• User Attivo

    Utente di una web app vuole copia dei suoi dati, che cosa sono tenuto a dargli?

    Ciao a tutti,
    Tempo fa ho sviluppato una web application (gestionale contabile) che ho concesso in uso ad alcuni clienti dietro pagamento di una fee annua.
    Ora uno di questi vuole cambiare applicazione e mi chiede copia dei suoi dati, presumibilmente per facilitare la migrazione.
    Cosa sono tenuto a fornirgli, considerando che è già disponibile una funzione di esportazione parziale che può utilizzare in autonomia?
    Deve accontentarsi di questa o sono tenuto a fornirgli il dump del database, chiaramente epurato dei dati degli altri clienti? E' ovvio che in questo caso non potrà leggerlo direttamente ma dovrà costuirsi le query per interpretarlo (ma sarebbero affari suoi).
    In quest'ultimo caso, sarei tenuto a fornirgli anche la documentazione tecnica per comprendere la struttura del db?


  • User Attivo

    Nello specifico il cliente vorrebbe avere una copia "umanamente leggibile" del suo archivio, cosa che è tecnicamente impossibile (a meno di non fornirgli anche un'interfaccia di consultazione).
    Siccome è una persona un po' rognosa, vorrei essere sicuro di quello che posso/devo consegnargli.


  • User

    Lato GDPR sei tenuto a dare la copia umanamente leggibile.
    Tuttavia, cosa c'è scritto nei termini e condizioni del servizio e nella nomina di responsabile del trattamento che il cliente ti ha firmato? (obbligatoria)


  • User Attivo

    L'informativa dice che l'utente "ha diritto di ricevere i propri Dati in formato strutturato, di uso comune e leggibile da dispositivo automatico" (in effetti, è quanto indicato nella varia documentazione online).
    Quindi immagino che il database Mysql rientri in questa definizione.
    Chiaramente un database è umanamente leggibile a patto di saperlo interpretare.
    Cosa intende la legge per "umanamente leggibile"? La riproduzione pedissequa di tutte le schermate, i prospetti ecc.?


  • User Attivo

    Cerco di essere più chiaro: tramite il mio gestionale l'utente può inserire i dati anagrafici dei suoi contatti/fornitori/clienti, oltre che dati contabili, entrate, uscite, elaborare prospetti ecc. ecc.
    I dati sensibili sono già esportabili in formato "umanamente leggibile".
    Quello che non è esportabile sono i dati contabili, amministrativi, le voci di spesa inserite nel corso degli anni, i bilanci ecc.
    Chiaramente fornendo il database integrale l'utente può ricostruire la situazione, a patto appunto di sapere elaborare tecnicamente i dati


  • User

    Dati sensibili non ne vedo (sanitari, giudiziari). Quelli di cui parli sono dati normali. Puoi darli in mysql, è più che a sufficiente.


  • User Attivo

    Ok, ti ringrazio per la risposta.
    Ora la seconda parte della domanda: sono tenuto a fornirgli questi dati o è una forma di "cortesia"?


  • User Attivo

    Ciao, la portabilità dei dati è obbligatoria, art. 20 del GDPR, e sei tenuto a fornirli su richiesta in formato strutturato per esempio CSV, XLS o anche SQL.
    Visto che i dati strutturati non sono "umanamente leggibili", dovresti in aggiunta esportare i dati anche in una versione semistrutturata per esempio in HTML o XML, per facilitargli appunto una "lettura umana", cosa che ti consiglio di fare soprattutto se il tuo cliente ha difficoltà o non ha competenze per gestire i suoi dati nella nuova piattaforma usando la versione strutturata e necessita fin da subito la lettura dei suoi dati.

    In poche parole, dai al tuo cliente la possibilità di leggere fin da subito i suoi dati (dati semistrutturati) e anche la possibilità di farli migrare nella nuova piattaforma (dati strutturati)

    Ovviamente tutto ciò che riguarda la parte tecnica cioè su "come fare" è un aspetto che non riguarda te ma chi si occupa della nuova piattaforma.


  • User Attivo

    Ma il GDPR, in termini di portabilità, si riferisce ai dati personali, e questi sono già esportabili in formato "umano".
    Per quanto riguarda gli altri dati, non riesco a capire fino con che granularità dovrei fornirli. Si tratta di un software moderatamente complesso, e per come è strutturato non posso automatizzare l'esportazione in formato "umano" di tutti i dati (si parla di elaborazioni contabili, bilanci, rendiconti divisi per anni ecc.), a meno di non fare un ingente investimento in termini di sviluppo.
    Detto questo, non avrei nessun problema a fornirgli l'intero dump Mysql.


  • User Attivo

    In sostanza, come devono essere gestiti i dati che esulano dal GDPR? Devono essere integralmente restituiti all'utente che ne faccia richiesta in caso di interruzione del rapporto?