• User

    @hub
    Sono d'accordo su molte tue osservazioni, ma su altre nutro comunque dei dubbi.

    Intanto, sempre leggendo nel web, sembrerebbe che GPDR non ha nulla ha che fare con la Cookies Law salvo forse ribadire che non sono ammesse forme di accettazione automatica della policy.
    Quindi lo scrolling non dovrebbe essere più un modo implicito di accettare la policy.

    Per quanto riguarda l'uso dei dati per le mailing list concordo con te che l'utente deve approvare un eventuale loro uso al di fuori del ciclo "domanda - risposta -mille grazie".
    Mi interrogo però se poi i dati non vengano comunque raccolti in altro modo, ad esempio con i contratti cartacei che firmiamo dappertutto. Riflessione che ci porterebbe però in OT.

    Sul diritto all'oblio, concordo che è un problema tecnico diverso da caso a caso, sito a sito, ed infatti ho aperto il post dicendo che mi interessava di più l'interpretazione normativa.
    Chiedevo poi, riguardo a questo tema, se la policy potesse prevedere la cessione dei diritti su quanto pubblicato. In questo modo anche la rimozione dell'utente non dovrebbe implicare la rimozione dell'articolo.

    Non sono invece d'accordo con la tua opinione circa l'anonimato e la responsabilità editoriale perché richiama una discussione che si sta portando avanti da anni.
    Non sto parlando dell'insulto o comunque di quanto sia immediatamente percepibile come "reato", anche se non è affatto detto che il webmaster sia in grado di moderare in tempo reale ciò che viene scritto.
    Se in un post apparentemente normale vengono lesi i diritti di qualcuno, non è affatto detto che questa lesione sia immediatamente percepibile da parte del webmaster.
    Se, ad esempio, in un post si afferma "sono il distributore del prodotto X"; oppure "Y è il distributore del prodotto X" non può il webmaster sapere se questo sia vero e pertanto il vero distributore potrebbe aprire una contestazione.
    Nel momento in cui questa si apre come farà il webmaster a segnalare la titolarità dell'articolo? E come fanno le autorità a risalire all'IP se nel sito non è stato rilevato? Anche il Log, da quello che ho capito, andrebbe anonimizzato.

    Infine, non hai espresso neppure tu un parere sul problema dell'accesso ai dati collocati presso una server farm.

    Grazie per il contributo.
    Ciao


  • User

    @magisound said:

    io ho domande a cui non ho trovato risposte:
    ...

    Per quello che riguarda le transazioni commerciali dovrebbero essere sempre conservate perché la legge che le impone ha una priorità maggiore rispetto a quella sulla privacy.
    I dati relativi all'esecuzione della transazione commerciale, come ad esempio i dati di spedizione, in teoria andrebbero rimossi dopo la transazione sempre che non siano sempre relativi alla transazione stessa.
    In altre parole se ti ho spedito il pacco ad un Indirizzo io devo conservare questo dato anche in seguito alla spedizione stessa.

    Per i dati relativi a PayPal o Carta di credito in teoria dovrebbe essere la banca a riceverli direttamente e non dovrebbero transitare dal tuo sito.
    Tu dovresti passare i tuoi dati (ad esempio l'importo); PayPal richiede l'accesso all'utente, verifica il pagamento e se va a buon fine trasmette a te la segnalazione.

    Non ho capito i punti 2 e 3.


  • User Newbie

    @Arbok said:

    Per quello che riguarda le transazioni commerciali dovrebbero essere sempre conservate perché la legge che le impone ha una priorità maggiore rispetto a quella sulla privacy.
    I dati relativi all'esecuzione della transazione commerciale, come ad esempio i dati di spedizione, in teoria andrebbero rimossi dopo la transazione sempre che non siano sempre relativi alla transazione stessa.
    In altre parole se ti ho spedito il pacco ad un Indirizzo io devo conservare questo dato anche in seguito alla spedizione stessa.

    Per i dati relativi a PayPal o Carta di credito in teoria dovrebbe essere la banca a riceverli direttamente e non dovrebbero transitare dal tuo sito.
    Tu dovresti passare i tuoi dati (ad esempio l'importo); PayPal richiede l'accesso all'utente, verifica il pagamento e se va a buon fine trasmette a te la segnalazione.

    Non ho capito i punti 2 e 3.

    a pay pal invii i dati utente (nome cognome indirizzo e mail indirizzo) poi cosa se ne fa? (ho letto che li condivide con 600 diverse cose 🙂

    punto 2 ) se si usa gmail tipo server di posta, (sai e' comodo) ricevo una e mail su GMAL e rispondo da gmail anche usando pop3 e smtp esterni , questo auto conserva l'indirizzo del mittente / destinatario

    punto 3) poniamo che ricevo una e mail dove c'e' il consenso al trattamento dei dati personali.. poi la cancello.. per non conservare nulla, se qualcuno(tipo ente controllore) mi chiede di verificare se appare il consenso al trattamento dei dati personali ..
    ovviamente non le ho in quanto cancellate, certo questo punto e' un po paranoico.. ma sai come e'.. in italia ti ci fanno diventare


  • User Attivo

    Devo dire che anche io sono rimasto un po' confuso, più che altro perché pur leggendo diversi articoli, mi sembra che ci siano poche guide pratiche.

    La maggior parte dei siti, in teoria avrà solo a che fare con i cookies tipo Analytics e similari e con i dati raccolti via form.

    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?


  • User Newbie

    @luqweb said:

    Devo dire che anche io sono rimasto un po' confuso, più che altro perché pur leggendo diversi articoli, mi sembra che ci siano poche guide pratiche.

    La maggior parte dei siti, in teoria avrà solo a che fare con i cookies tipo Analytics e similari e con i dati raccolti via form.

    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?

    da quello che ho letto non puoi, o per farlo devi chiedere una specie di revisione / autorizzazione a fornire a terze parti (per le quali tu saresti responsabile) pagando 150 euro..
    ma ognuno scrive una cosa diversa quindi non e' facile capirci qualcosa


  • User

    @criceto said:

    Tenderei a mettere un punto fermo.

    1. La tutela dei dati di cui sopra ...

    Ti riferisci a quali dati? A quali messaggi?


  • User Attivo

    @Arbok said:

    Se, ad esempio, in un post si afferma "sono il distributore del prodotto X"; oppure "Y è il distributore del prodotto X" non può il webmaster sapere se questo sia vero e pertanto il vero distributore potrebbe aprire una contestazione.
    Il proprietario del Blog ha l'obbligo di intervenire, moderando, quando un eventuale commento è palesemente diffamatorio, incita violenza, razzismo, apologia del fascismo e così via, in un tempo massimo di 48 ore.
    Nel tuo esempio il problema è di chi ha scritto il falso, non certo tuo.

    @Arbok said:

    Infine, non hai espresso neppure tu un parere sul problema dell'accesso ai dati collocati presso una server farm.

    che più o meno sono le stesse domande di magisound:

    @magisound said:

    4 come gestire i dati che si forniscono a un corriere dopo l'ordine?
    7 come gestire eventuali servizi esterni? mailchimp, gdrive (dove magari ho un back up delle vecchie DDT ingresso dove ho applicato il dropshippin e quindi c'e' l'indirizzo del cliente)

    Come Paypal, Gmail, Ebay, servizi di Hosting e cosi via si adeguano al GDPR non sono problemi tuoi, nostri, ma di questi.
    Per chiarire, è comunque tuo impegno accertarti che i servizi esterni che scegli per i tuoi utenti siano validi e in linea con la normativa.

    @criceto said:

    Tenderei a mettere un punto fermo.

    1. Tutti i dati contabili indispensabili per un rapporto commerciale non sono sottoposti alle regole dell'oblio e non sono soggetti a consenso per il trattamento se a questo limitato.
    2. La conservazione degli stessi segue le regole del Codice Civile.
    3. La tutela dei dati di cui sopra segue le regole del GDPR per quanto riguarda custodia e riservatezza.
      E certamente giusto, e per fare anche un ulteriore esempio, se domani mattina mi ricovero in ospedale per un controllo, potrò mai contattare la struttura ospedaliera e chiedere la cancellazione totale dei miei dati? Beh certamente no.

    @luqweb said:

    Per la storia dei cookies, fino ad ora era sufficiente l'informativa, ora il consenso deve diventare obbligatorio altrimenti deve essere vietato proseguire sul sito?
    Al contempo, per i dati dei form, chiaro l'accettazione esplicita, ma se poi voglio usare la tua email in liste remarketing AdWords ad esempio (o per campagne di email marketing in generale), basta inserirlo nelle condizioni?

    Copio e incollo quello che ho scritto sopra:
    *
    Tornando alla normativa sui cookies, con il GDPR ci si dovrebbe scordare metodi impliciti di accettazione, ad esempio lo scrolling della pagina. Comunque, ammesso che sarà fattibile l'accettazione implicita, l'utente deve essere messo al corrente, con informazioni estese in apposita pagina, di cosa accetta, chi è responsabile dei dati, quali sono i servizi esterni che potrebbero memorizzarli e come e in che modo può rifiutarsi o richiedere modifiche o cancellazioni.

    *Secondo me, quindi parere personale, l'accettazione implicità, scrolling pagina ad esempio, non sarà consentita, a meno che si parla di soli cookies tecnici, ma per tutto il resto l'utente deve esplicitamente accettare.

    Comunque, un chiarimento, le multe possono arrivare fino a 10 milioni di Euro o una percentuale sul fatturato mondiale, nei seguenti casi:
    - nel caso in cui la compagnia non possa dimostrare l’esistenza di un grado idoneo di sicurezza
    - non abbia nominato un Responsabile con la protezione dei dati
    - non abbia stabilito un accordo di trattamento dei dati

    Nel caso più grave la multa arriva fino a 20 milioni di Euro:
    - applicata quando i diritti delle persone interessate sono stati violati, come nel caso in cui i loro dati siano stati trattati senza un fondamento legale.

    Quindi mi pare molto chiaro che non è il blogger ad esempio, a doversi preoccupare ma i servizi di Hosting, Ebay, Amazon, Google, Apple, Mailchimp e così via.
    Attenzione però, esempio: se il blogger memorizza le mail dei commentatori ha l'obbligo di garantire l'impegno alla riservatezza. Nel caso in cui il servizio di Hosting subisse un furto di dati non è il blogger che ne risponderebbe ma il servizio di Hosting.
    L'importante è che il blogger comunichi in modo chiaro che avrà cura di questi dati (non li cederà o venderà a nessun altro) e si appoggia a Tizio o Caio (Hosting), ma lo stesso blogger dovrà comunque dichiarare i dati del titolare del trattamento dei dati, lui o chi ne sarà in prima persona responsabile.

    Edit: chiedo scusa ho dimenticato di citare la fonte per i dati sulle multe che ho riportato: eugdprcompliant.com/it/multe-per-la-violazione-del-regolamento


  • User

    @magisound
    Non integro Paypal nei siti e quindi esprimo un parere da utente: a me i vari carrelli elettronici chiedono i miei dati in riferimento alla sola transazione con loro. Poi, se pago con PayPal vengo reindirizzato al sito di PP dove dove fare il login. Il che significa che il sito non trasferisce i miei dati a PP.

    Se usi GMail anche in relazione al sito, a mio parere basta inserire sulla informativa che usi anche questo servizio. Mi pare che il problema sia assimilabile ad usare anche gli altri servizi esterni.

    Il punto 3, sarò "de coccio", ma proprio non lo capisco. La Mail ti sarà spedita da qualcosa, no? Ad esempio un tuo modulo dove tu hai raccolto i dati, compresa l'autorizzazione a trattenerli.
    E ci sarà pure stata una ragione per aver ricevuto la email. Così come l'hai descritto il problema non è chiaro.

    @iuqweb
    Quello dei cookies mi sembra un problema sottovalutato.
    La GDPR non sembra in relazione diretta con la Cookies Law, salvo che tutti si sentono preoccupati.
    Se l'utente deve scegliere tra l'accettare i cookies e continuare la lettura, beh dipenderà dal sito. Forse il grande quotidiano online continueranno a leggerlo ed il blog no.
    Se poi potrà scegliere tra una categoria di cookies e l'altra andrà a scegliere la meno invasiva e tanti saluti alle analisi statistiche, ad AdSense, ecc.

    In effetti mi auguro che almeno qui, sul portale di Giorgio Taverniti, si arrivi a dei chiarimenti maggiori.


  • User

    Ci stiamo rincorrendo con le risposte.

    @hub
    Lasciamo perdere il discorso della moderazione. Il punto che ho sollevato è un altro.
    Su richiesta ho anonimizzato un utente. Da questo momento io non so più chi è. I suoi articoli ed i suoi commenti, resi anonimi, sono però ancora presenti sul sito.
    Passa del tempo e qualcuno si lamenta , che si fa? Questo è il punto?
    Se il tizio ha scritto "Hub è un farabutto", magari io come moderatore glielo blocco subito prima ancora che tu me lo segnali.
    Se invece ha scritto "Hub è un muratore", che cacchio ne so io se tu sei invece ingegnere? Lo saprò quando mi contatterai per la diffamazione, ma a qual punto dove li trovo io i dati del Tizio?

    Per quanto riguarda l'hosting, scusa ma non trovo risposte.
    Io dico che mi affido all'azienda Pinco Pallo S.p.A. e magari posto pure il link alla sua informativa.
    Resta il fatto che se i dati dei miei utenti circoleranno poi in rete perché il loro tecnico si è fatto una copia di tutti i DB dei loro server io certo non saprò mai di chi è la causa.

    In ultima analisi, noi ci possiamo anche scambiare delle opinioni, ma servirebbe finalmente il parere di un legale.


  • User Attivo

    @Arbok said:

    Su richiesta ho anonimizzato un utente. Da questo momento io non so più chi è. I suoi articoli ed i suoi commenti, resi anonimi, sono però ancora presenti sul sito.
    Passa del tempo e qualcuno si lamenta , che si fa? Questo è il punto?
    Arbok, non devi fare nulla, ma proprio nulla di nulla.
    L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
    Il massimo che ti può succedere è che una mattina ti ritrovi il sito oscurato perché sotto sequestro preventivo, ma temporaneamente.

    Certamente se io ti contatto e ti metto al corrente che qualcuno ha usato il tuo blog per screditare la mia persona tu non devi fare altro che rimuovere dal tuo blog il commento diffamatorio, se non lo fai ne risponderai.
    Dovessi cancellare oltre al commento qualsiasi dato riconducibile all'utente che mi ha diffamato, stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente e tu sarai l'ultima persona al mondo a sapere cosa è successo tra me e l'utente che mi ha diffamato.

    Se invece qualcuno dovesse usare il tuo blog per apologia al fascismo e qui c'è poco da informarsi, la legge in questo caso è molto chiara: hai 48 ore di tempo per rimuovere il commento, se non lo fai ne risponderai anche tu personalmente.

    @Arbok said:

    Per quanto riguarda l'hosting, scusa ma non trovo risposte.
    Io dico che mi affido all'azienda Pinco Pallo S.p.A. e magari posto pure il link alla sua informativa.
    Resta il fatto che se i dati dei miei utenti circoleranno poi in rete perché il loro tecnico si è fatto una copia di tutti i DB dei loro server io certo non saprò mai di chi è la causa.
    Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.
    Se Amazon dovesse rivendere i dati di chi acquista tramite il tuo ecommerce, questa è la situazione più grave, saranno problemi e anche molto salati per Amazon non certo per te, anche se gli stessi dati sono memorizzati nel tuo personale database che utilizzi per gestire newsletter.


  • User

    @hub said:

    Arbok, non devi fare nulla, ma proprio nulla di nulla.
    L'ultima cosa che a te personalmente deve interessare è indagare su chi è Tizio o chi è Caio. Il lavoro lo fa la Polizia postale su richiesta della Magistratura, non certo tu che sei all'oscuro di quale sia il mio lavoro e che oltre tutto non sono nemmeno un personaggio pubblico.
    ...

    Anche qui è la stessa cosa ma ti invito a leggere con più attenzione: non è compito tuo preoccuparti dell'onestà e buona fede per esempio di Amazon, la cosa a te non riguarda minimamente.

    Come si dice, è bene non saper né leggere, né scrivere perché io continuo ad avere seri dubbi.
    Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?
    Questo significa che da qualche parte (l'ISP ?) c'è un qualche collegamento tra l'IP di chi ha postato il messaggio e quel dato post.

    Per l'altra cosa, non parlo di Amazon ma di un servizio Cloud che oggi non è fornito soltanto presso i grossi datacenter, ma anche da operatori minori.
    In ogni caso, grande o piccolo non fa differenza; se il loro tecnico punta al mio server perché sa che ci sono sopra utenti preziosi e riesce a copiarsi di nascosto il DB, voglio proprio vedere come tu possa poi dimostrare che i dati non sono stati persi per tuo dolo o a causa di una tua negligenza.
    Può essere un server in housing o un VPS o persino un sito in hosting ed in questo caso sarebbe per lui addirittura più semplice.


  • User Attivo

    @hub said:

    ... stai pur tranquillo che la Polizia postale è in grado di ricostruire tutto e rintracciare l'utente...

    Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.


  • User Attivo

    @Arbok said:

    Se ho reso anonimo tutto, IP compreso, come fa la Polizia Postale a risalire?

    @kruk said:

    Se non io come amministratore del blog riesco a rintracciare l'utente, perchè non possiedo più nessun dato su di lui (nome, e-mail o indirizzo IP) non lo potrá fare neanche la Polizia Postale, che non è root sul mio server.

    Ditemi che state scherzando 😄


  • User

    Per i moduli di contatto e di commento, cosa mettete nel checkbox "Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web." oppure è valido sempre "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003."?

    Poi la storia della richiesta dei dati da cancellare è per i Commenti, giusto? Obbligatorio un modulo di richiesta di rimozione automatica oppure non serve perchè possono contattarmi per richiedere senza sfruttare un vero e proprio automatismo?


  • User Attivo

    @hub. No, non sto scherzando. Sei tu che dovresti spiegarmi, come fa la Polizia Postale a rintracciare un'utente, se non ha accesso alle informazioni loggate sul mio server.


  • User Attivo

    @Harry84: preferisco scrivere "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti", dato che le leggi continuano a cambiare ed essere aggiornate, ed io non ho voglia di continuare ad aggiornare la pagina sulla privacy di dozzine di clienti... e manco i clienti sono felici di sborsare soldi per aggiornamenti inutili ad ogni scoreggia di qualche legislatore.


  • User

    @kruk: senza mettere in dubbio le tue conoscenze, hai conferma che "Autorizzo al trattamento dei miei dati personali ai sensi delle leggi vigenti." sia una dicitura valida in questo caso a livello legale?

    Sai se quindi "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003." è ormai comunque fuoriluogo, ovvero non basta?

    Sulla stria dei Cookie, se non si accetta, si deve mandare il visitatore dal sito? Non va bene l'accettazione per scorriento?

    Grazie. Vorrei avere chiara questa situazione nel giro di poco tempo, per muovermi di conseguenza ed evitare di fare doppio e triplo lavoro dovendo mettere o togliere una virgola per ogni sito più volte.


  • User Attivo

    Per la precisione, il mio avvocato mi ha riferito, che non c'è alcun bisogno di appore quella frase, basta rispettare le leggi: "le leggi vanno rispettate, non citate".

    Per quanto riguarda i cookie, taglio la testa al toro: faccio a meno di inserire Analytics e widget vari. jQuery me lo copio sul mio sito (ove non vengono settati cookie). E di quel fastidioso popup che "informa" sull'uso dei cookie, ne faccio a meno. L'informativa sui cookie è una di quelle stupidaggini, che nel 99% viene implementata in modo errato: secondo la legge bisogna infatti ottenere il consenso per settare i cookie **prima **di settarli - cosa che ho visto su pochissimi siti.

    Se un visitatore non accetta i cookie, non li puoi settare. Devi permettergli di visitare il tuo sito senza cookie. È sottinteso, che i cookie li setti solo dopo che il visitatore ha accettato. Quindi puoi fare l'include di Analytics, di Google-Maps, delle stelline di Trust-Pilot, del bottone facebook "I-like-it" e di vari altri widget solo in un secondo momento. Non devi mandar via nessuno. Ovviamente il visitatore che non accetta i cookie, non appare nelle statistische di Analytics...

    Un'accettazione implicita per scrolling o simile non è valida nel nuovo GDPR.


  • User

    Ciao a tutti, ho un sito di assistenza informatica.non ha cookie, però ovviamente c'è pubblicata la mail e il cellulare. Allora ..io vorrei preparare una bella pagina privacy in modo che l'utente sappia tutto su come gestiamo queste informazioni, però il problema sorge se un cliente arriva non dal sito (biglietto da visita o passaparola).
    Volevo abilitare qualche funzione dello smartphone che avvisi l'utente di leggere la privacy sul sito se lo desidera e che se continua la chiamata le accetta e se non le acceta di riagganciare.
    Il problema è questo: se lui accetta, io come tengo traccia di questa sua accettazione? registrando le chiamate? Li poi si aprirebbe una voragine per la privacy:?