb Visualizza Messaggio
    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?
    Copio e incollo quello che ho scritto sopra:

    Tornando alla normativa sui cookies, con il GDPR ci si dovrebbe scordare metodi impliciti di accettazione, ad esempio lo scrolling della pagina. Comunque, ammesso che sarà fattibile l'accettazione implicita, l'utente deve essere messo al corrente, con informazioni estese in apposita pagina, di cosa accetta, chi è responsabile dei dati, quali sono i servizi esterni che potrebbero memorizzarli e come e in che modo può rifiutarsi o richiedere modifiche o cancellazioni.

    Secondo me, quindi parere personale, l'accettazione implicità, scrolling pagina ad esempio, non sarà consentita, a meno che si parla di soli cookies tecnici, ma per tutto il resto l'utente deve esplicitamente accettare.

    Comunque, un chiarimento, le multe possono arrivare fino a 10 milioni di Euro o una percentuale sul fatturato mondiale, nei seguenti casi:
    - nel caso in cui la compagnia non possa dimostrare l’esistenza di un grado idoneo di sicurezza
    - non abbia nominato un Responsabile con la protezione dei dati
    - non abbia stabilito un accordo di trattamento dei dati

    Nel caso più grave la multa arriva fino a 20 milioni di Euro:
    - applicata quando i diritti delle persone interessate sono stati violati, come nel caso in cui i loro dati siano stati trattati senza un fondamento legale.

    Quindi mi pare molto chiaro che non è il blogger ad esempio, a doversi preoccupare ma i servizi di Hosting, Ebay, Amazon, Google, Apple, Mailchimp e così via.
    Attenzione però, esempio: se il blogger memorizza le mail dei commentatori ha l'obbligo di garantire l'impegno alla riservatezza. Nel caso in cui il servizio di Hosting subisse un furto di dati non è il blogger che ne risponderebbe ma il servizio di Hosting.
    L'importante è che il blogger comunichi in modo chiaro che avrà cura di questi dati (non li cederà o venderà a nessun altro) e si appoggia a Tizio o Caio (Hosting), ma lo stesso blogger dovrà comunque dichiarare i dati del titolare del trattamento dei dati, lui o chi ne sarà in prima persona responsabile.

    Edit: chiedo scusa ho dimenticato di citare la fonte per i dati sulle multe che ho riportato: eugdprcompliant.com/it/multe-per-la-violazione-del-regolamento
    Ultima modifica di hub; 02-05-18 alle 18:51 Motivo: aggiunto link fonte

  12. #12
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    @magisound
    Non integro Paypal nei siti e quindi esprimo un parere da utente: a me i vari carrelli elettronici chiedono i miei dati in riferimento alla sola transazione con loro. Poi, se pago con PayPal vengo reindirizzato al sito di PP dove dove fare il login. Il che significa che il sito non trasferisce i miei dati a PP.

    Se usi GMail anche in relazione al sito, a mio parere basta inserire sulla informativa che usi anche questo servizio. Mi pare che il problema sia assimilabile ad usare anche gli altri servizi esterni.

    Il punto 3, sarò "de coccio", ma proprio non lo capisco. La Mail ti sarà spedita da qualcosa, no? Ad esempio un tuo modulo dove tu hai raccolto i dati, compresa l'autorizzazione a trattenerli.
    E ci sarà pure stata una ragione per aver ricevuto la email. Così come l'hai descritto il problema non è chiaro.

    @iuqweb
    Quello dei cookies mi sembra un problema sottovalutato.
    La GDPR non sembra in relazione diretta con la Cookies Law, salvo che tutti si sentono preoccupati.
    Se l'utente deve scegliere tra l'accettare i cookies e continuare la lettura, beh dipenderà dal sito. Forse il grande quotidiano online continueranno a leggerlo ed il blog no.
    Se poi potrà scegliere tra una categoria di cookies e l'altra andrà a scegliere la meno invasiva e tanti saluti alle analisi statistiche, ad AdSense, ecc.

    In effetti mi auguro che almeno qui, sul portale di Giorgio Taverniti, si arrivi a dei chiarimenti maggiori.

  13. #13
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    Ci stiamo rincorrendo con le risposte.

    @hub
    Lasciamo perdere il discorso della moderazione. Il punto che ho sollevato è un altro.
    Su richiesta ho anonimizzato un utente. Da questo momento io non so più chi è. I suoi articoli ed i suoi commenti, resi anonimi, sono però ancora presenti sul sito.
    Passa del tempo e qualcuno si lamenta , che si fa? Questo è il punto?
    Se il tizio ha scritto "Hub è un farabutto", magari io come moderatore glielo blocco subito prima ancora che tu me lo segnali.
    Se invece ha scritto "Hub è un muratore", che cacchio ne so io se tu sei invece ingegnere? Lo saprò quando mi contatterai per la diffamazione, ma a qual punto dove li trovo io i dati del Tizio?

    Per quanto riguarda l'hosting, scusa ma non trovo risposte.
    Io dico che mi affido all'azienda Pinco Pallo S.p.A. e magari posto pure il link alla sua informativa.
    Resta il fatto che se i dati dei miei utenti circoleranno poi in rete perché il loro tecnico si è fatto una copia di tutti i DB dei loro server io certo non saprò mai di chi è la causa.

    In ultima analisi, noi ci possiamo anche scambiare delle opinioni, ma servirebbe finalmente il parere di un legale.

  14. #14
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Su richiesta ho anonimizzato un utente. Da questo momento io non so più chi è. I suoi articoli ed i suoi commenti, resi anonimi, sono però ancora presenti sul sito.
    Passa del tempo e qualcuno si lamenta , che si fa? Questo è il punto?
    Arbok, non devi fare nulla, ma proprio nulla di nulla.
    L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
    Il massimo che ti può succedere è che una mattina ti ritrovi il sito oscurato perché sotto sequestro preventivo, ma temporaneamente.

    Certamente se io ti contatto e ti metto al corrente che qualcuno ha usato il tuo blog per screditare la mia persona tu non devi fare altro che rimuovere dal tuo blog il commento diffamatorio, se non lo fai ne risponderai.
    Dovessi cancellare oltre al commento qualsiasi dato riconducibile all'utente che mi ha diffamato, stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente e tu sarai l'ultima persona al mondo a sapere cosa è successo tra me e l'utente che mi ha diffamato.

    Se invece qualcuno dovesse usare il tuo blog per apologia al fascismo e qui c'è poco da informarsi, la legge in questo caso è molto chiara: hai 48 ore di tempo per rimuovere il commento, se non lo fai ne risponderai anche tu personalmente.


    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Per quanto riguarda l'hosting, scusa ma non trovo risposte.
    Io dico che mi affido all'azienda Pinco Pallo S.p.A. e magari posto pure il link alla sua informativa.
    Resta il fatto che se i dati dei miei utenti circoleranno poi in rete perché il loro tecnico si è fatto una copia di tutti i DB dei loro server io certo non saprò mai di chi è la causa.
    Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.
    Se Amazon dovesse rivendere i dati di chi acquista tramite il tuo ecommerce, questa è la situazione più grave, saranno problemi e anche molto salati per Amazon non certo per te, anche se gli stessi dati sono memorizzati nel tuo personale database che utilizzi per gestire newsletter.

  15. #15
    User
    Data Registrazione
    Mar 2015
    Località
    Milano
    Messaggi
    58
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    Arbok, non devi fare nulla, ma proprio nulla di nulla.
    L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
    ...

    Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.
    Come si dice, è bene non saper né leggere, né scrivere perché io continuo ad avere seri dubbi.
    Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?
    Questo significa che da qualche parte (l'ISP ?) c'è un qualche collegamento tra l'IP di chi ha postato il messaggio e quel dato post.

    Per l'altra cosa, non parlo di Amazon ma di un servizio Cloud che oggi non è fornito soltanto presso i grossi datacenter, ma anche da operatori minori.
    In ogni caso, grande o piccolo non fa differenza; se il loro tecnico punta al mio server perché sa che ci sono sopra utenti preziosi e riesce a copiarsi di nascosto il DB, voglio proprio vedere come tu possa poi dimostrare che i dati non sono stati persi per tuo dolo o a causa di una tua negligenza.
    Può essere un server in housing o un VPS o persino un sito in hosting ed in questo caso sarebbe per lui addirittura più semplice.

  16. #16
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    ... stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente...
    Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.

  17. #17
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da Arbok Visualizza Messaggio
    Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.
    Ditemi che state scherzando

  18. #18
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    Per i moduli di contatto e di commento, cosa mettete nel checkbox "Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web." oppure è valido sempre "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003."?

    Poi la storia della richiesta dei dati da cancellare è per i Commenti, giusto? Obbligatorio un modulo di richiesta di rimozione automatica oppure non serve perchè possono contattarmi per richiedere senza sfruttare un vero e proprio automatismo?

  19. #19
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    @hub. No, non sto scherzando. Sei tu che dovresti spiegarmi, come fa la Polizia Postale a rintracciare un'utente, se non ha accesso alle informazioni loggate sul mio server.

  20. #20
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    @Harry84: preferisco scrivere "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti", dato che le leggi continuano a cambiare ed essere aggiornate, ed io non ho voglia di continuare ad aggiornare la pagina sulla privacy di dozzine di clienti... e manco i clienti sono felici di sborsare soldi per aggiornamenti inutili ad ogni scoreggia di qualche legislatore.

  21. #21
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    @kruk: senza mettere in dubbio le tue conoscenze, hai conferma che "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti." sia una dicitura valida in questo caso a livello legale?

    Sai se quindi "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003." è ormai comunque fuoriluogo, ovvero non basta?

    Sulla stria dei Cookie, se non si accetta, si deve mandare il visitatore dal sito? Non va bene l'accettazione per scorriento?

    Grazie. Vorrei avere chiara questa situazione nel giro di poco tempo, per muovermi di conseguenza ed evitare di fare doppio e triplo lavoro dovendo mettere o togliere una virgola per ogni sito più volte.

  22. #22
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Per la precisione, il mio avvocato mi ha riferito, che non c'è alcun bisogno di appore quella frase, basta rispettare le leggi: "le leggi vanno rispettate, non citate".

    Per quanto riguarda i cookie, taglio la testa al toro: faccio a meno di inserire Analytics e widget vari. jQuery me lo copio sul mio sito (ove non vengono settati cookie). E di quel fastidioso popup che "informa" sull'uso dei cookie, ne faccio a meno. L'informativa sui cookie è una di quelle stupidaggini, che nel 99% viene implementata in modo errato: secondo la legge bisogna infatti ottenere il consenso per settare i cookie prima di settarli - cosa che ho visto su pochissimi siti.

    Se un visitatore non accetta i cookie, non li puoi settare. Devi permettergli di visitare il tuo sito senza cookie. È sottinteso, che i cookie li setti solo dopo che il visitatore ha accettato. Quindi puoi fare l'include di Analytics, di Google-Maps, delle stelline di Trust-Pilot, del bottone facebook "I-like-it" e di vari altri widget solo in un secondo momento. Non devi mandar via nessuno. Ovviamente il visitatore che non accetta i cookie, non appare nelle statistische di Analytics...

    Un'accettazione implicita per scrolling o simile non è valida nel nuovo GDPR.
    Ultima modifica di kruk; 16-05-18 alle 20:56

  23. #23
    User
    Data Registrazione
    May 2011
    Località
    Malnate
    Messaggi
    27
    Ciao a tutti, ho un sito di assistenza informatica.non ha cookie, però ovviamente c'è pubblicata la mail e il cellulare. Allora ..io vorrei preparare una bella pagina privacy in modo che l'utente sappia tutto su come gestiamo queste informazioni, però il problema sorge se un cliente arriva non dal sito (biglietto da visita o passaparola).
    Volevo abilitare qualche funzione dello smartphone che avvisi l'utente di leggere la privacy sul sito se lo desidera e che se continua la chiamata le accetta e se non le acceta di riagganciare.
    Il problema è questo: se lui accetta, io come tengo traccia di questa sua accettazione? registrando le chiamate? Li poi si aprirebbe una voragine per la privacy

  24. #24
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Premetto: IANAL (i am not a lawyer)...

    Nella pagina web, dove pubblichi il tuo indirizzo, basta avere un link (ben visibile) alla pagina sulla privacy, dove indichi in che modo tratti i dati dei clienti e che uso ne fai - nient'altro.
    Non mettere stronzate tipo "non sono responsabile per i contenuti dei siti linkati" o simile. E visto che di cookie non ne hai, basta veramente poco. Importante, che specifichi chi è il responsabile del trattamento dei dati.

    Se sul tuo sito metti un form per contattarti, devi mettere la dicitura tipo "con l'invio di questo modulo acconsento al trattamento dei dati" (con link alla pagina sulla privacy PRIMA del bottone INVIA. Non serve mettere una checkbox.

    Se il contatto poi avviene tramite telefono o e-mail, basta indicare nella risposta (se questa avviene tramite e-mail), che ti riferisci alla richiesta telefonica del tipo: "come da richiesta telefonica del giorno 21.5.2018, le consiglio bla bla bla". E con il riferimenrto alla telefonata iniziata dal cliente, sei a posto. È infatti il cliente ad aver iniziato il rapporto con te, e quindi implicitamente acconsente al trattamento dei dati per i scopi necessari. È importante in questo contesto, che utilizzi i suoi dati solo ai fini del lavoro richiesto. Se invece vuoi inserire il suo indirizzo in una mailing-list o darlo a terzi, hai bisogno di un'autorizzazione espliita.
    Ultima modifica di kruk; 21-05-18 alle 13:48

  25. #25
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    @kruk Grazie! Se volessi scrivere un avviso personalizzato a questo nuovo regolamento, e non una frase generica, cosa mi consiglieresti di scrivere?

    Mi potresti linkare una Privacy Police base per un semplice sito con modulo contatti, commenti e qualche widgets?

    Sono fortemente indeciso sul da farsi, per evitare di dover ritoccare tutto di nuovo.

  26. #26
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Non chiedetemi troppo, per favore. Ogni sito va analizzato con cura, per vedere, di quali informazioni ha bisogno.
    Cercate di ridurre al minimo il testo nella pagina sulla privacy osservando quanto segue:
    - non includere widget non necessari
    - includere analytics solo in modo anonimizzato
    - non serve mettere istruzioni su come cancellare i cookies nei vari browser (ha poco senso, visto che i browser si aggiornano spesso)
    - nei form non mettere campi per raccogliere dati non necessari (a.e. religione o hobbies). Io ho persino iniziato a togliere il campo per il fax - tanto serve poco.
    - non mettere frasi che non vi assumete reponsabilità per siti terzi - è ovvio che non ne siete responsabili
    - mettete ben in chiaro il vostro nome, indirizzo, partita iva e modi di contattarvi per qualsiasi richesta inerente il trattamento dei dati personali.

    Il "nuovo" GDPR non è nient'altro che la vecchia legge sulla privacy, riformulata e uniformata a livello europeo per fare un po d'ordine nel chaos. Inoltre questa legge si applica anche a enti extra-CE dal momento che questi trattano dati di cittadini della CE. Sono quindi Google, facebook, Amazon e consorti, che devono adeguare il loro modo di raccimolare e trattare i dati su di noi - pena delle multe salatissime (il 4% del loro fatturato a livello mondiale!). Era questa l'intenzione primaria. Per noi piccole aziende, che non abbiamo mai fatto grandi raccolte di dati personali e mandato newsletter a vanvera, c'è poco da adeguarsi. Chi era in regola con la vecchia legge sulla privacy, al 99% lo è tuttora.

  27. #27
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    Per noi piccole aziende, che non abbiamo mai fatto grandi raccolte di dati personali e mandato newsletter a vanvera, c'è poco da adeguarsi. Chi era in regola con la vecchia legge sulla privacy, al 99% lo è tuttora.
    Ciao,
    premesso che di legalese capisco molto poco, cercando di comprendere quali azioni "concrete" dovesse fare un microscopico imprenditore che, come dici giustamente, non passa il suo tempo a collezionare e distribuire in giro i dati dei suoi clienti o dei visitatori del suo Sito Web, mi è sembrato di capire che il GDPR preveda tutta una serie di documenti procedurali da creare, custodire, aggiornare ed esibire in caso di controllo.

    Ho capito male?

    Grazie mille!

  28. #28
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Ciao altraSoluzione!
    No, non mi risulta che bisogna produrre alcun documento.
    Quel che devi fare, é di trattare con cura i dati che ottieni dai tuoi clienti. Non collezionarne oltre a quello che serve per il rapporto d'affari che hai con i tuoi clienti (ovviamente devi conservare indirizzo, p.iva ecc. dei tuoi clienti per 10 anni, se non sbaglio). Se tratti solo dati necessari per il rapporto d'affari, non c'è bisogno di alcuna autorizzazione - infatti devi trattare sti dati per legge.
    Devi salvare i dati su un qualche supporto non accessibile a terzi (non necessariamente crittografato) ed avere cura che il pc con il quale tratti i dati abbia almeno un antivirus aggiornato... le cose minime insomma per non metterti nei guai.

    Cercate di evitare di mettere i dati su una cloud. È comunque vietato metterli su una cloud extra-CE. Microsoft Cloud Service, Azure Core Services e Office 365 a detta di Microsoft sono safe-harbour, ma non mi risulta del tutto vero, non ne starei tranquillo.

    Per gli ospedali e uffici pubblici, che trattano dati sensibili invece, la cura dei dati dev'essere molto più approfondita, con firewall, crittografia, gerarchia di permessi, log degli accessi eccetera.

  29. #29
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    In questo periodo di confusione ogni consiglio è assolutamente benvenuto!
    Negli ultimi anni ho dovuto perdere più tempo a cercare di capire le leggi e tradurle in soluzioni tecniche che a fare il mio vero mestiere.
    Grazie!

  30. #30
    User
    Data Registrazione
    May 2011
    Località
    Malnate
    Messaggi
    27
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    Premetto: IANAL (i am not a lawyer)...

    Nella pagina web, dove pubblichi il tuo indirizzo, basta avere un link (ben visibile) alla pagina sulla privacy, dove indichi in che modo tratti i dati dei clienti e che uso ne fai - nient'altro.
    Non mettere stronzate tipo "non sono responsabile per i contenuti dei siti linkati" o simile. E visto che di cookie non ne hai, basta veramente poco. Importante, che specifichi chi è il responsabile del trattamento dei dati.

    Se sul tuo sito metti un form per contattarti, devi mettere la dicitura tipo "con l'invio di questo modulo acconsento al trattamento dei dati" (con link alla pagina sulla privacy PRIMA del bottone INVIA. Non serve mettere una checkbox.

    Se il contatto poi avviene tramite telefono o e-mail, basta indicare nella risposta (se questa avviene tramite e-mail), che ti riferisci alla richiesta telefonica del tipo: "come da richiesta telefonica del giorno 21.5.2018, le consiglio bla bla bla". E con il riferimenrto alla telefonata iniziata dal cliente, sei a posto. È infatti il cliente ad aver iniziato il rapporto con te, e quindi implicitamente acconsente al trattamento dei dati per i scopi necessari. È importante in questo contesto, che utilizzi i suoi dati solo ai fini del lavoro richiesto. Se invece vuoi inserire il suo indirizzo in una mailing-list o darlo a terzi, hai bisogno di un'autorizzazione espliita.
    Grazie

  31. #31
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    @altraSoluzione: mi sono documentato meglio:
    - per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
    - per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati

  32. #32
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    @altraSoluzione: mi sono documentato meglio:
    - per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
    - per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati
    Anzitutto ti ringrazio per l'interessamento.
    Si, ho letto anche io che le piccole imprese hanno qualche obbligo di meno ma temo che ne rimangano tanti altri che ancora non ho compreso a fondo.

    Inoltre, tanto per "giocare", mi viene in mente un dubbio molto "pratico":
    - un utente s'iscrive a una newsletter, comunicando il proprio indirizzo email e acconsentendo al trattamento del dato
    - il titolare del trattamento conserva l'indirizzo email e la prova del consenso a esso legata
    - dopo qualche tempo l'utente decide di non ricevere più la newsletter e si cancella tramite l'apposito mezzo tecnico messo a disposizione
    - a questo punto il titolare, per legge, oltre a non inviare più le newsletter (ovviamente), deve cancellare tutti i dati personali dell'utente, cioè l'email

    Ma... se un domani quell'utente cita in giudizio il titolare dicendo che in passato, prima della cancellazione, gli ha inviato le newsletter senza consenso, come fa il titolare a dimostrare che aveva il consenso se ha dovuto cancellare i dati dell'utente, cioè l'email, unico dato comunicato e unica "chiave" di associazione col consenso?

  33. #33
    Esperto L'avatar di criceto
    Data Registrazione
    Oct 2007
    Località
    Torino
    Messaggi
    4,070
    Il "consenso" non é da considerare "dato" soggetto alla norma e secondo me va conservato insieme alla revoca per dare data certa appunto al consenso e alla revoca.
    Opinione personale si intende ... anche se frutto di una noiosissima lettura di tutta la norma ...

    Motivazione dell'opinione: dato che consenso e revoca sono scartoffie da rendere a norma di legge su di esse chi le ha prodotte perde i diritti.

    Occorre poi "esplorare" il fatto che le vecchie manifestazioni di consenso erano rese a fronte di una legge ora abrogata ... ATTENZIONE!! non modificata. per cui la dicitura "e successive modificazioni non ha più significato"
    Sempre come personale opinione ritengo non siano più valide e debbano essere rinnovate (Ovviamente con un lavoro immane ...), sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito ...
    Ultima modifica di criceto; 22-05-18 alle 14:04
    Sorcettoroditore

  34. #34
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    Ciao e grazie per la tua risposta.

    Citazione Originariamente Scritto da criceto Visualizza Messaggio
    sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito
    Giusto. Ma a me, da profano, sembra ridicolo che si sia costretti a chiedere "lumi" sull'interpretazione di una legge quando sarebbe stato sufficiente scrivere una legge non soggetta a interpretazioni.

    Citazione Originariamente Scritto da criceto Visualizza Messaggio
    Il "consenso" non é da considerare "dato" soggetto alla norma e secondo me va conservato insieme alla revoca per dare data certa appunto al consenso e alla revoca.
    Opinione personale si intende ... anche se frutto di una noiosissima lettura di tutta la norma ...

    Motivazione dell'opinione: dato che consenso e revoca sono scartoffie da rendere a norma di legge su di esse chi le ha prodotte perde i diritti.

    Solo per amore di conversazione (perché sono del tutto ignorante in materia legale e tale rimarrò ), nel caso da me ipotizzato la richiesta di cancellazione, ovviamente, non riguarderebbe il consenso ma il "dato", cioè l'indirizzo email che, però, è l'unica chiave univoca per il collegamento con il consenso.

    Cioè, io ho un indirizzo email collegato univocamente alla "prova" del consenso, qualsiasi essa sia:
    email <-> consenso

    Se mi viene imposto di cancellare l'email avrò un consenso senza corrispondenza:

    ??? <-> consenso

    A meno che, in questo caso, non valga il principio che vale per gli altri dati per i quali il consenso non può essere revocato come, per esempio, quelli per la fatturazione.

    Mi sbaglio?

    Grazie!

  35. #35
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Ottima domanda. cerchiamo di risolvere il nodo:

    Io memorizzo un una tabella del database i vari dati del cliente, tra cui nome, indirizzo e-mail, data della registrazione e indirizzo ip dal quale si è registrato. Nel campo dell'indirizzo ip metto la parola "manuale" nel caso il cliente ha richiesto l'iscrizione tramite e-mail o telefono... Così posso in qualsiasi momento risalire a quando è stata data l'autorizzazione per l'invio della newsletter.

    Se il cliente chiede di essere rimosso dalla mailinglist, setto un flag nel database, ma non cancello i suoi dati. Potrei aggiungere anche ip e data della disiscrizione. Da quel momento semplicemente non gli invio pù e-mail (la richiesta era solo di disdetta newsletter non di cancellazione dati). Questi dati li mantengo per 10 anni...

    Se il cliente invece mi chiede di cancellare i suoi dati, li cancello e basta. A meno che non abbia altri rapporti di lavoro con lui, per i quali sono obbligato a conservare i dati per 10 anni... Non penso che il titolare dei dati possa farti causa oltre un tempo ragionevole (un anno?) dal ricevimento dell'ultima newsletter (per i tempi di prescrizione dovresti chiedere un'avvocato).

    Se tengo un backup dei dati (uno giornaliero, settimanale, mensile ed uno annuo), sarei obbligato a cancellare i dati anche dal backup. Ma siccome i backup vengono sovrascritti dopo al massimo un anno, questi dati andranno automaticamente persi. Dai backup sarà possibile risalire al momento di iscrizione/disiscrizione del cliente fino a un anno dopo la cancellazione. Se il cliente quindi fa causa entro un'anno, posso recuperare le prove della (dis)iscrizione.

    In caso di controlli devi far vedere come funziona il tuo software, e come i dati vengono cancellati.
    Ultima modifica di kruk; 22-05-18 alle 15:22

  36. #36
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    Se il cliente invece mi chiede di cancellare i suoi dati, li cancello e basta. A meno che non abbia altri rapporti di lavoro con lui, per i quali sono obbligato a conservare i dati per 10 anni... Non penso che il titolare dei dati possa farti causa oltre un tempo ragionevole (un anno?) dal ricevimento dell'ultima newsletter (per i tempi di prescrizione dovresti chiedere un'avvocato).
    In questo momento sembra che neanche gli avvocati abbiano risposte certe.
    Seguendo un seminario sull'argomento, la risposta data dall'esperto è stata che bisogna aspettare delle sentenze per sapere come bisogna interpretare la legge! Questo, nella mia testa, è come se mi obbligassero a partecipare a un gioco dove rischio di perdere un mucchio di soldi senza prima avermi spiegato le regole del gioco, dicendomi che le regole le saprò quando io o qualcun altro avremo perso.

    Mah. Sicuramente è colpa mia e della mia ignoranza (nel senso che ignoro, cit. ) se a me tutto ciò sembra assurdo.

    Comunque grazie mille per la tua spiegazione, che comunque mi offre nuovi spunti di riflessione!

  37. #37
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da altraSoluzione Visualizza Messaggio
    Mah. Sicuramente è colpa mia e della mia ignoranza (nel senso che ignoro, cit. ) se a me tutto ciò sembra assurdo.
    Ciao, la risposta che ti ha dato kruk è l'approccio corretto. Non guardare il GDPR come un'imposizione in senso stretto ma come un radicale e molto innovativo approccio in merito al trattamento dei dati, che però certametne se sgarri nel peggiore dei casi e se sei unazienda, ti ritrovi a dover pagare multe astronomiche.

    Poi riporto anche qui che Italia e Francia godranno di una proroga di 6 mesi viste alcune complessità di non facile soluzione.
    Ma attenzione però perché il Garante chiude un occhio non tutti e due, quindi la cosa più importante è comprendere l'importanza dei concetti come Privacy Design.
    Per esempio se io ti contatto per chiederti informazioni, tu mi rispondi e proseguiamo fino alla conclusione. Da questo momento in avanti che motivo hai di conservare nel tuo computer il mio indirizzo email? Nessuno, quindi cancelli la mia mail e sei già a buon punto.

    Stesso discorso per il Data Breach, è tuo impegno sapere che in caso di furto dati dovrai tempestivamente denunciarlo, è tua cura fare in modo che i dati dei tuoi iscritti, clienti, etc siano custoditi con la massima cura e non ceduti, per qualsiasi ragione anche tecnica, a chiunque.

    Avrai notato anche tu e anche tu avrai ricevuto diverse mail, che moltissime aziende stanno inviando in cui dichiarano un certo interesse nel garantire il massimo della protezione dei dati. Anche questo è l'approccio corretto.

  38. #38
    Utente Premium L'avatar di altraSoluzione
    Data Registrazione
    Jun 2017
    Località
    Roma
    Messaggi
    324
    Segui altraSoluzione su Twitter Aggiungi altraSoluzione su Google+ Aggiungi altraSoluzione su Facebook Aggiungi altraSoluzione su Linkedin Visita il canale Youtube di altraSoluzione
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    Ciao, la risposta che ti ha dato kruk è l'approccio corretto. Non guardare il GDPR come un'imposizione in senso stretto ma come un radicale e molto innovativo approccio in merito al trattamento dei dati, che però certametne se sgarri nel peggiore dei casi e se sei unazienda, ti ritrovi a dover pagare multe astronomiche.

    Poi riporto anche qui che Italia e Francia godranno di una proroga di 6 mesi viste alcune complessità di non facile soluzione.
    Ma attenzione però perché il Garante chiude un occhio non tutti e due, quindi la cosa più importante è comprendere l'importanza dei concetti come Privacy Design.
    Per esempio se io ti contatto per chiederti informazioni, tu mi rispondi e proseguiamo fino alla conclusione. Da questo momento in avanti che motivo hai di conservare nel tuo computer il mio indirizzo email? Nessuno, quindi cancelli la mia mail e sei già a buon punto.

    Stesso discorso per il Data Breach, è tuo impegno sapere che in caso di furto dati dovrai tempestivamente denunciarlo, è tua cura fare in modo che i dati dei tuoi iscritti, clienti, etc siano custoditi con la massima cura e non ceduti, per qualsiasi ragione anche tecnica, a chiunque.

    Avrai notato anche tu e anche tu avrai ricevuto diverse mail, che moltissime aziende stanno inviando in cui dichiarano un certo interesse nel garantire il massimo della protezione dei dati. Anche questo è l'approccio corretto.
    Hai ragione su tutto e, in effetti, negli ultimi tempi mi stanno bombardando di email.

    Il problema è che, mentre le grandi aziende hanno competentissime e costosissime risorse interne che si occupano di queste cose, il micro imprenditore non può contare sulle stesse risorse e deve fare tutto da solo. E mentre perde una montagna di tempo, anche solo per capire cosa deve fare (figuriamoci per farlo), deve anche cercare di portare a casa la pagnotta facendo il suo vero lavoro che, fino a ieri, faceva senza aver mai venduto gli indirizzi email dei suoi contatti a nessuno e senza aver mai spammato "il mondo" e tutto questo senza bisogno di una legge che gli dicesse che queste cose non si fanno.

    Non penso soltanto a me, ma penso anche a tutti quegli artigiani che magari si sono fatti creare una paginetta web dal figlio o dal nipote e che, per questo, si ritrovano a dover combattere con un mare di scartoffie che parlano di cose di cui sono completamente ignari.

    A mio parere, mentre le regole comportamentali devono, giustamente, essere osservate da tutti ed eventuali abusi puniti, la redazione di scartoffie, il raccoglimento di consensi certificati e tutte le altre cose di carattere prettamente burocratico dovrebbero riguardare soltanto i "big" (quelli sì che fanno di tutto e di più con i dati personali!), cioè le aziende che possono permettersi di pagare fior di avvocati per gestirle.

    Ma quello descritto da me è un mondo dei sogni, me ne rendo conto

    Quella della proroga era una buona notizia ma sembra smentita:
    https://www.privacyitalia.eu/gdpr-ne...5-maggio/7113/
    Ultima modifica di altraSoluzione; 22-05-18 alle 17:54

  39. #39
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da altraSoluzione Visualizza Messaggio
    Quella della proroga era una buona notizia ma sembra smentita
    Si purtroppo ho letto anche io, le mie fonti erano testate online piuttosto autorevoli ma in effetti non c'è mai stata nessuna comunicazione ufficiale da parte del Garante.

    Edit,
    aggiungo che però in Francia quello che è stato definito il "grace period" è ufficiale, non è proprio una proroga ma i primi mesi ci andranno piano.
    Ultima modifica di hub; 22-05-18 alle 18:06

  40. #40
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Citazione Originariamente Scritto da criceto Visualizza Messaggio
    Sempre come personale opinione ritengo non siano più valide e debbano essere rinnovate (Ovviamente con un lavoro immane ...), sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito ...
    Ti posso tranquillizzare, il Garante della Privacy è già stato interpellato in merito: tutti i benestare raccolti nel rispetto dell'attuale Codice della Privacy rimangono validi anche in futuro siccome il GDPR è molto simile al Codice delle Privacy in vigore.

  41. #41
    Esperto L'avatar di criceto
    Data Registrazione
    Oct 2007
    Località
    Torino
    Messaggi
    4,070
    Citazione Originariamente Scritto da kruk Visualizza Messaggio
    Ti posso tranquillizzare, il Garante della Privacy è già stato interpellato in merito: tutti i benestare raccolti nel rispetto dell'attuale Codice della Privacy rimangono validi anche in futuro siccome il GDPR è molto simile al Codice delle Privacy in vigore.
    Tale notizia é reperibile sul sito del Garante'
    Sorcettoroditore

  42. #42
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    @crticeto: hai un link? sarebbe molto utile per gli altri lettori.
    Io ho preso la notizia da un comunicato di un'avvocato, che non posso copiare qui.

  43. #43
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    Siamo tutti sulla stessa barca sulla questione GDPR e quello che mi da fastidio è quando si parla di legge e molte cose sono interpetabili in modo diverso e ci dobbiamo fare carico noi di creare/trovare gli strumenti di adattamento.

    Detto questo, spero di fare cosa gradita, per chi utilizza WordPress stò valutando 2 plugins, Ginger – EU Cookie Law e WP GDPR Compliance. Vi chiedo una gentilezza, una ulteriore conferma di che testo utilizzare per il banner cookie: Io ora utilizzo: "Il presente sito fa uso di cookie anche di terze parti. Si rinvia all'informativa estesa per ulteriori informazioni. La prosecuzione nella navigazione comporta l'accettazione dei cookie."
    Forse non è valida più la storia della prosecuzione, giusto? Poiché bisogna bloccare i Cookie, ed eventualmente accettati con il clic, ho capito bene?

    Per i form di contatto e commenti, che testo affiancate al checkbox? Io usavo "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003."

    In ultimo, mi fornite un testo base di Cookie Policy di un blog base con commenti, form di contatto? Le altre cose vedrò di inserirle io, tipo widgets social, ecc. ma se già ci sono, tanto meglio!

    Grazie!

  44. #44
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Per capire come mai il GDPR è in molti aspetti poco chiaro, basta osservare i vari interventi delle lobby supportati dalle multinazionali USA (Google, Microsoft, Dell, IBM, Amazon, eBay, ...) interessati ad infangare la legge europea sulla privacy per assicurarsi più libertà d'azione nel trattamento dei dati personali. Leggetevi la pagina "Major Issues" su lobbyplag.eu. Buona lettura!

    @Harry84: La prosecuzione nella navigazione non implica la tacita accettazione dei cookie - se il visitatore non ha dato l'ok per i cookie, non li puoi settare.

    Io ho iniziato a togliere/sostituire i vari i-like-it-buttons, che settano cookies. In alcuni casi è possibile sostituire il widget con un'immagine e link statico alla pagina del fornitore del widget. Questi widget infatti vengono inclusi tramite iFrame, e non è possibile evitare che settano cookie previa autorizzazione.
    Ultima modifica di kruk; 23-05-18 alle 14:54

  45. #45
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    @kruk Bene la storia di dare il consenso per i Cookie.

    Stò chiedendo gentilmente un aiuto "pratico", sul mini messaggio da usare nel bannerino, nel checkbox dei commenti e del form contatti, ed una base di partenza per la nuova pagina Privacy per un sito base con semplicemente un form contatti, i commenti.

    Non riesco a trovare un sito a cui "ispirarmi", spero in un vostro aiuto!

  46. #46
    User
    Data Registrazione
    Nov 2007
    Messaggi
    154
    Guarda Harry, nessuno per ora è al 100% sicuro su come implementare il GDPR. Ogni sito ha le sue peculiarità e va quindi analizzato con cura, quali informazioni è opportuno o necessario mettere nella pagina sulla privacy. Non esiste quindi una paginetta da copiare ed adattare alle proprie esigenze. Qui stiamo solo scambiando informazioni e opinioni che siamo riusciti ad ottenere qua e la. Anch'io non mi sbilancio. Una risposta autorevole e vincolante te la può solo dare un'avvocato - ma quello si paga. E di avvocati che capiscono la materia ce ne sono pochi.

    Alcuni cercano di mettere di tutto e di più per pararsi il sedere. Altri (come me) invece cercano di mettere il minimo necessario e tolgono widget con cookie e banner vari per non incappare in obblighi non assolvibili.

  47. #47
    User
    Data Registrazione
    Jul 2011
    Località
    Milano
    Messaggi
    28
    Si, purtroppo è così, poca chiarezza, ed il tempo scorre! Mi meraviglio che anche in questo forum ci sia l'avviso "Il presente sito fa uso di cookie anche di terze parti. Si rinvia all'informativa estesa per ulteriori informazioni. La prosecuzione nella navigazione comporta l'accettazione dei cookie.", mi riferisco alla parte "...La prosecuzione nella navigazione comporta l'accettazione dei cookie.".

    Confido in qualche altro utente che ci tolga altri dubbi su come agire.

  48. #48
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    Si purtroppo ho letto anche io, le mie fonti erano testate online piuttosto autorevoli ma in effetti non c'è mai stata nessuna comunicazione ufficiale da parte del Garante.

    Edit,
    aggiungo che però in Francia quello che è stato definito il "grace period" è ufficiale, non è proprio una proroga ma i primi mesi ci andranno piano.
    Mi quoto perché questa cosa della smentita dei 6 mesi di proroga non mi è molto chiara.
    A questo link (sito del Garante) c'è un documento datato 22 febbraio 2018 in cui lo stesso Garante parla di una possibile proroga di 6 mesi e specificando chiaramente le ragioni, copio e incollo l'ultimo paragrafo della pagina:

    Considerato che la delega per l'attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il
    decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in
    esame, si ritiene opportuno differire l'applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall'entrata in
    vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data. Ciò anche al fine di
    consentire all'Autorità di poter acquisire informazioni dai titolari dei trattamenti effettuati per via automatizzata o tramite tecnologie digitali.
    garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/8080493


    Tuttavia nello stesso sito del garante, in data 19 aprile 218, si afferma il contrario:

    Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia.


    Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018.
    garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593


    Ora io non sono un legale, probabilmente quel paragrafo andrebbe interpretato diversamente?
    Se passasse di qui un esperto in materia legale sarebbe davvero utile chiarire questo aspetto in quanto il documento è stato redatto dallo stesso Garante, Soro, ma sul sito del garante non c'è firma della smentita.

  49. #49
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    497
    I miei dubbi diventano sempre più legittimi e a quanto pare c'è poco da interpretare: agendadigitale.eu/sicurezza/privacy/gdpr-ecco-perche-riteniamo-ci-sia-stato-un-rinvio-dei-controlli-sulle-aziende/

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.