• User Attivo

    @kruk said:

    Per noi piccole aziende, che non abbiamo mai fatto grandi raccolte di dati personali e mandato newsletter a vanvera, c'è poco da adeguarsi. Chi era in regola con la vecchia legge sulla privacy, al 99% lo è tuttora.

    Ciao,
    premesso che di legalese capisco molto poco, cercando di comprendere quali azioni "concrete" dovesse fare un microscopico imprenditore che, come dici giustamente, non passa il suo tempo a collezionare e distribuire in giro i dati dei suoi clienti o dei visitatori del suo Sito Web, mi è sembrato di capire che il GDPR preveda tutta una serie di documenti procedurali da creare, custodire, aggiornare ed esibire in caso di controllo.

    Ho capito male?

    Grazie mille!


  • User Attivo

    Ciao** altraSoluzione!**
    No, non mi risulta che bisogna produrre alcun documento.
    Quel che devi fare, é di trattare con cura i dati che ottieni dai tuoi clienti. Non collezionarne oltre a quello che serve per il rapporto d'affari che hai con i tuoi clienti (ovviamente devi conservare indirizzo, p.iva ecc. dei tuoi clienti per 10 anni, se non sbaglio). Se tratti solo dati necessari per il rapporto d'affari, non c'è bisogno di alcuna autorizzazione - infatti devi trattare sti dati per legge.
    Devi salvare i dati su un qualche supporto non accessibile a terzi (non necessariamente crittografato) ed avere cura che il pc con il quale tratti i dati abbia almeno un antivirus aggiornato... le cose minime insomma per non metterti nei guai.

    Cercate di evitare di mettere i dati su una cloud. È comunque vietato metterli su una cloud extra-CE. Microsoft Cloud Service, Azure Core Services e Office 365 a detta di Microsoft sono safe-harbour, ma non mi risulta del tutto vero, non ne starei tranquillo.

    Per gli ospedali e uffici pubblici, che trattano dati sensibili invece, la cura dei dati dev'essere molto più approfondita, con firewall, crittografia, gerarchia di permessi, log degli accessi eccetera.


  • User Attivo

    In questo periodo di confusione ogni consiglio è assolutamente benvenuto! 🙂
    Negli ultimi anni ho dovuto perdere più tempo a cercare di capire le leggi e tradurle in soluzioni tecniche che a fare il mio vero mestiere.
    Grazie!


  • User

    @kruk said:

    Premetto: IANAL (i am not a lawyer)...

    Nella pagina web, dove pubblichi il tuo indirizzo, basta avere un link (ben visibile) alla pagina sulla privacy, dove indichi in che modo tratti i dati dei clienti e che uso ne fai - nient'altro.
    Non mettere stronzate tipo "non sono responsabile per i contenuti dei siti linkati" o simile. E visto che di cookie non ne hai, basta veramente poco. Importante, che specifichi chi è il responsabile del trattamento dei dati.

    Se sul tuo sito metti un form per contattarti, devi mettere la dicitura tipo "con l'invio di questo modulo acconsento al trattamento dei dati" (con link alla pagina sulla privacy PRIMA del bottone INVIA. Non serve mettere una checkbox.

    Se il contatto poi avviene tramite telefono o e-mail, basta indicare nella risposta (se questa avviene tramite e-mail), che ti riferisci alla richiesta telefonica del tipo: "come da richiesta telefonica del giorno 21.5.2018, le consiglio bla bla bla". E con il riferimenrto alla telefonata iniziata dal cliente, sei a posto. È infatti il cliente ad aver iniziato il rapporto con te, e quindi implicitamente acconsente al trattamento dei dati per i scopi necessari. È importante in questo contesto, che utilizzi i suoi dati solo ai fini del lavoro richiesto. Se invece vuoi inserire il suo indirizzo in una mailing-list o darlo a terzi, hai bisogno di un'autorizzazione espliita.

    Grazie


  • User Attivo

    @altraSoluzione: mi sono documentato meglio:

    • per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
    • per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati

  • User Attivo

    @kruk said:

    @altraSoluzione: mi sono documentato meglio:

    • per imprese con meno di 10 addetti, la nuova legge sulla privacy non chiede l'indicazione di un responsabile per il trattamento dei dati (visto, che questo coincide di solito con il titolare dell'azienda)
    • per imprese con più di 250 dipendenti serve redarre un documento che stabilisce e regola il trattamento interno dei dati

    Anzitutto ti ringrazio per l'interessamento.
    Si, ho letto anche io che le piccole imprese hanno qualche obbligo di meno ma temo che ne rimangano tanti altri che ancora non ho compreso a fondo.

    Inoltre, tanto per "giocare", mi viene in mente un dubbio molto "pratico":

    • un utente s'iscrive a una newsletter, comunicando il proprio indirizzo email e acconsentendo al trattamento del dato
    • il titolare del trattamento conserva l'indirizzo email e la prova del consenso a esso legata
    • dopo qualche tempo l'utente decide di non ricevere più la newsletter e si cancella tramite l'apposito mezzo tecnico messo a disposizione
    • a questo punto il titolare, per legge, oltre a non inviare più le newsletter (ovviamente), deve cancellare tutti i dati personali dell'utente, cioè l'email

    Ma... se un domani quell'utente cita in giudizio il titolare dicendo che in passato, prima della cancellazione, gli ha inviato le newsletter senza consenso, come fa il titolare a dimostrare che aveva il consenso se ha dovuto cancellare i dati dell'utente, cioè l'email, unico dato comunicato e unica "chiave" di associazione col consenso? 🙂


  • User Attivo

    Ciao e grazie per la tua risposta.

    @criceto said:

    sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito

    Giusto. Ma a me, da profano, sembra ridicolo che si sia costretti a chiedere "lumi" sull'interpretazione di una legge quando sarebbe stato sufficiente scrivere una legge non soggetta a interpretazioni. 🙂

    @criceto said:

    Il "consenso" non é da considerare "dato" soggetto alla norma e secondo me va conservato insieme alla revoca per dare data certa appunto al consenso e alla revoca.
    Opinione personale si intende ... anche se frutto di una noiosissima lettura di tutta la norma ...

    Motivazione dell'opinione: dato che consenso e revoca sono scartoffie da rendere a norma di legge su di esse chi le ha prodotte perde i diritti.

    Solo per amore di conversazione (perché sono del tutto ignorante in materia legale e tale rimarrò :)), nel caso da me ipotizzato la richiesta di cancellazione, ovviamente, non riguarderebbe il consenso ma il "dato", cioè l'indirizzo email che, però, è l'unica chiave univoca per il collegamento con il consenso.

    Cioè, io ho un indirizzo email collegato univocamente alla "prova" del consenso, qualsiasi essa sia:
    email <-> consenso

    Se mi viene imposto di cancellare l'email avrò un consenso senza corrispondenza:

    ??? <-> consenso

    A meno che, in questo caso, non valga il principio che vale per gli altri dati per i quali il consenso non può essere revocato come, per esempio, quelli per la fatturazione.

    Mi sbaglio?

    Grazie!


  • User Attivo

    Ottima domanda. cerchiamo di risolvere il nodo:

    Io memorizzo un una tabella del database i vari dati del cliente, tra cui nome, indirizzo e-mail, data della registrazione e indirizzo ip dal quale si è registrato. Nel campo dell'indirizzo ip metto la parola "manuale" nel caso il cliente ha richiesto l'iscrizione tramite e-mail o telefono... Così posso in qualsiasi momento risalire a quando è stata data l'autorizzazione per l'invio della newsletter.

    Se il cliente chiede di essere rimosso dalla mailinglist, setto un flag nel database, ma non cancello i suoi dati. Potrei aggiungere anche ip e data della disiscrizione. Da quel momento semplicemente non gli invio pù e-mail (la richiesta era solo di disdetta newsletter non di cancellazione dati). Questi dati li mantengo per 10 anni...

    Se il cliente invece mi chiede di cancellare i suoi dati, li cancello e basta. A meno che non abbia altri rapporti di lavoro con lui, per i quali sono obbligato a conservare i dati per 10 anni... Non penso che il titolare dei dati possa farti causa oltre un tempo ragionevole (un anno?) dal ricevimento dell'ultima newsletter (per i tempi di prescrizione dovresti chiedere un'avvocato).

    Se tengo un backup dei dati (uno giornaliero, settimanale, mensile ed uno annuo), sarei obbligato a cancellare i dati anche dal backup. Ma siccome i backup vengono sovrascritti dopo al massimo un anno, questi dati andranno automaticamente persi. Dai backup sarà possibile risalire al momento di iscrizione/disiscrizione del cliente fino a un anno dopo la cancellazione. Se il cliente quindi fa causa entro un'anno, posso recuperare le prove della (dis)iscrizione.

    In caso di controlli devi far vedere come funziona il tuo software, e come i dati vengono cancellati.


  • User Attivo

    @kruk said:

    Se il cliente invece mi chiede di cancellare i suoi dati, li cancello e basta. A meno che non abbia altri rapporti di lavoro con lui, per i quali sono obbligato a conservare i dati per 10 anni... Non penso che il titolare dei dati possa farti causa oltre un tempo ragionevole (un anno?) dal ricevimento dell'ultima newsletter (per i tempi di prescrizione dovresti chiedere un'avvocato).

    In questo momento sembra che neanche gli avvocati abbiano risposte certe.
    Seguendo un seminario sull'argomento, la risposta data dall'esperto è stata che bisogna aspettare delle sentenze per sapere come bisogna interpretare la legge! Questo, nella mia testa, è come se mi obbligassero a partecipare a un gioco dove rischio di perdere un mucchio di soldi senza prima avermi spiegato le regole del gioco, dicendomi che le regole le saprò quando io o qualcun altro avremo perso. 😞

    Mah. Sicuramente è colpa mia e della mia ignoranza (nel senso che ignoro, cit. :1: se a me tutto ciò sembra assurdo.

    Comunque grazie mille per la tua spiegazione, che comunque mi offre nuovi spunti di riflessione!


  • User Attivo

    @altraSoluzione said:

    Mah. Sicuramente è colpa mia e della mia ignoranza (nel senso che ignoro, cit. :1: se a me tutto ciò sembra assurdo.

    Ciao, la risposta che ti ha dato kruk è l'approccio corretto. Non guardare il GDPR come un'imposizione in senso stretto ma come un radicale e molto innovativo approccio in merito al trattamento dei dati, che però certametne se sgarri nel peggiore dei casi e se sei unazienda, ti ritrovi a dover pagare multe astronomiche.

    Poi riporto anche qui che Italia e Francia godranno di una proroga di 6 mesi viste alcune complessità di non facile soluzione.
    Ma attenzione però perché il Garante chiude un occhio non tutti e due, quindi la cosa più importante è comprendere l'importanza dei concetti come Privacy Design.
    Per esempio se io ti contatto per chiederti informazioni, tu mi rispondi e proseguiamo fino alla conclusione. Da questo momento in avanti che motivo hai di conservare nel tuo computer il mio indirizzo email? Nessuno, quindi cancelli la mia mail e sei già a buon punto.

    Stesso discorso per il Data Breach, è tuo impegno sapere che in caso di furto dati dovrai tempestivamente denunciarlo, è tua cura fare in modo che i dati dei tuoi iscritti, clienti, etc siano custoditi con la massima cura e non ceduti, per qualsiasi ragione anche tecnica, a chiunque.

    Avrai notato anche tu e anche tu avrai ricevuto diverse mail, che moltissime aziende stanno inviando in cui dichiarano un certo interesse nel garantire il massimo della protezione dei dati. Anche questo è l'approccio corretto.


  • User Attivo

    @hub said:

    Ciao, la risposta che ti ha dato kruk è l'approccio corretto. Non guardare il GDPR come un'imposizione in senso stretto ma come un radicale e molto innovativo approccio in merito al trattamento dei dati, che però certametne se sgarri nel peggiore dei casi e se sei unazienda, ti ritrovi a dover pagare multe astronomiche.

    Poi riporto anche qui che Italia e Francia godranno di una proroga di 6 mesi viste alcune complessità di non facile soluzione.
    Ma attenzione però perché il Garante chiude un occhio non tutti e due, quindi la cosa più importante è comprendere l'importanza dei concetti come Privacy Design.
    Per esempio se io ti contatto per chiederti informazioni, tu mi rispondi e proseguiamo fino alla conclusione. Da questo momento in avanti che motivo hai di conservare nel tuo computer il mio indirizzo email? Nessuno, quindi cancelli la mia mail e sei già a buon punto.

    Stesso discorso per il Data Breach, è tuo impegno sapere che in caso di furto dati dovrai tempestivamente denunciarlo, è tua cura fare in modo che i dati dei tuoi iscritti, clienti, etc siano custoditi con la massima cura e non ceduti, per qualsiasi ragione anche tecnica, a chiunque.

    Avrai notato anche tu e anche tu avrai ricevuto diverse mail, che moltissime aziende stanno inviando in cui dichiarano un certo interesse nel garantire il massimo della protezione dei dati. Anche questo è l'approccio corretto.

    Hai ragione su tutto e, in effetti, negli ultimi tempi mi stanno bombardando di email.

    Il problema è che, mentre le grandi aziende hanno competentissime e costosissime risorse interne che si occupano di queste cose, il micro imprenditore non può contare sulle stesse risorse e deve fare tutto da solo. E mentre perde una montagna di tempo, anche solo per capire cosa deve fare (figuriamoci per farlo), deve anche cercare di portare a casa la pagnotta facendo il suo vero lavoro che, fino a ieri, faceva senza aver mai venduto gli indirizzi email dei suoi contatti a nessuno e senza aver mai spammato "il mondo" e tutto questo senza bisogno di una legge che gli dicesse che queste cose non si fanno.

    Non penso soltanto a me, ma penso anche a tutti quegli artigiani che magari si sono fatti creare una paginetta web dal figlio o dal nipote e che, per questo, si ritrovano a dover combattere con un mare di scartoffie che parlano di cose di cui sono completamente ignari.

    A mio parere, mentre le regole comportamentali devono, giustamente, essere osservate da tutti ed eventuali abusi puniti, la redazione di scartoffie, il raccoglimento di consensi certificati e tutte le altre cose di carattere prettamente burocratico dovrebbero riguardare soltanto i "big" (quelli sì che fanno di tutto e di più con i dati personali!), cioè le aziende che possono permettersi di pagare fior di avvocati per gestirle.

    Ma quello descritto da me è un mondo dei sogni, me ne rendo conto 🙂

    Quella della proroga era una buona notizia ma sembra smentita:
    https://www.privacyitalia.eu/gdpr-nessun-rinvio-le-sanzioni-alle-aziende-entrano-vigore-dal-25-maggio/7113/


  • User Attivo

    @altraSoluzione said:

    Quella della proroga era una buona notizia ma sembra smentita

    Si purtroppo ho letto anche io, le mie fonti erano testate online piuttosto autorevoli ma in effetti non c'è mai stata nessuna comunicazione ufficiale da parte del Garante.

    **Edit, **
    aggiungo che però in Francia quello che è stato definito il "grace period" è ufficiale, non è proprio una proroga ma i primi mesi ci andranno piano.


  • User Attivo

    @criceto said:

    Sempre come personale opinione ritengo non siano più valide e debbano essere rinnovate (Ovviamente con un lavoro immane ...), sarebbe opportuno rivolgere istanza al Garante per avere lumi in merito ...

    Ti posso tranquillizzare, il Garante della Privacy è già stato interpellato in merito: tutti i benestare raccolti nel rispetto dell'attuale Codice della Privacy rimangono validi anche in futuro siccome il GDPR è molto simile al Codice delle Privacy in vigore.


  • User Attivo

    @crticeto: hai un link? sarebbe molto utile per gli altri lettori.
    Io ho preso la notizia da un comunicato di un'avvocato, che non posso copiare qui.


  • User

    Siamo tutti sulla stessa barca sulla questione GDPR e quello che mi da fastidio è quando si parla di legge e molte cose sono interpetabili in modo diverso e ci dobbiamo fare carico noi di creare/trovare gli strumenti di adattamento.

    Detto questo, spero di fare cosa gradita, per chi utilizza WordPress stò valutando 2 plugins, Ginger ? EU Cookie Law e WP GDPR Compliance. Vi chiedo una gentilezza, una ulteriore conferma di che testo utilizzare per il banner cookie: Io ora utilizzo: "Il presente sito fa uso di cookie anche di terze parti. Si rinvia all'informativa estesa per ulteriori informazioni. La prosecuzione nella navigazione comporta l'accettazione dei cookie."
    Forse non è valida più la storia della prosecuzione, giusto? Poiché bisogna bloccare i Cookie, ed eventualmente accettati con il clic, ho capito bene?

    Per i form di contatto e commenti, che testo affiancate al checkbox? Io usavo "Autorizzo al trattamento dei miei dati personali ai sensi della legge 196/2003."

    In ultimo, mi fornite un testo base di Cookie Policy di un blog base con commenti, form di contatto? Le altre cose vedrò di inserirle io, tipo widgets social, ecc. ma se già ci sono, tanto meglio!

    Grazie!


  • User Attivo

    Per capire come mai il GDPR è in molti aspetti poco chiaro, basta osservare i vari interventi delle lobby supportati dalle multinazionali USA (Google, Microsoft, Dell, IBM, Amazon, eBay, ...) interessati ad infangare la legge europea sulla privacy per assicurarsi più libertà d'azione nel trattamento dei dati personali. Leggetevi la pagina "Major Issues" su lobbyplag.eu. Buona lettura!

    @Harry84: La prosecuzione nella navigazione non implica la tacita accettazione dei cookie - se il visitatore non ha dato l'ok per i cookie, non li puoi settare.

    Io ho iniziato a togliere/sostituire i vari i-like-it-buttons, che settano cookies. In alcuni casi è possibile sostituire il widget con un'immagine e link statico alla pagina del fornitore del widget. Questi widget infatti vengono inclusi tramite iFrame, e non è possibile evitare che settano cookie previa autorizzazione.


  • User

    @kruk Bene la storia di dare il consenso per i Cookie.

    Stò chiedendo gentilmente un aiuto "pratico", sul mini messaggio da usare nel bannerino, nel checkbox dei commenti e del form contatti, ed una base di partenza per la nuova pagina Privacy per un sito base con semplicemente un form contatti, i commenti.

    Non riesco a trovare un sito a cui "ispirarmi", spero in un vostro aiuto!


  • User Attivo

    Guarda Harry, nessuno per ora è al 100% sicuro su come implementare il GDPR. Ogni sito ha le sue peculiarità e va quindi analizzato con cura, quali informazioni è opportuno o necessario mettere nella pagina sulla privacy. Non esiste quindi una paginetta da copiare ed adattare alle proprie esigenze. Qui stiamo solo scambiando informazioni e opinioni che siamo riusciti ad ottenere qua e la. Anch'io non mi sbilancio. Una risposta autorevole e vincolante te la può solo dare un'avvocato - ma quello si paga. E di avvocati che capiscono la materia ce ne sono pochi.

    Alcuni cercano di mettere di tutto e di più per pararsi il sedere. Altri (come me) invece cercano di mettere il minimo necessario e tolgono widget con cookie e banner vari per non incappare in obblighi non assolvibili.